Alertas de seguridad

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Descargador ParaSiteSnatcher instala extensiones en los navegadores para filtrar datos financieros

Publicado: 25/11/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo descargador llamado ParaSiteSnatcher que descarga extensiones maliciosas para navegadores web basados en Chromium.

Loader WailingCrab utiliza el protocolo MQTT como servidor de comando y control

Publicado: 24/11/2023 | Importancia: Media

Play ransomware ahora funciona como Ransomware as a Service (RaaS).

Publicado: 23/11/2023 | Importancia: Media

El equipo del Csirt Financiero realizó un monitoreo mediante diversas fuentes de información, donde se observó que los actores de amenaza están comercializando el ransomware Play, también conocido como PlayCrypt, en foros clandestinos de la Deep y Dark web bajo el modelo de Ransomware as a Service (RaaS).

Nuevas Campañas de phishing con Darkgate y Pikabot

Publicado: 21/11/2023 | Importancia: Media

El Csirt Financiero ha detectado una nueva campaña de distribución de los loaders DarkGate y PikaBot, las cuales adoptan tácticas similares a los ataques previos con el troyano QakBot. Las familias de malware DarkGate y PikaBot son preferidas por los ciberdelincuentes por su capacidad para servir como canales de entrega de cargas útiles adicionales a sistemas comprometidos.

Nueva variante del troyano conocido como Agent Tesla

Publicado: 20/11/2023 | Importancia: Media

Agent Tesla, reconocido por su capacidad de recopilar información a través de diversos vectores de ataque, como correos electrónicos de phishing con archivos adjuntos maliciosos, ha presentado una nueva variante identificada recientemente por el equipo de analistas del Csirt. Esta variante utiliza un archivo en formato de compresión ZPAQ para extraer datos de clientes de correo electrónico y navegadores web, aprovechando la mejor relación de compresión que ofrece ZPAQ en comparación con ZIP y RAR.

Grupo 8Base distribuye nueva variante del ransomware Phobos

Publicado: 18/11/2023 | Importancia: Media

Nueva campaña maliciosa de SEO#LURKER utilizan WinSCP como señuelo para distribuir Malware

Publicado: 18/11/2023 | Importancia: Media

Recientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó una nueva campaña maliciosa de tipo malvertising utilizando como señuelos la aplicación WinSCP para engañar a los usuarios y distribuir malware, aprovechándose de los anuncios de búsqueda dinámicos para inyectar su propio código malicioso a fuentes legítimas como las páginas de búsqueda de Google.

Nueva actividad maliciosa del troyano SystemBC es utilizado por diversos grupos APT de Ransomware

Publicado: 16/11/2023 | Importancia: Media

Recientemente, el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, identifico nuevas actividades maliciosas de diferentes grupos APT dedicados a la distribución de ransomware, donde están implementando el troyano denominado SystemBC, ya que es un malware multifuncional que se adapta a las necesitades de los ciberdelincuentes como un Proxi, Bot, Backdoor, RAT.

Ransomware LockBit aprovecha vulnerabilidad de Citrix para amenazar la seguridad financiera

Publicado: 15/11/2023 | Importancia: Media

A través de la vigilancia constante de diversas fuentes en busca de amenazas potenciales en el sector financiero, se ha detectado una nueva actividad maliciosa vinculada al ransomware LockBit. En esta ocasión, el grupo ha empleado exploits públicos para aprovechar la vulnerabilidad conocida como Citrix Bleed (CVE-2023-4966).

Nueva campaña maliciosa del troyano bancario Mispadu

Publicado: 15/11/2023 | Importancia: Media

Las campañas de phishing representan una de las técnicas más avanzadas y utilizadas por diversos grupos de ciberdelincuentes para difundir amenazas que pueden afectar entidades y organizaciones a nivel global. En este contexto, el equipo de analistas del Csirt financiero ha identificado una nueva actividad maliciosa en una campaña de phishing destinada a propagar el troyano bancario Mispadu en entidades de Latinoamérica.

Vulnerabilidad utilizada para distribuir variante del ransomware Cerber

Publicado: 14/11/2023 | Importancia: Media

Recientemente, el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva variante de la familia del ransomware Cerber denominada C3RB3R.

Nueva amenaza de tipo Wiper denominado BiBi

Publicado: 13/11/2023 | Importancia: Alta

Recientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información observó una nueva amenaza de tipo Wiper denominado BiBi-Windows desarrollado para evadir controles de seguridad, sobrescribir datos y la eliminación de archivos en los equipos infectados.

Nueva campaña Spam en la que promocionan material corporativo malicioso.

Publicado: 11/11/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una que se está distribuyendo a través de correos electrónicos tipo Spam.

TA505 explota vulnerabilidad de día cero para desplegar ransomware Clop

Publicado: 10/11/2023 | Importancia: Media

El ransomware Clop se destaca como una de las amenazas más notables en los foros de la Deep y Dark web, gracias a su versatilidad y capacidades que han atraído a diversos grupos de ciberdelincuentes. En esta ocasión, el equipo de analistas del Csirt ha identificado que los actores de amenazas, específicamente el grupo TA505, han aprovechado una vulnerabilidad de día cero para distribuir el ransomware Clop.

