Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2024

Nuevos indicadores de compromiso relacionados con el loader Latrodectus

Publicado: 21/04/2024 | Importancia: Media

Durante el monitoreo y seguimiento de amenazas llevado a cabo por el equipo de analistas del Csirt Financiero, se observaron y recopilaron nuevos indicadores de compromiso relacionados con el malware clasificado como loader conocido Latrodectus.

El ransomware Akira actualiza y ahora se dirige a servidores Linux

Publicado: 19/04/2024 | Importancia: Media

A través de fuentes de información el equipo de analistas del Csirt ha observado una evolución en el ransomware Akira, identificando nuevos indicadores de compromiso. Los actores detrás de Akira han ampliado su enfoque hacia entornos empresariales Linux, siguiendo movimientos similares a otras familias de ransomware consolidadas, como LockBit, Cl0p, Royal, Monti y RTM Locker.

Nueva campaña maliciosa para distribuir el backdoor MadMxShell

Publicado: 19/04/2024 | Importancia: Media

El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva campaña de publicidad de Google ADS, simulando ser sitios legítimos de software de escaneo de IP, para distribuir un Backdoor denominado MadMxShell.

Mamont: un nuevo troyano bancario para Android que se camufla de Google Chrome

Publicado: 18/04/2024 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados, se ha detectado un nuevo troyano bancario que se hace pasar por Google Chrome, denominado Mamont, el cual presenta amplias capacidades para capturar datos financieros.

Nueva campaña Phishing para distribuir Warzone RAT a través de DBatLoader

Publicado: 15/04/2024 | Importancia: Media

El equipo del Csirt Financiero observó una nueva campaña de tipo Phishing para distribuir el software malicioso conocido como WarZone RAT empleando nuevas campañas de distribución

Nuevo Troyano de acceso remoto denominado LokiRat

Publicado: 14/04/2024 | Importancia: Media

El equipo del Csirt Financiero, observó un nuevo troyano de acceso remoto llamado Loki, un software que cuenta con capacidad para infiltrarse en sistemas informáticos y extraer y capturar datos valiosos de manera sigilosa.

Nueva campaña maliciosa de Lumma Stealer

Publicado: 13/04/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado una reciente campaña que hace uso de Lumma Stealer, una herramienta de malware disponible en la dark web. Lumma Stealer ha evolucionado con un enfoque en mejorar la experiencia de usuario y la facilidad de uso, lo que le permite evadir la detección de antimalware.

Nueva campaña del troyano de acceso remoto FatalRAT

Publicado: 12/04/2024 | Importancia: Media

El equipo del Csirt Financiero observó una nueva campaña del troyano de acceso remoto denominado FatalRAT, dirigiéndose a los usuarios de criptomonedas mediante ataques de sitios web Phishing.

Nueva actividad maliciosa de Timbrestealer

Publicado: 06/04/2024 | Importancia: Media

A través del monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa relacionada con TimbreStealer. Esta amenaza recientemente reportada por el Csirt involucra tácticas, técnicas y procedimientos (TTP) similares a las empleadas por el troyano bancario conocido como "Mispadu".

TA547 utiliza el stealer Rhadamanthys en nueva campaña maliciosa

Publicado: 10/04/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa asociada al Stealer Rhadamanthys, distribuido por un actor de amenazas conocido como TA547, activo desde noviembre de 2017 y motivado por razones financieras. Rhadamanthys, un malware como servicio (MaaS) desarrollado en lenguaje C, tiene como objetivo obtener datos confidenciales de los usuarios, como credenciales de inicio de sesión y detalles financieros.

Nueva amenaza: ransomware Sexi afectando empresas de Latinoamérica

Publicado: 07/04/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado una nueva actividad maliciosa relacionada con el ransomware denominado "SEXi", el cual ha sido identificado en un incidente de ciberseguridad en Chile. Este ransomware, que agrega la extensión .SEXi a los archivos cifrados, deja notas de rescate llamadas SEXi.txt.

El actor de amenaza CoralRaider distribuye RotBot y Xclient Stealer en sus campañas maliciosas.

Publicado: 05/04/2024 | Importancia: Media

Durante el monitoreo realizado por el equipo del Csirt Financiero en búsqueda de nuevas amenazas o campañas maliciosas que puedan generar impactos en el sector financiero y la infraestructura de los asociados, se observó un nuevo actor de amenazas (APT) identificado como “CoralRaider” con motivaciones financieras, que utiliza un loader conocido como RotBot para distribuir e infectar el sistema con la carga útil de XClient Stealer.

instaladores falsos de Adobe Acrobat Reader liberan malware Byakugan

Publicado: 04/04/2024 | Importancia: Media

El equipo del Csirt Financiero en su constante monitoreo ha detectado una actividad maliciosa distribuyendo Byakugan por medio de correos electrónicos con archivos PDF adjuntos, donde se redirige a una descarga de un ejecutable suplantando a Adobe Acrobat Reader.

Nueva campaña maliciosa y sofisticada del troyano Iced ID

Publicado: 03/04/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado una nueva campaña maliciosa. Esta campaña comienza con el envío de correos electrónicos que contienen un archivo OneNote aparentemente inofensivo. Sin embargo, este archivo contiene un script que utiliza código PowerShell para llevar a cabo una serie de acciones maliciosas. Entre estas acciones, se destaca la descarga y ejecución de una DLL disfrazada de archivo JPG, conocida como IcedID, un sofisticado troyano bancario.

Nuevas variantes del Troyano de acceso remoto denominado JSOutProx

Publicado: 03/04/2024 | Importancia: Media

A través de actividades de monitoreo en busca de nuevas amenazas o actividades maliciosas, el equipo del Csirt Financiero observó nuevas variantes del troyano JSOutProx dirigida a organizaciones y servicios financieros en las regiones de Asia-Pacífico (APAC) y Medio Oriente y Norte de África.

