-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Reciente campaña de distribución de AMOS Stealer mediante ingeniería social en macOS
Publicado: 04/06/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se detectó una campaña reciente asociada a la distribución de Atomic macOS Stealer (AMOS), una herramienta maliciosa perteneciente a la categoría de stealer, orientada a la exfiltración de credenciales e información sensible en equipos que operan bajo macOS.
Campaña phishing activa en Colombia
Publicado: 04/06/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en Colombia que distribuye el troyano de acceso remoto DCRat.
Chaos RAT: De herramienta de código abierto a amenaza persistente
Publicado: 03/06/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron nuevas variantes del troyano de acceso remoto Chaos RAT, una herramienta originalmente publicada en 2022 como un proyecto de código abierto con fines legítimos de administración remota.
Nueva campaña de distribución de NetSupport RAT
Publicado: 03/06/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una campaña reciente orientada a la distribución de NetSupport, un RAT (troyano de acceso remoto) utilizado por ciberdelincuentes para comprometer equipos e instaurar comunicaciones no autorizadas, esta herramienta, cuyo propósito original era proporcionar soporte remoto legítimo, ha sido modificada para ser empleada con fines maliciosos, facilitando a los actores de amenaza el control remoto de los sistemas afectados.
Nuevos detalles del troyano bancario Crocodilus
Publicado: 02/06/2025 | Importancia: Media
A través de las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad vinculada al troyano bancario Crocodilus, una amenaza en expansión orientada a usuarios de dispositivos Android.
Nueva campaña de distribución de Rhadamanthys
Publicado: 02/06/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de Rhadamanthys, un stealer cuya funcionalidad principal consiste en la captura y exfiltración de información sensible.
Tycoon2FA y Dadsec: campaña de phishing AiTM dirigida a credenciales empresariales
Publicado: 01/06/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de recopilación de credenciales atribuida al grupo Storm-1575 mediante el uso del kit de phishing Tycoon2FA.
Distribución de CyberLock, Lucky_Gh0$t y Numero mediante instaladores falsos de IA
Publicado: 01/06/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una campaña activa que involucra la propagación de CyberLock, Lucky_Gh0$t y un malware recientemente identificado bajo el nombre “Numero”, esta actividad maliciosa utiliza instaladores fraudulentos de soluciones de inteligencia artificial como mecanismo de engaño, con el fin de introducir cargas perjudiciales en los equipos de las víctimas, comprometiendo aspectos esenciales de la seguridad de la información, como su disponibilidad, integridad y confidencialidad.
Actividad relacionada con DarkTortilla
Publicado: 01/06/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.
APT41 reutiliza Google Calendar como canal C2 en nueva actividad TOUGHPROGRESS
Publicado: 31/05/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT41 (también conocido como HOODOO), en la cual se distribuye la amenaza TOUGHPROGRESS. Esta amenaza destaca por su canal de comunicación poco convencional, utiliza Google Calendar como mecanismo de comando y control (C2), lo que le permite camuflar el tráfico malicioso dentro de un servicio legítimo de nube.
Campaña de distribución de un nuevo Stealer denominado EddieStealer
Publicado: 30/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó una nueva campaña de distribución de EddieStealer, una herramienta maliciosa desarrollada en Rust y clasificada como stealer; esta amenaza se propaga mediante sitios web comprometidos que presentan falsos sistemas de verificación CAPTCHA, diseñados para engañar a las víctimas y ejecutar comandos maliciosos en sus equipos.
Campaña de phishing selectivo contra ejecutivos financieros con uso malicioso de NetBird
Publicado: 29/05/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing selectivo dirigida a ejecutivos, específicamente directores financieros (CFO) y otros altos cargos relacionados
Nueva Botnet para Linux
Publicado: 29/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet desarrollada en Go denominada PumaBot.
AppleProcessHub: un stealer dirigido a equipo macOS
Publicado: 28/05/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nuevo stealer denominado AppleProcessHub dirigido a usuarios de macOS, descubierto como una biblioteca dinámica maliciosa llamada libsystd.dylib, diseñada para capturar información sensible del equipo, incluyendo contraseñas almacenadas en el llavero (Keychain de macOS), historiales de terminal (bash y zsh), configuraciones de SSH y GitHub, así como otros datos confidenciales del usuario.
Suplantación de Bitdefender para distribución encubierta de VenomRAT, StormKitty y SilentTrinity
Publicado: 27/05/2025 | Importancia: Media
Durante actividades de monitoreo continuo, el equipo de analistas del Csirt Financiero identificó una campaña maliciosa orientada a la distribución de múltiples amenazas, entre ellas VenomRAT, StormKitty y SilentTrinity, mediante la suplantación de la página oficial del software antimalware Bitdefender para Windows.
Nueva actividad maliciosa relacionada con GuLoader
Publicado: 27/05/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa asociada a GuLoader, un loader malicioso utilizado para facilitar la entrega de otras familias de malware en equipos comprometidos.
