-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva actividad de DarkCloud
Publicado: 24/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkCloud.
Bumblebee reaparece con instaladores falsos de RVTools
Publicado: 24/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña dirigida a la distribución del cargador malicioso Bumblebee, mediante instaladores falsos de RVTools, una herramienta ampliamente utilizada en entornos corporativos para la administración de infraestructuras basadas en VMware. Esta utilidad permite recolectar y exportar información detallada sobre máquinas virtuales, redes y almacenamiento, por lo que resulta un señuelo atractivo para engañar a administradores de entornos virtualizados.
Nuevos indicadores de compromiso relacionados con Lactrodectus downloader
Publicado: 24/05/2025 | Importancia: Media
En el marco de las tareas de monitoreo continuo llevadas a cabo por el equipo de analistas del Csirt Financiero, se detectó actividad maliciosa vinculada a Lactrodectus, herramienta empleada para la descarga y ejecución de cargas útiles adicionales. Esta actividad ha sido identificada en campañas que distribuyen archivos adjuntos en formatos PDF y HTML, orientados a inducir a las víctimas a ejecutar código no autorizado. Tras su activación, Lactrodectus se comunica con servidores de C2, lo que le permite recibir instrucciones remotas y obtener componentes complementarios desde fuentes externas.
Campaña phishing distribuye PureRAT, PureCrypter y PureLogs
Publicado: 21/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva campaña phishing que busca distribuir diversas familias de malware.
Nuevos detalles del ransomware Sarcoma
Publicado: 20/05/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad maliciosa relacionada con el grupo de ransomware Sarcoma, el cual opera bajo un esquema de Ransomware-as-a-Service (RaaS) y de doble extorsión, cifrando los equipos comprometidos y exfiltrando información sensible con la intención de publicarla si no se realiza el pago del rescate.
KeePass modificado empleado en distribución reciente de amenazas
Publicado: 19/05/2025 | Importancia: Media
Durante las labores de monitoreo el equipo de analistas del Csirt Financiero identificó una nueva campaña maliciosa que involucra la distribución de una versión modificada de KeePass, un popular administrador de contraseñas de código abierto.
Nueva actividad asociada al stealer AZORult
Publicado: 19/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye el stealer AZORult, una amenaza orientada a la captura de información sensible en equipos pertenecientes a sectores como el financiero.
Nuevos indicadores de compromiso relacionados con Hannibal Stealer
Publicado: 19/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de Hannibal Stealer, una herramienta diseñada para la exfiltración de información sensible desde equipos comprometidos.
Nueva campaña maliciosa relacionada con ModiLoader
Publicado: 18/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña maliciosa asociada a la distribución del loader conocido como ModiLoader o DBatLoader, diseñado para comprometer sistemas operativos Windows y facilitar la ejecución de cargas útiles maliciosas secundarias.
Nuevos indicadores de compromiso relacionados con Formbook
Publicado: 18/05/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero se ha identificado nueva actividad maliciosa vinculada a Formbook, un stealer reconocido por sus capacidades de vigilancia y recolección de información en sistemas operativos Windows.
Nueva actividad asociada al troyano de acceso remoto XWorm
Publicado: 18/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a la distribución del troyano de acceso remoto XWorm, una amenaza utilizada por ciberdelincuentes para comprometer sistemas en sectores como el financiero, empresarial, gubernamental e industrial.
Actividad relacionada con RedLineStealer
Publicado: 17/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de RedLineStealer.
Nuevo backdoor denominado Skitnet
Publicado: 17/05/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva puerta trasera (backdoor) denominada Skitnet, también conocida como Bossnet, la cual ha sido empleada por grupos de ransomware como BlackBasta para realizar acciones posteriores a la intrusión en redes comprometidas.
TransferLoader: un nuevo loader avanzado
Publicado: 15/05/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza denominada TransferLoader, un loader que ha estado activo desde febrero de 2025 y que se compone de tres módulos principales.
Nueva campaña distribuye múltiples amenazas mediante loader en .NET
Publicado: 15/05/2025 | Importancia: Media
Durante recientes actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una nueva campaña maliciosa que emplea un loader desarrollado en .NET como punto de entrada, estructurado en tres etapas claramente definidas que le permiten desplegar diversas cargas maliciosas en los equipos comprometidos.
Nuevo método de ejecución de RemcosRAT
Publicado: 14/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, identificó un nuevo método de ejecución del troyano de acceso remoto RemcosRAT.
