-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña llamada OBSCURE#BAT diseñada para distribuir el rootkit R77
Publicado: 13/03/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que difunde rootkit R77.
Nueva campaña de phishing propaga diversas familias de malware
Publicado: 13/03/2025 | Importancia: Baja
El Csirt Financiero ha identificado una nueva campaña de phishing vinculada al grupo APT Storm-1865, caracterizada por la distribución de múltiples familias de malware entre las que se incluyen XWorm, LummaStealer, VenomRAT, AsyncRAT, Danabot y NetSupportRAT.
Grupo norcoreano distribuye malware para Android
Publicado: 13/03/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó al grupo norcoreano ScarCruft distribuyendo un malware para dispositivos móviles.
Nueva actividad relacionada a CobaltStrike
Publicado: 12/03/2025 | Importancia: Media
El equipo de analistas del CSIRT Financiero ha identificado una nueva actividad asociada a Cobalt Strike, una herramienta utilizada tanto en pruebas de seguridad legítimas como por ciberdelincuentes para comprometer infraestructuras tecnológicas, convirtiéndose en un vector altamente efectivo para la captura y exfiltración de información confidencial.
Nueva actividad relacionada con FleshStealer y Snake Stealer
Publicado: 12/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa vinculada a FleshStealer y SnakeStealer, amenazas especializadas en la captura y exfiltración de información sensible, estos stealer, activos desde septiembre de 2024 y noviembre de 2020 respectivamente, poseen capacidades avanzadas para obtener credenciales, información financiera y códigos de autenticación multifactor (2FA), principalmente afectan aplicaciones como navegadores, clientes de correo y billeteras de criptomonedas, utilizando técnicas para evadir la detección y mantener accesos persistentes en los equipos comprometidos.
Reciente campaña de distribución de Akira Ransomware en Colombia
Publicado: 12/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una reciente campaña de distribución de Akira ransomware el cual tiene como objetivo principal cifrar información crítica y exigir un pago económico para su recuperación, empleando además un modelo de doble extorsión mediante la exfiltración previa de información.
Nueva actividad maliciosa relacionada con Lumma y Zhong Stealer
Publicado: 11/03/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificaron nuevas técnicas de distribución de los stealer Lumma y Zhong, diseñados para exfiltrar información confidencial de equipos infectados, incluyendo credenciales, datos bancarios e información personal.
Nueva actividad maliciosa relacionada a múltiples troyanos bancarios
Publicado: 11/03/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó nueva actividad maliciosa vinculada a múltiples troyanos bancarios, entre ellos Cosmic Banker, Grandoreiro, URSA y Guildma, los cuales buscan capturar credenciales, interceptar transacciones y facilitar accesos no autorizados a plataformas financieras, representando un riesgo significativo para la seguridad de las entidades y sus usuarios.
Nueva actividad maliciosa relacionada al ransomware Lucky
Publicado: 10/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa asociada a Lucky, una variante del ransomware MedusaLocker que está diseñado para cifrar archivos y extorsionar a sus víctimas mediante el pago de un rescate. Lucky se propaga a través de credenciales RDP comprometidas y campañas de phishing dirigidas, lo que le permite infiltrarse en infraestructuras de múltiples sectores, incluyendo el financiero.
Nueva actividad maliciosa asociada con múltiples familias de troyanos de acceso remoto
Publicado: 09/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada con múltiples troyanos de acceso remoto, incluyendo AgentTesla, RemcosRAT, njRAT y QuasarRAT, estas amenazas han sido utilizadas en diversas campañas dirigidas contra sectores empresariales, gubernamentales e industriales, con el objetivo de infiltrarse en equipos, capturar credenciales y exfiltrar información confidencial, su método principal de distribución es el envío de mensajes de correo electrónico fraudulentos con archivos adjuntos maliciosos, enlaces engañosos y descargas desde sitios web comprometidos.
Infección de Akira ransomware a través de cámaras para evadir detección
Publicado: 09/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva modalidad de ataque relacionada con Akira ransomware, el cual se distribuye a través de cámaras web con el objetivo de evadir detección. Estos ataques han sido atribuidos a un grupo APT que lleva el mismo nombre del ransomware.
Nueva actividad maliciosa vinculada a GuLoader detectada
Publicado: 08/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada con GuLoader, con registros desde diciembre de 2019. Esta amenaza, clasificada como un loader, actúa como la primera fase en una cadena de infección, facilitando la descarga e instalación de diversas amenazas.
Nueva actividad relacionada con Strela Stealer
Publicado: 08/03/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado nueva actividad relacionada con el stealer Strela. Se trata de una amenaza que compromete sistemas a través de técnicas de ejecución de código malicioso, aprovechando vulnerabilidades en la configuración de seguridad y en la gestión de archivos ejecutables. Utiliza métodos como la manipulación de scripts y el abuso de herramientas legítimas del sistema para evadir detección y obtener persistencia.
NUEVAS TÉCNICAS DE DISTRIBUCIÓN DEL RANSOMWARE EBYTE
Publicado: 07/03/2025 | Importancia:
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución del ransomware EByte, una variante basada en el lenguaje de programación “Go” que implementa mecanismos de cifrado y persistencia en equipos comprometidos, empleando el algoritmo ChaCha20 para cifrar archivos y ECIES para la transmisión segura de claves, dificultando la recuperación de la información afectada mediante métodos convencionales.
