Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos indicadores de compromiso relacionados al loader DBatLoaderEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con DBatLoader, también conocido como ModiLoader o NatsoLoader. Este loader ha sido utilizado en campañas maliciosas dirigidas principalmente a empresas en Europa del Este. Su capacidad para descargar y ejecutar cargas maliciosas de manera sigilosa, aprovechando servicios legítimos de almacenamiento en la nube,esto lo convierte en una amenaza considerable y persistente que requiere atención prioritaria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-loader-dbatloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con DBatLoader, también conocido como ModiLoader o NatsoLoader. Este loader ha sido utilizado en campañas maliciosas dirigidas principalmente a empresas en Europa del Este. Su capacidad para descargar y ejecutar cargas maliciosas de manera sigilosa, aprovechando servicios legítimos de almacenamiento en la nube,esto lo convierte en una amenaza considerable y persistente que requiere atención prioritaria.
Nuevo Ransomware denominado CrynoxEl CSIRT Financiero ha identificado una nueva variante de ransomware denominada Crynox, basada en el malware Chaos, empleando algoritmos de cifrado avanzados, como RSA y AES, lo que garantiza que los datos cifrados solo puedan ser descifrados utilizando una clave privada en posesión de los atacantes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-crynoxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado una nueva variante de ransomware denominada Crynox, basada en el malware Chaos, empleando algoritmos de cifrado avanzados, como RSA y AES, lo que garantiza que los datos cifrados solo puedan ser descifrados utilizando una clave privada en posesión de los atacantes.
Nuevos indicadores de compromiso relacionados al troyano bancario GrandoreiroEl equipo de analistas del CSIRT Financiero ha identificado nuevos indicadores de compromiso asociados con Grandoreiro, un troyano bancario activo desde 2016 que ha afectado principalmente a usuarios en América del Sur, América Central y Europa, con énfasis en países como Brasil, España, México y Colombia, caracterizado por su capacidad para robar información financiera, incluyendo credenciales bancarias, y por su habilidad para realizar transferencias no autorizadas mediante la suplantación de la interfaz de usuario de aplicaciones bancarias legítimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-troyano-bancario-grandoreirohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha identificado nuevos indicadores de compromiso asociados con Grandoreiro, un troyano bancario activo desde 2016 que ha afectado principalmente a usuarios en América del Sur, América Central y Europa, con énfasis en países como Brasil, España, México y Colombia, caracterizado por su capacidad para robar información financiera, incluyendo credenciales bancarias, y por su habilidad para realizar transferencias no autorizadas mediante la suplantación de la interfaz de usuario de aplicaciones bancarias legítimas.
Nuevo método de distribución de Quasar RATEl equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución del troyano de acceso remoto (RAT) Quasar RAT. Este malware utiliza un paquete malicioso alojado en el repositorio npm, ampliamente usado en el desarrollo con Node.js, para comprometer equipos y ejecutar diversas actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-quasar-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución del troyano de acceso remoto (RAT) Quasar RAT. Este malware utiliza un paquete malicioso alojado en el repositorio npm, ampliamente usado en el desarrollo con Node.js, para comprometer equipos y ejecutar diversas actividades maliciosas.
LegionLoader: el downloader que abusa de instaladores falsos y servicios en la nubeLegionLoader es un downloader escrito en C/C++ que fue identificado por primera vez en 2019. También es conocido por otros nombres, como Satacom y RobotDropper, y es rastreado como CurlyGate por la firma de ciberseguridad Mandiant. Este loader ha sido utilizado para distribuir diversas amenazas, incluyendo extensiones maliciosas para navegadores como Chrome, las cuales son capaces de alterar contenidos en correos electrónicos y monitorear la actividad de navegación. Entre estas extensiones, destaca CursedChrome, diseñada para convertir navegadores comprometidos en proxies HTTP, permitiendo a los ciberdelincuentes navegar de manera autenticada como las víctimas en múltiples plataformas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/legionloader-el-downloader-que-abusa-de-instaladores-falsos-y-servicios-en-la-nubehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
LegionLoader es un downloader escrito en C/C++ que fue identificado por primera vez en 2019. También es conocido por otros nombres, como Satacom y RobotDropper, y es rastreado como CurlyGate por la firma de ciberseguridad Mandiant. Este loader ha sido utilizado para distribuir diversas amenazas, incluyendo extensiones maliciosas para navegadores como Chrome, las cuales son capaces de alterar contenidos en correos electrónicos y monitorear la actividad de navegación. Entre estas extensiones, destaca CursedChrome, diseñada para convertir navegadores comprometidos en proxies HTTP, permitiendo a los ciberdelincuentes navegar de manera autenticada como las víctimas en múltiples plataformas.
