Alertas de seguridad

Nueva actividad maliciosa relacionada con el troyano Amadey

Publicado: 12/10/2024 | Importancia: Media

Se identifico el troyano Amadey, un malware ampliamente utilizado en campañas maliciosas para robar información confidencial, propagar ransomware y participar en actividades ilícitas como el envío de spam y ataques DDoS.

• Troyano
• Phishing
• Malware
• Amadey
• Ransomware
• Captura de credenciales
• Windows
• Instituciones Financieras

Malware Octo2 se oculta en aplicaciones para Android

Publicado: 11/10/2024 | Importancia: Media

Octo2 es un troyano bancario que se disfraza de aplicaciones legítimas en Android. Utiliza el dropper Zombinder para propagarse y emplea técnicas avanzadas para eludir la detección de sistemas de seguridad.

• Android
• Global
• Octo2
• Troyano bancario
• C2
• Recopilación de credenciales
• Suplantación de aplicaciones
• Algoritmo de generación de dominios (DGA)

Nuevas actividades del Ransomware Lynx

Publicado: 11/10/2024 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero, identificó una nueva actividad maliciosa relacionada con el Ransomware denominado Lynx, sucesor directo del Ransomware INC.

• Lynx Ransomware
• Ransomware
• Doble Extorsión
• Ransomware As A Service
• Ciberseguridad
• Exfiltración de Datos
• Amenazas Persistentes
• LynxLeaks
• Ataques Dirigidos
• Windows
• Cifrado Curve 25519
• Extorsión De Datos

Nuevos indicadores de compromiso relacionados con Guloader

Publicado: 10/10/2024 | Importancia: Media

A través de actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se han observado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con Guloader.

• AtaquesDirigidos
• Ransomware
• Técnicas De Ofuscación
• Phishing
• Evasión De Seguridad
• Inyección En Memoria
• Comando Y Control
• Amenazas Persistentes
• Loader
• Guloader

Dark Angels distribuye ransomware de terceros

Publicado: 09/10/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero, durante su monitoreo, ha detectado una nueva actividad maliciosa atribuida al grupo de ransomware Dark Angels.

• Ransomware
• Dark Angels
• Cifrado de archivos
• Exfiltración de Datos
• RagnarLocker
• Babuk
• RTM Locker
• Windows
• Linux
• Phishing
• Reconocimiento
• Escalada de privilegios
• Movimientos laterales
• Extorsión

Nueva campaña de distribución de Trojan.AutoIt.1443

Publicado: 09/10/2024 | Importancia: Media

Trojan.AutoIt.1443 es un troyano que oculta su malware tras archivos legítimos. Se especializa en criptominería y captura de datos, utilizando técnicas avanzadas para evadir detección y asegurar su persistencia en el equipo comprometido.

NUEVO LOADER DENOMINADO PHATOM PARA DISTRIBUIR SSLOAD

Publicado: 08/10/2024 | Importancia: Media

Se identifico un nuevo loader denominado PhantomLoader y el malware basado en Rust, SSLoad. Contando con técnicas evasivas y de anti-análisis empleadas, así como las posibles estrategias de mitigación.

• Rust
• SSLoad
• PhantomLoader
• anti-emulación
• anti-depuración
• técnica anti-emulación
• antimalware
• C2
• Técnicas evasivas

Malware LemonDuck explota vulnerabilidad de SMB

Publicado: 08/10/2024 | Importancia: Media

El malware de minería de criptomonedas LemonDuck está explotando la vulnerabilidad de SMB conocida como EternalBlue para comprometer sistemas, después de obtener acceso inicial mediante ataques de fuerza bruta.

• EternalBlue
• SMB
• Windows
• .BAT
• Explotación de vulnerabilidades conocidas
• CVE-2017-0144
• Minería de criptomonedas
• Global
• Malware
• LemonDuck
• Fuerza bruta

NUEVOS INDICADORES DE COMPROMISO CON LA BOTNET GAFGYT

Publicado: 07/10/2024 | Importancia: Media

Se comparte nuevos indicadores reciente relacionados de la botnet Gafgyt, también conocida como BASHLITE, que compromete dispositivos IoT vulnerables y los utiliza para lanzar ataques de denegación de servicio distribuido (DDoS).

• seguridad IoT
• ataques masivos
• contraseñas débiles
• Explotaciones de vulnerabilidades
• BASHLITE
• Gafgyt
• Ataque DDoS
• IOT
• botnet

Nuevo software malicioso denominado Yunit Stealer

Publicado: 07/10/2024 | Importancia: Media

Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan comprometer la infraestructura de los asociados, se observó un nuevo malware denominado Yunit Stealer, que destaca por sus capacidades avanzadas de captura de información, evasión y persistencia.

