Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña de Lazarus: Distribución de GolangGhost con ClickFixDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña del grupo de amenazas Lazarus, que emplea la técnica "ClickFix" para distribuir el backdoor GolangGhost.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-lazarus-distribucion-de-golangghost-con-clickfixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña del grupo de amenazas Lazarus, que emplea la técnica "ClickFix" para distribuir el backdoor GolangGhost.
Nueva campaña de propagación del downloader TookPSDurante el constante monitoreo del Csirt Financiero, se ha identificado una nueva campaña de distribución del downloader TookPS, una amenaza previamente vinculada a campañas de la herramienta DeepSeek a principios de 2025. En esta ocasión, la propagación se realiza a través de páginas de phishing que imitan sitios de descarga de software popular de modelado 3D y herramientas de escritorio remoto, ofreciendo versiones aparentemente gratuitas de programas legítimos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-propagacion-del-downloader-tookpshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el constante monitoreo del Csirt Financiero, se ha identificado una nueva campaña de distribución del downloader TookPS, una amenaza previamente vinculada a campañas de la herramienta DeepSeek a principios de 2025. En esta ocasión, la propagación se realiza a través de páginas de phishing que imitan sitios de descarga de software popular de modelado 3D y herramientas de escritorio remoto, ofreciendo versiones aparentemente gratuitas de programas legítimos.
Nueva campaña de exfiltración de datos financieros llamada RolandskimmerDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una nueva campaña denominada RolandSkimmer, dirigida a usuarios de Microsoft Windows. En consecuencia, se ha observado el uso de técnicas de evasión y persistencia con el objetivo de capturar y exfiltrar información financiera confidencial, enfocándose especialmente en datos de tarjetas de crédito. Para ello, se vale de extensiones de navegador modificadas y scripts ofuscados que operan de manera encubierta, evitando generar alertas visibles en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-exfiltracion-de-datos-financieros-llamada-rolandskimmerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una nueva campaña denominada RolandSkimmer, dirigida a usuarios de Microsoft Windows. En consecuencia, se ha observado el uso de técnicas de evasión y persistencia con el objetivo de capturar y exfiltrar información financiera confidencial, enfocándose especialmente en datos de tarjetas de crédito. Para ello, se vale de extensiones de navegador modificadas y scripts ofuscados que operan de manera encubierta, evitando generar alertas visibles en los equipos comprometidos.
Nuevas técnicas avanzadas empleadas por HijackLoaderEl equipo de Csirt Financiero, mediante el monitoreo constante de amenazas, ha observado las últimas actualizaciones del malware HijackLoader, que ahora incluye módulos diseñados para mejorar su evasión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-avanzadas-empleadas-por-hijackloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero, mediante el monitoreo constante de amenazas, ha observado las últimas actualizaciones del malware HijackLoader, que ahora incluye módulos diseñados para mejorar su evasión.
Nuevo ransomware denominado MattVenomDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa relacionada con MattVenom, una nueva familia de ransomware diseñada para cifrar archivos en sistemas comprometidos. Esta amenaza se caracteriza por agregar extensiones aleatorias a los archivos cifrados (como .31jPB o .3c45b), dejándolos completamente inaccesibles para la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-mattvenomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa relacionada con MattVenom, una nueva familia de ransomware diseñada para cifrar archivos en sistemas comprometidos. Esta amenaza se caracteriza por agregar extensiones aleatorias a los archivos cifrados (como .31jPB o .3c45b), dejándolos completamente inaccesibles para la víctima.
Actividad maliciosa relacionada con campañas de troyanos de acceso remotoDurante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-campanas-de-troyanos-de-acceso-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.
Nuevo ransomware denominado ChewbaccaA través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada con el ransomware Chewbacca, una amenaza diseñada para cifrar archivos en los equipos comprometidos y exigir un rescate a cambio de la clave de descifrado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-chewbaccahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada con el ransomware Chewbacca, una amenaza diseñada para cifrar archivos en los equipos comprometidos y exigir un rescate a cambio de la clave de descifrado.