Nueva actividad relacionada con TROX Stealer
Publicado: 13/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TROX Stealer.
Nueva amenaza denominada Nanocrypt ransomware
Publicado: 12/05/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha detectado una nueva amenaza denominada Nanocrypt ransomware, diseñada para cifrar archivos en los equipos comprometidos. Su ejecución inicia con privilegios de usuario, aunque en ciertos casos puede escalar privilegios mediante técnicas como el UAC bypass. Como mecanismo de persistencia, el ejecutable es copiado en directorios como APPDATA, TEMP o LOCALAPPDATA, y se establecen claves de registro en la ruta HKCU\Software\Microsoft\Windows\CurrentVersion\Run para asegurar su ejecución automática al iniciar el equipo.
Nueva actividad maliciosa relacionada con Horabot
Publicado: 12/05/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con Horabot, una botnet que ha estado dirigida principalmente a usuarios de habla hispana en América Latina.
Reciente actividad maliciosa relacionada con WshRAT
Publicado: 11/05/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó nueva actividad maliciosa asociada a WshRAT, un troyano de acceso remoto (RAT) basado en scripts, utilizado por ciberdelincuentes para comprometer equipos y ejecutar diversas acciones no autorizadas.
Nueva actividad de los troyanos Meterpreter, Emotet y Lokibot
Publicado: 11/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha detectado diversas actividades maliciosas atribuidas a campañas ejecutadas por ciberdelincuentes, mediante la utilización de distintas amenazas que incluyen variantes del troyano Meterpreter, el troyano bancario Emotet y el troyano Lokibot.
Actividad relacionada con AveMariaRAT
Publicado: 11/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de AveMariaRAT.
Nueva campaña de AgentTesla, RemcosRAT y XLoader mediante esteganografía en archivos .NET
Publicado: 10/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña protagonizada por las familias de troyanos de acceso remoto Agent Tesla, Remcos RAT y XLoader, esta actividad maliciosa ha tenido como objetivo principal a organizaciones del sector financiero en Asia entre finales de 2024 y principios de 2025.
PupkinStealer, nueva amenaza identificada
Publicado: 09/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero se ha identificado una nueva campaña de distribución de PupkinStealer, un software malicioso desarrollado en C# con el framework .NET, orientado a la captura de información sensible en equipos comprometidos. Esta amenaza se caracteriza por su enfoque directo y su capacidad para operar de manera discreta, facilitando la exfiltración de datos a través de la API de bots de Telegram.
Nueva actividad reciente relacionada RemcosRAT
Publicado: 08/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero se ha detectado actividad reciente relacionada con RemcosRAT, una herramienta de acceso remoto que ha sido utilizada por ciberdelincuentes para comprometer equipos y mantener control persistente sobre ellos. Esta herramienta es distribuida frecuentemente mediante campañas de phishing que aprovechan vulnerabilidades en documentos de Office, permitiendo su ejecución sin interacción adicional por parte de la víctima.
Nueva actividad de LOSTKEYS
Publicado: 08/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva actividad relacionada con LOSTKEYS, un spyware atribuido al grupo APT COLDRIVER, también conocido como UNC4057, Star Blizzard o Callisto.
Ransomware Chimera impulsado por IA
Publicado: 06/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, identificó un nuevo ransomware llamado Chimera.
Nueva actividad maliciosa relacionada a diferentes familias de troyanos
Publicado: 05/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa vinculada a varias familias de troyanos: Meterpreter, Grandoreiro, Lokibot y Mispadu. Estas amenazas, distribuidas globalmente, tienen como finalidad el control remoto de equipos, la captura de información confidencial y la evasión de mecanismos de detección.
Nuevas amenazas distribuidas bajo los nombres TerraStealerV2 y TerraLogger
Publicado: 04/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, fueron identificadas nuevas amenazas denominadas TerraStealerV2 y TerraLogger, asociadas a una campaña atribuida al grupo APT conocido como Golden Chickens, también referido como Venom Spider.
Actividad maliciosa relacionada con DragonForce Ransomware
Publicado: 03/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una técnica reciente utilizada para distribuir DragonForce, un ransomware que opera bajo el esquema de ransomware como servicio (RaaS), este modelo facilita a los ciberdelincuentes la personalización de las cargas maliciosas de acuerdo con el entorno de la víctima, permitiendo desactivar mecanismos de protección, definir configuraciones específicas de cifrado y adaptar el contenido de las notas de rescate, lo que aumenta la efectividad de sus campañas.