DinodasRAT: el backdoor multiplataforma que desafía la detección

Publicado: 02/04/2024 | Importancia: Media

DinodasRAT, o "XDealer", ha estado activo posiblemente desde 2022, diseñado en C++ para afectar tanto sistemas Windows como Linux. Su última versión presenta un módulo de evasión independiente que oculta su presencia en el sistema mediante el uso de proxies y la modificación de archivos binarios del sistema. La variante dirigida a Linux está especialmente orientada a distribuciones basadas en Red Hat y Ubuntu.

Ciberdelincuentes utilizan anuncios para distribuir Matanbuchus y DanaBot

Publicado: 29/03/2024 | Importancia: Media

A través de actividades de monitoreo en busca de nuevas amenazas o actividades maliciosas, el equipo del Csirt Financiero observó una nueva campaña maliciosa en la cual, los ciberdelincuentes están utilizando anuncios de Google para distribuir el loader conocido como Matanbuchus, con el objetivo de infectar sistemas con el troyano bancario DanaBot.

Nueva variante del troyano de acceso remoto Agent Tesla

Publicado: 27/03/2024 | Importancia: Media

El equipo del Csirt Financiero ha observado una nueva actividad maliciosa con el troyano de acceso remoto Agent Tesla donde se ha identificado recientemente una nueva cadena de infección mediante correos electrónicos de tipo phishing.

Mispadu: troyano bancario de evolución continúa afectando Latinoamérica

Publicado: 26/03/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado a través de su monitoreo una nueva actividad maliciosa relacionada con la amenaza conocida como Mispadu. Este troyano bancario, identificado inicialmente en 2019 y programado en Delphi, ha estado llevando a cabo recientemente campañas maliciosas dirigidas principalmente a usuarios en Latinoamérica.

Nuevo kit de phishing denominado Tycoon 2FA

Publicado: 25/03/2024 | Importancia: Media

Durante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un nuevo kit de phishing denominado Tycoon 2FA.

Nueva variante de la botnet Mirai denominada Mirai.nomi

Publicado: 23/03/2024 | Importancia: Media

El equipo de analistas del Csirt identificó una nueva variante de la botnet Mirai denominada Mirai.Nomi la cual utiliza DGA (Algoritmo de Generación de Dominio) para generar una gran cantidad de nombres de dominio de manera aleatoria y utilizarlos para establecer comunicación con sus servidores de comando y control (C&C).

Nueva campaña maliciosa relacionada del Loader Rhadamanthys

Publicado: 22/03/2024 | Importancia: Media

El equipo del Csirt Financiero, observó una nueva actividad maliciosa entregando anuncios falsos utilizando el servicio de Google Ads para entregar la carga útil del loader Rhadamanthys.

Nuevas variantes del Backdoor TinyTurla-NG

Publicado: 21/03/2024 | Importancia: Media

El equipo del Csirt Financiero, observó una nueva actividad maliciosa por el Backdoor denominado TinyTurla-NG(TTNG), llevada a cabo por el grupo de espionaje ruso Turla.

Nueva campaña maliciosa distribuye los troyanos de acceso remoto AsyncRAT y XWorm

Publicado: 19/03/2024 | Importancia: Media

Durante el monitoreo realizado por el equipo del Csirt Financiero, se observó una nueva campaña maliciosa en la que los ciberdelincuentes distribuyen correos electrónicos de tipo phishing para entregar los troyanos de acceso remoto conocidos como AsyncRAT y XWorm.

Netsupport RAT: el peligroso uso de tecnología legítima para acceso remoto

Publicado: 18/03/2024 | Importancia: Media

NetSupport RAT, un software legítimo, se ha visto modificado por actores de amenaza, convirtiéndolo en una herramienta de ataque utilizada por ciberdelincuentes para obtener acceso no autorizado a equipos comprometidos de forma remota. Este RAT cuenta con la capacidad de capturar pulsaciones de teclado (Keylogger), grabar la pantalla, descubrir equipos interconectados en la misma red y recopilar información del sistema.

Nueva actividad maliciosa del ransomware RA World

Publicado: 18/03/2024 | Importancia: Media

El equipo de analistas del Csirt financiero ha detectado nueva actividad del ransomware RA World, distribuido por el actor malicioso conocido como RA Group. Este grupo, previamente observado en abril de 2023, aparentemente ha incorporado el código fuente filtrado del ransomware Babuk en sus operaciones. Diseñado específicamente para sistemas Windows, RA World utiliza cifrado intermitente para acelerar el proceso y evade la detección, además de vaciar la papelera de reciclaje.

Nueva campaña de RisePro stealer en repositorios de Github

Publicado: 17/03/2024 | Importancia: Media

El equipo del Csirt Financiero ha identificado una nueva campaña de distribución de malware a través de repositorios en GitHub, con el objetivo de instalar el Stealer RisePro en dispositivos de víctimas. Este stealer, inicialmente identificado en 2022, se ofrece a diferentes precios dependiendo de la duración del acceso a la amenaza, y presenta capacidades altamente peligrosas para la extracción de información confidencial.

Nueva variante del loader BunnyLoader

Publicado: 16/03/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del loader llamado BunnyLoader.

El grupo Blind Eagle utiliza un loader para difundir troyanos

Publicado: 16/03/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó el grupo Blind Eagle utilizando un loader llamado Ande Loader.

Nikki Stealer desarrollado mediante el framework Electron

Publicado: 15/03/2024 | Importancia: Media

Durante el monitoreo llevado a cabo por el equipo del Csirt Financiero, se observó nuevos detalles sobre "Nikki Stealer", un software malicioso disponible para su adquisición en plataformas como Discord o Telegram.