Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Riesgos en la cadena de suministro y exposición de datos por brecha de seguridad en Oracle CloudDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una brecha de seguridad en Oracle Cloud que expuso más de 140.000 entidades debido a una posible vulnerabilidad en su sistema de autenticación, la exfiltración incluyó credenciales cifradas y archivos clave, afectando la seguridad de la infraestructura en la nube. Este incidente representa un ataque a la cadena de suministro y pone en riesgo múltiples organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/riesgos-en-la-cadena-de-suministro-y-exposicion-de-datos-por-brecha-de-seguridad-en-oracle-cloudhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una brecha de seguridad en Oracle Cloud que expuso más de 140.000 entidades debido a una posible vulnerabilidad en su sistema de autenticación, la exfiltración incluyó credenciales cifradas y archivos clave, afectando la seguridad de la infraestructura en la nube. Este incidente representa un ataque a la cadena de suministro y pone en riesgo múltiples organizaciones.
Surge nueva actividad vinculada a diversas familias de troyanos de acceso remotoEl equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada con diversas familias de troyanos de acceso remoto, como njRAT, Remcos, AgentTesla, Quasar, NanoCore, AveMaria y Gh0stRAT. Estas amenazas comprometen la seguridad del sector financiero al permitir el control remoto de equipos, la captura de credenciales y la filtración de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-nueva-actividad-vinculada-a-diversas-familias-de-troyanos-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada con diversas familias de troyanos de acceso remoto, como njRAT, Remcos, AgentTesla, Quasar, NanoCore, AveMaria y Gh0stRAT. Estas amenazas comprometen la seguridad del sector financiero al permitir el control remoto de equipos, la captura de credenciales y la filtración de información sensible.
Nueva actividad maliciosa relacionada con Neptune RATDurante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado actividad maliciosa relacionada con Neptune RAT, un troyano de acceso remoto diseñado para operar en sistemas operativos Windows el cual permite a los ciberdelincuentes obtener acceso y control remoto sobre los equipos comprometidoshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-neptune-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado actividad maliciosa relacionada con Neptune RAT, un troyano de acceso remoto diseñado para operar en sistemas operativos Windows el cual permite a los ciberdelincuentes obtener acceso y control remoto sobre los equipos comprometidos
Nueva campaña de propagación del downloader TookPSDurante el constante monitoreo del Csirt Financiero, se ha identificado una nueva campaña de distribución del downloader TookPS, una amenaza previamente vinculada a campañas de la herramienta DeepSeek a principios de 2025. En esta ocasión, la propagación se realiza a través de páginas de phishing que imitan sitios de descarga de software popular de modelado 3D y herramientas de escritorio remoto, ofreciendo versiones aparentemente gratuitas de programas legítimos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-propagacion-del-downloader-tookpshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el constante monitoreo del Csirt Financiero, se ha identificado una nueva campaña de distribución del downloader TookPS, una amenaza previamente vinculada a campañas de la herramienta DeepSeek a principios de 2025. En esta ocasión, la propagación se realiza a través de páginas de phishing que imitan sitios de descarga de software popular de modelado 3D y herramientas de escritorio remoto, ofreciendo versiones aparentemente gratuitas de programas legítimos.
Reciente campaña de distribución de Akira Ransomware en ColombiaEl equipo de analistas del Csirt Financiero ha identificado una reciente campaña de distribución de Akira ransomware el cual tiene como objetivo principal cifrar información crítica y exigir un pago económico para su recuperación, empleando además un modelo de doble extorsión mediante la exfiltración previa de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-campana-de-distribucion-de-akira-ransomware-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una reciente campaña de distribución de Akira ransomware el cual tiene como objetivo principal cifrar información crítica y exigir un pago económico para su recuperación, empleando además un modelo de doble extorsión mediante la exfiltración previa de información.
