Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Septiembre de 2020

Nuevas variantes de Loda RAT

Publicado: 28/09/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.

Nuevos Indicadores de Compromiso Asociados Al Troyano Bancario Qakbot

Publicado: 28/09/2020 | Importancia: Alta

En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.

Campañas de Phishing con temática de Actualización de Versión Windows

Publicado: 28/09/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado, a través del monitoreo de fuentes abiertas, nuevas campañas de phishing dirigidas a empleados de distintas entidades, donde se ofrece la actualización del sistema operativo Windows 7 a Windows 10, como en su oportunidad lo hizo Microsoft por el fin del ciclo vital de Windows 7 (enero 14 del 2020), cuando Microsoft instaba a actualizar cualquier equipo o dispositivo a Windows 10.

Ransomware Agelocker dirige sus ataques a Nas de Qnap

Publicado: 27/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.

Skimmer Gstaticapi, exfiltra detalles de Pago Electrónico

Publicado: 27/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.

Nuevos indicadores de Compromiso de Emotet

Publicado: 27/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.

Vulnerabilidades en Chrome exponen a usuarios

Publicado: 27/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.

Ransomware Mount Locker exige rescates millonarios

Publicado: 26/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.

Ciberdelincuentes emplean tarjetas Sim y Anydesk para exfiltrar credenciales de cuentas bancarias

Publicado: 24/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas técnicas de exfiltración, empleadas recientemente por los ciberdelincuentes para sustraer de forma fraudulenta los recursos de las cuentas bancarias comprometidas.

Uso de Sim Swapping y Telegram para exfiltrar datos de dispositivos móviles

Publicado: 24/09/2020 | Importancia: Media

El equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.

Troyano Bancario Alien incrementa su actividad maliciosa

Publicado: 24/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado actividad maliciosa por parte del troyano bancario Alien, el cual tiene afectación sobre dispositivos con sistema operativo Android. Este malware se distribuye principalmente por medio de aplicaciones falsas o modificadas que son alojadas en sitios web no oficiales. Reutiliza código fuente de versiones anteriores del troyano bancario Cerberus y emplea técnicas mediante las cuales logra evadir herramientas de la detección de malware como Google Play Protect.

Grupo Oldgremlin distribuye Ransomware TinyPosh

Publicado: 23/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso de las campañas de ransomware ejecutadas por el grupo ruso OldGremlin.

Indicadores de Compromiso Asociados al Troyano Bancario URSA/MISPADU

Publicado: 22/09/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevos indicadores de compromiso (IOC) relacionados al troyano bancario URSA también conocido como Mispadu. Este troyano se distribuye a través de mensajes de correo electrónico tipo malspam en archivos adjuntos comprimidos .zip.

Emotet Implementa Técnicas para secuestrar Hilos de Correo Electrónico

Publicado: 22/09/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.

Imagen Firmware UEFI contiene componentes con Malware

Publicado: 22/09/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.

Actividad de Eventbot

Publicado: 21/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.

Ciberdelincuentes utilizan direcciones IP Hexadecimales para evadir filtros de Correo Electrónico

Publicado: 20/09/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva técnica utilizada por los ciberdelincuentes para distribuir spam y evadir los filtros de correo electrónico. La técnica consiste en colocar enlaces adoptando direcciones IP hexadecimales, en la parte del nombre del host dentro de la URL remitida al usuario en un mensaje de correo electrónico para evadir la detección de spam y así redirigir a los usuarios a páginas web de spam controladas por los ciberdelincuentes.

Estados Unidos acusa a miembros de APT 41 de Ciberespionaje y Delitos Cibernéticos

Publicado: 19/09/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que el departamento de justicia de los Estados Unidos ha acusado a 7 personas de ser parte del grupo cibercriminal chino APT41 y de haber realizado las campañas de ciberespionaje y otros delitos cibernéticos en contra de organizaciones en Asia, Europa y América del Norte, pertenecientes a sectores como alimentos, finanzas, salud, hotelería, manufactura, telecomunicaciones y gobierno.

