Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Técnicas de distribución del stealer RhadamanthysDurante las actividades de monitoreo del Csirt Financiero se identificaron nuevas técnicas de distribución de Rhadamanthys, un stealer que se propaga mediante archivos XML con extensión MSC, los cuales permiten ejecutar tareas en Microsoft Management Console (MMC)http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-distribucion-del-stealer-rhadamanthyshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo del Csirt Financiero se identificaron nuevas técnicas de distribución de Rhadamanthys, un stealer que se propaga mediante archivos XML con extensión MSC, los cuales permiten ejecutar tareas en Microsoft Management Console (MMC)
Técnicas de distribución de malware empleadas por el grupo Larva-208Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de malware empleadas por el grupo de amenazas Larva-208, también conocido como EncryptHub.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-distribucion-de-malware-empleadas-por-el-grupo-larva-208http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de malware empleadas por el grupo de amenazas Larva-208, también conocido como EncryptHub.
Técnicas de infección de malware Nodersok sin uso de archivosSe ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-infeccion-de-malware-nodersok-sin-uso-de-archivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.
Técnicas de ofuscación y ejecución encubierta empleadas por Water Gamayun en cargas cifradas basadas en PowershellEl contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-ofuscacion-y-ejecucion-encubierta-empleadas-por-water-gamayun-en-cargas-cifradas-basadas-en-powershellhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.
Técnicas utilizadas por el troyano bancario DanabotEl troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-utilizadas-por-el-troyano-bancario-danabothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.
Thiefquest el malware dirigido a MacOSEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una nueva amenaza dirigida a Sistemas MacOS, se trata del malware conocido como ThiefQuest o EvilQuest. Los ciberdelincuentes introdujeron funcionalidades maliciosas en versiones de aplicaciones de seguridad como Little Snitch y en las aplicaciones Ableton y Mixed In Key utilizadas para la reproducción de música.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/thiefquest-el-malware-dirigido-a-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una nueva amenaza dirigida a Sistemas MacOS, se trata del malware conocido como ThiefQuest o EvilQuest. Los ciberdelincuentes introdujeron funcionalidades maliciosas en versiones de aplicaciones de seguridad como Little Snitch y en las aplicaciones Ableton y Mixed In Key utilizadas para la reproducción de música.
ThirdEye: Un nuevo Infostealer que captura diversa información de los sistemas infectados.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero y con apoyo de diversas fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo Infostealer denominado ThirdEye, el cual tiene grandes capacidades para recopilar diversa información del sistema infectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/thirdeye-un-nuevo-infostealer-que-captura-diversa-informacion-de-los-sistemas-infectadoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero y con apoyo de diversas fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo Infostealer denominado ThirdEye, el cual tiene grandes capacidades para recopilar diversa información del sistema infectado.
THOR, variante del troyano de acceso remoto PlugXEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una variante del troyano de acceso remoto (RAT) PlugX, denominado THOR. Dicha variante se visualizó en el pasado ciberataque de Microsoft Exchange Server en marzo de 2021, donde los ciberdelincuentes explotaron las vulnerabilidades CVE-2021-26855 y CVE-2021-27065 para acceder a los servidores de Exchange locales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/thor-variante-del-troyano-de-acceso-remoto-plugxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una variante del troyano de acceso remoto (RAT) PlugX, denominado THOR. Dicha variante se visualizó en el pasado ciberataque de Microsoft Exchange Server en marzo de 2021, donde los ciberdelincuentes explotaron las vulnerabilidades CVE-2021-26855 y CVE-2021-27065 para acceder a los servidores de Exchange locales.
