Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo framework NetDooka, distribuido mediante servicio de pago por instalación (ppi) PrivateLoaderEn el seguimiento realizado en fuentes abiertas de información a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado un nuevo framework denominado NetDooka, el cual contiene varias partes, incluido un cargador, un dropper, un controlador de protección y un troyano de acceso remoto (RAT).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-netdooka-distribuido-mediante-servicio-de-pago-por-instalacion-ppi-privateloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento realizado en fuentes abiertas de información a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado un nuevo framework denominado NetDooka, el cual contiene varias partes, incluido un cargador, un dropper, un controlador de protección y un troyano de acceso remoto (RAT).
Nuevo Framework troyano afecta usuarios brasileñosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo framework para la distribución de troyanos especialmente bancarios. Este Framework ha sido denominado SolarSys y su operación principal se encuentra en Brasil. SolarSys: es un framework compuesto principalmente por puertas traseras desarrolladas en lenguajes de programación como JavaScript (JS) y .NET, gusanos de correo electrónico y módulos que permiten capturar información del sistema infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-troyano-afecta-usuarios-brasilenoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo framework para la distribución de troyanos especialmente bancarios. Este Framework ha sido denominado SolarSys y su operación principal se encuentra en Brasil. SolarSys: es un framework compuesto principalmente por puertas traseras desarrolladas en lenguajes de programación como JavaScript (JS) y .NET, gusanos de correo electrónico y módulos que permiten capturar información del sistema infectado.
Nuevo grupo APT denominado ToddyCatA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) denominado ToddyCat, el cual está impactando servidores MS Exchange.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-apt-denominado-toddycathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) denominado ToddyCat, el cual está impactando servidores MS Exchange.
Nuevo grupo cibercriminal se dirige a sistemas SolarWindsEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado un nuevo malware denominado SUPERNOVA, malware dirigido a los sistemas SolarWinds. Es un malware WebShell introducido en el código de la red Orion capaz de ejecutar código arbitrario en los sistemas que ejecutan la versión troyanizada del software.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-cibercriminal-se-dirige-a-sistemas-solarwindshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado un nuevo malware denominado SUPERNOVA, malware dirigido a los sistemas SolarWinds. Es un malware WebShell introducido en el código de la red Orion capaz de ejecutar código arbitrario en los sistemas que ejecutan la versión troyanizada del software.
Nuevo grupo de amenazas denominado Sidecopy se dirige a sistemas (Linux, Windows y MacOS)Gracias a la red de colaboración e intercambio de información interna del Csirt Financiero, el equipo de analistas ha observado un nuevo grupo de actores de amenazas denominado Sidecopy, el cual en un principio se dirige a equipos con sistema operativo Microsoft Windows, sin embargo, de acuerdo con la última investigación se ha observado artefactos dirigidos a sistemas Linux y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-amenazas-denominado-sidecopy-se-dirige-a-sistemas-linux-windows-y-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la red de colaboración e intercambio de información interna del Csirt Financiero, el equipo de analistas ha observado un nuevo grupo de actores de amenazas denominado Sidecopy, el cual en un principio se dirige a equipos con sistema operativo Microsoft Windows, sin embargo, de acuerdo con la última investigación se ha observado artefactos dirigidos a sistemas Linux y MacOS.
Nuevo grupo de ciberdelincuentes denominado Guacamaya afecta entidades gubernamentales en América latinaEn el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-denominado-guacamaya-afecta-entidades-gubernamentales-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.
Nuevo grupo de ciberdelincuentes dirigidos al sector financieroEn la actividad de observatorio de ciberseguridad en el ciberespacio realizada por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó un nuevo grupo de ciberdelincuentes los cuales generan ataques dirigidos especialmente al sector financiero conocidos como Bluebottle usando diversas técnicas con ayuda de múltiples herramientas para llevar a cabo sus actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-dirigidos-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actividad de observatorio de ciberseguridad en el ciberespacio realizada por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó un nuevo grupo de ciberdelincuentes los cuales generan ataques dirigidos especialmente al sector financiero conocidos como Bluebottle usando diversas técnicas con ayuda de múltiples herramientas para llevar a cabo sus actividades maliciosas.
Nuevo Grupo de ciberdelincuentes llamado RedCurlEn el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-llamado-redcurlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.
Nuevo grupo de ransomware denominado RoyalRecientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-denominado-royalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.
Nuevo grupo de ransomware llamado LynxLynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-llamado-lynxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.
Nuevo grupo de ransomware llamado YureiDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-llamado-yureihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.