Nueva amenaza de BlueNoroff APT denominada ObjCShellz

Publicado: 07/11/2023 | Importancia: Media

Recientemente, se observó nueva actividad del grupo BlueNoroff APT, conocido por llevar a cabo actividades cibernéticas maliciosas, incluyendo ataques dirigidos a bancos y entidades financieras.

GootBot: Nueva variante de GootLoader

Publicado: 07/11/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero realizó un monitoreo en diversas fuentes de información, donde se observó una nueva variante de GootLoader denominada "GootBot". Su principal funcionalidad es habilitar el movimiento lateral en entornos empresariales y ha sido diseñado con técnicas específicas para evadir la detección.

Nueva actividad relacionada del infostealer Jupyter

Publicado: 07/11/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado una serie de actividades relacionadas con Jupyter Infostealer, un malware también conocido como Polazert, SolarMarker y Yellow Cockatoo. El cual hizo su primera aparición a finales de 2020 y en sus inicios utilizaba motores de búsqueda y publicidad maliciosa como vías de acceso inicial. Su objetivo era atraer a los usuarios a la descarga de software desde sitios web no confiables. A lo largo del tiempo, Jupyter Infostealer ha experimentado evoluciones notables en sus tácticas, buscando tanto evitar la detección como establecer una presencia duradera en los sistemas comprometidos.

Bot se encuentra realizando ataques distribuidos de denegación de servicio a servidores MySQL

Publicado: 07/11/2023 | Importancia: Media

Nuevo Stealer se distribuye por medio de webhooks maliciosos

Publicado: 06/11/2023 | Importancia: Media

Nueva amenaza para dispositivos Android de tipo dropper denominado SecuriDropper

Publicado: 06/11/2023 | Importancia: Media

El equipo del Csirt Financiero realizó un monitoreo a través de diversas fuentes de información, donde se observó la apareción de un nuevo dropper bajo la modalidad de Dropper-as-a-service (Daas) dirigido específicamente a dispositivos Android. SecuriDropper se destaca por su capacidad para eludir las recientes restricciones de seguridad implementadas por Google en Android 13 y su capacidad de entregar software malicioso adicional.

Nuevos indicadores de compromiso relacionados con Guloader

Publicado: 05/11/2023 | Importancia: Media

Recientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó nuevos indicadores de compromiso relacionados con GuLoader un troyano utilizado para infiltrar y propagar diversas familias de malware en los equipos comprometidos.

Nueva campaña maliciosa distribuye Lockbit ransomware y Vidar stealer

Publicado: 05/11/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo del Csirt Financiero a través de diversas fuentes de información, se observó una nueva actividad maliciosa que involucra la distribución de LockBit ransomware y Vidar Stealer, donde los actores de amenazas suplantan currículums y los utilizan como vector de ataque.

Nueva actividad del loader DarkGate

Publicado: 04/11/2023 | Importancia: Media

En el seguimiento a las amenazas conocidas, el Csirt Financiero ha observado nueva actividad del loader denominado DarkGate, en una campaña que se encuentra activa desde agosto del presente año la cual se dirige a organizaciones del sector bancario e industrial.

Nuevo RAT personalizable dirigido a sistemas operativos Windows

Publicado: 04/11/2023 | Importancia: Media

Actores de amenaza se encuentran distribuyendo el ransomware Phobos mediante RDP.

Publicado: 03/11/2023 | Importancia: Media

Nueva actividad maliciosa del troyano bancario Ermac

Publicado: 02/11/2023 | Importancia: Media

Aunque el troyano bancario Ermac ha sido previamente observado por el equipo de analistas del Csirt, estas amenazas continúan evolucionando en el ámbito de la ciberseguridad, generando nuevas variantes y actividad maliciosa.

Nueva actividad del ransomware HelloKitty

Publicado: 01/11/2023 | Importancia: Media

De acuerdo con la búsqueda de información en fuentes abiertas, se ha observado una nueva actividad por parte de la amenaza conocida como HelloKitty ransomware, los ciberdelincuentes detrás de esta familia se encuentran realizando actualización de sus tácticas y técnicas con la finalidad de comprometer diversas empresas a nivel global.

Ransomware Akira extiende su arsenal en América Latina

Publicado: 01/11/2023 | Importancia: Media

Akira es un ransomware que fue identificado en abril de este año y se ha destacado por afectar a múltiples países, entre estos se ha observado que se encuentra activo en América Latina. Los sectores que más suele impactar son los servicios financieros, educación, bienes raíces, manufacturero y consultoría. Por lo tanto, es importante entender las capacidades y funcionalidades de esta amenaza.

Software PyCharm troyanizado y distribuido a través de ADS

Publicado: 31/10/2023 | Importancia: Media

A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero observó una nueva campaña de Anuncios Dinámicos de Búsqueda(ADS); una campaña que se basa en la inyección de código en sitios web con la finalidad de promover versiones alteradas del Entorno de desarrollo integrado (IDE) para desarrolladores en lenguaje Python denominado PyCharm.

Recientes actividades relacionadas con el ransomware Knight

Publicado: 31/10/2023 | Importancia: Media

El ransomware Knight es un grupo de ransomware que surgió en 2023 y que ha adoptado tácticas de doble extorsión, cifrando los archivos de las víctimas y extrayendo datos con el propósito de extorsionar y obtener beneficios económicos.