Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Técnicas utilizadas por el troyano bancario DanabotEl troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-utilizadas-por-el-troyano-bancario-danabothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.
Técnicas de ofuscación y ejecución encubierta empleadas por Water Gamayun en cargas cifradas basadas en PowershellEl contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-ofuscacion-y-ejecucion-encubierta-empleadas-por-water-gamayun-en-cargas-cifradas-basadas-en-powershellhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.
Técnicas de infección de malware Nodersok sin uso de archivosSe ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-infeccion-de-malware-nodersok-sin-uso-de-archivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.
Técnicas de distribución del stealer RhadamanthysDurante las actividades de monitoreo del Csirt Financiero se identificaron nuevas técnicas de distribución de Rhadamanthys, un stealer que se propaga mediante archivos XML con extensión MSC, los cuales permiten ejecutar tareas en Microsoft Management Console (MMC)http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-distribucion-del-stealer-rhadamanthyshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo del Csirt Financiero se identificaron nuevas técnicas de distribución de Rhadamanthys, un stealer que se propaga mediante archivos XML con extensión MSC, los cuales permiten ejecutar tareas en Microsoft Management Console (MMC)
TÉCNICAS DE DISTRIBUCIÓN DE MALWARE MEDIANTE LA CAMPAÑA DENOMINADA GRASSCALLEl equipo de analistas del Csirt Financiero ha identificado una nueva campaña de distribución del malware Rhadamanthys y AMOS conocida como "GrassCall", que emplea tácticas de ingeniería social para comprometer usuarios en búsqueda de empleo dentro del sector de criptomonedas, mediante la suplantación de identidad de empresas legítimas y el uso de plataformas de mensajería y agendamiento de citas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-distribucion-de-malware-mediante-la-campana-denominada-grasscallhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña de distribución del malware Rhadamanthys y AMOS conocida como "GrassCall", que emplea tácticas de ingeniería social para comprometer usuarios en búsqueda de empleo dentro del sector de criptomonedas, mediante la suplantación de identidad de empresas legítimas y el uso de plataformas de mensajería y agendamiento de citas.
Técnicas de distribución de malware empleadas por el grupo Larva-208Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de malware empleadas por el grupo de amenazas Larva-208, también conocido como EncryptHub.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-distribucion-de-malware-empleadas-por-el-grupo-larva-208http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de malware empleadas por el grupo de amenazas Larva-208, también conocido como EncryptHub.
Técnica AppDomainManager ejecuta malware en WindowsEl equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnica-appdomainmanager-ejecuta-malware-en-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.
TajMahal, nuevo y sofisticado APTEs un marco de APT desconocido y técnicamente sofisticado descubierto por Kaspersky Lab.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tajmahal-nuevo-y-sofisticado-apthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA547 utiliza el stealer Rhadamanthys en nueva campaña maliciosaEl equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa asociada al Stealer Rhadamanthys, distribuido por un actor de amenazas conocido como TA547, activo desde noviembre de 2017 y motivado por razones financieras. Rhadamanthys, un malware como servicio (MaaS) desarrollado en lenguaje C, tiene como objetivo obtener datos confidenciales de los usuarios, como credenciales de inicio de sesión y detalles financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta547-utiliza-el-stealer-rhadamanthys-en-nueva-campana-maliciosahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa asociada al Stealer Rhadamanthys, distribuido por un actor de amenazas conocido como TA547, activo desde noviembre de 2017 y motivado por razones financieras. Rhadamanthys, un malware como servicio (MaaS) desarrollado en lenguaje C, tiene como objetivo obtener datos confidenciales de los usuarios, como credenciales de inicio de sesión y detalles financieros.
TA505 se dirige a entidades financieras de todo el mundoTA505 es un grupo organizado de cibercrimen de origen ruso, motivado por el factor económico dirigido a entidades financieras alrededor del mundo, utilizando técnicas como la conversión de herramientas de administración remota en herramientas legítimas, está relacionado con el troyano bancario Dridex, Locky Ransomware, RAT tRAT, Ransomware Philadelphia y GlobeImposter. En el último trimestre del año introdujeron nuevos malware identificados como FlawedAmmy y ServHelper.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-se-dirige-a-entidades-financieras-de-todo-el-mundohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505 es un grupo organizado de cibercrimen de origen ruso, motivado por el factor económico dirigido a entidades financieras alrededor del mundo, utilizando técnicas como la conversión de herramientas de administración remota en herramientas legítimas, está relacionado con el troyano bancario Dridex, Locky Ransomware, RAT tRAT, Ransomware Philadelphia y GlobeImposter. En el último trimestre del año introdujeron nuevos malware identificados como FlawedAmmy y ServHelper.