Nueva actividad de Silver RAT con técnicas de evasión y control remoto
Publicado: 26/05/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa asociada a Silver RAT, un troyano de acceso remoto desarrollado en lenguaje C# que destaca por el uso de técnicas avanzadas para evadir mecanismos de detección y comprometer sistemas operativos Windows.
Nueva actividad maliciosa relacionada con PumpkinStealer
Publicado: 26/05/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una campaña activa vinculada a PumpkinStealer, también identificado como PupkinStealer. Esta herramienta maliciosa ha sido desarrollada con el propósito de realizar la captura y exfiltración ágil de información sensible desde los equipos afectados. Su actividad se remonta a abril de 2025 y se asocia a comunidades de ciberdelincuentes de habla rusa, lo cual se evidencia en elementos como un bot de Telegram con nombre en ruso y cadenas internas que hacen referencia a un desarrollador bajo el seudónimo “Ardent”.
Nuevo malware para navegadores web
Publicado: 26/05/2025 | Importancia: Media
Durante actividades de monitoreo, el equipo del Csirt Financiero identificó una nueva amenaza denominada Katz Stealer, un stealer que opera bajo el modelo malware-as-a-service (MaaS) y se especializa en la exfiltración de credenciales y datos sensibles desde equipos Windows.
Nueva campaña distribuye Bumblebee mediante instaladores falsos de herramientas TI
Publicado: 25/05/2025 | Importancia: Media
El equipo de analistas del CSIRT Financiero ha identificado una nueva actividad maliciosa orientada a distribuir el loader Bumblebee mediante instaladores falsos de herramientas legítimas comúnmente utilizadas en entornos técnicos, como WinMTR y Milestone XProtect.
Nueva campaña de distribución de AMOS stealer
Publicado: 25/05/2025 | Importancia: Media
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa asociada con AMOS stealer, una herramienta diseñada para el robo de información que está siendo distribuida mediante falsos desafíos de verificación CAPTCHA
Nueva actividad de DarkCloud
Publicado: 24/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkCloud.
Bumblebee reaparece con instaladores falsos de RVTools
Publicado: 24/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña dirigida a la distribución del cargador malicioso Bumblebee, mediante instaladores falsos de RVTools, una herramienta ampliamente utilizada en entornos corporativos para la administración de infraestructuras basadas en VMware. Esta utilidad permite recolectar y exportar información detallada sobre máquinas virtuales, redes y almacenamiento, por lo que resulta un señuelo atractivo para engañar a administradores de entornos virtualizados.
Nuevos indicadores de compromiso relacionados con Lactrodectus downloader
Publicado: 24/05/2025 | Importancia: Media
En el marco de las tareas de monitoreo continuo llevadas a cabo por el equipo de analistas del Csirt Financiero, se detectó actividad maliciosa vinculada a Lactrodectus, herramienta empleada para la descarga y ejecución de cargas útiles adicionales. Esta actividad ha sido identificada en campañas que distribuyen archivos adjuntos en formatos PDF y HTML, orientados a inducir a las víctimas a ejecutar código no autorizado. Tras su activación, Lactrodectus se comunica con servidores de C2, lo que le permite recibir instrucciones remotas y obtener componentes complementarios desde fuentes externas.
Campaña phishing distribuye PureRAT, PureCrypter y PureLogs
Publicado: 21/05/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva campaña phishing que busca distribuir diversas familias de malware.
Nuevos detalles del ransomware Sarcoma
Publicado: 20/05/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad maliciosa relacionada con el grupo de ransomware Sarcoma, el cual opera bajo un esquema de Ransomware-as-a-Service (RaaS) y de doble extorsión, cifrando los equipos comprometidos y exfiltrando información sensible con la intención de publicarla si no se realiza el pago del rescate.
KeePass modificado empleado en distribución reciente de amenazas
Publicado: 19/05/2025 | Importancia: Media
Durante las labores de monitoreo el equipo de analistas del Csirt Financiero identificó una nueva campaña maliciosa que involucra la distribución de una versión modificada de KeePass, un popular administrador de contraseñas de código abierto.
Nueva actividad asociada al stealer AZORult
Publicado: 19/05/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye el stealer AZORult, una amenaza orientada a la captura de información sensible en equipos pertenecientes a sectores como el financiero.
Nuevos indicadores de compromiso relacionados con Hannibal Stealer
Publicado: 19/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de Hannibal Stealer, una herramienta diseñada para la exfiltración de información sensible desde equipos comprometidos.
Nueva campaña maliciosa relacionada con ModiLoader
Publicado: 18/05/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña maliciosa asociada a la distribución del loader conocido como ModiLoader o DBatLoader, diseñado para comprometer sistemas operativos Windows y facilitar la ejecución de cargas útiles maliciosas secundarias.