Nueva actividad relacionada con FleshStealer y Snake StealerEl equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa vinculada a FleshStealer y SnakeStealer, amenazas especializadas en la captura y exfiltración de información sensible, estos stealer, activos desde septiembre de 2024 y noviembre de 2020 respectivamente, poseen capacidades avanzadas para obtener credenciales, información financiera y códigos de autenticación multifactor (2FA), principalmente afectan aplicaciones como navegadores, clientes de correo y billeteras de criptomonedas, utilizando técnicas para evadir la detección y mantener accesos persistentes en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-fleshstealer-y-snake-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa vinculada a FleshStealer y SnakeStealer, amenazas especializadas en la captura y exfiltración de información sensible, estos stealer, activos desde septiembre de 2024 y noviembre de 2020 respectivamente, poseen capacidades avanzadas para obtener credenciales, información financiera y códigos de autenticación multifactor (2FA), principalmente afectan aplicaciones como navegadores, clientes de correo y billeteras de criptomonedas, utilizando técnicas para evadir la detección y mantener accesos persistentes en los equipos comprometidos.
Actividad maliciosa relacionada con campañas de troyanos de acceso remotoDurante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-campanas-de-troyanos-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.
Nueva campaña de distribución de malware para AndroidDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha identificado una nueva campaña de distribución de una amenaza tipo troyano para Android, la cual aprovecha el marco de desarrollo multiplataforma .NET MAUI para evadir detecciones de seguridad y comprometer dispositivos, haciéndose pasar por una aplicación legítima con el objetivo de exfiltrar información confidencial de las víctimas, incluyendo datos personales y financieros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-malware-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha identificado una nueva campaña de distribución de una amenaza tipo troyano para Android, la cual aprovecha el marco de desarrollo multiplataforma .NET MAUI para evadir detecciones de seguridad y comprometer dispositivos, haciéndose pasar por una aplicación legítima con el objetivo de exfiltrar información confidencial de las víctimas, incluyendo datos personales y financieros.
Grupo norcoreano distribuye malware para AndroidMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó al grupo norcoreano ScarCruft distribuyendo un malware para dispositivos móviles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-norcoreano-distribuye-malware-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó al grupo norcoreano ScarCruft distribuyendo un malware para dispositivos móviles.
Nuevo Troyano bancario para Android llamado TsarBotDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado un nuevo Troyano bancario llamado TsarBot, el cual se distribuye mediante sitios de phishing que se hacen pasar por plataformas financieras legítimas, presentándose como una actualización de Google Play Services para inducir a la víctima a habilitar el servicio de accesibilidad, lo cual resulta esencial para la ejecución de sus funciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-para-android-llamado-tsarbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado un nuevo Troyano bancario llamado TsarBot, el cual se distribuye mediante sitios de phishing que se hacen pasar por plataformas financieras legítimas, presentándose como una actualización de Google Play Services para inducir a la víctima a habilitar el servicio de accesibilidad, lo cual resulta esencial para la ejecución de sus funciones maliciosas.
Nueva campaña de phishing propaga diversas familias de malwareEl Csirt Financiero ha identificado una nueva campaña de phishing vinculada al grupo APT Storm-1865, caracterizada por la distribución de múltiples familias de malware entre las que se incluyen XWorm, LummaStealer, VenomRAT, AsyncRAT, Danabot y NetSupportRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-propaga-diversas-familias-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha identificado una nueva campaña de phishing vinculada al grupo APT Storm-1865, caracterizada por la distribución de múltiples familias de malware entre las que se incluyen XWorm, LummaStealer, VenomRAT, AsyncRAT, Danabot y NetSupportRAT.
Nueva actividad maliciosa vinculada a GuLoader detectadaEl equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada con GuLoader, con registros desde diciembre de 2019. Esta amenaza, clasificada como un loader, actúa como la primera fase en una cadena de infección, facilitando la descarga e instalación de diversas amenazas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-vinculada-a-guloader-detectadahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada con GuLoader, con registros desde diciembre de 2019. Esta amenaza, clasificada como un loader, actúa como la primera fase en una cadena de infección, facilitando la descarga e instalación de diversas amenazas.