Nueva Técnica de Maze Ransomware

Publicado: 17/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt a fuentes abiertas, se ha evidenciado que el ransomware denominado Maze, incluyó un nuevo método para poder cifrar los archivos de un dispositivo evadiendo la detección de dispositivos de seguridad. Este nuevo método al parecer es tomado de Ragnar Locker y se trata de la utilización de máquinas virtuales para realizar el cifrado del host local.

Nueva Distribución del Troyano Bancario Dridex

Publicado: 16/09/2020 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.

Múltiples Vulnerabilidades en Drupal

Publicado: 16/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado cinco vulnerabilidades del Sistema Administrador de Contenidos (CMS) para sitios y aplicaciones web Drupal.

Grupo APT iraní busca aprovechar las vulnerabilidades en soluciones VPN.

Publicado: 15/09/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una alerta realizada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) en el cual reporta la actividad cibercriminal del grupo APT iraní denominado Pioneer Kitten o UNC757.

Nuevo troyano bancario URSA

Publicado: 14/09/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo troyano bancario denominado URSA. Se instala en los equipos de los usuarios para realizar exfiltración de contraseñas contenidas en los navegadores web, servicios de correo electrónico además de las funcionalidades comunes de superposición de ventanas de los sitios web para recopilar información.

Nueva Actividad de Magecart dirigida a Tiendas Online con Magento

Publicado: 14/09/2020 | Importancia: Media

Desde el Csirt Financiero ha evidenciado nueva actividad atribuida al grupo de ciberdelincuentes Magecart, realizó una nueva campaña dirigida a cerca de dos mil tiendas Magento a nivel mundial. La campaña realizada el pasado fin de semana ha sido calificada como la más grande hasta la fecha. El código malicioso que fue inyectado en las tiendas Magento realizó la interceptación de los pagos realizados por los usuarios a través de las tiendas virtuales.

Nueva actividad del Troyano Bancario Cerberus.

Publicado: 14/09/2020 | Importancia: Media

El Csirt Financiero ha evidenciado nueva actividad relacionada con el troyano bancario Cerberus en una instancia desplegada por un cibercriminal. La actividad evidenciada utiliza plantillas HTML para realizar la suplantación y exfiltración de credenciales de entidades bancarias, páginas de ventas en línea, redes sociales, entre otros.

Vulnerabilidad en el Proceso de Servidor de Windows Netlogon

Publicado: 13/09/2020 | Importancia: Alta

En el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una vulnerabilidad que afecta el servicio Net Logon sobre las versiones de Windows Server 2004, 2008, 2008 R2, 2012, 2012 R2, 2016 y 2019. La función principal del servicio consiste en autenticar a los usuarios y otros servicios dentro de un dominio.

Malware Zshlayer dirige sus ataques a Sistemas Operativos MacOS

Publicado: 13/09/2020 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque dirigido a equipos con sistema operativo MacOS, con una variante del troyano Shlayer denominado ZShlayer. Esta nueva variante se ofusca para evadir herramientas de seguridad y así lograr comprometer el equipo.

Ataque de Phishing exfiltra credenciales de office 365 en tiempo real

Publicado: 12/09/2020 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque de phishing dirigido a altos ejecutivos de una empresa estadounidense, en mensajes con adjuntos maliciosos que parecen ser informes financieros en un archivo de texto, tratan de realizar superposición de pantallas para exfiltrar las credenciales de Office 365.

Nueva Actividad del Malware Pos Prilex

Publicado: 10/09/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nueva actividad del malware Prilex, cuyo objetivo es la captura y exfiltración de información en puntos de venta (POS). Tras un breve receso en sus actividades en el 2019, a finales de julio del 2020, se ha evidenció nuevamente la actividad de esta familia de malware en muestras que han sido cargadas en Virus Total.

Nueva Distribución del Troyano Bancario Dridex

Publicado: 10/09/2020 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.

Archivo