TinyPosPaquete de malware para puntos POS (conjunto de herramientas de hardware y software, que principalmente permite a los negocios facturar ventas, llevar el control de flujo de caja, inventarios, etc.), el paquete no parece ser la carga útil principal de malware, más bien parece una carga adicional para los troyanos de banca Emotet o IcedID.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tinyposhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Paquete de malware para puntos POS (conjunto de herramientas de hardware y software, que principalmente permite a los negocios facturar ventas, llevar el control de flujo de caja, inventarios, etc.), el paquete no parece ser la carga útil principal de malware, más bien parece una carga adicional para los troyanos de banca Emotet o IcedID.
Título: Campañas De Phishing Son Distribuidas Mediante Google Drawings Y WhatsappDurante el monitoreo constante en búsqueda de acciones maliciosas, el equipo del Csirt Financiero encontró que los ciberdelincuentes hacen uso de Google Drawings y WhatsApp para alojar campañas de phishing de redireccionamiento abierto, las cuales se basan en enlaces que dirigen a los usuarios a un sitio aparentemente legítimo y luego los redireccionan a un sitio controlado por ciberdelincuentes, con el fin de exfiltrar información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/titulo-campanas-de-phishing-son-distribuidas-mediante-google-drawings-y-whatsapphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo constante en búsqueda de acciones maliciosas, el equipo del Csirt Financiero encontró que los ciberdelincuentes hacen uso de Google Drawings y WhatsApp para alojar campañas de phishing de redireccionamiento abierto, las cuales se basan en enlaces que dirigen a los usuarios a un sitio aparentemente legítimo y luego los redireccionan a un sitio controlado por ciberdelincuentes, con el fin de exfiltrar información sensible.
Título: Nuevos indicadores de compromiso asociados a Emotet.Mediante el continuo monitoreo realizado por el equipo del Csirt Financiero a posibles amenazas que afecten el sector, se han identificado nuevos indicadores de compromiso asociados al troyano modular Emotet cuyo vector de ataque principal es la captura de información sensible del usuario infectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/titulo-nuevos-indicadores-de-compromiso-asociados-a-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el continuo monitoreo realizado por el equipo del Csirt Financiero a posibles amenazas que afecten el sector, se han identificado nuevos indicadores de compromiso asociados al troyano modular Emotet cuyo vector de ataque principal es la captura de información sensible del usuario infectado.
ToxicEYE RAT utiliza Telegram como medio de comunicación con su servidor de comando y controlEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva actividad maliciosa del troyano de acceso remoto denominado ToxicEYE RAT, el cual está usando Telegram como medio de comunicación entre el RAT instalado en el equipo infectado y el servidor de comando y control (C2).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/toxiceye-rat-utiliza-telegram-como-medio-de-comunicacion-con-su-servidor-de-comando-y-controlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva actividad maliciosa del troyano de acceso remoto denominado ToxicEYE RAT, el cual está usando Telegram como medio de comunicación entre el RAT instalado en el equipo infectado y el servidor de comando y control (C2).
TransferLoader: un nuevo loader avanzadoMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza denominada TransferLoader, un loader que ha estado activo desde febrero de 2025 y que se compone de tres módulos principales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/transferloader-un-nuevo-loader-avanzadohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza denominada TransferLoader, un loader que ha estado activo desde febrero de 2025 y que se compone de tres módulos principales.
Transparent Tribe usa ObliqueRATEn el continuo monitoreo realizado a fuentes abiertas de información por parte del Csirt Financiero, se ha logrado identificar una campaña ejercida por Transparent Tribe, también conocido como APT36 o Mythic Leopard.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/transparent-tribe-usa-obliquerathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado a fuentes abiertas de información por parte del Csirt Financiero, se ha logrado identificar una campaña ejercida por Transparent Tribe, también conocido como APT36 o Mythic Leopard.
Tria Stealer, nueva amenaza que compromete dispositivos AndroidEl equipo de analistas del Csirt Financiero identificó una nueva forma de distribución del malware conocido como Tria Stealer dirigida a dispositivos Android, diseñada para recopilar información confidencial de los usuarios. Este software malicioso se propaga mediante técnicas de ingeniería social, incitando a las víctimas a instalar una aplicación APK.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tria-stealer-nueva-amenaza-que-compromete-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una nueva forma de distribución del malware conocido como Tria Stealer dirigida a dispositivos Android, diseñada para recopilar información confidencial de los usuarios. Este software malicioso se propaga mediante técnicas de ingeniería social, incitando a las víctimas a instalar una aplicación APK.