Nueva actividad maliciosa asociada con múltiples familias de troyanos de acceso remotoEl equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada con múltiples troyanos de acceso remoto, incluyendo AgentTesla, RemcosRAT, njRAT y QuasarRAT, estas amenazas han sido utilizadas en diversas campañas dirigidas contra sectores empresariales, gubernamentales e industriales, con el objetivo de infiltrarse en equipos, capturar credenciales y exfiltrar información confidencial, su método principal de distribución es el envío de mensajes de correo electrónico fraudulentos con archivos adjuntos maliciosos, enlaces engañosos y descargas desde sitios web comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-con-multiples-familias-de-troyanos-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada con múltiples troyanos de acceso remoto, incluyendo AgentTesla, RemcosRAT, njRAT y QuasarRAT, estas amenazas han sido utilizadas en diversas campañas dirigidas contra sectores empresariales, gubernamentales e industriales, con el objetivo de infiltrarse en equipos, capturar credenciales y exfiltrar información confidencial, su método principal de distribución es el envío de mensajes de correo electrónico fraudulentos con archivos adjuntos maliciosos, enlaces engañosos y descargas desde sitios web comprometidos.
Nuevo ransomware denominado VanHelsingDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de ransomware denominada VanHelsing, dirigida a sistemas operativos Windowshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-vanhelsinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de ransomware denominada VanHelsing, dirigida a sistemas operativos Windows
Nuevo troyano bancario llamado CrocodilusEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Crocodilus, un troyano bancario dirigido a dispositivos Android. Esta amenaza ha sido diseñada para ejecutar ataques tipo Device Takeover, permitiendo a los cibercriminales tomar control total del dispositivo, interceptar credenciales sensibles y ejecutar acciones remotas sin el conocimiento del usuario. Ha sido observada en campañas activas contra entidades financieras en España y Turquía, así como contra usuarios de billeteras de criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-llamado-crocodilushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Crocodilus, un troyano bancario dirigido a dispositivos Android. Esta amenaza ha sido diseñada para ejecutar ataques tipo Device Takeover, permitiendo a los cibercriminales tomar control total del dispositivo, interceptar credenciales sensibles y ejecutar acciones remotas sin el conocimiento del usuario. Ha sido observada en campañas activas contra entidades financieras en España y Turquía, así como contra usuarios de billeteras de criptomonedas.
Nueva distribución del stealer Phantom GoblinEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Phantom Goblin, un stealer diseñado para capturar credenciales y otros datos sensibles almacenados en navegadores web, esta amenaza emplea técnicas de ingeniería social y se distribuye principalmente a través de campañas de phishing con archivos adjuntos en formato RAR que contienen accesos directos (LNK) maliciosos, su ejecución activa comandos de PowerShell que descargan cargas útiles desde GitHub, permitiendo la captura de información y el establecimiento de túneles en Visual Studio Code (VSCode) para mantener acceso remoto no autorizado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-stealer-phantom-goblinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Phantom Goblin, un stealer diseñado para capturar credenciales y otros datos sensibles almacenados en navegadores web, esta amenaza emplea técnicas de ingeniería social y se distribuye principalmente a través de campañas de phishing con archivos adjuntos en formato RAR que contienen accesos directos (LNK) maliciosos, su ejecución activa comandos de PowerShell que descargan cargas útiles desde GitHub, permitiendo la captura de información y el establecimiento de túneles en Visual Studio Code (VSCode) para mantener acceso remoto no autorizado.
Nueva Actividad de SmokeLoader y GuLoaderDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó nueva actividad asociada a SmokeLoader y GuLoader, dos amenazas avanzadas empleadas para la distribución de malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-smokeloader-y-guloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó nueva actividad asociada a SmokeLoader y GuLoader, dos amenazas avanzadas empleadas para la distribución de malware.
Nuevos indicadores de compromisos relacionados a Revenge RATEl equipo de analistas del Csirt Financiero ha identificado actividad reciente de RevengeRAT en campañas dirigidas a diversos sectores económicos, incluido el financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromisos-relacionados-a-revenge-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad reciente de RevengeRAT en campañas dirigidas a diversos sectores económicos, incluido el financiero.
Nuevo RAT denominado FINALDRAFTEl equipo de analistas del Csirt Financiero ha detectado una nueva amenaza denominada FINALDRAFT, un malware de tipo troyano de acceso remoto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-denominado-finaldrafthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva variante de Snake KeyloggerDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de Snake Keylogger, también conocido como keylogger 404 que tiene como objetivo capturar información confidencial almacenada en navegadores web como Chrome, Edge y Firefoxhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nueva-variante-de-snake-keyloggerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de Snake Keylogger, también conocido como keylogger 404 que tiene como objetivo capturar información confidencial almacenada en navegadores web como Chrome, Edge y Firefox
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}