Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
surge nuevo troyano bancario denominado FakextA través del monitoreo realizado por el equipo del Csirt Financiero en busca de amenazas potenciales, se detectó un nuevo troyano bancario conocido como Fakext. Este troyano utiliza una extensión maliciosa de la tienda Edge para llevar a cabo ataques de inyección web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-nuevo-troyano-bancario-denominado-fakexthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo del Csirt Financiero en busca de amenazas potenciales, se detectó un nuevo troyano bancario conocido como Fakext. Este troyano utiliza una extensión maliciosa de la tienda Edge para llevar a cabo ataques de inyección web.
Surge Nuevo Troyano De Acceso Remoto Denominado Poco RATRecientemente, se observó un nuevo troyano de acceso remoto denominado Poco RAT, basado en código Delphi, que apareció por primera vez en febrero de 2024. Este malware afecta sistemas Windows y está dirigido a víctimas en América Latina.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-nuevo-troyano-de-acceso-remoto-denominado-poco-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se observó un nuevo troyano de acceso remoto denominado Poco RAT, basado en código Delphi, que apareció por primera vez en febrero de 2024. Este malware afecta sistemas Windows y está dirigido a víctimas en América Latina.
Surge un nuevo ransomware denominado SarinLockerMediante un monitoreo realizado a diversas fuentes de información abiertas, se identificó un nuevo ransomware denominado SarinLocker, el cual está siendo ofrecido por un grupo europeo de actores de amenazas que opera Malware-as-a-Service (MaaS) conocidos como FusionCore y se destaca por su precio asequible de tan solo $100 dólares, lo cual lo hace bastante llamativo para otros ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-un-nuevo-ransomware-denominado-sarinlockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado a diversas fuentes de información abiertas, se identificó un nuevo ransomware denominado SarinLocker, el cual está siendo ofrecido por un grupo europeo de actores de amenazas que opera Malware-as-a-Service (MaaS) conocidos como FusionCore y se destaca por su precio asequible de tan solo $100 dólares, lo cual lo hace bastante llamativo para otros ciberdelincuentes.
Surge un nuevo ransomware denominado CatBEl panorama de amenazas continúa proliferando, producto de esta constante actividad es que en la naturaleza surgen nuevas familias de ransomware en poco tiempo; aunado de lo anterior recientemente se identificó el ransomware CatB que implementa técnicas anti-virtualización y evasión mediante el secuestro de una dll.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-un-nuevo-ransomware-denominado-catbhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas continúa proliferando, producto de esta constante actividad es que en la naturaleza surgen nuevas familias de ransomware en poco tiempo; aunado de lo anterior recientemente se identificó el ransomware CatB que implementa técnicas anti-virtualización y evasión mediante el secuestro de una dll.
Surge un nuevo stealer de credenciales denominado Zaraza BotEn el observatorio de ciberseguridad generado por el equipo del Csirt Financiero, se identificó un reciente malware denominado Zaraza Bot, el cual es un stealer de credenciales que está siendo comercializado a través de un canal ruso de ciberdelincuentes en Telegram.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-un-nuevo-stelaer-de-credenciales-denominado-zaraza-bothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el observatorio de ciberseguridad generado por el equipo del Csirt Financiero, se identificó un reciente malware denominado Zaraza Bot, el cual es un stealer de credenciales que está siendo comercializado a través de un canal ruso de ciberdelincuentes en Telegram.
Surge una campaña maliciosa con nuevas amenazasEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-campana-maliciosa-con-nuevas-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.
Surge una nueva amenaza denominada KrakenKeyloggerMediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-nueva-amenaza-denominada-krakenkeyloggerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.
Surge una nueva versión del inyector DotRunpeXDotRunpeX ganó notoriedad entre noviembre de 2022 y enero de 2023, con el mayor número de ataques observados en diciembre de 2022. Está amenaza continúa evolucionando y se han observado una docenas de campañas que lo emplean como una infección de segunda etapa. Este inyector DotNet se utiliza para ofrecer varias familias de malware diferentes, principalmente relacionadas con stealer, RAT, loaders y downloaders.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-nueva-version-del-inyector-dotrunpexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
DotRunpeX ganó notoriedad entre noviembre de 2022 y enero de 2023, con el mayor número de ataques observados en diciembre de 2022. Está amenaza continúa evolucionando y se han observado una docenas de campañas que lo emplean como una infección de segunda etapa. Este inyector DotNet se utiliza para ofrecer varias familias de malware diferentes, principalmente relacionadas con stealer, RAT, loaders y downloaders.
Surgimiento de nuevo ransomware denominado GLOBAL GROUPDurante las labores de monitoreo del Csirt Financiero, se identificó la aparición del ransomware GLOBAL GROUP, una operación de tipo Ransomware-as-a-Service (RaaS) que fue anunciada el 2 de junio de 2025 en un foro clandestino por un actor conocido como “$$$”, quien ya había estado vinculado a campañas previas como Mammon y Black Lock. El grupo que distribuye este ransomware lleva el mismo nombre, GLOBAL GROUP.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surgimiento-de-nuevo-ransomware-denominado-global-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo del Csirt Financiero, se identificó la aparición del ransomware GLOBAL GROUP, una operación de tipo Ransomware-as-a-Service (RaaS) que fue anunciada el 2 de junio de 2025 en un foro clandestino por un actor conocido como “$$$”, quien ya había estado vinculado a campañas previas como Mammon y Black Lock. El grupo que distribuye este ransomware lleva el mismo nombre, GLOBAL GROUP.
