Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Enero de 2021

Oscorp, nuevo malware que exfiltra credenciales en Android

Publicado: 29/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.

Vulnerabilidad en sudo permite escalar privilegios en Linux

Publicado: 29/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva vulnerabilidad asociada al escalado de privilegios desde root en un equipo comprometido, la vulnerabilidad tiene asignado el CVE-2021-3156, la cual también se le conoce como "Baron Samedit".

ACTIVIDAD RECIENTE DE GROUNDHOG BOTNET

Publicado: 28/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente de Groundhog, una Botnet que afecta a sistemas Linux e infecta servicios alojados en la nube y sistemas con SSH con poca seguridad en sus credenciales, dado que su método de propagación predilecto son los ataques de fuerza bruta. Esta Botnet está compuesta por dos variantes XOR.DDOS y Groundhog para su correcto funcionamiento.

NUEVA ACTIVIDAD DE TROYANO BANCARIO DANABOT

Publicado: 28/01/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del troyano bancario DanaBot después de varios meses de inactividad. Esta nueva versión del troyano genera preocupación debido a la efectividad del malware en campañas pasadas.

APT TA551 distribuye Qakbot (Qbot)

Publicado: 28/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que el grupo TA551 conocido como Shathak, ha venido distribuyendo el malware Qakbot (Qbot) en lo que lleva del año.

Hidden Cobra implementa nuevos malware en sus ataques

Publicado: 26/01/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del grupo cibercriminal Hidden Cobra también conocido como Lazarus que ha implementado nuevo malware durante la ejecución de sus ataques. En este caso se han identificado y relacionado dos tipos de malware denominados Torisma y LCPDot.

Campaña de suplantación dirigida a usuarios de Claro Colombia

Publicado: 26/01/2021 | Importancia: Alta

En el monitoreo realizado por el equipo de Csirt Financiero, se evidencia una nueva campaña de suplantación de identidad, donde falsos asesores de la empresa de telecomunicaciones toman contacto telefónico con usuarios desprevenidos, indicando que pertenecen a la empresa de telefonía Claro Colombia y que su servicio requiere de una falsa actualización, por lo que envían un mensaje SMS al usuario indicando que ingrese a la dirección URL para descargar y ejecutar un archivo .apk en el dispositivo móvil.

Ransomware Avaddon utiliza ataques DDoS

Publicado: 25/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña en la que los ciberdelincuentes detrás del ransomware Avaddon utilizan ataques DDoS contra las redes vulneradas como método de coacción, esto para que las víctimas paguen el rescate exigido después de la ejecución del ransomware.

Vulnerabilidad en Oracle Weblogic Server

Publicado: 25/01/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero, encontró una vulnerabilidad de ejecución remota de código en los productos de Oracle WebLogic Server Fusion Middleware (Componente: Consola), la cual ya se encuentra identificada bajo CVE-2021-2109. La explotación de la vulnerabilidad permite a un atacante con acceso a la red, ejecutar código a través de HTTP y comprometer Oracle WebLogic Server, la puntuación de criticidad que se obtuvo de este incidente fue de CVSS 3.1 Base Score 7.2, el cual puede impactar en la confidencialidad integridad y disponibilidad del servidor. Las versiones afectadas del producto son: • 10.3.6.0.0 • 12.1.3.0.0 • 12.2.1.3.0 • 12.2.1.4.0 • 14.1.1.0.0

Uso de Runspace en PowerShell para lanzar a REVIL ransomware

Publicado: 25/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.

Botnet DreamBus apunta a aplicaciones ejecutadas en servidores Linux

Publicado: 25/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.

Troyano bancario Basbanke afecta entidades financieras a nivel mundial

Publicado: 24/01/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la expansión de afectaciones generadas por el troyano bancario Basbanke. Este malware originario de Brasil está realizando ataques a los clientes de instituciones financieras en países como España, Portugal, Chile y Bolivia.

Archivos con extensión JNLP utilizados para la descarga de malware

Publicado: 23/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una nueva técnica utilizada por los ciberdelincuentes que busca eludir las defensas iniciales de las organizaciones, esto mediante el uso de archivos JNLP.

SonicWall identifica un ciberataque en sus sistemas internos

Publicado: 22/01/2021 | Importancia: Media

En el monitoreo a fuentes de información, el equipo de Csirt financiero encontró que la firma de seguridad SonicWall, fue víctima de un ciberataque coordinado en sus sistemas internos.

