-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nuevo infostealer para macos basado en jxa con técnicas avanzadas de evasión y persistencia.
Publicado: 14/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó DigitStealer, un nuevo infostealer avanzado orientado a dispositivos macOS, que emplea una cadena de ataque en múltiples etapas, técnicas sofisticadas de evasión y mecanismos de persistencia poco comunes. La campaña utiliza una aplicación falsa distribuida como imagen de disco no firmada, incorpora verificaciones para evitar entornos de análisis y ejecuta la mayoría de sus cargas útiles en memoria. Además, cuenta con la capacidad de exfiltrar credenciales, manipular aplicaciones legítimas y comunicarse con infraestructura C2 controlada por ciberdelincuentes.
Nueva actividad asociada a Lumma Stealer con adopción de técnicas avanzadas de fingerprinting.
Publicado: 13/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó un reciente incremento en la actividad asociada a Lumma Stealer también rastreado como Water Kurita, un malware especializado en la exfiltración de información que ha incorporado nuevas capacidades basadas en fingerprinting del navegador y técnicas de evasión dentro de su infraestructura C2.
Campaña emergente del malware Danabot incluye una nueva variante identificada como “669”
Publicado: 12/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero identificó una nueva actividad del malware bancario Danabot “669”, el cual resurge tras la Operación Endgame con una infraestructura C2 reconstruida y capacidades reforzadas para la exfiltración de credenciales, datos y sustracción de criptomonedas, confirmando su alto nivel de resiliencia y peligro operativo.
DarkComet RAT vuelve a circular disfrazado como ejecutable legítimo
Publicado: 12/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto DarkComet RAT oculto dentro de una supuesta herramienta vinculada a Bitcoin.
Distribución de malware a través de AppleScript para omitir validaciones de seguridad en macOS.
Publicado: 11/11/2025 | Importancia:
Durante actividades de monitoreo efectuadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa dirigida a usuarios de macOS, la cual distribuye archivos AppleScript (.scpt) maliciosos utilizados para evadir los mecanismos de seguridad del sistema, particularmente el Gatekeeper de Apple.
Nueva vinculación operacional entre el malware bancario Maverick y Coyote.
Publicado: 11/11/2025 | Importancia:
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada a las familias de troyanos bancarios Maverick y Coyote, los cuales mantienen una relación operativa y comparten infraestructura de comando y control. Estas variantes se distribuyen a través de la plataforma WhatsApp y están dirigidas principalmente al sector financiero brasileño, evidenciando una campaña activa orientada al robo de credenciales y datos sensibles de usuarios e instituciones.
Campaña de phishing multitemática utiliza archivos HTML y bots de Telegram para la captura de credenciales
Publicado: 10/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing multitemática orientada a la captura de credenciales mediante archivos HTML adjuntos en correos electrónicos.
Remcos RAT es utilizado en campañas de acceso remoto y exfiltración de información.
Publicado: 10/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que utiliza el troyano de acceso remoto Remcos RAT, una amenaza diseñada para comprometer equipos, obtener control total sobre los sistemas y facilitar la exfiltración de información sensible.
Campaña maliciosa utiliza herramientas RMM para distribuir el troyano PatoRAT
Publicado: 10/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha herramientas lícitas de gestión remota (RMM), específicamente LogMeIn Resolve (GoTo Resolve) y PDQ Connect, como medio para propagar un troyano de acceso remoto denominado PatoRAT.
Mirai botnet es orientada a dispositivos IoT en campañas de DDOS.
Publicado: 09/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que emplea a Mirai, una botnet especializada en comprometer dispositivos del Internet de las cosas (IoT) con medidas de seguridad mínimas.
Nuevo spyware dirigido a dispositivos Samsung Galaxy
Publicado: 09/11/2025 | Importancia: Media
A través de actividades de monitoreo realizadas por parte del Csirt Financiero, se ha detectado un nuevo spyware que explota la vulnerabilidad CVE-2025-21042 descubierta en la biblioteca de procesamiento de imágenes de Android de dispositivos Samsung.
Distribución de Vidar mediante scripts postinstall en paquetes npm alterados
Publicado: 09/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una operación aprovechando el ecosistema de código abierto para introducir paquetes que aparentan ser bibliotecas legítimas, pero que en realidad contienen código diseñado para descargar y ejecutar Vidar, un stealer conocido por su capacidad de extraer información sensible de los equipos comprometidos.
Ransomware Cephalus compromete sistemas mediante accesos RDP sin autenticación multifactor
Publicado: 08/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al nuevo grupo de ransomware identificado como Cephalus, el cual emergió en junio de 2025.
