Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad y evolución de Blister LoaderBlister Loader es un cargador de malware que emergió por primera vez en el radar de la ciberseguridad en 2021. En su inicio, los actores de amenaza que lo operan realizaban las intrusiones por motivos financieros. Sin embargo, desde entonces ha evolucionado de manera constante, mejorando sus capacidades, adaptándose para eludir la detección y complicar el análisis de seguridad convirtiéndose en una amenaza emergente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-y-evolucion-de-blister-loaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Blister Loader es un cargador de malware que emergió por primera vez en el radar de la ciberseguridad en 2021. En su inicio, los actores de amenaza que lo operan realizaban las intrusiones por motivos financieros. Sin embargo, desde entonces ha evolucionado de manera constante, mejorando sus capacidades, adaptándose para eludir la detección y complicar el análisis de seguridad convirtiéndose en una amenaza emergente.
Nueva actividad y distribución relacionada con PoseidónA través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero en busca de nuevas campañas o actividades que puedan afectar la infraestructura del asociado, se ha observado una nueva actividad relacionada con un stealer llamado Poseidón, que tiene la capacidad de capturar y extraer información confidencial de sistemas macOS, incluidos datos financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-y-distribucion-relacionada-con-poseidonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero en busca de nuevas campañas o actividades que puedan afectar la infraestructura del asociado, se ha observado una nueva actividad relacionada con un stealer llamado Poseidón, que tiene la capacidad de capturar y extraer información confidencial de sistemas macOS, incluidos datos financieros.
Nueva actividad relacionada del infostealer JupyterEl equipo de analistas del Csirt Financiero ha detectado una serie de actividades relacionadas con Jupyter Infostealer, un malware también conocido como Polazert, SolarMarker y Yellow Cockatoo. El cual hizo su primera aparición a finales de 2020 y en sus inicios utilizaba motores de búsqueda y publicidad maliciosa como vías de acceso inicial. Su objetivo era atraer a los usuarios a la descarga de software desde sitios web no confiables. A lo largo del tiempo, Jupyter Infostealer ha experimentado evoluciones notables en sus tácticas, buscando tanto evitar la detección como establecer una presencia duradera en los sistemas comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-del-infostealer-jupyterhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado una serie de actividades relacionadas con Jupyter Infostealer, un malware también conocido como Polazert, SolarMarker y Yellow Cockatoo. El cual hizo su primera aparición a finales de 2020 y en sus inicios utilizaba motores de búsqueda y publicidad maliciosa como vías de acceso inicial. Su objetivo era atraer a los usuarios a la descarga de software desde sitios web no confiables. A lo largo del tiempo, Jupyter Infostealer ha experimentado evoluciones notables en sus tácticas, buscando tanto evitar la detección como establecer una presencia duradera en los sistemas comprometidos.
Nueva actividad relacionada con WezRATDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa vinculada al backdoor conocido como WezRAT, atribuido al grupo cibernético iraní Emennet Pasargad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-wezrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa vinculada al backdoor conocido como WezRAT, atribuido al grupo cibernético iraní Emennet Pasargad.
Nueva actividad relacionada con VipKeyLoggerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con VipKeyLogger.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-vipkeyloggerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con VipKeyLogger.
Nueva actividad relacionada con TROX StealerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TROX Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-trox-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TROX Stealer.
Nueva actividad relacionada con Strela StealerDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado nueva actividad relacionada con el stealer Strela. Se trata de una amenaza que compromete sistemas a través de técnicas de ejecución de código malicioso, aprovechando vulnerabilidades en la configuración de seguridad y en la gestión de archivos ejecutables. Utiliza métodos como la manipulación de scripts y el abuso de herramientas legítimas del sistema para evadir detección y obtener persistencia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-strela-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado nueva actividad relacionada con el stealer Strela. Se trata de una amenaza que compromete sistemas a través de técnicas de ejecución de código malicioso, aprovechando vulnerabilidades en la configuración de seguridad y en la gestión de archivos ejecutables. Utiliza métodos como la manipulación de scripts y el abuso de herramientas legítimas del sistema para evadir detección y obtener persistencia.