SUSE: 2019: 14002-1 tiffCada defecto puede provocar ataques de ejecución remota de código.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/suse-2019-14002-1-tiff-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SystemBC troyano de acceso remotoEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero evidenció la implementación de un malware denominado SystemBC RAT. Este malware es comercializado en sitios clandestinos con el fin infectar los equipos de los usuarios y redes corporativas, para luego permitirle a los ciberdelincuentes la instalación de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/systembc-troyano-de-acceso-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero evidenció la implementación de un malware denominado SystemBC RAT. Este malware es comercializado en sitios clandestinos con el fin infectar los equipos de los usuarios y redes corporativas, para luego permitirle a los ciberdelincuentes la instalación de ransomware.
Systembc utilizado por actores de amenaza que distribuyen ransomwareSystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/systembc-utilizado-por-actores-de-amenaza-que-distribuyen-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.
TA505 explota vulnerabilidad de día cero para desplegar ransomware ClopEl ransomware Clop se destaca como una de las amenazas más notables en los foros de la Deep y Dark web, gracias a su versatilidad y capacidades que han atraído a diversos grupos de ciberdelincuentes. En esta ocasión, el equipo de analistas del Csirt ha identificado que los actores de amenazas, específicamente el grupo TA505, han aprovechado una vulnerabilidad de día cero para distribuir el ransomware Clop.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-explota-vulnerabilidad-de-dia-cero-para-desplegar-ransomware-clophttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Clop se destaca como una de las amenazas más notables en los foros de la Deep y Dark web, gracias a su versatilidad y capacidades que han atraído a diversos grupos de ciberdelincuentes. En esta ocasión, el equipo de analistas del Csirt ha identificado que los actores de amenazas, específicamente el grupo TA505, han aprovechado una vulnerabilidad de día cero para distribuir el ransomware Clop.
TA505 explota vulnerabilidad ZerologonDesde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-explota-vulnerabilidad-zerologonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.
TA505 se dirige a entidades financieras de todo el mundoTA505 es un grupo organizado de cibercrimen de origen ruso, motivado por el factor económico dirigido a entidades financieras alrededor del mundo, utilizando técnicas como la conversión de herramientas de administración remota en herramientas legítimas, está relacionado con el troyano bancario Dridex, Locky Ransomware, RAT tRAT, Ransomware Philadelphia y GlobeImposter. En el último trimestre del año introdujeron nuevos malware identificados como FlawedAmmy y ServHelper.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-se-dirige-a-entidades-financieras-de-todo-el-mundohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505 es un grupo organizado de cibercrimen de origen ruso, motivado por el factor económico dirigido a entidades financieras alrededor del mundo, utilizando técnicas como la conversión de herramientas de administración remota en herramientas legítimas, está relacionado con el troyano bancario Dridex, Locky Ransomware, RAT tRAT, Ransomware Philadelphia y GlobeImposter. En el último trimestre del año introdujeron nuevos malware identificados como FlawedAmmy y ServHelper.
TA547 utiliza el stealer Rhadamanthys en nueva campaña maliciosaEl equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa asociada al Stealer Rhadamanthys, distribuido por un actor de amenazas conocido como TA547, activo desde noviembre de 2017 y motivado por razones financieras. Rhadamanthys, un malware como servicio (MaaS) desarrollado en lenguaje C, tiene como objetivo obtener datos confidenciales de los usuarios, como credenciales de inicio de sesión y detalles financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta547-utiliza-el-stealer-rhadamanthys-en-nueva-campana-maliciosahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa asociada al Stealer Rhadamanthys, distribuido por un actor de amenazas conocido como TA547, activo desde noviembre de 2017 y motivado por razones financieras. Rhadamanthys, un malware como servicio (MaaS) desarrollado en lenguaje C, tiene como objetivo obtener datos confidenciales de los usuarios, como credenciales de inicio de sesión y detalles financieros.
TA2719 suplanta entidades financieras para distribuir RATEn el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ta2719-suplanta-entidades-financieras-para-distribuir-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.
TajMahal, nuevo y sofisticado APTEs un marco de APT desconocido y técnicamente sofisticado descubierto por Kaspersky Lab.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tajmahal-nuevo-y-sofisticado-apthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Técnica AppDomainManager ejecuta malware en WindowsEl equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnica-appdomainmanager-ejecuta-malware-en-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.
TÉCNICAS DE DISTRIBUCIÓN DE MALWARE MEDIANTE LA CAMPAÑA DENOMINADA GRASSCALLEl equipo de analistas del Csirt Financiero ha identificado una nueva campaña de distribución del malware Rhadamanthys y AMOS conocida como "GrassCall", que emplea tácticas de ingeniería social para comprometer usuarios en búsqueda de empleo dentro del sector de criptomonedas, mediante la suplantación de identidad de empresas legítimas y el uso de plataformas de mensajería y agendamiento de citas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-distribucion-de-malware-mediante-la-campana-denominada-grasscallhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña de distribución del malware Rhadamanthys y AMOS conocida como "GrassCall", que emplea tácticas de ingeniería social para comprometer usuarios en búsqueda de empleo dentro del sector de criptomonedas, mediante la suplantación de identidad de empresas legítimas y el uso de plataformas de mensajería y agendamiento de citas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}