Nuevo troyano de acceso remoto Fantasy Hub dirigido a dispositivos Android
Publicado: 07/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto Fantasy Hub dirigida a dispositivos Android y orientada a la captura de credenciales y a la extracción de información sensible en contexto financiero.
Gootloader regresa con nuevas tácticas de evasión mediante archivos ZIP manipulados
Publicado: 05/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader Gootloader, caracterizada por el uso de archivos ZIP manipulados y nuevas técnicas de evasión que le permiten pasar desapercibido ante herramientas de análisis y defensa.
DonutLoader facilita carga reflectiva y ejecución fileless de amenazas en memoria.
Publicado: 05/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a DonutLoader, una herramienta utilizada por cibercriminales para facilitar la ejecución de código malicioso directamente en memoria, sin dejar rastros en disco.
Nueva actividad atribuida al grupo de ransomware DragonForce
Publicado: 04/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida al grupo de ransomware DragonForce, que opera desde 2023 y ha evolucionado hacia un modelo de “cartel” de afiliados tras adoptar el código fuente filtrado de Conti v3.
Nueva actividad maliciosa de NGate que permite el retiro de dinero en efectivo a través de NFC
Publicado: 04/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero identificó una campaña maliciosa activa que distribuye NGate, la cual aprovecha la tecnología NFC (Near Field Communication) para realizar retiros de efectivo no autorizados en cajeros automáticos sin necesidad de sustraer físicamente las tarjetas de pago.
Nueva campaña incorpora HttpTroy y una nueva variante de BLINDINGCAN.
Publicado: 03/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de dos amenazas sofisticadas: HttpTroy y una nueva variante del troyano de acceso remoto BLINDINGCAN.
Nueva actividad maliciosa relacionada con Tycoon 2FA
Publicado: 03/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad del kit de phishing denominado Tycoon 2FA, el cual emergió en agosto de 2023 y está diseñado para evadir las protecciones de autenticación de dos factores (2FA/MFA) empleando un modelo de adversario-en-el-medio (AiTM).
Explotación de la vulnerabilidad CVE-2025-59287 en WSUS permite la distribución de Skuld Stealer
Publicado: 03/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Skuld Stealer, distribuido mediante la explotación de una vulnerabilidad crítica en el servicio Windows Server Update Service (WSUS), identificada como CVE-2025-59287.
BlueNoroff lanza nuevas campañas GhostCall y GhostHire con capacidades multiplataforma
Publicado: 02/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente atribuida al grupo BlueNoroff (también referido en la literatura como Sapphire Sleet, APT38, Alluring Pisces, Stardust Chollima y TA444).
Campaña activa distribuye Android/BankBot-YNRK.
Publicado: 02/11/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de distribución de Android/BankBot-YNRK, un troyano bancario dirigido al compromiso de dispositivos Android, esta amenaza está orientada a la recolección de credenciales financieras, el control remoto del sistema y la ejecución de operaciones fraudulentas mediante el abuso de servicios de accesibilidad.
Nueva actividad asociada a SmartLoader
Publicado: 02/11/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a SmartLoader, una herramienta maliciosa clasificada como loader, diseñada para distribuir y ejecutar cargas adicionales en los equipos comprometidos.
Campaña de distribución de malware a traves de whatsapp “water saci” despliega el backboor sorvepotel
Publicado: 31/10/2025 | Importancia: Media
El equipo del Csirt Financiero observó una nueva campaña de malware vía whatsapp denominada Water Saci con el objetivo de desplegar masivamente sus cargas maliciosas a través de canales de mensajería legítimos.
Troyano bancario Lampion distribuido mediante ClickFix
Publicado: 30/10/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad Lampion.
Campaña activa distribuye RustyStealer
Publicado: 29/10/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado y dado seguimiento a una campaña activa de distribución de RustyStealer, una amenaza de tipo infostealer desarrollada en lenguaje Rust y orientada a la toma masiva de credenciales e información sensible desde equipos comprometidos.
Nueva campaña de distribución de malware Herodotus dirigida a italia y brasil
Publicado: 28/10/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó un nuevo troyano bancario para Android, denominado Herodotus, un nuevo tipo de malware para Android que se está usando en campañas dirigidas principalmente a usuarios en Italia y Brasil.
Nueva técnica de evasión implementada por SharkStealer
Publicado: 24/10/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva técnica de evasión utilizada por SharkStealer.
Nueva campaña de Coldriver y su más reciente herramienta de espionaje digital
Publicado: 22/10/2025 | Importancia: Media
El equipo del Csirt Financiero observó una nueva campaña de malware atribuida al grupo COLDRIVER, actor vinculado al Estado ruso y conocido por sus operaciones de espionaje cibernético contra organizaciones políticas, académicas y de derechos humanos.