Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad reciente de ShadowPad vinculada a explotación de WSUSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente en la que actores vinculados a grupos APT chinos explotaron la vulnerabilidad crítica CVE-2025-59287, presente en Microsoft Windows Server Update Services (WSUS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-shadowpad-vinculada-a-explotacion-de-wsushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente en la que actores vinculados a grupos APT chinos explotaron la vulnerabilidad crítica CVE-2025-59287, presente en Microsoft Windows Server Update Services (WSUS).
Actividad reciente del malware EmotetEl CSIRT Financiero recientemente identifica una campaña de malware que se distribuye a través de campañas de malspam (correo electrónico con malware adjunto). Según análisis realizado por el equipo se encontraron 2280 indicadores de compromiso relacionados al malware Emotet, esta amenaza está orientada a extraer datos de usuarios que resultaran infectados con el malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-del-malware-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero recientemente identifica una campaña de malware que se distribuye a través de campañas de malspam (correo electrónico con malware adjunto). Según análisis realizado por el equipo se encontraron 2280 indicadores de compromiso relacionados al malware Emotet, esta amenaza está orientada a extraer datos de usuarios que resultaran infectados con el malware.
Actividad reciente del ransomware QilinDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectaron nuevos indicadores de compromiso asociados al ransomware Qilin, una amenaza que ha mostrado un aumento significativo en su actividad a nivel global. Esta variante opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que permite que múltiples afiliados utilicen su infraestructura para afectar a organizaciones pertenecientes a diversos sectores. Su objetivo principal consiste en restringir el acceso a la información de la víctima mediante un proceso de cifrado y, posteriormente, ejercer presión extorsiva exigiendo un pago a cambio de la eventual recuperación de los datos y la no divulgación del contenido exfiltrado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-del-ransomware-qilinhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectaron nuevos indicadores de compromiso asociados al ransomware Qilin, una amenaza que ha mostrado un aumento significativo en su actividad a nivel global. Esta variante opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que permite que múltiples afiliados utilicen su infraestructura para afectar a organizaciones pertenecientes a diversos sectores. Su objetivo principal consiste en restringir el acceso a la información de la víctima mediante un proceso de cifrado y, posteriormente, ejercer presión extorsiva exigiendo un pago a cambio de la eventual recuperación de los datos y la no divulgación del contenido exfiltrado.
Actividad reciente del troyano DanaBotPor medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-del-troyano-danabothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.
Actividad reciente grupo FIN7El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-grupo-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.
Actividad reciente identificada por parte del Backdoor Vyveva atribuido al grupo LazarusEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-identificada-por-parte-del-backdoor-vyveva-atribuido-al-grupo-lazarushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.
Actividad reciente relacionada con Lokibot y AzorultDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha identificado actividad maliciosa relacionada con las familias de malware LokiBot y Azorult, ambas utilizadas por ciberdelincuentes para la captura de credenciales, información confidencial y otros datos sensibles, representando una amenaza significativa para la seguridad de los entornos digitales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-relacionada-con-lokibot-y-azorulthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha identificado actividad maliciosa relacionada con las familias de malware LokiBot y Azorult, ambas utilizadas por ciberdelincuentes para la captura de credenciales, información confidencial y otros datos sensibles, representando una amenaza significativa para la seguridad de los entornos digitales.
Actividad referente a la Bonet MoziMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC referentes a Mozi.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-referente-a-la-bonet-mozihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC referentes a Mozi.
Actividad relacionada al keylogger VIPKeyloggerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC de VIPKeylogger.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-al-keylogger-vipkeyloggerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC de VIPKeylogger.
Actividad relacionada con Akira RansomwareMediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-akira-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.
Actividad relacionada con AveMariaRATMediante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de AveMariaRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-avemariarathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de AveMariaRAT.
Actividad relacionada con DarkTortillaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-darktortillahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.
Actividad relacionada con el backdoor NPhoneRingMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con NPhoneRing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-el-backdoor-nphoneringhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con NPhoneRing.
Actividad troyano bancario Flubot para AndroidEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-troyano-bancario-flubot-para-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.
Actividades maliciosas recientes asociadas al troyano bancario UrsnifDurante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividades-maliciosas-recientes-asociadas-al-troyano-bancario-ursnifhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.
Actor de amenaza vende acceso a más de 5000 enrutadores ClaroEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actor-de-amenaza-vende-acceso-a-mas-de-5000-enrutadores-clarohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.
Actores de amenaza aprovechan el entorno Node.js para afectar la cadena de suministro de las entidadesDurante el primer trimestre del año 2023, investigadores de seguridad identificaron una amenaza cibernética que aprovechaba la herramienta NPM (sistema de gestión de paquetes por defecto para Node.js) con la finalidad de cargar paquetes que alojaban un script, que tiene el propósito de ejecutar software malicioso tras su previa implementación en la infraestructura informática.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-aprovechan-el-entorno-node-js-para-afectar-la-cadena-de-suministro-de-las-entidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el primer trimestre del año 2023, investigadores de seguridad identificaron una amenaza cibernética que aprovechaba la herramienta NPM (sistema de gestión de paquetes por defecto para Node.js) con la finalidad de cargar paquetes que alojaban un script, que tiene el propósito de ejecutar software malicioso tras su previa implementación en la infraestructura informática.
Actores de amenaza aprovechan vulnerabilidad de día cero para implementar un backdoorRecientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-aprovechan-vulnerabilidad-de-dia-cero-para-implementar-un-backdoorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.
Actores de amenaza desarrollan exploits para la vulnerabilidad CVE-2022-24521Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-desarrollan-exploits-para-la-vulnerabilidad-cve-2022-24521http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}