Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Yellow Cockatoo ejecuta troyano RAT
Publicado: 08/12/2020 | Importancia: Media
El equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.
Malware Bandook apunta a múltiples sectores
Publicado: 28/11/2020 | Importancia: Media
En el monitoreo realizado por el Csirt Financiero, se evidencio una nueva ola de ataques dirigidos a múltiples industrias en las que se ha implementado una versión reestructurada del troyano de puerta trasera Bandook.
Nueva variante del troyano de acceso remoto CRAT con grandes capacidades evasivas
Publicado: 14/11/2020 | Importancia: Media
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado la presencia de una nueva variante del troyano de acceso remoto CRAT que afecta equipos con sistemas operativos Windows. Esta nueva variante se ha caracterizado por sus técnicas de evasión ante los sistemas antimalware al permitirle la ofuscación de código mediante clave XOR, ocultar los llamados a la API utilizadas, ejecutar parches sobre de funciones o rutinas en el momento de la ejecución para evadir los mecanismos de detección y las direcciones URL del servidor de comando y control (C2) con que establece comunicación.
Nuevo ejecutable distribuye AsyncRAT
Publicado: 15/10/2020 | Importancia: Media
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windows
Nuevo RAT desarrollado en Golang aprovecha vulnerabilidad Oracle Weblogic
Publicado: 11/10/2020 | Importancia: Alta
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano de acceso remoto (RAT) desarrollado en el framework Golang. La amenaza cibernética se encarga de explotar la vulnerabilidad CVE-2019-2725 de Oracle WebLogic RCE en las versiones 10.3.6.0.0 y 12.1.3.0.0.0, mediante la ejecución de código remoto dentro de una red sin la necesidad de credenciales, afectando los sistemas de información y servicios tecnológicos de servidores WebLogic.
PyVil Rat, Nuevo Malware del Grupo Evilnum
Publicado: 04/09/2020 | Importancia: Media
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano de acceso remoto (RAT) distribuido por el grupo cibercriminal Evilnum. Este troyano es denominado PyVil RAT y se ha distribuido a través de mensajes de correo tipo phishing.
TA2719 suplanta entidades financieras para distribuir RAT
Publicado: 27/08/2020 | Importancia: Media
En el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.
Aumento de actividad cibercriminal de Agent Tesla
Publicado: 10/08/2020 | Importancia: Media
El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia
Nuevo RAT de la familia Carbanak llamado Gosh para Linux
Publicado: 09/08/2020 | Importancia: Alta
Desde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.
Nueva campaña de malspam infecta los equipos con NjRAT y AsyncRAT
Publicado: 27/07/2020 | Importancia: Media
El equipo del Csirt Financiero ha evidenciado el envío masivo de mensajes de correo electrónico distribuyendo a njRAT y AsyncRAT, utilizan como asunto un supuesto pago realizado desde la entidad bancaria del usuario. Los ciberdelincuentes utilizan técnicas para persuadir y engañar a usuarios incautos, logrando que realicen la descarga y ejecución de archivos maliciosos, ya sea a través de URL o documentos adjuntos en los mensajes.
Nueva variante de AsyncRAT
Publicado: 06/07/2020 | Importancia: Media
El Csirt Financiero han identificado una nueva variante del troyano AsyncRAT, herramienta de acceso remoto utilizada en tareas de soporte como ayuda técnica o educativa. Los ciberdelincuentes aprovechando su popularidad la están utilizando para propagar malware en los equipos y exfiltrar información personal y datos sensibles de los usuarios.
Indicadores de compromiso relacionados al nuevo DarkVision RAT
Publicado: 28/06/2020 | Importancia: Media
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una posible amenaza para el sector financiero; DarkVision RAT, herramienta de acceso remoto que ha sido distribuida desde enero del presente año por un precio asequible a través de foros de la deep web.
Indicadores de compromiso relacionados a Parallax RAT
Publicado: 27/06/2020 | Importancia: Media
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se han identificado nuevos indicadores de compromiso asociados a Parallax RAT, un troyano de acceso remoto cuyo objetivo es tomar el control del equipo comprometido para exfiltrar información confidencial que encuentre.
Indicadores de compromiso relacionados al troyano Cerberus
Publicado: 24/06/2020 | Importancia: Media
En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso relacionados con el troyano bancario Cerberus, el cual tiene como objetivo exfiltrar información confidencial por medio de acceso remoto a usuarios con dispositivos Android.
Nuevos indicadores de compromiso asociados a NanoCore
Publicado: 20/06/2020 | Importancia: Media
Desde el continuo monitoreo realizado por el Csirt Financiero se han identificado nuevos indicadores de compromiso relacionados con NanoCore, el cual tiene como objetivo acceder a un equipo a través de protocolo de acceso remoto y obtener el control de este.
Última versión del bot Amadey instala malware adicional
Publicado: 05/06/2020 | Importancia: Media
En el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).
Nuevo grupo Vendetta afecta organizaciones de Europa y Latinoamérica
Publicado: 23/05/2020 | Importancia: Media
El nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.
RAT RevCode WebMonitor empaquetada en instalador Zoom.
