Alertas de seguridad

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2023

Nuevo software malicioso denominado Yunit Stealer

Publicado: 07/10/2024 | Importancia: Media

Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan comprometer la infraestructura de los asociados, se observó un nuevo malware denominado Yunit Stealer, que destaca por sus capacidades avanzadas de captura de información, evasión y persistencia.

Nueva campaña de Awaken Likho emplea MeshCentral

Publicado: 07/10/2024 | Importancia: Media

El grupo APT Awaken Likho lanzó una nueva campaña en la que emplea la herramienta legítima MeshCentral para controlar equipos comprometidos. Mediante archivos comprimidos que ocultan scripts maliciosos, logran engañar a los usuarios y establecer comunicación con un servidor C2.

Seguimiento a Redline Stealer

Publicado: 06/10/2024 | Importancia: Media

Seguimiento al malware Snake Keylogger

Publicado: 06/10/2024 | Importancia: Media

Nueva actividad maliciosa de Mars Stealer

Publicado: 05/10/2024 | Importancia: Media

Se identifico una nueva actividad maliciosa del malware Mars Stealer, diseñado para capturar criptomonedas a través de la infiltración en extensiones de billeteras digitales y autenticación de dos factores.

Nuevo Stealer denominado Vilsa

Publicado: 04/10/2024 | Importancia: Media

Se ha identificado un nuevo malware llamado "Vilsa Stealer", disponible en GitHub, que posee capacidades avanzadas para capturar credenciales, tokens de criptomonedas y datos confidenciales de aplicaciones. El stealer se destaca por su evasión de medidas de seguridad y generar persistencia en los sistemas comprometidos.

Nueva campaña de actualizaciones falsas distribuye el backdoor WarmCookie

Publicado: 04/10/2024 | Importancia: Media

Mediante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una nueva campaña maliciosa asociada al grupo SocGolish, conocido por emplear una estrategia de ciberataque denominada “FakeUpdate”.

Nuevos indicadores de compromiso asociados a Perfctl

Publicado: 03/10/2024 | Importancia: Media

Perfctl es un malware activo desde hace 3 a 4 años que logra el acceso a los servidores Linux mediante configuraciones incorrectas y vulnerabilidades, asegurando su persistencia generando varias copias en diversas ubicaciones.

Reciente actividad del grupo Andariel

Publicado: 02/10/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero observó una nueva actividad maliciosa atribuida al grupo norcoreano Andariel, también conocido como Stonefly, APT35, Silent Chollima y Onyx Sleet, el cual ha operado desde al menos 2009.

NUEVA BOTNET DENOMINADA GORILLABOT

Publicado: 01/10/2024 | Importancia: Media

se observó una actividad de GorillaBot, la cual lanzó más de 300.000 comandos de ataque DDoS, afectando a más de 100 países y sectores. La botnet, basada en el código fuente de Mirai, presenta capacidades avanzadas de persistencia, evasión y una gran variedad de vectores de ataque.

Intrusión del ransomware BlackCat a través del malware Nitrogen

Publicado: 30/09/2024 | Importancia: Media

Se identificó el uso del malware Nitrogen para desplegar el ransomware BlackCat. Los ciberdelincuentes implementaron balizas, realizaron descubrimiento de red y utilizaron herramientas para obtener credenciales y distribuir el ransomware en el dominio.

NUEVO CRYPTO DRAINERS PARA DISPOSITIVOS MÓVILES EN GOOGLE PLAY

Publicado: 29/09/2024 | Importancia: Media

Se ha identificado una nueva aplicación maliciosa en Google Play que se hacía pasar por WalletConnect, una herramienta legítima para conectar billeteras a aplicaciones descentralizadas. Esta aplicación captura criptomonedas a través de tácticas de ingeniería social avanzadas y evadió los controles de seguridad de Google Play.

Nuevos artefactos relacionados con NanoCore RAT.

Publicado: 29/09/2024 | Importancia: Media

A través de actividades de monitoreo y seguimiento de amenazas, se observaron y recopilaron nuevos indicadores de compromiso (IoC), relacionados con el troyano de acceso remoto (RAT) conocido como NanoCore, el cual fue descubierto por primera vez en el año 2013.

