Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Emerge un nuevo troyano macOS denominado RustBucketEn el mundo de la ciberseguridad, los grupos de piratería informática patrocinados por estados y los grupos criminales continúan evolucionando y adaptándose a medida que buscan nuevas formas de explotar las vulnerabilidades de las organizaciones. Recientemente, se ha descubierto un nuevo troyano llamado RustBucket, el cual está diseñado para atacar el sistema MacOS de Apple a través de una aplicación disfrazada como un visor de PDF legítimo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-troyano-macos-denominado-rustbuckethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo de la ciberseguridad, los grupos de piratería informática patrocinados por estados y los grupos criminales continúan evolucionando y adaptándose a medida que buscan nuevas formas de explotar las vulnerabilidades de las organizaciones. Recientemente, se ha descubierto un nuevo troyano llamado RustBucket, el cual está diseñado para atacar el sistema MacOS de Apple a través de una aplicación disfrazada como un visor de PDF legítimo.
Emergen nuevas variantes de ransomware basadas en ContiDesde la filtración del código fuente del ransomware Conti en el ciberespacio, se han generado nuevas familias basadas en este, entre estos anteriormente habíamos reportado Meow y BlueSky; no obstante, se continúan identificando en la naturaleza, otras variantes como Putin Team, ScareCrow y Monti por mencionar algunas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emergen-nuevas-variantes-de-ransomware-basadas-en-contihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde la filtración del código fuente del ransomware Conti en el ciberespacio, se han generado nuevas familias basadas en este, entre estos anteriormente habíamos reportado Meow y BlueSky; no obstante, se continúan identificando en la naturaleza, otras variantes como Putin Team, ScareCrow y Monti por mencionar algunas.
Emergen nuevas variantes de W4SP stealerEn el ejercicio de monitorear las campañas en curso, relacionadas con actores de amenaza que emergen en la naturaleza descubrimos lo que parece ser el inicio de un nuevo esfuerzo por desplegar paquetes maliciosos a través de PyPI (Python Package Index); puntualmente se pretenden entregar el stealer W4SP, como una nueva variante que tiene nombres diferentes, pero con su mismo código fuente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emergen-nuevas-variantes-de-w4sp-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear las campañas en curso, relacionadas con actores de amenaza que emergen en la naturaleza descubrimos lo que parece ser el inicio de un nuevo esfuerzo por desplegar paquetes maliciosos a través de PyPI (Python Package Index); puntualmente se pretenden entregar el stealer W4SP, como una nueva variante que tiene nombres diferentes, pero con su mismo código fuente.
Emotet actualiza la plantilla de sus campañasEn el monitoreo realizado por el Csirt Financiero se ha identificado el envío masivo de mensajes de correo electrónico malspam para infectar equipos de cómputo con el troyano bancario Emotet. Las campañas más recientes de spam cuentan con enlaces para la descarga del malware o documentos con nombre relacionados a temas de facturación, datos financieros e información acerca del COVID-19.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-actualiza-la-plantilla-de-sus-campanashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado el envío masivo de mensajes de correo electrónico malspam para infectar equipos de cómputo con el troyano bancario Emotet. Las campañas más recientes de spam cuentan con enlaces para la descarga del malware o documentos con nombre relacionados a temas de facturación, datos financieros e información acerca del COVID-19.
Emotet busca distribuirse a través de falsa campaña climática.Desde el CSIRT Financiero se ha identificado una nueva campaña de malspam distribuyendo el troyano bancario Emotet en documentos de tipo Microsoft Word con macros maliciosas, con el fin de infectar los equipos de cómputo, esta campaña está enfocada a usuarios con intereses afines al medio ambiente ya que hace una invitación a un evento frente al cambio climático.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-busca-distribuirse-a-traves-de-falsa-campana-climaticahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña de malspam distribuyendo el troyano bancario Emotet en documentos de tipo Microsoft Word con macros maliciosas, con el fin de infectar los equipos de cómputo, esta campaña está enfocada a usuarios con intereses afines al medio ambiente ya que hace una invitación a un evento frente al cambio climático.
Emotet cambia la estructura de registro en el C2Por medio de fuentes de información, el CSIRT Financiero ha identificado alteraciones en el cliente del troyano Emotet. Este cambio está asociado a la forma como se registra el cliente ante el servidor de comando y control [C2]. Para consultar los indicadores de compromiso asociados a esta variante comuníquese con el CSIRT Financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-cambia-la-estructura-de-registro-en-el-c2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información, el CSIRT Financiero ha identificado alteraciones en el cliente del troyano Emotet. Este cambio está asociado a la forma como se registra el cliente ante el servidor de comando y control [C2]. Para consultar los indicadores de compromiso asociados a esta variante comuníquese con el CSIRT Financiero.
Emotet despliega Malspam después de 5 meses de ausenciaLuego de 5 meses Emotet ha resurgido con más de 250.000 mensajes de malspam enviados a destinatarios de correo electrónico en todo el mundo. Desde el pasado viernes los usuarios de Microsoft Office han recibido cientos de correos electrónicos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-despliega-malspam-despues-de-5-meses-de-ausenciahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Luego de 5 meses Emotet ha resurgido con más de 250.000 mensajes de malspam enviados a destinatarios de correo electrónico en todo el mundo. Desde el pasado viernes los usuarios de Microsoft Office han recibido cientos de correos electrónicos maliciosos.
Emotet GangCampaña dirigida a destinatarios con habla japonesa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-ganghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet Implementa Técnicas para secuestrar Hilos de Correo ElectrónicoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-implementa-tecnicas-para-secuestrar-hilos-de-correo-electronicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.
