Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Cobalt Strike distribuido mediante sitios web tipo phishing suplantando a SophosEn el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una nueva campaña de phishing donde los actores de amenaza se hacen pasar por la compañía Sophos para distribuir la herramienta de pentesting conocida como Cobalt Strike, la cual también es utilizada por ciberdelincuentes para fines maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cobalt-strike-distribuido-mediante-sitios-web-tipo-phishing-suplantando-a-sophoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una nueva campaña de phishing donde los actores de amenaza se hacen pasar por la compañía Sophos para distribuir la herramienta de pentesting conocida como Cobalt Strike, la cual también es utilizada por ciberdelincuentes para fines maliciosos.
Código fuente de Cerberus publicado en foros clandestinosEn el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-fuente-de-cerberus-publicado-en-foros-clandestinoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.
Código fuente del troyano acceso remoto CodeRAT expuesto en repositorios de GitHubCodeRAT, es un troyano de acceso remoto (RAT) el cual está siendo utilizado por los ciberdelincuentes gracias a las grandes capacidades que ofrece esta amenaza; en esta ocasión se identificó que el código fuente de CodeRAT fue filtrado y expuesto en un repositorio de GitHub el cual permite que más ciberdelincuentes puedan adquirirlo permitiendo ejecutar el RAT ofreciendo al usuario remoto una amplia gama capacidades posteriores a la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-fuente-del-troyano-acceso-remoto-coderat-expuesto-en-repositorios-de-githubhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CodeRAT, es un troyano de acceso remoto (RAT) el cual está siendo utilizado por los ciberdelincuentes gracias a las grandes capacidades que ofrece esta amenaza; en esta ocasión se identificó que el código fuente de CodeRAT fue filtrado y expuesto en un repositorio de GitHub el cual permite que más ciberdelincuentes puedan adquirirlo permitiendo ejecutar el RAT ofreciendo al usuario remoto una amplia gama capacidades posteriores a la infección.
Código malicioso TorneT Backdoor compromete la seguridad de equiposDurante el monitoreo realizado por equipo de analistas del Csirt Financiero, se identificó una nueva amenaza cibernética denominada TorneT backdoor, un código malicioso dirigido a entidades en Polonia y Alemania.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-malicioso-tornet-backdoor-compromete-la-seguridad-de-equiposhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por equipo de analistas del Csirt Financiero, se identificó una nueva amenaza cibernética denominada TorneT backdoor, un código malicioso dirigido a entidades en Polonia y Alemania.
Colaboración entre Gamaredon y Turla amplía capacidades de espionaje digitalDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/colaboracion-entre-gamaredon-y-turla-amplia-capacidades-de-espionaje-digitalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.
Colección de kits de phishing a la venta en la deep webEl equipo del Csirt Financiero ha identificado la comercialización de un pack que contiene diversas plantillas para realizar phishing a todo tipo de organizaciones, entre las que se encuentran algunas entidades financieras. En total el pack está compuesto por más de 1300 kits de herramientas para realizar campañas de phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/coleccion-de-kits-de-phishing-a-la-venta-en-la-deep-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado la comercialización de un pack que contiene diversas plantillas para realizar phishing a todo tipo de organizaciones, entre las que se encuentran algunas entidades financieras. En total el pack está compuesto por más de 1300 kits de herramientas para realizar campañas de phishing.
Colibri Loader: nuevo cargador que contiene funciones de persistencia avanzadasEn el monitoreo continuo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado un nuevo cargador denominado Colibri Loader, sus primeras apariciones se presentaron en el mes de agosto de 2021, esta amenaza se encarga de distribuir y manejar cargas útiles en máquinas infectadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/colibri-loader-nuevo-cargador-que-contiene-funciones-de-persistencia-avanzadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado un nuevo cargador denominado Colibri Loader, sus primeras apariciones se presentaron en el mes de agosto de 2021, esta amenaza se encarga de distribuir y manejar cargas útiles en máquinas infectadas.
Comercio de tarjetas de crédito en el mercado negroEl equipo del Csirt financiero realiza seguimiento al comercio de las tarjetas de crédito en la Darknet. Se ha observado una disminución de los precios de las tarjetas en las diferentes tiendas del mercado negro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/comercio-de-tarjetas-de-credito-en-el-mercado-negrohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero realiza seguimiento al comercio de las tarjetas de crédito en la Darknet. Se ha observado una disminución de los precios de las tarjetas en las diferentes tiendas del mercado negro.
Compañía Diebold Nixdorf víctima de ransomware ProLock.En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/compania-diebold-nixdorf-victima-de-ransomware-prolockhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.
Comprometida plataforma en la nube de la OTANMediante el monitoreo a fuentes abiertas de información, se ha logrado identificar un ataque informático a la plataforma SOA & IdM que contiene información secreta de la Organización del Tratado del Atlántico (OTAN).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/comprometida-plataforma-en-la-nube-de-la-otanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo a fuentes abiertas de información, se ha logrado identificar un ataque informático a la plataforma SOA & IdM que contiene información secreta de la Organización del Tratado del Atlántico (OTAN).
Condi: La nueva Botnet DDoS que explota vulnerabilidades para ataques masivosEn un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/condi-la-nueva-botnet-ddos-que-explota-vulnerabilidades-para-ataques-masivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.
Constante actividad del troyano bancario NumandoNueva actividad del troyano bancario Numando, activo desde el año 2018 y dirigiendo sus campañas de infección principalmente a usuarios de Brasil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/constante-actividad-del-troyano-bancario-numandohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Conti ransomware con características avanzadas de cifrado en redesEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/conti-ransomware-con-caracteristicas-avanzadas-de-cifrado-en-redeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.
Continua la propagación de StealeriumMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/continua-la-propagacion-de-stealeriumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.
Continúa proliferando el ransomware Magniber en la naturalezaEl ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/continua-proliferando-el-ransomware-magniber-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.
Copperhedge, Taintedscribe y Pebbledash, malware distribuido por Hidden CobraEl equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copperhedge-taintedscribe-y-pebbledash-malware-distribuido-por-hidden-cobrahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivas.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_actividad-reciente-de-apt31-con-evolucion-tactica-y-nuevas-capacidades-ofensivashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
Ataques de Jackpotting en máquinas ATM DieboldEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_emotet-despliega-malspam-despues-de-5-meses-de-ausenciahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.
Indicadores de compromiso relacionados al troyano AnubisEn el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados a Anubis, conocido también como BankBot; un troyano bancario para dispositivos Android que permite exfiltrar credenciales de portales financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_indicadores-de-compromiso-relacionados-al-troyano-anubishttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados a Anubis, conocido también como BankBot; un troyano bancario para dispositivos Android que permite exfiltrar credenciales de portales financieros.
Nueva actividad asociada a SmartLoaderEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con SmartLoader, un loader avanzado utilizado por ciberdelincuentes para facilitar la distribución de amenazas como ransomware, troyanos bancarios y spyware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nueva-actividad-asociada-a-smartloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con SmartLoader, un loader avanzado utilizado por ciberdelincuentes para facilitar la distribución de amenazas como ransomware, troyanos bancarios y spyware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}