Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Encadenamiento de vulnerabilidades para comprometer infraestructuras críticasEl constante monitoreo que realiza el equipo del Csirt Financiero permitió conocer una campaña que utiliza múltiples vulnerabilidades con el objetivo de comprometer una red, especialmente de infraestructuras consideradas como críticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/encadenamiento-de-vulnerabilidades-para-comprometer-infraestructuras-criticashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El constante monitoreo que realiza el equipo del Csirt Financiero permitió conocer una campaña que utiliza múltiples vulnerabilidades con el objetivo de comprometer una red, especialmente de infraestructuras consideradas como críticas.
EncryptHub aprovecha CVE-2025-26633 y Brave Support para desplegar cargas maliciosasDurante el monitoreo constante del Csirt Financiero se identificó una campaña maliciosa atribuida al grupo APT EncryptHub, también conocido como LARVA-208 o Water Gamayun, la cual aprovecha la vulnerabilidad CVE-2025-26633 y el abuso de la plataforma Brave Support para desplegar cargas maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/encrypthub-aprovecha-cve-2025-26633-y-brave-support-para-desplegar-cargas-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo constante del Csirt Financiero se identificó una campaña maliciosa atribuida al grupo APT EncryptHub, también conocido como LARVA-208 o Water Gamayun, la cual aprovecha la vulnerabilidad CVE-2025-26633 y el abuso de la plataforma Brave Support para desplegar cargas maliciosas.
Equipos Windows afectados por MidgeDropper.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Dropper llamado MidgeDropper.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/equipos-windows-afectados-por-midgedropperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Dropper llamado MidgeDropper.
Estados Unidos acusa a miembros de APT 41 de Ciberespionaje y Delitos CibernéticosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que el departamento de justicia de los Estados Unidos ha acusado a 7 personas de ser parte del grupo cibercriminal chino APT41 y de haber realizado las campañas de ciberespionaje y otros delitos cibernéticos en contra de organizaciones en Asia, Europa y América del Norte, pertenecientes a sectores como alimentos, finanzas, salud, hotelería, manufactura, telecomunicaciones y gobierno.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/estados-unidos-acusa-a-miembros-de-apt-41-de-ciberespionaje-y-delitos-ciberneticoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que el departamento de justicia de los Estados Unidos ha acusado a 7 personas de ser parte del grupo cibercriminal chino APT41 y de haber realizado las campañas de ciberespionaje y otros delitos cibernéticos en contra de organizaciones en Asia, Europa y América del Norte, pertenecientes a sectores como alimentos, finanzas, salud, hotelería, manufactura, telecomunicaciones y gobierno.
Esteganografía en campañas de Clickfix oculta malware en imágenes pngEl análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthyshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/esteganografia-en-campanas-de-clickfix-oculta-malware-en-imagenes-pnghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthys
Estructura vinculada a VexTrio explota páginas WordPress para realizar fraudesDurante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña relacionada con VexTrio, una red de distribución de comunicaciones que opera como intermediario entre sitios web comprometidos y páginas que ejecutan fraudes o engaños. Esta red trabaja junto a servicios conocidos como Help TDS y Disposable TDS, y tiene como objetivo redirigir a los visitantes de sitios legítimos hacia contenido fraudulento, como páginas falsas o aplicaciones dañinas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/estructura-vinculada-a-vextrio-explota-paginas-wordpress-para-realizar-fraudeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña relacionada con VexTrio, una red de distribución de comunicaciones que opera como intermediario entre sitios web comprometidos y páginas que ejecutan fraudes o engaños. Esta red trabaja junto a servicios conocidos como Help TDS y Disposable TDS, y tiene como objetivo redirigir a los visitantes de sitios legítimos hacia contenido fraudulento, como páginas falsas o aplicaciones dañinas.
EvilExtractor: herramienta de ataque con múltiples funciones maliciosas, incluyendo ransomware.EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evilextractor-herramienta-de-ataque-con-multiples-funciones-maliciosas-incluyendo-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.
Evolución continúa de Bumblebee en la naturalezaLa evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-continua-de-bumblebee-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
Evolución de Atomic macOS StealerDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó nueva actividad maliciosa relacionada con Atomic macOS Stealer (AMOS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-de-atomic-macos-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó nueva actividad maliciosa relacionada con Atomic macOS Stealer (AMOS).
Evolución de la amenaza Prilex.En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-de-la-amenaza-prilexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).