TA505 explota vulnerabilidad ZerologonDesde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-explota-vulnerabilidad-zerologonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.
TA505 explota vulnerabilidad de día cero para desplegar ransomware ClopEl ransomware Clop se destaca como una de las amenazas más notables en los foros de la Deep y Dark web, gracias a su versatilidad y capacidades que han atraído a diversos grupos de ciberdelincuentes. En esta ocasión, el equipo de analistas del Csirt ha identificado que los actores de amenazas, específicamente el grupo TA505, han aprovechado una vulnerabilidad de día cero para distribuir el ransomware Clop.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-explota-vulnerabilidad-de-dia-cero-para-desplegar-ransomware-clophttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Clop se destaca como una de las amenazas más notables en los foros de la Deep y Dark web, gracias a su versatilidad y capacidades que han atraído a diversos grupos de ciberdelincuentes. En esta ocasión, el equipo de analistas del Csirt ha identificado que los actores de amenazas, específicamente el grupo TA505, han aprovechado una vulnerabilidad de día cero para distribuir el ransomware Clop.
TA2719 suplanta entidades financieras para distribuir RATEn el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta2719-suplanta-entidades-financieras-para-distribuir-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.
Systembc utilizado por actores de amenaza que distribuyen ransomwareSystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/systembc-utilizado-por-actores-de-amenaza-que-distribuyen-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.
SystemBC troyano de acceso remotoEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero evidenció la implementación de un malware denominado SystemBC RAT. Este malware es comercializado en sitios clandestinos con el fin infectar los equipos de los usuarios y redes corporativas, para luego permitirle a los ciberdelincuentes la instalación de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/systembc-troyano-de-acceso-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero evidenció la implementación de un malware denominado SystemBC RAT. Este malware es comercializado en sitios clandestinos con el fin infectar los equipos de los usuarios y redes corporativas, para luego permitirle a los ciberdelincuentes la instalación de ransomware.
SUSE: 2019: 14002-1 tiffCada defecto puede provocar ataques de ejecución remota de código.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/suse-2019-14002-1-tiff-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Surgimiento de nuevo ransomware denominado GLOBAL GROUPDurante las labores de monitoreo del Csirt Financiero, se identificó la aparición del ransomware GLOBAL GROUP, una operación de tipo Ransomware-as-a-Service (RaaS) que fue anunciada el 2 de junio de 2025 en un foro clandestino por un actor conocido como “$$$”, quien ya había estado vinculado a campañas previas como Mammon y Black Lock. El grupo que distribuye este ransomware lleva el mismo nombre, GLOBAL GROUP.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surgimiento-de-nuevo-ransomware-denominado-global-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo del Csirt Financiero, se identificó la aparición del ransomware GLOBAL GROUP, una operación de tipo Ransomware-as-a-Service (RaaS) que fue anunciada el 2 de junio de 2025 en un foro clandestino por un actor conocido como “$$$”, quien ya había estado vinculado a campañas previas como Mammon y Black Lock. El grupo que distribuye este ransomware lleva el mismo nombre, GLOBAL GROUP.
Surge una nueva versión del inyector DotRunpeXDotRunpeX ganó notoriedad entre noviembre de 2022 y enero de 2023, con el mayor número de ataques observados en diciembre de 2022. Está amenaza continúa evolucionando y se han observado una docenas de campañas que lo emplean como una infección de segunda etapa. Este inyector DotNet se utiliza para ofrecer varias familias de malware diferentes, principalmente relacionadas con stealer, RAT, loaders y downloaders.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-nueva-version-del-inyector-dotrunpexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
DotRunpeX ganó notoriedad entre noviembre de 2022 y enero de 2023, con el mayor número de ataques observados en diciembre de 2022. Está amenaza continúa evolucionando y se han observado una docenas de campañas que lo emplean como una infección de segunda etapa. Este inyector DotNet se utiliza para ofrecer varias familias de malware diferentes, principalmente relacionadas con stealer, RAT, loaders y downloaders.
Surge una nueva amenaza denominada KrakenKeyloggerMediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-nueva-amenaza-denominada-krakenkeyloggerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.
Surge una campaña maliciosa con nuevas amenazasEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-campana-maliciosa-con-nuevas-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}