Nueva actividad relacionada al ransomware RdpLockerA través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado recientemente actividad maliciosa relacionada al ransomware RdpLocker, un malware diseñado para cifrar archivos en infraestructuras afectadas, añadiendo la extensión ".rdplocker".http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-al-ransomware-rdplockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado recientemente actividad maliciosa relacionada al ransomware RdpLocker, un malware diseñado para cifrar archivos en infraestructuras afectadas, añadiendo la extensión ".rdplocker".
Nueva campaña de distribución del reciente Backdoor PLAYFULGHOSTA través del monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado una nueva campaña de distribución del backdoor PLAYFULGHOST.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-del-reciente-backdoor-playfulghosthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado una nueva campaña de distribución del backdoor PLAYFULGHOST.
Nueva actividad maliciosa relacionada a CobaltStrikeA través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevos indicadores de compromiso relacionados a CobaltStrike. Esta herramienta, diseñada inicialmente para simulación de amenazas en pruebas de seguridad, ha sido ampliamente utilizada por ciberdelincuentes debido a su versatilidad, capacidades avanzadas y modularidad. Sus características la convierten en una amenaza significativa, especialmente en el sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-a-cobaltstrikehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevos indicadores de compromiso relacionados a CobaltStrike. Esta herramienta, diseñada inicialmente para simulación de amenazas en pruebas de seguridad, ha sido ampliamente utilizada por ciberdelincuentes debido a su versatilidad, capacidades avanzadas y modularidad. Sus características la convierten en una amenaza significativa, especialmente en el sector financiero.
Nueva actividad del backdoor EAGERBEEDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el backdoor EAGERBEE, una amenaza avanzada que ha sido identificada en ataques dirigidos contra organizaciones gubernamentales y proveedores de servicios de internet (ISP) en el Medio Oriente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-backdoor-eagerbeehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el backdoor EAGERBEE, una amenaza avanzada que ha sido identificada en ataques dirigidos contra organizaciones gubernamentales y proveedores de servicios de internet (ISP) en el Medio Oriente.
Nuevo ransomware de la familia MedusaLockerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado Bbuild.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-de-la-familia-medusalockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado Bbuild.
Gafgyt: impacto en dispositivos IoTMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante de Mirai llamada Gafgyt.http://csirtasobancaria.com/Plone/alertas-de-seguridad/gafgyt-impacto-en-dispositivos-iothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante de Mirai llamada Gafgyt.
Nueva botnet llamada GayfemboyA través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de la botnet Mirai llamada Gayfemboy, una red de dispositivos comprometidos diseñada para llevar a cabo ataques de denegación de servicio distribuido (DDoS) y otras actividades maliciosas la cual ha incorporado capacidades avanzadas como la explotación de vulnerabilidades de día 0 y la integración de dispositivos mediante contraseñas Telnet débiles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-llamada-gayfemboyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de la botnet Mirai llamada Gayfemboy, una red de dispositivos comprometidos diseñada para llevar a cabo ataques de denegación de servicio distribuido (DDoS) y otras actividades maliciosas la cual ha incorporado capacidades avanzadas como la explotación de vulnerabilidades de día 0 y la integración de dispositivos mediante contraseñas Telnet débiles.
Nueva actividad de LummaC2Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una nueva campaña de distribución de LummaC2, un stealer diseñado para extraer información confidencial de sistemas comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-lummac2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una nueva campaña de distribución de LummaC2, un stealer diseñado para extraer información confidencial de sistemas comprometidos.
Nueva actividad maliciosa relacionada al troyano de acceso remoto FormBookEl equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa relacionada con FormBook, un troyano de acceso remoto (RAT) conocido por su modelo de negocio Trojan-as-a-Service (TaaS). Este RAT permite a los ciberdelincuentes acceder a múltiples capacidades para comprometer la seguridad de los equipos, como el registro de pulsaciones de teclas, capturas de pantalla y el robo de credenciales, lo que lo convierte en una amenaza crítica para la seguridad de datos sensibles y operaciones financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-al-troyano-de-acceso-remoto-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa relacionada con FormBook, un troyano de acceso remoto (RAT) conocido por su modelo de negocio Trojan-as-a-Service (TaaS). Este RAT permite a los ciberdelincuentes acceder a múltiples capacidades para comprometer la seguridad de los equipos, como el registro de pulsaciones de teclas, capturas de pantalla y el robo de credenciales, lo que lo convierte en una amenaza crítica para la seguridad de datos sensibles y operaciones financieras.