• Discord
• Telegram
• Webhooks
• PowerShell
• JavaScript
• Bots
• Persistencia
• Comando y Control (C2)
• Evasión de Detección
• Exfiltración de Datos
• Yunit Stealer

Nueva campaña de Awaken Likho emplea MeshCentral

Publicado: 07/10/2024 | Importancia: Media

El grupo APT Awaken Likho lanzó una nueva campaña en la que emplea la herramienta legítima MeshCentral para controlar equipos comprometidos. Mediante archivos comprimidos que ocultan scripts maliciosos, logran engañar a los usuarios y establecer comunicación con un servidor C2.

• C2
• MicrosoftEdgeUpdateTaskMachineMS
• MeshAgent
• URLs maliciosas
• Control remoto
• Windows
• MeshCentral
• Awaken Likho
• Rusia

Seguimiento a Redline Stealer

Publicado: 06/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Redline Stealer.

• Malware
• Tecnología Financiera
• Redline Stealer
• phishing
• T1566
• C2
• Deep y Dark web
• IoC
• Keylogger

Seguimiento al malware Snake Keylogger

Publicado: 06/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Snake Keylogger.

• Malware
• Tecnología Financiera
• Keylogger
• Snake Keylogger
• .NET
• IoC

Nueva actividad maliciosa de Mars Stealer

Publicado: 05/10/2024 | Importancia: Media

Se identifico una nueva actividad maliciosa del malware Mars Stealer, diseñado para capturar criptomonedas a través de la infiltración en extensiones de billeteras digitales y autenticación de dos factores.

• criptomonedas
• malware
• Mars Stealer
• descargas maliciosas
• phishing
• sistema operativo Windows
• billeteras digitales
• navegadores
• autenticación de dos factores

Nuevo Stealer denominado Vilsa

Publicado: 04/10/2024 | Importancia: Media

Se ha identificado un nuevo malware llamado "Vilsa Stealer", disponible en GitHub, que posee capacidades avanzadas para capturar credenciales, tokens de criptomonedas y datos confidenciales de aplicaciones. El stealer se destaca por su evasión de medidas de seguridad y generar persistencia en los sistemas comprometidos.

• Phishing
• Descarga de malware
• Vilsa Stealer
• Captura de Credenciales
• Exfiltración de Datos
• Windows
• Criptomonedas
• GitHub

Nueva campaña de actualizaciones falsas distribuye el backdoor WarmCookie

Publicado: 04/10/2024 | Importancia: Media

Mediante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una nueva campaña maliciosa asociada al grupo SocGolish, conocido por emplear una estrategia de ciberataque denominada “FakeUpdate”.

• Malware
• Backdoor
• WarmCookie
• SocGolish
• FakeUpdates
• Ciberataque
• Campañas de Phishing
• Windows
• Evasión de Detección
• Comando y Control (C2)
• Actualizaciones Falsas
• Seguridad Financiera
• JavaScript

Nuevos indicadores de compromiso asociados a Perfctl

Publicado: 03/10/2024 | Importancia: Media

Perfctl es un malware activo desde hace 3 a 4 años que logra el acceso a los servidores Linux mediante configuraciones incorrectas y vulnerabilidades, asegurando su persistencia generando varias copias en diversas ubicaciones.

• Perfctl
• Malware
• Linux
• Global
• Rootkits
• Explotación de vulnerabilidades
• Configuraciones Incorrectas
• Persistencia

Reciente actividad del grupo Andariel

Publicado: 02/10/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero observó una nueva actividad maliciosa atribuida al grupo norcoreano Andariel, también conocido como Stonefly, APT35, Silent Chollima y Onyx Sleet, el cual ha operado desde al menos 2009.

• Andariel
• Lazarus Group
• APT35
• Cibercrimen
• Malware
• Backdoor
• Ciberespionaje
• Exfiltración de Datos
• Mimikatz
• Sliver
• Chisel
• PuTTY
• Plink
• Snap2HTML
• FastReverseProxy

NUEVA BOTNET DENOMINADA GORILLABOT

Publicado: 01/10/2024 | Importancia: Media

se observó una actividad de GorillaBot, la cual lanzó más de 300.000 comandos de ataque DDoS, afectando a más de 100 países y sectores. La botnet, basada en el código fuente de Mirai, presenta capacidades avanzadas de persistencia, evasión y una gran variedad de vectores de ataque.

• ataques DDoS
• Hadoop Yarn RPC
• IoT
• Gorilla Botnet
• Mirai
• DDoS

Intrusión del ransomware BlackCat a través del malware Nitrogen

Publicado: 30/09/2024 | Importancia: Media

Se identificó el uso del malware Nitrogen para desplegar el ransomware BlackCat. Los ciberdelincuentes implementaron balizas, realizaron descubrimiento de red y utilizaron herramientas para obtener credenciales y distribuir el ransomware en el dominio.

• Malvertising
• Nitrogen
• BlackCat
• Malware
• Ransomware
• Python
• Scripts
• C2
• Global
• Persistencia