Nueva actividad relacionada con Raven StealerA través de actividades realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el stealer Raven, lo que indica que sus operadores continúan desarrollando y desplegando variantes activas de este malware, el cual está diseñado específicamente para afectar navegadores basados en Chromium, como Google Chrome, Microsoft Edge y Brave, extrayendo información sensible almacenada localmente, incluyendo contraseñas, cookies, datos de autocompletado y detalles de pago.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-raven-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el stealer Raven, lo que indica que sus operadores continúan desarrollando y desplegando variantes activas de este malware, el cual está diseñado específicamente para afectar navegadores basados en Chromium, como Google Chrome, Microsoft Edge y Brave, extrayendo información sensible almacenada localmente, incluyendo contraseñas, cookies, datos de autocompletado y detalles de pago.
Nueva actividad relacionada con Lumma StealerMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado nueva actividad del Lumma Stealer, también conocido como LummaC2 Stealer. Este stealer, escrito en C, opera como parte de un servicio de malware-as-a-service (MaaS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-lumma-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado nueva actividad del Lumma Stealer, también conocido como LummaC2 Stealer. Este stealer, escrito en C, opera como parte de un servicio de malware-as-a-service (MaaS).
Nueva actividad relacionada con los troyanos bancarios Mekotio y BBtokA través de las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa dirigida a usuarios de América Latina, vinculada a los troyanos bancarios Mekotio y BBtok. Los ciberdelincuentes responsables de esta campaña emplean correos electrónicos de phishing con señuelos basados en transacciones comerciales y judiciales, buscando persuadir a las víctimas para que descarguen los archivos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-los-troyanos-bancarios-mekotio-y-bbtokhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa dirigida a usuarios de América Latina, vinculada a los troyanos bancarios Mekotio y BBtok. Los ciberdelincuentes responsables de esta campaña emplean correos electrónicos de phishing con señuelos basados en transacciones comerciales y judiciales, buscando persuadir a las víctimas para que descarguen los archivos maliciosos.
Nueva actividad relacionada con los ransomware Inlock y XoristLos actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-los-ransomware-inlock-y-xoristhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.
Nueva actividad relacionada con las botnet FICORA y CAPSAICINA través del monitoreo constante realizado por el equipo de analistas del CSIRT Financiero, se ha identificado una nueva actividad maliciosa relacionada con las botnets FICORA y CAPSAICIN, las cuales corresponden, respectivamente, a variantes de Mirai y Kaiten.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-las-botnet-ficora-y-capsaicinhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo constante realizado por el equipo de analistas del CSIRT Financiero, se ha identificado una nueva actividad maliciosa relacionada con las botnets FICORA y CAPSAICIN, las cuales corresponden, respectivamente, a variantes de Mirai y Kaiten.
Nueva actividad relacionada con Kawa4096Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a Kawa4096, un grupo de ransomware detectado por primera vez en junio de 2025 y que ha tenido como objetivo a organizaciones de carácter multinacional en sectores como finanzas, educación y servicios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-kawa4096http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a Kawa4096, un grupo de ransomware detectado por primera vez en junio de 2025 y que ha tenido como objetivo a organizaciones de carácter multinacional en sectores como finanzas, educación y servicios.
Nueva actividad relacionada con FleshStealer y Snake StealerEl equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa vinculada a FleshStealer y SnakeStealer, amenazas especializadas en la captura y exfiltración de información sensible, estos stealer, activos desde septiembre de 2024 y noviembre de 2020 respectivamente, poseen capacidades avanzadas para obtener credenciales, información financiera y códigos de autenticación multifactor (2FA), principalmente afectan aplicaciones como navegadores, clientes de correo y billeteras de criptomonedas, utilizando técnicas para evadir la detección y mantener accesos persistentes en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-fleshstealer-y-snake-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa vinculada a FleshStealer y SnakeStealer, amenazas especializadas en la captura y exfiltración de información sensible, estos stealer, activos desde septiembre de 2024 y noviembre de 2020 respectivamente, poseen capacidades avanzadas para obtener credenciales, información financiera y códigos de autenticación multifactor (2FA), principalmente afectan aplicaciones como navegadores, clientes de correo y billeteras de criptomonedas, utilizando técnicas para evadir la detección y mantener accesos persistentes en los equipos comprometidos.
