Nuevos indicadores de compromiso vinculados con TiSpyTiSpy es un troyano de acceso remoto capaz de monitorear y exfiltrar información del equipo o dispositivo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-con-tispyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo Dropper denominado TodoSwift para dispositivos MacOSSe ha detectado un nuevo dropper denominado "TodoSwift", que está siendo utilizado para distribuir diversas formas de malware. Este dropper destaca por sus técnicas avanzadas de evasión y persistencia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-dropper-denominado-todoswift-para-dispositivos-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado un nuevo dropper denominado "TodoSwift", que está siendo utilizado para distribuir diversas formas de malware. Este dropper destaca por sus técnicas avanzadas de evasión y persistencia.
Nuevas variantes del troyano de acceso remoto MoonPeakRecientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-troyano-de-acceso-remoto-moonpeakhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.
Nuevo troyano de acceso remoto denominado Lilith RATSe identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-lilith-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.
Nueva actividad maliciosa del ransomware BlackSuitAtacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-blacksuithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Atacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.
Nuevo loader denominado UULoader con grandes capacidades de evasiónMediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-uuloader-con-grandes-capacidades-de-evasionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.
Técnica AppDomainManager ejecuta malware en WindowsEl equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tecnica-appdomainmanager-ejecuta-malware-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.
NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKESe identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-keylogger-denominado-snakehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.
Malware Rocinante tiene como objetivo clientes de instituciones financierasRocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-rocinante-tiene-como-objetivo-clientes-de-instituciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña de distribución de WikiLoaderCiberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-wikiloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.
Nueva actividad del troyano bancario Mispadu.Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-mispaduhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.
Nueva actividad maliciosa del Ransomware MalloxSe ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-malloxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.
Nueva actividad maliciosa con el stealer LummaSe ha detectado una nueva amenaza del stealer LummaC2 y una extensión maliciosa de Google Chrome. Esta amenaza tiene la capacidad de robar información sensible de plataformas financieras y redes sociales, así como manipular el contenido web y ejecutar transacciones financieras fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-con-el-stealer-lummahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva amenaza del stealer LummaC2 y una extensión maliciosa de Google Chrome. Esta amenaza tiene la capacidad de robar información sensible de plataformas financieras y redes sociales, así como manipular el contenido web y ejecutar transacciones financieras fraudulentas.
Nuevo troyano bancario dirigido a dispositivos AndroidMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un nuevo troyano dirigido a dispositivos Android, denominado Ajina.Banker, que posee grandes capacidades para capturar datos financieros y eludir la autenticación de dos factores a través de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-dirigido-a-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un nuevo troyano dirigido a dispositivos Android, denominado Ajina.Banker, que posee grandes capacidades para capturar datos financieros y eludir la autenticación de dos factores a través de Telegram.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}