Alertas de seguridad

Bat

El cargador GuLoader es distribuido mediante facturas fiscales y hojas de ruta disfrazadas.

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una nueva actividad del cargador GuLoader el cual está siendo distribuido mediante correos electrónicos que contienen archivos adjuntos disfrazados de facturas fiscales y hojas de ruta, estas hojas acompañan al contrato de transporte de mercancías que se realiza entre un expedidor y el transportista.

Leer Más

Nueva versión del troyano de acceso remoto STRRAT implementa técnicas de ofuscación.

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó la nueva versión 1.6 de STRRAT, un troyano de acceso remoto basado en Java, que surgió en el año 2020, la cual fue actualizada y mejorada incorporando técnicas avanzadas de ofuscación de cadenas.

Leer Más

Se identifica nueva actividad del troyano bancario Anatsa de Android

Se identifico el troyano bancario Anatsa el cual se encuentra presente en diferentes aplicaciones para Android que se hacen pasar por benignas o legitimas como lectores de PDF y otras de administración de archivos.

Leer Más

XWorm utiliza LOLBins en una compleja cadena de infección

En el panorama actual de ciberseguridad, los actores de amenazas han perfeccionado sus estrategias para llevar a cabo ataques maliciosos de manera cada vez más sigilosa y sofisticada. Entre las tácticas más utilizadas se encuentran los ataques de varias etapas, que buscan aumentar la probabilidad de éxito en la entrega de su carga maliciosa y eludir la detección de las soluciones antivirus. Recientemente, se identificó el RAT XWorm, que destaca por su método novedoso de propagación y su sofisticado enfoque de ataque de varias etapas mediante el uso de LOLBins (Living Off the Land Binaries), que son binarios legítimos del sistema.

Leer Más

Nueva campaña maliciosa utilizando archivos CHM para distribuir amenazas de tipo Infostealer

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a impactar en la infraestructura tecnológica de los asociados, se identificó una nueva actividad maliciosa donde los ciberdelincuentes utilizan archivos CHM para distribuir Infostealer y comprometer la seguridad de los sistemas informáticos.

Leer Más

Nueva actividad maliciosa del troyano bancario BankBot

Dentro de las amenazas identificadas por el equipo de analistas del Csirt Financiero, se han detectado varios tipos de troyanos que suelen ser utilizados por diversos grupos de cibercriminales debido a sus diversas capacidades. Entre estas amenazas, los troyanos bancarios para dispositivos móviles son los más frecuentemente utilizados por los actores de amenaza. Recientemente, durante un monitoreo, el equipo del Csirt identificó nuevos indicadores de compromiso relacionados con el troyano bancario denominado BankBot.

Leer Más

Nuevos indicadores de compromiso relacionados con DcRAT

A través del minucioso trabajo de rastreo y vigilancia llevado a cabo por los expertos del Csirt Financiero, se han descubierto recientemente nuevos indicadores de compromiso relacionados con la temida amenaza conocida como DcRAT. Esta peligrosa herramienta es utilizada por ciberdelincuentes para tomar control remoto de sistemas comprometidos y llevar a cabo actividades maliciosas, incluyendo la recolección de información confidencial, la ejecución de comandos y la implantación de archivos con software malicioso.

Leer Más

Nueva herramienta de cifrado conocida como Attacker-Crypter

Recientemente se identificó una nueva herramienta de cifrado que ha surgido en el panorama del ciberespacio y que representa una amenaza inminente para la integridad y seguridad de los sistemas y redes objetivo. Esta herramienta se conoce como "Attacker-Crypter" y tiene la capacidad de ofuscar y manipular código malicioso para evadir la detección por parte de las soluciones de seguridad y antivirus.

Leer Más

Nueva amenaza denominada como BundleBot

Se ha identificado una amenaza denominada BundleBot que recientemente ha estado operando de forma silenciosa, esta abusa del paquete Donet, archivo único se encuentra desarrollado bajo el lenguaje de programación .NET, minimizando la tasa de detección y permitiendo la captura y exfiltración de información sensible alojada en los sistemas operativos comprometidos por parte de los actores de amenaza.

