-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Nuevo keylogger denominado TinkyWinkey
Publicado: 30/08/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.
Nuevo stealer denominado TamperedChef
Publicado: 28/08/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una extensa campaña de ciberdelincuencia que incorpora múltiples sitios fraudulentos promovidos a través de Google Ads para inducir a las víctimas a descargar un editor de PDF aparentemente gratuito, denominado AppSuite PDF Editor pero que en realidad instala una nueva amenaza conocida como TamperedChef.
Nueva actividad de Xworm
Publicado: 28/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Xworm.
PromptLock: el supuesto primer ransomware impulsado por inteligencia artificial
Publicado: 28/08/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.
Charon ransomware es asociado a técnicas de Earth Baxia
Publicado: 27/08/2025 | Importancia: Media
El equipo del Csirt Financiero identificó nuevos actividad relacionada con Charon, una familia de ransomware recientemente observada en campañas dirigidas contra organizaciones a nivel global.
Nueva actividad del grupo APT C36 bajo la denominación TAG-144 que opera en Colombia
Publicado: 27/08/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero mediante actividades de monitoreo, identifico una nueva actividad relacionada al actor de amenazas TAG-144, también conocido como Blind Eagle o APT-C-36, con actividad maliciosa orientada a Colombia
Nueva campaña de la botnet basada en Mirai “Gayfemboy”
Publicado: 26/08/2025 | Importancia:
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware caracterizada por el despliegue de una variante de la botnet Mirai llamada Gayfemboy, que combina capacidades de persistencia, evasión y control remoto.
Nueva versión del troyano bancario Hook
Publicado: 26/08/2025 | Importancia:
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del troyano bancario Hook.
Campaña de phishing asociada a UpCrypter para la distribución de RAT
Publicado: 25/08/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado indicadores de compromiso relacionados con UpCrypter, un loader activamente empleado por ciberdelincuentes en campañas globales de phishing contra usuarios de Microsoft Windows.
SpyNote se distribuye bajo la apariencia de IBM Trusteer Mobile
Publicado: 25/08/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que utiliza una aplicación falsa para Android con el objetivo de engañar a los usuarios haciéndose pasar por un producto de seguridad de IBM.
Nuevo ransomware denominado Cephalus
Publicado: 24/08/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado Cephalus, identificado en dos incidentes diferentes durante agosto de 2025. En ambos casos, los ciberdelincuentes obtuvieron acceso inicial mediante Remote Desktop Protocol (RDP), aprovechando cuentas comprometidas que carecían de autenticación multifactor (MFA).
Distribución de malware a través de clickfix y cargadores de shellcode
Publicado: 24/08/2025 | Importancia:
Durante las actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada a la campaña ClickFix, la cual estaría distribuyendo un loader denominado DonutLoader
Nuevo malware para Android se hace pasar por un antivirus para infectar dispositivos
Publicado: 23/08/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva amenaza dirigida a usuarios de dispositivos móviles Android, inicialmente observada en Rusia, la cual distribuye un spyware enfocado al sector financiero y corporativo.
Nueva actividad de Bqtlock
Publicado: 22/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Bqtlock.
Warlock explota CVE-2023-27532
Publicado: 21/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Warlock.
Nueva actividad del grupo APT UNC5518 que distribuye malware mediante verificaciones Captcha
Publicado: 21/08/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña atribuida al grupo APT UNC5518, el cual se caracteriza por sus motivaciones económicas y su especialidad en proveer acceso inicial como servicio (Initial Access Broker IAB).
Variante de Atomic dirigida a macOS
Publicado: 20/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de Atomic.
capacidades y técnicas de quirkyloader
Publicado: 20/08/2025 | Importancia: Media
QuirkyLoader es un cargador malicioso recientemente identificado cuyo propósito principal es servir como componente inicial dentro de la cadena de infección para desplegar cargas útiles secundarias. Se caracteriza por un diseño modular y por emplear técnicas avanzadas de ofuscación y antianálisis.
Nueva campaña de PipeMagic
Publicado: 20/08/2025 | Importancia:
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de PipeMagic.
Nuevo troyano de acceso remoto GodRAT distribuido mediante esteganografía
Publicado: 20/08/2025 | Importancia:
Mediante actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una actividad maliciosa dirigida contra empresas de diversos sectores, como el financiero y el de comercio, relacionada con la distribución de archivos maliciosos que permiten la descarga y ejecución de GodRAT.
Nueva campaña de distribución de Noodlophile stealer a través de señuelos phishing
Publicado: 18/08/2025 | Importancia: Media
Mediante actividades de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad reciente asociada a Noodlophile stealer, una amenaza que ha evolucionado en los últimos meses y que actualmente se distribuye mediante campañas de phishing dirigidas.
Nuevo malware para Android llamado Lazarus Stealer
Publicado: 18/08/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza móvil denominada Lazarus Stealer, un malware para Android orientado a la captura de credenciales de aplicaciones bancarias rusas. A pesar de la coincidencia en el nombre, este no guarda relación con el grupo norcoreano Lazarus.
Nueva campaña maliciosa “Operación Gecko Assault” dirigida a Latinoamérica
Publicado: 17/08/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de malware denominada Operación Gecko Assault activa desde agosto del 2024 y dirigida principalmente a países de Latinoamérica.
Nueva campaña que emplea crossc2 para expandir el alcance de balizas Cobalt Strike en Linux y Macos
Publicado: 17/08/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Cobalt Strike.
Lumma Stealer descarga SectopRAT a través de instaladores falsos
Publicado: 16/08/2025 | Importancia: Media
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa que involucra la propagación de Lumma Stealer, el cual posteriormente descarga e instala SectopRAT, también conocido como Arechclient2. Esta cadena de infección se inicia cuando los usuarios descargan software alterado que contiene instaladores manipulados, generalmente comprimidos en archivos .zip que incluyen el ejecutable malicioso.
EncryptHub aprovecha CVE-2025-26633 y Brave Support para desplegar cargas maliciosas
Publicado: 15/08/2025 | Importancia: Media
Durante el monitoreo constante del Csirt Financiero se identificó una campaña maliciosa atribuida al grupo APT EncryptHub, también conocido como LARVA-208 o Water Gamayun, la cual aprovecha la vulnerabilidad CVE-2025-26633 y el abuso de la plataforma Brave Support para desplegar cargas maliciosas.
PhantomCard: nuevo troyano NFC impacta banca en Brasil
Publicado: 14/08/2025 | Importancia: Media
Durante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.
PhantomCard: nuevo troyano NFC impacta banca en Brasil
Publicado: 13/08/2025 | Importancia: Media
Durante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.
Campaña ClickFix en macOS para la distribución de Odyssey Stealer
Publicado: 11/08/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada con una campaña dirigida a usuarios de macOS, en la cual se emplea la técnica ClickFix para desplegar el stealer Odyssey.
Nueva actividad relacionada al grupo APT Red Akodon
Publicado: 10/08/2025 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT Red Akodon, activo desde abril de 2024 y con un historial de operaciones centradas en Colombia.