Emotet reaparece con nuevos métodos de evasión y movimiento lateralEn una de sus más recientes campañas maliciosas, se ha evidenciado nuevos comportamientos y vector de infección de la ya reconocida familia de malware Emotet, donde implementa varios módulos en sus actividades, uno de los que más destaca es en el protocolo del bloque de mensajes de servidor (SMB, por sus siglas en ingles) para realizar principalmente movimiento lateral en la infraestructura tecnológica infectada.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-reaparece-con-nuevos-metodos-de-evasion-y-movimiento-lateralhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En una de sus más recientes campañas maliciosas, se ha evidenciado nuevos comportamientos y vector de infección de la ya reconocida familia de malware Emotet, donde implementa varios módulos en sus actividades, uno de los que más destaca es en el protocolo del bloque de mensajes de servidor (SMB, por sus siglas en ingles) para realizar principalmente movimiento lateral en la infraestructura tecnológica infectada.
Emotet utiliza documentos Word con falsas actualizaciones de Microsoft para su distribuciónEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-utiliza-documentos-word-con-falsas-actualizaciones-de-microsoft-para-su-distribucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.
Empresa de ciberseguridad Fireeye fue víctima de ciberataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que la compañía FireEye ha sido atacada por ciberdelincuentes que, según la misma compañía, pueden ser patrocinados por alguna nación, ya que este ciberataque implementó técnicas novedosas no visualizadas anteriormente con métodos que contrarrestan las herramientas de seguridad y los exámenes forenses.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_paquetes-maliciosos-agregados-a-npm-para-distribuir-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que la compañía FireEye ha sido atacada por ciberdelincuentes que, según la misma compañía, pueden ser patrocinados por alguna nación, ya que este ciberataque implementó técnicas novedosas no visualizadas anteriormente con métodos que contrarrestan las herramientas de seguridad y los exámenes forenses.
Encadenamiento de vulnerabilidades para comprometer infraestructuras críticasEl constante monitoreo que realiza el equipo del Csirt Financiero permitió conocer una campaña que utiliza múltiples vulnerabilidades con el objetivo de comprometer una red, especialmente de infraestructuras consideradas como críticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/encadenamiento-de-vulnerabilidades-para-comprometer-infraestructuras-criticashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El constante monitoreo que realiza el equipo del Csirt Financiero permitió conocer una campaña que utiliza múltiples vulnerabilidades con el objetivo de comprometer una red, especialmente de infraestructuras consideradas como críticas.
EncryptHub aprovecha CVE-2025-26633 y Brave Support para desplegar cargas maliciosasDurante el monitoreo constante del Csirt Financiero se identificó una campaña maliciosa atribuida al grupo APT EncryptHub, también conocido como LARVA-208 o Water Gamayun, la cual aprovecha la vulnerabilidad CVE-2025-26633 y el abuso de la plataforma Brave Support para desplegar cargas maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/encrypthub-aprovecha-cve-2025-26633-y-brave-support-para-desplegar-cargas-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo constante del Csirt Financiero se identificó una campaña maliciosa atribuida al grupo APT EncryptHub, también conocido como LARVA-208 o Water Gamayun, la cual aprovecha la vulnerabilidad CVE-2025-26633 y el abuso de la plataforma Brave Support para desplegar cargas maliciosas.
Equipos Windows afectados por MidgeDropper.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Dropper llamado MidgeDropper.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/equipos-windows-afectados-por-midgedropperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Dropper llamado MidgeDropper.
Estados Unidos acusa a miembros de APT 41 de Ciberespionaje y Delitos CibernéticosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que el departamento de justicia de los Estados Unidos ha acusado a 7 personas de ser parte del grupo cibercriminal chino APT41 y de haber realizado las campañas de ciberespionaje y otros delitos cibernéticos en contra de organizaciones en Asia, Europa y América del Norte, pertenecientes a sectores como alimentos, finanzas, salud, hotelería, manufactura, telecomunicaciones y gobierno.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/estados-unidos-acusa-a-miembros-de-apt-41-de-ciberespionaje-y-delitos-ciberneticoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que el departamento de justicia de los Estados Unidos ha acusado a 7 personas de ser parte del grupo cibercriminal chino APT41 y de haber realizado las campañas de ciberespionaje y otros delitos cibernéticos en contra de organizaciones en Asia, Europa y América del Norte, pertenecientes a sectores como alimentos, finanzas, salud, hotelería, manufactura, telecomunicaciones y gobierno.
Esteganografía en campañas de Clickfix oculta malware en imágenes pngEl análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthyshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/esteganografia-en-campanas-de-clickfix-oculta-malware-en-imagenes-pnghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthys
Estructura vinculada a VexTrio explota páginas WordPress para realizar fraudesDurante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña relacionada con VexTrio, una red de distribución de comunicaciones que opera como intermediario entre sitios web comprometidos y páginas que ejecutan fraudes o engaños. Esta red trabaja junto a servicios conocidos como Help TDS y Disposable TDS, y tiene como objetivo redirigir a los visitantes de sitios legítimos hacia contenido fraudulento, como páginas falsas o aplicaciones dañinas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/estructura-vinculada-a-vextrio-explota-paginas-wordpress-para-realizar-fraudeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña relacionada con VexTrio, una red de distribución de comunicaciones que opera como intermediario entre sitios web comprometidos y páginas que ejecutan fraudes o engaños. Esta red trabaja junto a servicios conocidos como Help TDS y Disposable TDS, y tiene como objetivo redirigir a los visitantes de sitios legítimos hacia contenido fraudulento, como páginas falsas o aplicaciones dañinas.
EvilExtractor: herramienta de ataque con múltiples funciones maliciosas, incluyendo ransomware.EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evilextractor-herramienta-de-ataque-con-multiples-funciones-maliciosas-incluyendo-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.
Evolución continúa de Bumblebee en la naturalezaLa evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-continua-de-bumblebee-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}