Exploit público aprovecha vulnerabilidad crítica en sistemas SAP

Publicado: 22/01/2021 | Importancia: Alta

En el monitorio realizado a fuentes abiertas de información, el Csirt Financiero ha identificado que ciberdelincuentes podrían tratar de explotar la vulnerabilidad CVE-2020-6207 en el sistema SAP Solution Manager (SolMan) v7.2 de las organizaciones que aún no han parchado esta vulnerabilidad, lo anterior al observar escaneos masivos en internet que tienen como objetivo utilizar el exploit público disponible actualmente, lo que aumenta la posibilidad de ser víctima de un ciberataque.

Actividad maliciosa asociada al malware bancario Vadokrist

Publicado: 21/01/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al malware bancario Vadokrist. Este malware presenta similitudes con otras familias de malware como Amavaldo, Casbaneiro, Grandoreiro y Mekotio.

Indicadores de compromiso asociados a Emotet

Publicado: 21/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, se han encontrado nuevos Indicadores de compromiso asociados al troyano bancario Emotet, el cual tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows. Las capacidades de Emotet han evolucionado en los últimos años, incluyendo la facultad de descargar y ejecutar malware adicional si así lo determina el ciberdelincuente.

Nueva campaña de propagación del troyano bancario Alien

Publicado: 20/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidencia una nueva campaña de propagación del troyano bancario Alien, el cual afecta a dispositivos Android. En esta oportunidad, los ciberdelincuentes distribuyen la aplicación maliciosa aprovechando la alarma sanitaria aún presente asociada al COVID-19.

Malware FreakOut, ataca a dispositivos Linux

Publicado: 20/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt financiero encontró tres vulnerabilidades dirigidas a dispositivos Linux, que están siendo explotadas por una nueva variante del malware FreakOut, para productos que aún no se encuentran parcheados.

Bizarro, nuevo troyano bancario brasileño

Publicado: 20/01/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado Bizarro, originario de Brasil, que afecta equipos con sistema operativo Windows. Este troyano ha realizado afectaciones en diferentes países a nivel mundial, afectando a 70 bancos de diferentes países europeos y latinoamericanos como Alemania, Argentina, Brasil, Chile, Ecuador, España, Francia, Italia, México, Perú, y Portugal.

Raindrop, nuevo malware vinculado al ataque de Solarwinds

Publicado: 18/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor denominado Raindrop, el cual está relacionado con la cadena de infección realizada a la plataforma Orion de SolarWinds en 2020. Este backdoor fue utilizado para entregar una carga útil de Cobalt Strike facilitando a los ciberdelincuentes moverse lateralmente en la red comprometida.

Una ruta específica en el navegador genera un error de pantalla azul en Windows 10

Publicado: 17/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.

Utilización de Bulletproof hostings por parte de grupos de Magecart

Publicado: 16/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.

Nueva campaña de distribución de AsyncRat

Publicado: 15/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.

Campaña de distribución de nueva variante de Ursnif

Publicado: 14/01/2021 | Importancia: Media

En el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.

Publicación de parches para vulnerabilidades en Windows

Publicado: 12/01/2021 | Importancia: Alta

En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.

Malware Sunspot asociado al grupo StellarParticle, implicado en la cadena de infección de SolarWinds

Publicado: 12/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidenció un nuevo malware asociado a un grupo de actividad denominado StellarParticle, implicado en la cadena de infección de SolarWinds. Este malware se utilizó para insertar el backdoor SUNBURST en las compilaciones de software de los productos de gestión de SolarWinds Orion, este malware fue reconocido por los investigadores de CrowdStrike Intelligence, los cuales identificaron el backdoor que se implementó en la construcción de los productos de SolarWinds, sin generar sospechas a los desarrolladores.

Campaña de distribución de malware a varias empresas colombianas

Publicado: 12/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una campaña de infección a varias empresas colombianas denominada Operación Spalax. Según investigadores de ESET (compañía de seguridad informática) se ha observado esta operación desde al menos abril de 2018, cuyo objetivo es la distribución de troyanos de acceso remoto (RAT) a través de mensajes de correo malspam.

Nuevo troyano bancario que afecta dispositivos Android

Publicado: 11/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.

Posible relación entre Sunburst con la herramienta Kazuar de Turla

Publicado: 11/01/2021 | Importancia: Media

En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una posible relación entre Sunburst y una herramienta utilizada desde varios años atrás por el grupo cibercriminal Turla, denominada Kazuar. Cabe destacar que aún no hay confirmación de una conexión entre esta herramientas, pero tienen gran similitud en varias características de su desarrollo y ejecución.

Archivo