Nuevo RAT publicado en GitHub llamado SakuraRATDurante el monitoreo constante realizado por el Csirt Financiero, se identificó la publicación de un nuevo troyano de acceso remoto (RAT) denominado SakuraRAT, el cual fue liberado públicamente a través de la plataforma GitHub y está diseñado para otorgar control remoto sobre los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-publicado-en-github-llamado-sakurarathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo constante realizado por el Csirt Financiero, se identificó la publicación de un nuevo troyano de acceso remoto (RAT) denominado SakuraRAT, el cual fue liberado públicamente a través de la plataforma GitHub y está diseñado para otorgar control remoto sobre los equipos comprometidos.
Nueva actividad maliciosa relacionada con Neptune RATDurante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado actividad maliciosa relacionada con Neptune RAT, un troyano de acceso remoto diseñado para operar en sistemas operativos Windows el cual permite a los ciberdelincuentes obtener acceso y control remoto sobre los equipos comprometidoshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-neptune-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado actividad maliciosa relacionada con Neptune RAT, un troyano de acceso remoto diseñado para operar en sistemas operativos Windows el cual permite a los ciberdelincuentes obtener acceso y control remoto sobre los equipos comprometidos
Nueva actividad maliciosa de distintas familias de RATEl equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de múltiples troyanos de acceso remoto (RAT), específicamente AgentTesla, QuasarRAT y njRAT, los cuales estarían siendo utilizados por distintos grupos de ciberdelincuentes para comprometer equipos con sistemas operativos Windows, Linux y macOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-distintas-familias-de-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de múltiples troyanos de acceso remoto (RAT), específicamente AgentTesla, QuasarRAT y njRAT, los cuales estarían siendo utilizados por distintos grupos de ciberdelincuentes para comprometer equipos con sistemas operativos Windows, Linux y macOS.
Nueva actividad maliciosa asociada a ViperSoftXMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha identificado actividad maliciosa asociada a ViperSoftX, un stealer con capacidades propias de troyanos y herramientas de administración remota (RAT), el cual ha sido distribuido en campañas recientes por actores maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-a-vipersoftxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha identificado actividad maliciosa asociada a ViperSoftX, un stealer con capacidades propias de troyanos y herramientas de administración remota (RAT), el cual ha sido distribuido en campañas recientes por actores maliciosos.
Nueva campaña del grupo SideCopy haciendo uso de RAT personalizadosDurante los monitoreos constantes realizados por el equipo de analistas del Csirt Financiero, se ha identificado recientemente actividad atribuida al grupo APT SideCopy el cual ha desplegado nuevas campañas ampliando su espectro de objetivos, que tradicionalmente incluían sectores como defensa, universidades y asuntos marítimos, hacia entidades gubernamentales, ambientales y financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-sidecopy-haciendo-uso-de-rat-personalizadoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los monitoreos constantes realizados por el equipo de analistas del Csirt Financiero, se ha identificado recientemente actividad atribuida al grupo APT SideCopy el cual ha desplegado nuevas campañas ampliando su espectro de objetivos, que tradicionalmente incluían sectores como defensa, universidades y asuntos marítimos, hacia entidades gubernamentales, ambientales y financieras.
Nueva campaña phishing distribuye ConnectWiseEl equipo del Csirt Financiero ha identificado una nueva campaña maliciosa en la que actores de amenaza están distribuyendo correos electrónicos fraudulentos haciéndose pasar por el servicio legítimo de intercambio de archivos files.fm.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-phishing-distribuye-connectwisehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva campaña maliciosa en la que actores de amenaza están distribuyendo correos electrónicos fraudulentos haciéndose pasar por el servicio legítimo de intercambio de archivos files.fm.
Nueva actividad relacionada a SpyNoteEl equipo del CSIRT Financiero observó una nueva actividad relacionada con el troyano de acceso remoto SpyNote y su variante SpyMax, dirigida específicamente a dispositivos Android, que permite a cibercriminales tomar control remoto de los dispositivos comprometidos, facilitando la recolección y exfiltración de información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-a-spynote-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero observó una nueva actividad relacionada con el troyano de acceso remoto SpyNote y su variante SpyMax, dirigida específicamente a dispositivos Android, que permite a cibercriminales tomar control remoto de los dispositivos comprometidos, facilitando la recolección y exfiltración de información sensible.
