-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Detección de campaña de phishing dirigida que distribuye Snake Keylogger
Publicado: 20/07/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con Snake Keylogger.
Nueva actividad asociada al stealer Lumma
Publicado: 19/07/2025 | Importancia: Media
Lumma es una amenaza de tipo stealer que permite a los cibercriminales capturar información sensible de los navegadores de las víctimas, incluyendo credenciales, cookies y tokens de sesión. Esta amenaza se propaga principalmente mediante sitios web falsos que simulan ofrecer software “crackeado” y utiliza archivos comprimidos con múltiples capas de ofuscación. Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
Nuevo malware para macOS denominado NimDoor atribuido al grupo APT BlueNoroff
Publicado: 19/07/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza avanzada denominada NimDoor, un malware diseñado específicamente para sistemas macOS y atribuido a actores de amenazas afiliados a Corea del Norte, en particular al grupo BlueNoroff (también conocido como TA444, APT38 o Stardust Chollima).
Nueva actividad de SquidLoader
Publicado: 16/07/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de SquidLoader.
Nuevo stealer en circulación denominado Octalyn
Publicado: 14/07/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva amenaza denominada Octalyn, un stealer desarrollado en C++ vinculado al actor de amenazas Medusa Team.
Nueva actividad maliciosa relacionada con el ransomware BlackSuit
Publicado: 14/07/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó nueva actividad maliciosa relacionada con BlackSuit, una variante de ransomware operada por actores previamente vinculados a Royal ransomware.
Nueva actividad maliciosa distribuye Interlock RAT en PHP mediante sitios comprometidos
Publicado: 13/07/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva variante del troyano de acceso remoto Interlock RAT.
Evolución de Atomic macOS Stealer
Publicado: 13/07/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó nueva actividad maliciosa relacionada con Atomic macOS Stealer (AMOS).
Nueva actividad de Nitrogen
Publicado: 12/07/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Nitrogen.
Nueva actividad maliciosa asociada a AveMariaRAT
Publicado: 12/07/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa vinculada a AveMariaRAT, un troyano de acceso remoto con capacidades avanzadas de espionaje, evasión, persistencia y control total del equipo comprometido, esta amenaza se dirige principalmente a organizaciones del ámbito corporativo a nivel global y se distribuye a través de campañas de phishing con documentos maliciosos de Microsoft Office.
Actividad reciente del ransomware Qilin
Publicado: 12/07/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectaron nuevos indicadores de compromiso asociados al ransomware Qilin, una amenaza que ha mostrado un aumento significativo en su actividad a nivel global. Esta variante opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que permite que múltiples afiliados utilicen su infraestructura para afectar a organizaciones pertenecientes a diversos sectores. Su objetivo principal consiste en restringir el acceso a la información de la víctima mediante un proceso de cifrado y, posteriormente, ejercer presión extorsiva exigiendo un pago a cambio de la eventual recuperación de los datos y la no divulgación del contenido exfiltrado.
Nueva campaña dirigida a MacOS.
Publicado: 12/07/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZuRu.
Nueva actividad del ransomware SafePay pone en riesgo a organizaciones a nivel global
Publicado: 11/07/2025 | Importancia: Media
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa asociada al ransomware SafePay, una amenaza que ha ganado fuerza rápidamente durante 2025 y que ha afectado a múltiples organizaciones en todo el mundo, especialmente a empresas de servicios tecnológicos y negocios de tamaño pequeño y mediano.
Nueva campaña de ransomware que utiliza PowerShell y GitHub para cifrar archivos con extensión “.ENCRYPT”
Publicado: 10/07/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa que distribuye una variante de ransomware basada en PowerShell a través de la plataforma GitHub.
Nueva campaña maliciosa del troyano bancario Anatsa dirigida a Norteamérica
Publicado: 10/07/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó nueva actividad maliciosa asociada al troyano bancario Anatsa, caracterizado por su enfoque altamente dirigido a dispositivos Android
Nueva actividad maliciosa relacionada con el stealer NordDragonScan
Publicado: 07/07/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el stealer NordDragonScan, una amenaza dirigida a sistemas Windows.