Nuevo grupo ransomware llamado FunkSecEl equipo del CSIRT Financiero ha encontrado nueva información relacionada con el grupo de ransomware FunkSec. Surgido a finales de 2024, este grupo es conocido por realizar ataques dirigidos con motivaciones económicas y ha evolucionado recientemente al implementar tácticas avanzadas, como el uso de inteligencia artificial para optimizar y automatizar sus operaciones. Esta capacidad les permite maximizar el impacto de sus campañas, lo que los convierte en una amenaza significativa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-ransomware-llamado-funksechttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero ha encontrado nueva información relacionada con el grupo de ransomware FunkSec. Surgido a finales de 2024, este grupo es conocido por realizar ataques dirigidos con motivaciones económicas y ha evolucionado recientemente al implementar tácticas avanzadas, como el uso de inteligencia artificial para optimizar y automatizar sus operaciones. Esta capacidad les permite maximizar el impacto de sus campañas, lo que los convierte en una amenaza significativa.
Nuevo grupo Vendetta afecta organizaciones de Europa y LatinoaméricaEl nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-vendetta-afecta-organizaciones-de-europa-y-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.
Nuevo gusano Golang lanza Xrig Miner a servidoresEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-gusano-golang-lanza-xrig-miner-a-servidoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.
Nuevo InfoStealer denominado MosquitoEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo malware de tipo InfoStealer denominada Mosquito que ha estado operando desde mayo de 2023 como MaaS (Malware as service), con motivación financiera, afectando a diversos países como Argentina, Brasil, Chile, España, México, Panamá, Perú y Estados Unidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-infostealer-denominado-mosquito-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo malware de tipo InfoStealer denominada Mosquito que ha estado operando desde mayo de 2023 como MaaS (Malware as service), con motivación financiera, afectando a diversos países como Argentina, Brasil, Chile, España, México, Panamá, Perú y Estados Unidos.
Nuevo infostealer para macos basado en jxa con técnicas avanzadas de evasión y persistencia.Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó DigitStealer, un nuevo infostealer avanzado orientado a dispositivos macOS, que emplea una cadena de ataque en múltiples etapas, técnicas sofisticadas de evasión y mecanismos de persistencia poco comunes. La campaña utiliza una aplicación falsa distribuida como imagen de disco no firmada, incorpora verificaciones para evitar entornos de análisis y ejecuta la mayoría de sus cargas útiles en memoria. Además, cuenta con la capacidad de exfiltrar credenciales, manipular aplicaciones legítimas y comunicarse con infraestructura C2 controlada por ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-infostealer-para-macos-basado-en-jxa-con-tecnicas-avanzadas-de-evasion-y-persistenciahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó DigitStealer, un nuevo infostealer avanzado orientado a dispositivos macOS, que emplea una cadena de ataque en múltiples etapas, técnicas sofisticadas de evasión y mecanismos de persistencia poco comunes. La campaña utiliza una aplicación falsa distribuida como imagen de disco no firmada, incorpora verificaciones para evitar entornos de análisis y ejecuta la mayoría de sus cargas útiles en memoria. Además, cuenta con la capacidad de exfiltrar credenciales, manipular aplicaciones legítimas y comunicarse con infraestructura C2 controlada por ciberdelincuentes.
Nuevo Infostealer suplanta Adobe ReaderMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo Infostealer que suplanta Adobe Reader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-infostealer-suplanta-adobe-readerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo Infostealer que suplanta Adobe Reader.
Nuevo keylogger denominado TinkyWinkeyDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-keylogger-denominado-tinkywinkeyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.
Nuevo Kit de herramienta denominado FBotEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo kit de herramientas (toolkit) basado en Python denominado FBot, el cual a sido desarrollado para afectar a servidores web, servicios en la nube o plataformas como AWS, Office365, PayPal, Sendgrid y Twilio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramienta-denominado-fbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo kit de herramientas (toolkit) basado en Python denominado FBot, el cual a sido desarrollado para afectar a servidores web, servicios en la nube o plataformas como AWS, Office365, PayPal, Sendgrid y Twilio.
Nuevo Kit de herramientas denominado AlienFox empleado para ataques a servicios en la nubeEl kit de herramientas AlienFox es utilizado por ciberdelincuentes para buscar servidores mal configurados y capturar secretos de autenticación y credenciales de servicios de correo electrónico basados en la nube. El kit se vende en un canal privado de Telegram y está dirigido a configuraciones erróneas comunes en servidores asociados con marcos web populares.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramientas-denominado-alienfox-empleado-para-ataques-a-servicios-en-la-nubehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El kit de herramientas AlienFox es utilizado por ciberdelincuentes para buscar servidores mal configurados y capturar secretos de autenticación y credenciales de servicios de correo electrónico basados en la nube. El kit se vende en un canal privado de Telegram y está dirigido a configuraciones erróneas comunes en servidores asociados con marcos web populares.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}