Evolución del arsenal de Royal ransomwareEl ransomware Royal se ha convertido en una amenaza que afecta a diversos sectores, incluyendo el financiero. Desde su aparición en septiembre de 2022, este malware ha sido distribuido por el grupo DEV-0569, quienes emplean técnicas de phishing y evasión de defensas para propagarlo, el equipo del Csirt Financiero se encuentra en constante alerta, trabajando de manera diligente para proteger a los asociados del sector financiero y minimizar el impacto del ransomware Royal, donde fueron identificados nuevos indicadores de compromiso relacionados con esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-arsenal-de-royal-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Royal se ha convertido en una amenaza que afecta a diversos sectores, incluyendo el financiero. Desde su aparición en septiembre de 2022, este malware ha sido distribuido por el grupo DEV-0569, quienes emplean técnicas de phishing y evasión de defensas para propagarlo, el equipo del Csirt Financiero se encuentra en constante alerta, trabajando de manera diligente para proteger a los asociados del sector financiero y minimizar el impacto del ransomware Royal, donde fueron identificados nuevos indicadores de compromiso relacionados con esta amenaza.
Evolución del backdoor Dtrack utilizado por diversos grupos APTDtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-backdoor-dtrack-utilizado-por-diversos-grupos-apthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.
Evolución del Downloader GuloaderEl equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-downloader-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.
Evolución del Ransomware Black BastaA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero comparte un análisis de la evolución de Black Basta, ransomware dirigido a diferentes sectores en los cuales encontramos al financiero. Tiene como objetivo el cifrado de información y con esto lograr beneficios económicos para los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-black-bastahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero comparte un análisis de la evolución de Black Basta, ransomware dirigido a diferentes sectores en los cuales encontramos al financiero. Tiene como objetivo el cifrado de información y con esto lograr beneficios económicos para los ciberdelincuentes.
Evolución del ransomware Blackcat y su nueva herramientaEl ransomware BlackCat es una amenaza destacada en el ámbito de la ciberseguridad, que ha afectado a nivel global, incluyendo a organizaciones en Colombia. El equipo de analistas del Csirt Financiero monitorea de cerca la actividad relacionada con BlackCat y ha identificado un nuevo enfoque en su modus operandi. En este nuevo enfoque, BlackCat utiliza una herramienta que permite a los atacantes propagar su carga útil en máquinas remotas y recursos compartidos de la red de la organización víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-blackcat-y-su-nueva-herramientahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware BlackCat es una amenaza destacada en el ámbito de la ciberseguridad, que ha afectado a nivel global, incluyendo a organizaciones en Colombia. El equipo de analistas del Csirt Financiero monitorea de cerca la actividad relacionada con BlackCat y ha identificado un nuevo enfoque en su modus operandi. En este nuevo enfoque, BlackCat utiliza una herramienta que permite a los atacantes propagar su carga útil en máquinas remotas y recursos compartidos de la red de la organización víctima.
Evolución del Ransomware en el 2020En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-en-el-2020http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.
Evolución del ransomware Royal para afectar entornos Unix y LinuxEl equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-royal-para-afectar-entornos-unix-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.
Evolución del troyano bancario JavaliEn la era digital en la que vivimos, la ciberseguridad se ha convertido en un desafío a nivel global. Entre las muchas amenazas en la red, el troyano bancario Javali destaca con su persistente evolución y adaptación. Su historia se remonta a 2017, cuando comenzó a generar ataques dirigidos principalmente a usuarios de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-troyano-bancario-javalihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la era digital en la que vivimos, la ciberseguridad se ha convertido en un desafío a nivel global. Entre las muchas amenazas en la red, el troyano bancario Javali destaca con su persistente evolución y adaptación. Su historia se remonta a 2017, cuando comenzó a generar ataques dirigidos principalmente a usuarios de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile.
Expansión del troyano bancario Javali: de América Latina a EuropaEl ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/expansion-del-troyano-bancario-javali-de-america-latina-a-europahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.
Exploit público aprovecha vulnerabilidad crítica en sistemas SAPEn el monitorio realizado a fuentes abiertas de información, el Csirt Financiero ha identificado que ciberdelincuentes podrían tratar de explotar la vulnerabilidad CVE-2020-6207 en el sistema SAP Solution Manager (SolMan) v7.2 de las organizaciones que aún no han parchado esta vulnerabilidad, lo anterior al observar escaneos masivos en internet que tienen como objetivo utilizar el exploit público disponible actualmente, lo que aumenta la posibilidad de ser víctima de un ciberataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/exploit-publico-aprovecha-vulnerabilidad-critica-en-sistemas-saphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitorio realizado a fuentes abiertas de información, el Csirt Financiero ha identificado que ciberdelincuentes podrían tratar de explotar la vulnerabilidad CVE-2020-6207 en el sistema SAP Solution Manager (SolMan) v7.2 de las organizaciones que aún no han parchado esta vulnerabilidad, lo anterior al observar escaneos masivos en internet que tienen como objetivo utilizar el exploit público disponible actualmente, lo que aumenta la posibilidad de ser víctima de un ciberataque.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}