Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña activa distribuye EndRAT a través de spearphishingEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a la distribución del troyano de acceso remoto EndRAT, orientada al compromiso dirigido de equipos mediante campañas de spearphishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-endrat-a-traves-de-spearphishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a la distribución del troyano de acceso remoto EndRAT, orientada al compromiso dirigido de equipos mediante campañas de spearphishing.
NUEVA CAMPAÑA DE RONDODOX EXPLOTA VULNERABILIDAD CRÍTICA EN HPE ONEVIEWDurante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet RondoDox, la cual se ha centrado en la explotación de una vulnerabilidad crítica registrada como CVE-2025-37164, que afecta a HPE OneView. Esta falla, ubicada en el endpoint executeCommand de la API REST, permite la ejecución de comandos sin autenticación, lo que facilita que la botnet envíe cargas maliciosas y amplifique la actividad de explotación mediante procesos completamente automatizados. La campaña mostró un incremento significativo en el volumen de intentos, afectando principalmente sistemas expuestos a Internet y reflejando un riesgo real para organizaciones que aún no han aplicado las medidas de mitigación correspondientes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-rondodox-explota-vulnerabilidad-critica-en-hpe-oneviewhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet RondoDox, la cual se ha centrado en la explotación de una vulnerabilidad crítica registrada como CVE-2025-37164, que afecta a HPE OneView. Esta falla, ubicada en el endpoint executeCommand de la API REST, permite la ejecución de comandos sin autenticación, lo que facilita que la botnet envíe cargas maliciosas y amplifique la actividad de explotación mediante procesos completamente automatizados. La campaña mostró un incremento significativo en el volumen de intentos, afectando principalmente sistemas expuestos a Internet y reflejando un riesgo real para organizaciones que aún no han aplicado las medidas de mitigación correspondientes.
Actualización de Windows provoca errores de autenticación en entornos de Escritorio RemotoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con una actualización de seguridad de Microsoft que genera fallos en conexiones de Escritorio Remoto en equipos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-de-windows-provoca-errores-de-autenticacion-en-entornos-de-escritorio-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con una actualización de seguridad de Microsoft que genera fallos en conexiones de Escritorio Remoto en equipos Windows.
Campaña ClickFix/CrashFix orientada a entornos corporativosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa activa que emplea una variante de la técnica de ingeniería social conocida como ClickFix, denominada CrashFix, para comprometer sistemas a través de extensiones de navegador fraudulentas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-clickfix-crashfix-orientada-a-entornos-corporativoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa activa que emplea una variante de la técnica de ingeniería social conocida como ClickFix, denominada CrashFix, para comprometer sistemas a través de extensiones de navegador fraudulentas.
Nuevo stealer distribuido mediante software pirata y crypters modularesEl equipo de analistas ha identificado una campaña activa orientada al compromiso de equipos mediante la distribución del stealer Aura, una nueva amenaza ofrecida como servicio que permite a los ciberdelincuentes capturar información sensible almacenada en navegadores, clientes de mensajería, gestores de correo y billeteras de criptomonedashttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-distribuido-mediante-software-pirata-y-crypters-modulareshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas ha identificado una campaña activa orientada al compromiso de equipos mediante la distribución del stealer Aura, una nueva amenaza ofrecida como servicio que permite a los ciberdelincuentes capturar información sensible almacenada en navegadores, clientes de mensajería, gestores de correo y billeteras de criptomonedas
Nueva actividad de Emotet orientada a la distribución de amenazas adicionalesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano Emotet, caracterizada por su capacidad de autopropagación y su rol como distribuidor de otras amenazas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-emotet-orientada-a-la-distribucion-de-amenazas-adicionaleshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano Emotet, caracterizada por su capacidad de autopropagación y su rol como distribuidor de otras amenazas.
Nueva actividad asociada a la botnet MiraiDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad maliciosa asociada a la botnet Mirai, caracterizada por el uso de un script Bash con capacidades de dropper multiarquitectura.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-a-la-botnet-miraihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad maliciosa asociada a la botnet Mirai, caracterizada por el uso de un script Bash con capacidades de dropper multiarquitectura.
Gootloader y su evolución como vector de acceso inicialDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una evolución en la operativa de Gootloader, un malware utilizado como vector de acceso inicial para la distribución de amenazas más avanzadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/gootloader-y-su-evolucion-como-vector-de-acceso-inicialhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una evolución en la operativa de Gootloader, un malware utilizado como vector de acceso inicial para la distribución de amenazas más avanzadas.
Nueva campaña de Botnet GoBruteforcer compromete servicios FTP, MySQL y phpMyAdminDurante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet GoBruteforcer, orientada a comprometer servidores Linux expuestos a Internet mediante ataques de fuerza bruta contra credenciales débiles y configuraciones por defecto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-botnet-gobruteforcer-compromete-servicios-ftp-mysql-y-phpmyadminhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y análisis realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa asociada a la botnet GoBruteforcer, orientada a comprometer servidores Linux expuestos a Internet mediante ataques de fuerza bruta contra credenciales débiles y configuraciones por defecto.