Leer Más

Ransomware Kanti: una nueva amenaza escrita en lenguaje de programación NIM

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo ransomware denominado Kanti escrito en lenguaje de programación NIM, lo que permite una ejecución eficiente y la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.

Leer Más

Nueva actividad maliciosa de Raccoon stealer

El equipo de analistas del CSIRT Financiero ha detectado nuevos indicadores de compromiso en el actual panorama de ciberseguridad. Se ha observado un aumento en las campañas de distribución de Raccoon Stealer, un malware activo desde alrededor de 2019, diseñado para capturar información confidencial, incluidas credenciales de inicio de sesión y detalles financieros.

Leer Más

Nueva variante de AsyncRAT denominada HotRAT

Recientemente investigadores de seguridad identificaron una nueva amenaza en la naturaleza, la cual fue denominada como HotRAT, además, se identificó que se trata de una variante de la familia de malware conocida como AsyncRAT.

Leer Más

Nueva actividad del grupo Apt FIN8 utilizando el backdoor Sardonic para distribuir el ransomware Blackcat

A través de fuentes abiertas de información se identificó nueva actividad del grupo de ciberdelincuentes conocido como APT FIN8, el cual está utilizando una versión actualizada de un backdoor denominado Sardonic para distribuir el ransomware BlackCat.

Leer Más

Nueva campaña maliciosa en Latinoamérica con ataque Multi-Fase

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó nueva actividad del actor de amenaza que fue nombrado como Manipulated Caiman, el cual ha estado activo durante al menos dos años, dirigiéndose principalmente a ciudadanos de México.

Leer Más

Nuevos indicadores de compromiso relacionados con el troyano de acceso remoto NanoCore

Mediante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información, se identificaron nuevos indicadores de compromiso (IoC) relacionados con el troyano de acceso remoto NanoCore, siendo una amenaza comercializada en varios foros clandestinos.

Leer Más

Ciberdelincuentes utilizan tecnología WebAPK en sus aplicaciones maliciosas para Android

Recientemente, se ha identificado una nueva estrategia por parte de los actores de amenaza para instalar aplicaciones maliciosas en los dispositivos móviles de las víctimas, donde no se requiere la autorización de permisos por parte del usuario y no genera alertamiento al equipo sobre la descarga de APPs de fuentes no confiables.

Leer Más

Nueva campaña activa del APT Lazarus distribuyendo amenazas personalizadas actualizadas

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una campaña activa hasta la fecha y dirigida a India, Sudáfrica y Colombia por el APT Lazarus, un grupo de amenazas cibernéticas patrocinado por el estado de Corea del Note; donde los adversarios utilizan aplicaciones troyanizadas con puertas traseras para acceder a los sistemas objetivos.

Leer Más

Grupo cibercriminal TeamTNT dirigen sus campañas a la captura de credenciales de acceso para Azure y Google Cloud

Recientemente, actores de amenaza identificados como TeamTNT han sido vinculados a campañas maliciosas que tiene la finalidad de capturar credenciales de acceso asociadas a los servicios de Microsoft Azure y Google Cloud Plataform (GCP).

Leer Más

Nueva actividad del troyano LokiBot: explotación de vulnerabilidades en documentos de Microsoft Office.

En el ámbito de la seguridad informática, es fundamental estar al tanto de las amenazas emergentes y las tácticas utilizadas por los ciberdelincuentes para infiltrarse en los sistemas. Recientemente, se ha descubierto una serie de documentos maliciosos de Microsoft Office que aprovechan vulnerabilidades conocidas, en particular, CVE-2021-40444 y CVE-2022-30190, que son vulnerabilidades de ejecución remota de código. Estas vulnerabilidades permitieron a los atacantes insertar macros maliciosas en los documentos de Microsoft, lo que resultó en la instalación del troyano LokiBot en el sistema de las víctimas.

Leer Más

NokNok: La nueva amenaza para sistemas MacOS distribuida por el APT Charming Kitten

En el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó una nueva amenaza llamada NokNok dirigida a sistemas macOS y distribuida por el grupo de ciberdelincuentes conocido como APT Charming Kitten (APT42 o Phosphorus). Este grupo ha estado activo desde al menos 2014 y se cree que opera desde Irán.

Leer Más

Archivo