Malware se distribuye mediante PoC falsaEl equipo de analistas del Csirt Financiero ha identificado un exploit de prueba de concepto (PoC) para la vulnerabilidad LDAPNightmare (CVE-2024-49113). Esta vulnerabilidad, corregida por Microsoft en diciembre de 2024, afecta al protocolo LDAP, permitiendo a los atacantes ejecutar ataques de denegación de servicio (DoS). El malware se distribuye a través de un repositorio malicioso que imita ser una bifurcación legítima de un proyecto confiable. Su principal objetivo es desplegar scripts maliciosos, exfiltrar información sensible y descargar malware adicional, utilizando servicios como Pastebin y un servidor FTP externo. Esta amenaza representa un riesgo considerable, especialmente para profesionales de seguridad y desarrolladores que confían en herramientas PoC legítimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-se-distribuye-mediante-poc-falsahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado un exploit de prueba de concepto (PoC) para la vulnerabilidad LDAPNightmare (CVE-2024-49113). Esta vulnerabilidad, corregida por Microsoft en diciembre de 2024, afecta al protocolo LDAP, permitiendo a los atacantes ejecutar ataques de denegación de servicio (DoS). El malware se distribuye a través de un repositorio malicioso que imita ser una bifurcación legítima de un proyecto confiable. Su principal objetivo es desplegar scripts maliciosos, exfiltrar información sensible y descargar malware adicional, utilizando servicios como Pastebin y un servidor FTP externo. Esta amenaza representa un riesgo considerable, especialmente para profesionales de seguridad y desarrolladores que confían en herramientas PoC legítimas.
Nuevo stealer denominado BansheeEl CSIRT Financiero ha identificado una nueva actualización del stealer conocido como Banshee, un malware diseñado específicamente para sistemas macOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-bansheehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado una nueva actualización del stealer conocido como Banshee, un malware diseñado específicamente para sistemas macOS.
Nueva variante del ransomware HexaLocker distribuye Skuld StealerDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con HexaLocker V2, una variante evolucionada del ransomware HexaLocker. Esta nueva versión, desarrollada en el lenguaje de programación Go, presenta capacidades avanzadas para comprometer sistemas, cifrar archivos y exfiltrar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-hexalocker-distribuye-skuld-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con HexaLocker V2, una variante evolucionada del ransomware HexaLocker. Esta nueva versión, desarrollada en el lenguaje de programación Go, presenta capacidades avanzadas para comprometer sistemas, cifrar archivos y exfiltrar información confidencial.
Nuevo grupo ransomware llamado FunkSecEl equipo del CSIRT Financiero ha encontrado nueva información relacionada con el grupo de ransomware FunkSec. Surgido a finales de 2024, este grupo es conocido por realizar ataques dirigidos con motivaciones económicas y ha evolucionado recientemente al implementar tácticas avanzadas, como el uso de inteligencia artificial para optimizar y automatizar sus operaciones. Esta capacidad les permite maximizar el impacto de sus campañas, lo que los convierte en una amenaza significativa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-ransomware-llamado-funksechttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero ha encontrado nueva información relacionada con el grupo de ransomware FunkSec. Surgido a finales de 2024, este grupo es conocido por realizar ataques dirigidos con motivaciones económicas y ha evolucionado recientemente al implementar tácticas avanzadas, como el uso de inteligencia artificial para optimizar y automatizar sus operaciones. Esta capacidad les permite maximizar el impacto de sus campañas, lo que los convierte en una amenaza significativa.
Nueva backdoor llamada SystemBCEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con la backdoor modular SystemBC. Este malware está diseñado para establecer conexiones seguras con servidores de comando y control (C2), facilitando la ejecución remota de comandos, la descarga de cargas maliciosas adicionales y la persistencia en los equipos comprometidos, además su uso de técnicas de evasión y cifrado lo convierte en una amenaza persistente que debe ser tratada con prioridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-backdoor-llamada-systembchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con la backdoor modular SystemBC. Este malware está diseñado para establecer conexiones seguras con servidores de comando y control (C2), facilitando la ejecución remota de comandos, la descarga de cargas maliciosas adicionales y la persistencia en los equipos comprometidos, además su uso de técnicas de evasión y cifrado lo convierte en una amenaza persistente que debe ser tratada con prioridad.
Nuevo troyano denominado XorbotA través del monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza llamada Xorbot, un troyano avanzado diseñado para formar parte de botnets y ejecutar actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-denominado-xorbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza llamada Xorbot, un troyano avanzado diseñado para formar parte de botnets y ejecutar actividades maliciosas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}