Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad de PoSeidon dirigida al sector bancario brasileño mediante macros ofuscadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano bancario PoSeidon, dirigida principalmente al sector financiero latinoamericano y con especial impacto en entidades brasileñas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-poseidon-dirigida-al-sector-bancario-brasileno-mediante-macros-ofuscadoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano bancario PoSeidon, dirigida principalmente al sector financiero latinoamericano y con especial impacto en entidades brasileñas.
Nueva actividad maliciosa relacionada con BrazilianBankerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con BrazilianBanker, un troyano bancario de alta complejidad diseñado para cometer fraude financiero contra instituciones de América Latina.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-brazilianbankerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con BrazilianBanker, un troyano bancario de alta complejidad diseñado para cometer fraude financiero contra instituciones de América Latina.
Nueva actividad del backdoor TamperedChef distribuido mediante instaladores firmadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña denominada TamperedChef, la cual distribuye instaladores firmados que despliegan un backdoor en JavaScript que comparte el mismo nombre.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-backdoor-tamperedchef-distribuido-mediante-instaladores-firmadoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña denominada TamperedChef, la cual distribuye instaladores firmados que despliegan un backdoor en JavaScript que comparte el mismo nombre.
Nueva familia de RAT para Android “Albiriox” orientado a fraude financieroDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-rat-para-android-201calbiriox201d-orientado-a-fraude-financierohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.
Campaña basada en USB distribuye nueva amenaza denominada PrintMinerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso que utiliza dispositivos USB como vector para distribuir un malware especializado en criptominería.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-basada-en-usb-distribuye-nueva-amenaza-denominada-printminerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso que utiliza dispositivos USB como vector para distribuir un malware especializado en criptominería.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivas.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_actividad-reciente-de-apt31-con-evolucion-tactica-y-nuevas-capacidades-ofensivashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
Campaña de Bloody Wolf distribuye NetSupport RAT mediante archivos JARDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-bloody-wolf-distribuye-netsupport-rat-mediante-archivos-jarhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.
Esteganografía en campañas de Clickfix oculta malware en imágenes pngEl análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthyshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/esteganografia-en-campanas-de-clickfix-oculta-malware-en-imagenes-pnghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthys
Nueva actividad asociada a la botnet shadowv2 que afecta dispositivos IOTDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña global asociada a la botnet ShadowV2, una variante reciente basada en la arquitectura de Mirai diseñada específicamente para dispositivos IoT vulnerables.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-a-la-botnet-shadowv2-que-afecta-dispositivos-iothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña global asociada a la botnet ShadowV2, una variante reciente basada en la arquitectura de Mirai diseñada específicamente para dispositivos IoT vulnerables.
Técnicas de ofuscación y ejecución encubierta empleadas por Water Gamayun en cargas cifradas basadas en PowershellEl contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-ofuscacion-y-ejecucion-encubierta-empleadas-por-water-gamayun-en-cargas-cifradas-basadas-en-powershellhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.
RelayNFC: troyano para Android orientado al fraude mediante tecnología NFCMediante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware dirigida a usuarios en Brasil, denominada RelayNFC.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/relaynfc-troyano-para-android-orientado-al-fraude-mediante-tecnologia-nfchttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware dirigida a usuarios en Brasil, denominada RelayNFC.
Nueva campaña de ToddyCat dirigida a exfiltraciones de entidades corporativasDurante las actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad atribuida al grupo APT ToddyCat, cuya campaña más reciente se centra en la exfiltración de correos corporativos y datos en entornos Microsoft.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-toddycat-dirigida-a-exfiltraciones-de-entidades-corporativashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad atribuida al grupo APT ToddyCat, cuya campaña más reciente se centra en la exfiltración de correos corporativos y datos en entornos Microsoft.
Nueva amenaza denominada RadzaRat afecta dispositivos AndroidDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto RadzaRat dirigida a dispositivos Android, distribuida de forma global mediante un archivo APK alojado en un repositorio público.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-radzarat-afecta-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto RadzaRat dirigida a dispositivos Android, distribuida de forma global mediante un archivo APK alojado en un repositorio público.
Nueva ViperSoftX añade funciones de minería a su arsenalDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada al malware ViperSoftX, en la cual se evidenció la instalación de mineros de criptomonedas orientados a la generación de Monero en equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vipersoftx-anade-funciones-de-mineria-a-su-arsenalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña asociada al malware ViperSoftX, en la cual se evidenció la instalación de mineros de criptomonedas orientados a la generación de Monero en equipos comprometidos.
Actividad reciente de ShadowPad vinculada a explotación de WSUSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente en la que actores vinculados a grupos APT chinos explotaron la vulnerabilidad crítica CVE-2025-59287, presente en Microsoft Windows Server Update Services (WSUS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-shadowpad-vinculada-a-explotacion-de-wsushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente en la que actores vinculados a grupos APT chinos explotaron la vulnerabilidad crítica CVE-2025-59287, presente en Microsoft Windows Server Update Services (WSUS).
Masslogger es empleado en campañas de exfiltración de información sensible.El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada a MassLogger, una amenaza clasificada como stealer, empleada por cibercriminales en campañas globales dirigidas a comprometer credenciales, capturar datos sensibles y exfiltrarlos mediante protocolos cifrados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/masslogger-es-empleado-en-campanas-de-exfiltracion-de-informacion-sensiblehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada a MassLogger, una amenaza clasificada como stealer, empleada por cibercriminales en campañas globales dirigidas a comprometer credenciales, capturar datos sensibles y exfiltrarlos mediante protocolos cifrados.
Nuevas funciones de Xillen Stealer fortalecen su evasión y alcanceDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la amenaza Xillen Stealer en sus versiones cuatro y cinco, caracterizada por una expansión de sus capacidades de recolección y por la integración de funciones orientadas a evadir controles basados en inteligencia artificial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funciones-de-xillen-stealer-fortalecen-su-evasion-y-alcancehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la amenaza Xillen Stealer en sus versiones cuatro y cinco, caracterizada por una expansión de sus capacidades de recolección y por la integración de funciones orientadas a evadir controles basados en inteligencia artificial.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-apt31-con-evolucion-tactica-y-nuevas-capacidades-ofensivashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
Nueva actividad de RONINGLOADER en campañas recientesDurante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó una nueva actividad maliciosa asociada a RONINGLOADER, un loader altamente sofisticado empleado por ciberdelincuentes para establecer cadenas de infección de múltiples etapas, se caracteriza por desplegar inicialmente dos componentes: uno benigno, que mantiene la apariencia de legitimidad, y otro malicioso, responsable de iniciar la secuencia real del compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-roningloader-en-campanas-recienteshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó una nueva actividad maliciosa asociada a RONINGLOADER, un loader altamente sofisticado empleado por ciberdelincuentes para establecer cadenas de infección de múltiples etapas, se caracteriza por desplegar inicialmente dos componentes: uno benigno, que mantiene la apariencia de legitimidad, y otro malicioso, responsable de iniciar la secuencia real del compromiso.
Actividad inicial de Sturnus, troyano Android con capacidades de superposición y vigilancia en tiempo realDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Sturnus, un troyano bancario para Android que se encuentra en una fase temprana de desarrollo, pero ya opera con capacidades funcionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-inicial-de-sturnus-troyano-android-con-capacidades-de-superposicion-y-vigilancia-en-tiempo-realhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Sturnus, un troyano bancario para Android que se encuentra en una fase temprana de desarrollo, pero ya opera con capacidades funcionales.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}