Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Agosto de 2020

Nuevo malware Anubis exfiltra información en sistemas Windows

Publicado: 29/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo malware denominado Anubis, el cual se diferencia del troyano bancario para dispositivos Android que lleva el mismo nombre.

Troyano Bancario Qbot tiene nuevas funcionalidades

Publicado: 28/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se han evidenciado nuevas funcionalidades del troyano bancario Qbot, también denominado QakBot, el cual data actividad desde el 2008. Este troyano es conocido por realizar la recopilación de datos sensibles de los navegadores web, exfiltrar credenciales bancarias y otro tipo de información financiera en los equipos comprometidos.

TA2719 suplanta entidades financieras para distribuir RAT

Publicado: 27/08/2020 | Importancia: Media

En el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.

Grupo APT norcoreano ataca entidades financieras alrededor del mundo

Publicado: 26/08/2020 | Importancia: Alta

En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.

Criptominero Lemon Duck con cargas útiles de Criptojacking

Publicado: 26/08/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.

El Grupo DEATHSTALKER incluye en sus ataques a Entidades Financieras

Publicado: 25/08/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.

Identificadas tres vulnerabilidades en Servidor Apache

Publicado: 25/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.

Vulnerabilidad Google Drive es utilizada en distribución de Malware

Publicado: 24/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidenció la explotación de vulnerabilidad del servicio de Google Drive que permite reemplazar archivos, documentos o imágenes por archivos maliciosos que los ciberdelincuentes utilizan en sus campañas de spearphishing.

Nuevos Indicadores de Compromiso del Troyano Bancario Qakbot

Publicado: 22/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, en esta campaña utiliza dos técnicas que se implementan para evadir y obstaculizar el análisis de la amenaza.

Campaña de distribución de nueva variante de Dridex

Publicado: 22/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva campaña de distribución de una nueva variante del troyano bancario Dridex que afecta a usuarios con sistema operativo Windows.

APT Blind Eagle dirige sus ataques a Colombia

Publicado: 21/08/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.

Múltiples vulnerabilidades en Cajeros Automáticos

Publicado: 21/08/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se han evidenciado algunas vulnerabilidades que afectan a algunos cajeros automáticos (ATM).

Vulnerabilidad en Cajero Automático

Publicado: 21/08/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se ha evidenciado una vulnerabilidad presente en los cajeros automáticos (ATM), para explotar la vulnerabilidad se requiere acceso físico al cajero e interceptar y modificar las comunicaciones del cajero.

Actualización en la Distribución de IcedID

Publicado: 20/08/2020 | Importancia: Media

En el monitoreo realizado por Csirt Financiero se ha identificado una actualización en los métodos de phishing empleados por los autores de IcedID, utilizando cuentas de correo comerciales previamente comprometidas, las cuales hacen parte de los clientes de los objetivos de los cibercriminales, esto con el fin de crear confiabilidad, dado que el cliente y la víctima ya tienen una relación comercial establecida.

Botnet Fritzfrog afecta servidores SSH

Publicado: 20/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.

Vulnerabilidad de Memoria Compartida de IBM DB2

Publicado: 19/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha constatado la publicación de la vulnerabilidad (CVE-2020-4414) de seguridad en IBM DB2. Esta vulnerabilidad permite a un ciberdelincuente local obtener información sensible o generar una denegación de servicios mediante solicitudes específicas provocando uso inadecuado de la memoria compartida, afectando equipos con distribuciones Linux y sistemas operativos Unix y Windows.

Hidden Cobra y el RAT Blindingcan

Publicado: 19/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.

Venta de infostealer Purplewave en la Darkweb

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.

Malware loup extrae dinero de atm-ncr

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.

Malware XCSSET afecta equipos y dispositivos Apple

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuentes

Cactuspete APT Actualiza puerta trasera Bisonal

Publicado: 14/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.

Banco de Centroamérica fue Atacado por Sodinokibi

Publicado: 13/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado un ataque realizado contra CiBanco, entidad financiera de México aparentemente por el grupo Sodinokibi, REvil o Solin, quienes han revelado información del ataque públicamente y amenazan con difundir dos entregas adicionales.

Variante del malware bancario Mekotio utiliza base de datos SQL como C2

Publicado: 12/08/2020 | Importancia: Alta

En el monitoreo efectuado por el Csirt Financiero se identificaron nuevas características en una de las variantes de Mekotio. Este tipo de malware es un troyano bancario dirigido principalmente a países latinoamericanos entre los que se encuentran Brasil, Chile, México, Perú y Colombia, aunque también ha realizado afectaciones en Portugal y España.

Malware basado en Scripts

Publicado: 12/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva tendencia de ciberataques, en los cuales se está utilizando malware basado en scripts que aprovechan funciones como la secuencia de comandos, el instrumental de administración de Windows (WMI) y PowerShell, comprometiendo los registros de sistemas operativos Windows sin el uso de archivo, lo que a su vez dificulta su rastreo.

Nuevo Grupo de ciberdelincuentes llamado RedCurl

Publicado: 12/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.

Nueva variante de FTCode Ransomware

Publicado: 10/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.

Aumento de actividad cibercriminal de Agent Tesla

Publicado: 10/08/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia

Vulnerabilidades en dispositivos con procesador Snapdragon

Publicado: 09/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado la identificación de cientos de vulnerabilidades a nivel de código de procesador Snapdragon SoC arquitectura Hexagon Procesador de Señal Digital (DSP) de la empresa Qualcomm. Estas vulnerabilidades afectan a los dispositivos móviles distribuidos por Google, Samsung, LG, Xiaomi, OnePlus, entre otros.

Nuevo RAT de la familia Carbanak llamado Gosh para Linux

Publicado: 09/08/2020 | Importancia: Alta

Desde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.

Campañas BEC contra ejecutivos financieros a través de Office 365

Publicado: 09/08/2020 | Importancia: Media

Desde el mes de marzo del presente año, se han evidenciado nuevas campañas de Business Email Compromise (BEC) que hacen uso de técnicas de spearphishing en cuentas de Office 365 dirigidas a altos directivos en más de 1.000 empresas en todo el mundo. Las campañas más recientes se encuentran dirigidas a puestos Senior en Estados Unidos y Canadá.