TÉCNICAS DE DISTRIBUCIÓN DE MALWARE MEDIANTE LA CAMPAÑA DENOMINADA GRASSCALL
Publicado: 07/03/2025 | Importancia:
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña de distribución del malware Rhadamanthys y AMOS conocida como "GrassCall", que emplea tácticas de ingeniería social para comprometer usuarios en búsqueda de empleo dentro del sector de criptomonedas, mediante la suplantación de identidad de empresas legítimas y el uso de plataformas de mensajería y agendamiento de citas.
Ransomware M142 HIMARS una nueva amenaza basada en MedusaLocker
Publicado: 06/03/2025 | Importancia: Media
A través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de ransomware denominada M142 HIMARS, la cual pertenece a la familia MedusaLocker, un grupo de ransomware activo desde 2019 que opera bajo el modelo de "Ransomware-as-a-Service" (RaaS)
Nueva distribución del stealer Phantom Goblin
Publicado: 05/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Phantom Goblin, un stealer diseñado para capturar credenciales y otros datos sensibles almacenados en navegadores web, esta amenaza emplea técnicas de ingeniería social y se distribuye principalmente a través de campañas de phishing con archivos adjuntos en formato RAR que contienen accesos directos (LNK) maliciosos, su ejecución activa comandos de PowerShell que descargan cargas útiles desde GitHub, permitiendo la captura de información y el establecimiento de túneles en Visual Studio Code (VSCode) para mantener acceso remoto no autorizado.
Técnicas de distribución de malware empleadas por el grupo Larva-208
Publicado: 04/03/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de malware empleadas por el grupo de amenazas Larva-208, también conocido como EncryptHub.
Nueva campaña de Red Akodon distribuye AsyncRAT
Publicado: 03/03/2025 | Importancia: Media
Recientemente, se ha identificado una nueva campaña del grupo de amenazas persistente Red Akodon dirigida a organizaciones en Colombia, en la cual el actor de amenazas distribuye AsyncRAT.
Nueva campaña distribuye Medusa Ransomware
Publicado: 03/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña que distribuye Medusa Ransomware, también conocido como MedusaBlog, una amenaza activa desde junio de 2021 que afecta equipos Windows y aplica una estrategia de doble extorsión.
Uso de Clickfix y Havoc Demon para la distribución de malware
Publicado: 02/03/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado una nueva campaña de distribución de malware que emplea la técnica de ingeniería social ClickFix y el marco de C2 de código abierto Havoc Demon.
Nueva actividad maliciosa asociadas con múltiples familias de troyanos
Publicado: 02/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada a las familias de troyanos Formbook y Lokibot, los cuales son utilizados por ciberdelincuentes para comprometer equipos, capturar credenciales y exfiltrar información confidencial, propagándose principalmente a través de correos electrónicos fraudulentos con archivos adjuntos maliciosos, enlaces engañosos y descargas desde sitios web comprometidos.
Nuevo ransomware denominado Danger
Publicado: 02/03/2025 | Importancia: Media
A través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de ransomware denominada Danger Ransomware, derivada de GlobeImposter, cuyo objetivo es cifrar archivos y extorsionar a las víctimas mediante un modelo de doble extorsión.
Nueva actividad maliciosa asociada con dos familias de troyanos bancarios
Publicado: 01/03/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa relacionada con dos troyanos bancarios, Grandoreiro y Javali (también conocido como Ousaban), estas amenazas se enfocan en capturar credenciales financieras y ejecutar fraudes bancarios, principalmente a través de campañas de ingeniería social en países de América del Sur, al establecer comunicación con servidores de comando y control (C2) y aprovechar técnicas de persistencia, estos troyanos bancarios representan un riesgo para la confidencialidad e integridad de los datos sensibles en equipos y dispositivos de usuarios y organizaciones..
Nueva actividad maliciosa relacionada con DarkCloud stealer y SnakeKeylogger
Publicado: 01/03/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó nueva actividad maliciosa de los stealer DarkCloud y SnakeKeylogger, estas amenazas están diseñadas para extraer información confidencial, además, con su constante evolución estos stealer buscan generar persistencia en los sistemas comprometidos.
Nueva Actividad de troyanos bancarios: Cosmic Banker, Guildma y Grandoreiro en circulación
Publicado: 27/02/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó nueva actividad maliciosa relacionada con los troyanos bancarios Cosmic Banker, Guildma y Grandoreiro, los cuales han sido utilizados en campañas dirigidas principalmente a usuarios y entidades financieras en América Latina y otras regiones.
Nueva Actividad de SmokeLoader y GuLoader
Publicado: 24/02/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó nueva actividad asociada a SmokeLoader y GuLoader, dos amenazas avanzadas empleadas para la distribución de malware.
Nueva actividad maliciosa relaciona al ransomware Ghost
Publicado: 23/02/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de malware empleadas por el grupo Ghost, responsable de la propagación del ransomware homónimo (Ghost).
Nueva actividad maliciosa relacionada con múltiples troyanos bancarios
Publicado: 22/02/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se han identificado actividades maliciosas de diferentes troyanos bancarios denominados Javali, Ursa, Casbaneiro y Mekoti, los cuales están diseñados diseñados para interceptar credenciales, realizar movimientos financieros no autorizados y evadir mecanismos de seguridad en sistemas comprometidos.
Análisis de actividad maliciosa asociadas con múltiples familias de troyanos
Publicado: 21/02/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa vinculada a la distribución de múltiples troyanos, incluyendo Lokibot, Formbook y Meterpreter, estas amenazas han sido utilizadas por ciberdelincuentes para infiltrarse en equipos comprometidos, capturar credenciales y exfiltrar datos sensibles.