Nueva actividad relacionada con el troyano LampionEn el monitoreo realizado a fuentes abiertas de información a las amenazas que puedan llegar a generar impacto a los asociados del Csirt Financiero, el equipo de analistas ha observado nueva actividad del troyano denominado Lampion, el cual se dirige principalmente a usuarios de habla portuguesa (Brasil y Portugal).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-lampionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información a las amenazas que puedan llegar a generar impacto a los asociados del Csirt Financiero, el equipo de analistas ha observado nueva actividad del troyano denominado Lampion, el cual se dirige principalmente a usuarios de habla portuguesa (Brasil y Portugal).
Nueva actividad relacionada con el troyano de acceso remoto XWormEl equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso vinculados a XWorm, un troyano de acceso remoto diseñado para proporcionar a los atacantes control total sobre los equipos comprometidos. Este RAT destaca por su amplia distribución y su alto grado de adaptabilidad, empleando técnicas avanzadas para evadir la detección y garantizar su persistencia en los equipos afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-de-acceso-remoto-xwormhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso vinculados a XWorm, un troyano de acceso remoto diseñado para proporcionar a los atacantes control total sobre los equipos comprometidos. Este RAT destaca por su amplia distribución y su alto grado de adaptabilidad, empleando técnicas avanzadas para evadir la detección y garantizar su persistencia en los equipos afectados.
Nueva actividad relacionada con el troyano de acceso remoto DcRatMediante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada a DcRAT también conocido como DarkCrystal, un troyano de acceso remoto que proporciona a los ciberdelincuentes acceso remoto y control total sobre los equipos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-de-acceso-remoto-dcrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada a DcRAT también conocido como DarkCrystal, un troyano de acceso remoto que proporciona a los ciberdelincuentes acceso remoto y control total sobre los equipos infectados.
Nueva actividad relacionada con el troyano de acceso remoto AsyncRATDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el troyano de acceso remoto AsyncRAT, en la cual los actores de amenaza están distribuyendo este RAT mediante un archivo comprimido disfrazado de libro electrónico con código malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-de-acceso-remoto-asyncrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el troyano de acceso remoto AsyncRAT, en la cual los actores de amenaza están distribuyendo este RAT mediante un archivo comprimido disfrazado de libro electrónico con código malicioso.
Nueva actividad relacionada con el troyano bancario QakbotUno de los troyanos bancarios más prolíficos en la naturaleza es Qakbot, pues desde su aparición en 2007 los actores de esta amenaza no han detenido su operación, con esto han desarrollado y mantenido campañas dirigidas a entidades financieras a nivel mundial; partiendo de lo anterior la actividad relacionada con este troyano ha hecho que se posicione como una de las amenazas más relevantes, de ahí que durante su evolución implemente capacidades dirigidas a capturar mayor cantidad de información sensible de sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-bancario-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los troyanos bancarios más prolíficos en la naturaleza es Qakbot, pues desde su aparición en 2007 los actores de esta amenaza no han detenido su operación, con esto han desarrollado y mantenido campañas dirigidas a entidades financieras a nivel mundial; partiendo de lo anterior la actividad relacionada con este troyano ha hecho que se posicione como una de las amenazas más relevantes, de ahí que durante su evolución implemente capacidades dirigidas a capturar mayor cantidad de información sensible de sus víctimas.
Nueva actividad relacionada con el troyano bancario AlienLos troyanos bancarios son una amenaza constante la naturaleza, durante los últimos años los actores de amenaza han desarrollado múltiples familias dirigidas a usuarios de sistemas operativos móviles, especialmente Android debido a su gran porcentaje de usuarios; así mismo suelen prevalecer en el ciberespacio como es el caso de Alien, que apareció en febrero de 2020 ofertado en foros clandestinos como MaaS ( Malware as a Service, por sus siglas en inglés) desde aquel entonces su actividad ha sido constante, por lo cual en el ejercicio de monitorearlo se observó una nueva campaña que pretende engañar a las víctimas con una falsa actualización del sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-bancario-alienhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios son una amenaza constante la naturaleza, durante los últimos años los actores de amenaza han desarrollado múltiples familias dirigidas a usuarios de sistemas operativos móviles, especialmente Android debido a su gran porcentaje de usuarios; así mismo suelen prevalecer en el ciberespacio como es el caso de Alien, que apareció en febrero de 2020 ofertado en foros clandestinos como MaaS ( Malware as a Service, por sus siglas en inglés) desde aquel entonces su actividad ha sido constante, por lo cual en el ejercicio de monitorearlo se observó una nueva campaña que pretende engañar a las víctimas con una falsa actualización del sistema.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}