Publicado: 05/05/2020 | Importancia: Media
El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.
Indicadores de compromiso relacionados al troyano Cerberus.
Publicado: 30/04/2020 | Importancia: Media
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Cerberus, el cual suplanta las aplicaciones móviles para infectar dispositivos Android, tomar acceso remoto y exfiltra información sensible.
Nuevos indicadores de compromiso asociados a .NET RAT.
Publicado: 14/04/2020 | Importancia: Media
Desde el Csirt Financiero se ha identificado una muestra de malware que explota la vulnerabilidad CVE-2019-0541 con el fin de lanzar la RAT (Herramienta de acceso remoto) .NET, la cual se conecta al servidor C2 (comando y control) que aloja un documento señuelo de COVID-19.
Indicadores de compromiso relacionados al malware RAT Orcus.
Publicado: 29/03/2020 | Importancia: Media
El equipo del Csirt Financiero ha detectado nueva actividad maliciosa de RAT Orcus que permite a los ciberdelincuentes tomar control de un equipo infectado y exfiltrar la información sensible.
Ciberdelincuentes distribuyen RAT Crimson en documentos maliciosos alusivos a COVID-19.
Publicado: 21/03/2020 | Importancia: Media
El equipo del Csirt Financiero ha identificado que ciberdelincuentes distribuyen el RAT (troyano de acceso remoto) denominado Crimson utilizando documentos maliciosos alusivos a COVID-19, los investigadores creen que este ataque es respaldado por algún gobierno.
Ciberdelincuentes aprovechan COVID-19 para distribuir RAT Ave María.
Publicado: 12/03/2020 | Importancia: Baja
El Csirt Financiero en su constante monitoreo de las nuevas amenazas que podrían afectar al sector, ha identificado que los ciberdelincuentes han aprovechado la alarma generada por COVID-19 para distribuir cargas útiles del RAT Ave María, el cual proporciona acceso y control total al equipo infectado
Nuevas actividades del troyano de acceso remoto Ave María
Publicado: 05/02/2020 | Importancia: Media
El troyano de acceso remoto modular conocido como Ave María se ha visto involucrado en recientes actividades de ciberdelincuentes, el malware tiene capacidades de infostealer, keylogger y es considerado de alto riesgo por su uso para obtener el control de equipos y la captura de datos.
Indicadores de compromiso asociados a Dacls RAT
Publicado: 20/12/2019 | Importancia: Baja
Desde el CSIRT Financiero se ha identificado nueva actividad asociada a Lazarus Group, el cual busca afectar a sistemas operativos Windows y Linux, utilizando un troyano de tipo RAT [Herramienta de Administración Remota, por sus siglas en inglés] el cual se identifica por el nombre de Dacls, buscando tomar control de la máquina comprometida.
Nuevos indicadores de compromiso asociados a BalkanRat.
Publicado: 09/12/2019 | Importancia: Media
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a BalkanRat, un malware de tipo RAT [Remote Access Trojan] que permite a los ciberdelincuentes tomar el control del equipo comprometido mediante línea de comandos para extraer información de tipo financiera y dar paso a otras familias de malware.
PyXie, una RAT escrita en Python
Publicado: 04/12/2019 | Importancia: Media
El CSIRT Financiero ha identificado una RAT (Troyano de acceso remoto), que ha sido escrito en Python llamado por investigadores como “PyXie” y está dirigida al sector industria, se ha visto este malware en conjunto con el malware Cobalt strike y un malware descargador similar al Shifu, en análisis realizados se ha verificado que este intenta realizar entrega de ransomware a usuarios infectados.
Indicadores de Compromiso identificados asociados a NanoCore
Publicado: 29/11/2019 | Importancia: Media
El CSIRT Financiero identifica indicadores de compromiso asociados al malware NanoCore, este tipo de amenaza utiliza las mismas técnicas mencionadas anteriormente, su distribución la realiza a través de correo electrónico, el cual incluye una URL maliciosa adjunta o documento con macros, con el fin de infectar usuarios de internet y así tomar control remoto de sus equipos.
Nuevas campañas del grupo APT TA505
Publicado: 22/10/2019 | Importancia: Media
El CSIRT Financiero a identificado nueva actividad del grupo TA505, en la que se evidencian tres campañas de phishing dirigidas a personas de habla griega, inglesa y francesa, en las que se envían correos con asuntos que pretenden engañar a los usuarios para que abran una URL o archivo adjunto, con el fin de lograr que se descargue la infección de malware llamado Get2.
Nuevos indicadores de compromiso asociados a campaña de FIN7
Publicado: 20/10/2019 | Importancia: Media
Fin7 es un grupo de ciberdelincuentes, del cual se tiene registro de actividad aproximadamente desde el año 2015. Este grupo desarrolló diferentes campañas enviando de manera masiva código malicioso por correo electrónico, es de aclarar que la gran mayoría de sus campañas han sido dirigidas al sector financiero con el fin de obtener datos sensibles de los usuarios afectados o en el peor de los casos, hasta ejecución de comandos remotos en cajeros automáticos ATM para lograr extraer dinero de los mismos.