Stealers aprovechan SHELLTER Elite para evadir detección
Publicado: 07/07/2025 | Importancia: Media
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se ha evidenciado la existencia de múltiples campañas maliciosas que hacen uso de la herramienta SHELLTER para distribuir troyanos como lumma, arechclient2 y rhadamanthys
Grupo ciberdelincuente ofrece nuevo stealer
Publicado: 06/07/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo stealer.
Nuevos indicadores de compromiso relacionados con VenomRAT
Publicado: 06/07/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó actividad maliciosa reciente vinculada con VenomRAT.
Nueva actividad maliciosa asociada a XWorm
Publicado: 05/07/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectaron recientes indicadores de compromiso asociados a XWorm, un troyano de acceso remoto (RAT) caracterizado por su arquitectura modular y capacidad de adaptación. Esta variante de malware está orientada a facilitar el acceso sigiloso a los equipos comprometidos y la posterior exfiltración de información, brindando a los ciberdelincuentes funcionalidades para ejecutar comandos de forma remota, capturar datos sensibles como pulsaciones de teclado y contenido del portapapeles, así como mantener control sobre el sistema afectado.
Abuso del instalador Inno Setup en campañas de distribución de RedLine Stealer
Publicado: 04/07/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se detectó una campaña dirigida a la distribución del stealer RedLine, la cual se vale del uso indebido del instalador legítimo Inno Setup para insertar software malicioso en los equipos de las víctimas. Esta herramienta, reconocida por simplificar la instalación de aplicaciones en sistemas Windows, ha sido explotada por ciberdelincuentes gracias a su aspecto confiable y a las capacidades de scripting en Pascal, permitiendo encubrir componentes maliciosos dentro de instaladores que aparentan ser legítimos.
Nueva botnet denominada Hpingbot
Publicado: 03/07/2025 | Importancia: Media
Durante labores de monitoreo continuo, el equipo de analistas del Csirt Financiero identificó actividad asociada a Hpingbot, una botnet desarrollada en Go con versiones para Windows, Linux e IoT.
Nueva campaña maliciosa de DcRAT dirigida a Colombia
Publicado: 02/07/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ingeniería social que emplea tácticas de suplantación de identidad del gobierno colombiano para propagar el troyano de acceso remoto DcRAT.
Nueva variante de ransomware vinculada a DragonForce denominada Devman
Publicado: 02/07/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se detectó la aparición de un ransomware denominado Devman, el cual ha sido recientemente asociado al grupo identificado como DragonForce.
Nueva actividad maliciosa aprovecha vulnerabilidad crítica en Langflow para instalar Flodrix
Publicado: 01/07/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa activa que explota una vulnerabilidad crítica en Langflow, catalogada como CVE-2025-3248 y con una puntuación CVSS de 9.8, la cual afecta a versiones anteriores a la 1.3.0.
DBatLoader distribuye Remcos RAT
Publicado: 30/06/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DBatLoader y RemcosRAT.
Blind Eagle (APT-C-36) utiliza infraestructura Proton66 en campaña maliciosa activa
Publicado: 30/06/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña sigilosa atribuida al grupo Blind Eagle, también conocido como APT-C-36, la cual utiliza el servicio de alojamiento ruso Proton66 como base para su infraestructura de phishing y distribución de malware.
Actividad maliciosa asociada a Blind Eagle (APT-C-36) en Colombia
Publicado: 30/06/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo Blind Eagle (APT-C-36), una agrupación de cibercriminales activa desde 2018, conocida por ejecutar campañas dirigidas contra organizaciones en América Latina, especialmente en Colombia.
Nueva campaña de suplantación de marca
Publicado: 29/06/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña phishing.
Nueva actividad relacionada a Masslogger
Publicado: 28/06/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al stealer MassLogger, una amenaza que ha mantenido operaciones constantes a nivel global.