Akirabot, automatización maliciosa de spam mediante IA y evasión de CAPTCHADurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa asociada a AkiraBot, un bot desarrollado en Python que pertenece a un conjunto de herramientas diseñadas para automatizar el envío masivo de contenido no deseado a través de formularios de contacto y chats embebidos en sitios web. Esta herramienta tiene como finalidad principal la promoción de servicios SEO de dudosa calidad, y ha tenido como objetivo a más de 420.000 dominios únicos, logrando enviar mensajes generados por IA a por lo menos 80.000 de ellos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/akirabot-automatizacion-maliciosa-de-spam-mediante-ia-y-evasion-de-captchahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa asociada a AkiraBot, un bot desarrollado en Python que pertenece a un conjunto de herramientas diseñadas para automatizar el envío masivo de contenido no deseado a través de formularios de contacto y chats embebidos en sitios web. Esta herramienta tiene como finalidad principal la promoción de servicios SEO de dudosa calidad, y ha tenido como objetivo a más de 420.000 dominios únicos, logrando enviar mensajes generados por IA a por lo menos 80.000 de ellos.
Nueva actividad maliciosa relacionada con BestPrivateLogger y Snake KeyloggerDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado actividad reciente vinculada a diversas familias de KeyLogger, específicamente BestPrivateLogger y Snake. Estas amenazas están orientadas a la captura de información sensible perteneciente a las víctimas, como credenciales de autenticación, datos financieros y otros contenidos confidenciales, a través de mecanismos como el registro de teclas, la obtención de capturas de pantalla y el monitoreo del portapapeles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-bestprivatelogger-y-snake-keyloggerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado actividad reciente vinculada a diversas familias de KeyLogger, específicamente BestPrivateLogger y Snake. Estas amenazas están orientadas a la captura de información sensible perteneciente a las víctimas, como credenciales de autenticación, datos financieros y otros contenidos confidenciales, a través de mecanismos como el registro de teclas, la obtención de capturas de pantalla y el monitoreo del portapapeles.
Nueva actividad relacionada a la distribución de Lokibot, Meterpreter y DarkcloudDurante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad vinculada a la distribución de tres troyanos con potencial impacto en el sector financiero: Lokibot, Meterpreter y Darkcloud.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-a-la-distribucion-de-lokibot-meterpreter-y-darkcloudhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad vinculada a la distribución de tres troyanos con potencial impacto en el sector financiero: Lokibot, Meterpreter y Darkcloud.
Nueva campaña distribuye el ransomware DOGEMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que distribuye ransomware denominado DOGE.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-el-ransomware-dogehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que distribuye ransomware denominado DOGE.
Nuevo método de distribución de malware con backdoor PowershellDurante las labores de monitoreo continuo, el Csirt Financiero ha identificado una campaña maliciosa que combina phishing dirigido a través de Microsoft Teams con una técnica de persistencia basada en el secuestro de TypeLib, para la distribución de un backdoor malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-malware-con-backdoor-powershellhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo, el Csirt Financiero ha identificado una campaña maliciosa que combina phishing dirigido a través de Microsoft Teams con una técnica de persistencia basada en el secuestro de TypeLib, para la distribución de un backdoor malicioso.
Nuevo stealer dirigido a equipos MacOS identificado como PasivRobberEl equipo de analistas del Csirt Financiero ha identificado a PasivRobber, un stealer dirigido a equipos MacOS que está diseñado para capturar información sensible desde aplicaciones de mensajería como WeChat y QQ, además de servicios de correo electrónico, navegadores web y plataformas en la nube.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-dirigido-a-equipos-macos-identificado-como-pasivrobberhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a PasivRobber, un stealer dirigido a equipos MacOS que está diseñado para capturar información sensible desde aplicaciones de mensajería como WeChat y QQ, además de servicios de correo electrónico, navegadores web y plataformas en la nube.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}