Campaña activa distribuye QuasarRAT mediante técnicas de ingeniería socialEl equipo de analistas ha identificado una campaña activa orientada al compromiso de equipos mediante la distribución del troyano de acceso remoto QuasarRAT, una herramienta ampliamente utilizada por grupos de cibercriminales para establecer control persistente sobre los sistemas comprometidos, facilitar la exfiltración de datos y ejecutar acciones encubiertas a través de infraestructura remotahttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-quasarrat-mediante-tecnicas-de-ingenieria-socialhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas ha identificado una campaña activa orientada al compromiso de equipos mediante la distribución del troyano de acceso remoto QuasarRAT, una herramienta ampliamente utilizada por grupos de cibercriminales para establecer control persistente sobre los sistemas comprometidos, facilitar la exfiltración de datos y ejecutar acciones encubiertas a través de infraestructura remota
Nueva campaña de malware basada en extensiones de navegador captura y exfiltra claves APIDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a una amenaza financiera basada en extensiones maliciosas de navegador, orientada a capturar de claves API en plataformas de intercambio de criptomonedas. La campaña aprovecha sesiones web legítimas ya autenticadas para facilitar la captura de credenciales con permisos críticos, lo que habilita la toma de control programático de cuentas y la ejecución de operaciones financieras no autorizadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nueva-campana-de-malware-basada-en-extensiones-de-navegador-captura-y-exfiltra-claves-apihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a una amenaza financiera basada en extensiones maliciosas de navegador, orientada a capturar de claves API en plataformas de intercambio de criptomonedas. La campaña aprovecha sesiones web legítimas ya autenticadas para facilitar la captura de credenciales con permisos críticos, lo que habilita la toma de control programático de cuentas y la ejecución de operaciones financieras no autorizadas.
Campaña activa distribuye AsyncRAT mediante phishing y cargas en pythonEl equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye AsyncRAT, un troyano de acceso remoto empleado por ciberdelincuentes para establecer control persistente sobre equipos comprometidos, ejecutar comandos remotos y desplegar cargas adicionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-asyncrat-mediante-phishing-y-cargas-en-pythonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye AsyncRAT, un troyano de acceso remoto empleado por ciberdelincuentes para establecer control persistente sobre equipos comprometidos, ejecutar comandos remotos y desplegar cargas adicionales.
Nuevas actividades asociadas a LummaStealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad de LummaStealer, un malware comercializado bajo el modelo de Malware-as-a-Service (MaaS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-asociadas-a-lummastealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad de LummaStealer, un malware comercializado bajo el modelo de Malware-as-a-Service (MaaS).
Nueva campaña de ataque a infraestructura Linux Cloud denominado VoidLink.Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó VoidLink, un malware diseñado para sistemas Linux y entornos cloud que se caracteriza por su arquitectura modular, su capacidad de adaptarse dinámicamente al entorno de ejecución y el uso de técnicas de ocultamiento y persistencia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ataque-a-infraestructura-linux-cloud-denominado-voidlinkhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó VoidLink, un malware diseñado para sistemas Linux y entornos cloud que se caracteriza por su arquitectura modular, su capacidad de adaptarse dinámicamente al entorno de ejecución y el uso de técnicas de ocultamiento y persistencia.
Nueva campaña distribuye DeVixor mediante sitios falsos y archivos APK maliciosos.El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye DeVixor, un troyano bancario dirigido a dispositivos Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-devixor-mediante-sitios-falsos-y-archivos-apk-maliciososhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye DeVixor, un troyano bancario dirigido a dispositivos Android.
SHADOW#REACTOR: nueva campaña que despliega Remcos RATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa avanzada denominada SHADOW#REACTOR, la cual emplea una cadena de infección cuidadosamente diseñada para desplegar el troyano de acceso remoto Remcos RAT en sistemas Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/shadow-reactor-nueva-campana-que-despliega-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa avanzada denominada SHADOW#REACTOR, la cual emplea una cadena de infección cuidadosamente diseñada para desplegar el troyano de acceso remoto Remcos RAT en sistemas Windows.
Campaña de phishing distribuye Guloader y habilita acceso remoto mediante Remcos RATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza correos de phishing con supuestos informes de desempeño laboral como señuelo para distribuir la amenaza Guloader y, en una etapa posterior, instalar el troyano de acceso remoto Remcos RAT en equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-distribuye-guloader-y-habilita-acceso-remoto-mediante-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza correos de phishing con supuestos informes de desempeño laboral como señuelo para distribuir la amenaza Guloader y, en una etapa posterior, instalar el troyano de acceso remoto Remcos RAT en equipos comprometidos.
Campaña activa distribuye HijackLoader mediante phishingEl equipo de analistas del Csirt Financiero ha identificado una campaña activa de HijackLoader, un loader modular que se distribuye mediante campañas de phishing dirigidas a entornos empresariales, financieros y gubernamentales, utilizando mensajes de correo electrónico con archivos ZIP maliciosos que contienen ejecutables legítimos y DLL manipuladas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-hijackloader-mediante-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de HijackLoader, un loader modular que se distribuye mediante campañas de phishing dirigidas a entornos empresariales, financieros y gubernamentales, utilizando mensajes de correo electrónico con archivos ZIP maliciosos que contienen ejecutables legítimos y DLL manipuladas.
Campaña mediante extensiones de Chrome expone conversaciones con servicios de IADurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña basada en extensiones maliciosas de Google Chrome que se hacen pasar por herramientas legítimas para interactuar con servicios de inteligencia artificial como ChatGPT y DeepSeek.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-mediante-extensiones-de-chrome-expone-conversaciones-con-servicios-de-iahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña basada en extensiones maliciosas de Google Chrome que se hacen pasar por herramientas legítimas para interactuar con servicios de inteligencia artificial como ChatGPT y DeepSeek.
Campaña activa explota servidores proxy mal configuradosDurante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero se identificó una campaña activa en la que ciberdelincuentes están abusando de servidores proxy expuestos o mal configurados para obtener acceso no autorizado a servicios de modelos de lenguaje LLM de pago en la nube.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-explota-servidores-proxy-mal-configuradoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero se identificó una campaña activa en la que ciberdelincuentes están abusando de servidores proxy expuestos o mal configurados para obtener acceso no autorizado a servicios de modelos de lenguaje LLM de pago en la nube.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}