Nuevos IoC identificados del Bot Tsunami

Publicado: 28/09/2024 | Importancia: Media

Nueva actividad maliciosa relacionada con DcRAT

Publicado: 28/09/2024 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad del troyano de acceso remoto DcRAT en la que se distribuye mediante una técnica conocida como “HTML Smuggling” a usuarios de habla rusa.

Nueva campaña de Kimsuky difunde KLogEXE y FPSpy

Publicado: 27/09/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que difunde KLogEXE y FPSpy mediante correos tipo phishing los cuales poseen un comprimido (ZIP) que al descomprimirlo se evidencian las cargas útiles de estos malware

Nuevos indicadores de compromiso de múltiples troyanos bancarios

Publicado: 27/09/2024 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, identificó nuevos indicadores de compromiso de 15 Troyanos bancarios actualmente activos, utilizados en campañas maliciosas para la captura de credenciales bancarias y comprometer la seguridad financiera de usuarios y organizaciones.

Nueva actividad maliciosa del stealer lumma en páginas falsas de captcha

Publicado: 26/09/2024 | Importancia: Media

Se ha identificado una campaña que utiliza páginas CAPTCHA falsas como vector de distribución para el malware Lumma Stealer. Esta campaña se dirige a usuarios que descargan software pirateado o que son víctimas de correos electrónicos de phishing que imitan comunicaciones legítimas de GitHub.

Nueva versión del troyano Necro

Publicado: 25/09/2024 | Importancia: Media

Nueva variante del troyano bancario Octo

Publicado: 24/09/2024 | Importancia: Media

Nueva variante del ransomware Mallox afecta a Linux

Publicado: 23/09/2024 | Importancia: Media

Se ha identificado una nueva variante del ransomware Mallox, llamada “Mallox Linux 1.0”, que, como su nombre indica, afecta a sistemas Linux. Esta variante se basa en la plataforma RaaS Kryptina.

Nuevos indicadores de compromiso asociados a Rhadamanthys

Publicado: 22/09/2024 | Importancia: Media

Rhadamanthys es un stealer que extrae información sensible de equipos comprometidos, recopilando datos sobre hardware, software y detalles de acceso a carteras de criptomonedas.

Actividad relacionada con Akira Ransomware

Publicado: 21/09/2024 | Importancia: Media

Mediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.

Actividad relacionada con el backdoor NPhoneRing

Publicado: 20/09/2024 | Importancia: Media

Nuevos IoC relacionados con DarkTortilla

Publicado: 20/09/2024 | Importancia: Media

Durante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se han identificado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con DarkTortilla, un cifrador o loader basado en .NET que ha estado activo desde al menos agosto de 2015.

Nuevo RAT denominado SambaSpy

Publicado: 18/09/2024 | Importancia: Media

SambaSpy es un troyano de acceso remoto que se distribuye a través de correos electrónicos de phishing. Este malware tiene la capacidad de verificar si se ejecuta en un sistema con idioma italiano y en una máquina virtual, asegurando su efectividad en la cadena de infección.

Malware Clipper enfocado a usuarios de criptomonedas

Publicado: 17/09/2024 | Importancia: Media

Malware Clipper ataca a usuarios de criptomonedas al monitorear y manipular la actividad del portapapeles, lo que permite el desvío de transferencias a billeteras controladas por cibercriminales.

Nuevos artefactos relacionados con BLX Stealer

Publicado: 16/09/2024 | Importancia: Media

Mediante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó y recopilo nuevos indicadores de compromiso (IoC) relacionados con el stealer BLX, también conocido como XLABB.

Nuevos indicadores de compromiso relacionados con PureLogStealer

Publicado: 15/09/2024 | Importancia: Media

El stealer PureLogStealer captura datos sensibles, como información bancaria y de criptomonedas, empleando técnicas para evadir su detección y generar persistencia. Se conecta a un servidor C2 para enviar los datos recopilados y recibir instrucciones de parte del ciberdelincuente.

Nuevo grupo de ransomware llamado Lynx

Publicado: 14/09/2024 | Importancia: Media

Lynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.