Alertas de seguridad

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2024

Nueva versión del troyano Necro

Publicado: 25/09/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva version del troyano llamado Necro.

Nueva variante del troyano bancario Octo

Publicado: 24/09/2024 | Importancia: Media

Nueva variante del ransomware Mallox afecta a Linux

Publicado: 23/09/2024 | Importancia: Media

Se ha identificado una nueva variante del ransomware Mallox, llamada “Mallox Linux 1.0”, que, como su nombre indica, afecta a sistemas Linux. Esta variante se basa en la plataforma RaaS Kryptina.

Nuevos indicadores de compromiso asociados a Rhadamanthys

Publicado: 22/09/2024 | Importancia: Media

Rhadamanthys es un stealer que extrae información sensible de equipos comprometidos, recopilando datos sobre hardware, software y detalles de acceso a carteras de criptomonedas.

Actividad relacionada con Akira Ransomware

Publicado: 21/09/2024 | Importancia: Media

Mediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.

Actividad relacionada con el backdoor NPhoneRing

Publicado: 20/09/2024 | Importancia: Media

Nuevos IoC relacionados con DarkTortilla

Publicado: 20/09/2024 | Importancia: Media

Durante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se han identificado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con DarkTortilla, un cifrador o loader basado en .NET que ha estado activo desde al menos agosto de 2015.

Nuevo RAT denominado SambaSpy

Publicado: 18/09/2024 | Importancia: Media

SambaSpy es un troyano de acceso remoto que se distribuye a través de correos electrónicos de phishing. Este malware tiene la capacidad de verificar si se ejecuta en un sistema con idioma italiano y en una máquina virtual, asegurando su efectividad en la cadena de infección.

Malware Clipper enfocado a usuarios de criptomonedas

Publicado: 17/09/2024 | Importancia: Media

Malware Clipper ataca a usuarios de criptomonedas al monitorear y manipular la actividad del portapapeles, lo que permite el desvío de transferencias a billeteras controladas por cibercriminales.

Nuevos artefactos relacionados con BLX Stealer

Publicado: 16/09/2024 | Importancia: Media

Mediante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó y recopilo nuevos indicadores de compromiso (IoC) relacionados con el stealer BLX, también conocido como XLABB.

Nuevos indicadores de compromiso relacionados con PureLogStealer

Publicado: 15/09/2024 | Importancia: Media

El stealer PureLogStealer captura datos sensibles, como información bancaria y de criptomonedas, empleando técnicas para evadir su detección y generar persistencia. Se conecta a un servidor C2 para enviar los datos recopilados y recibir instrucciones de parte del ciberdelincuente.

Nuevo grupo de ransomware llamado Lynx

Publicado: 14/09/2024 | Importancia: Media

Lynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.

Nuevo stealer denominado "Gomorrah" distribuido como Malware-as-a-Service (MaaS)

Publicado: 13/09/2024 | Importancia: Media

Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un stealer sofisticado denominado Gomorrah, que opera como una herramienta de Malware como Servicio (MaaS) y está diseñado principalmente para capturar y exfiltrar información sensible, como contraseñas, detalles de tarjetas de crédito. cookies de navegadores web y otras aplicaciones.

Loader Hadooken ataca Oracle Weblogic

Publicado: 12/09/2024 | Importancia: Media

Nuevo troyano bancario dirigido a dispositivos Android

Publicado: 12/09/2024 | Importancia: Media

Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un nuevo troyano dirigido a dispositivos Android, denominado Ajina.Banker, que posee grandes capacidades para capturar datos financieros y eludir la autenticación de dos factores a través de Telegram.

Nueva actividad maliciosa con el stealer Lumma

Publicado: 11/09/2024 | Importancia: Media

Se ha detectado una nueva amenaza del stealer LummaC2 y una extensión maliciosa de Google Chrome. Esta amenaza tiene la capacidad de robar información sensible de plataformas financieras y redes sociales, así como manipular el contenido web y ejecutar transacciones financieras fraudulentas.

Nueva cepa de ransomware denominada ScRansom implementada por el grupo APT CosmicBeetle

Publicado: 10/09/2024 | Importancia: Media

Este ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.

Nueva actividad relacionada con los troyanos bancarios Mekotio y BBtok

Publicado: 10/09/2024 | Importancia: Media

A través de las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa dirigida a usuarios de América Latina, vinculada a los troyanos bancarios Mekotio y BBtok. Los ciberdelincuentes responsables de esta campaña emplean correos electrónicos de phishing con señuelos basados en transacciones comerciales y judiciales, buscando persuadir a las víctimas para que descarguen los archivos maliciosos.

Nueva campaña del grupo Earth Preta

Publicado: 09/09/2024 | Importancia: Media

El equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.

Nueva amenaza de tipo backdoor denominado Loki

Publicado: 08/09/2024 | Importancia: Media

A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo backdoor denominado Loki. Este malware es detectado por las soluciones de seguridad de Kaspersky como Backdoor.Win64.MLoki, diferenciándose de otras familias como Loki Bot, Loki Locker, entre otros.

BlindEagle ataca el sector financiero de Colombia con BlotchyQuasar

Publicado: 08/09/2024 | Importancia: Media

Nuevo malware para Android

Publicado: 06/09/2024 | Importancia: Media

NUEVA ACTIVIDAD MALICIOSA PARA DISTRIBUIR HAVOC, BRUTE RATEL Y PHANTOMCORE

Publicado: 06/09/2024 | Importancia: Media

MacroPack, está siendo utilizados para distribuir malware avanzado como Havoc, Brute Ratel y PhantomCore. Se identifican las capacidades de evasión y persistencia, así como los métodos empleados por actores de amenazas para comprometer sistemas mediante macros maliciosas.

Nueva actividad maliciosa del Ransomware Mallox

Publicado: 05/09/2024 | Importancia: Media

Se ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.

Nueva puerta trasera para Microsoft Windows y Linux

Publicado: 04/09/2024 | Importancia: Media

Nueva actividad del troyano bancario Mispadu.

Publicado: 03/09/2024 | Importancia: Media

Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.

Nuevo ransomware como servicio Cicada3301

Publicado: 02/09/2024 | Importancia: Media

Nuevo grupo de ransomware como servicio (RaaS) denominado Cicada3301 emplea tácticas de doble extorsión: cifra datos y amenaza con filtrar información confidencial para presionar a las víctimas.

Malware Voldemort utiliza Google Sheets para exfiltrar datos

Publicado: 01/09/2024 | Importancia: Media

El malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.

Nueva campaña de distribución de WikiLoader

Publicado: 01/09/2024 | Importancia: Media

Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.

Nueva variante de Lumma Stealer

Publicado: 30/08/2024 | Importancia: Media

LummaC2 es un stealer escrito en C el cual es identificado como Malware as a Service (MaaS) con la capacidad de detectar si se encuentra ejecutando en un entorno seguro (sandbox), este está diseñado específicamente para obtener información sensible.