TrickBooster: Una nueva variante de TrickBotSe detecta una nueva variante de TrickBot con capacidades de robo de cookies, distribución e infección basado en correo electrónico el cual comparte sus certificados de firma de código.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/trickbooster-una-nueva-variante-de-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta una nueva variante de TrickBot con capacidades de robo de cookies, distribución e infección basado en correo electrónico el cual comparte sus certificados de firma de código.
TrickBot en aplicaciones falsas de COVID-19En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se ha identificado una campaña para distribuir el troyano bancario Trickbot, en aplicaciones que simulan ser mapas de monitoreo de COVID-19. Este troyano se especializa en la exfiltración de información confidencial del equipo infectado, su vector de ataque son mensajes de correo electrónico tipo malspam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/trickbot-en-aplicaciones-falsas-de-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se ha identificado una campaña para distribuir el troyano bancario Trickbot, en aplicaciones que simulan ser mapas de monitoreo de COVID-19. Este troyano se especializa en la exfiltración de información confidencial del equipo infectado, su vector de ataque son mensajes de correo electrónico tipo malspam.
Trickbot reactiva su actividad con un nuevo módulo denominado MASRVEn el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/trickbot-reactiva-su-actividad-con-un-nuevo-modulo-denominado-masrvhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.
Tropical Scorpius implementa nuevas TTP para la distribución del ransomware CubaEl ransomware es una amenaza latente en el ciberespacio ganando cada vez más fuerza, esto debido a que es un negocio bastante lucrativo para los ciberdelincuentes; justamente esa es la razón de que Cuba ransomware continúe siendo parte de la naturaleza y resurja con nuevas técnicas, tácticas y procedimientos empleadas por un grupo de amenazas rastreado como Tropical Scorpius quienes lideran una gran campaña durante el último mes, la cual está afectando varios sectores económicos dentro de los cuales se encuentra el financiero como uno de sus principales objetivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tropical-scorpius-implementa-nuevas-ttp-para-la-distribucion-del-ransomware-cubahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una amenaza latente en el ciberespacio ganando cada vez más fuerza, esto debido a que es un negocio bastante lucrativo para los ciberdelincuentes; justamente esa es la razón de que Cuba ransomware continúe siendo parte de la naturaleza y resurja con nuevas técnicas, tácticas y procedimientos empleadas por un grupo de amenazas rastreado como Tropical Scorpius quienes lideran una gran campaña durante el último mes, la cual está afectando varios sectores económicos dentro de los cuales se encuentra el financiero como uno de sus principales objetivos.
Troyano alojado en forma de extensión de Chrome, que extrae información.Desde el CSIRT Financiero se ha identificado un incremento en el uso de extensiones maliciosas en los navegadores web por parte de los ciberdelincuentes. Estas extensiones son diseñadas en su mayoría en código JavaScript y se encuentran alojadas en los markets oficiales de los navegadores web, generando en el usuario confianza para su descarga y posterior infección. En esta ocasión se ha realizado el análisis a un troyano bancario que se distribuye haciéndose pasar por una extensión de Google Chrome.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-alojado-en-forma-de-extension-de-chromehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado un incremento en el uso de extensiones maliciosas en los navegadores web por parte de los ciberdelincuentes. Estas extensiones son diseñadas en su mayoría en código JavaScript y se encuentran alojadas en los markets oficiales de los navegadores web, generando en el usuario confianza para su descarga y posterior infección. En esta ocasión se ha realizado el análisis a un troyano bancario que se distribuye haciéndose pasar por una extensión de Google Chrome.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}