Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña del grupo APT Muddy Water basada en documentos con macrosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Muddy Water, dirigida a organizaciones del Medio Oriente con un interés destacado en el sector financiero, así como en entidades diplomáticas, marítimas y de telecomunicaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-del-grupo-apt-muddy-water-basada-en-documentos-con-macroshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Muddy Water, dirigida a organizaciones del Medio Oriente con un interés destacado en el sector financiero, así como en entidades diplomáticas, marítimas y de telecomunicaciones.
Campaña activa de explotación de vulnerabilidades críticas en VMware ESXiDurante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa de intrusión avanzada orientada al compromiso de infraestructuras virtualizadas VMware ESXi, mediante el uso de técnicas de VM Escape explotadas en entornos productivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-explotacion-de-vulnerabilidades-criticas-en-vmware-esxihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa de intrusión avanzada orientada al compromiso de infraestructuras virtualizadas VMware ESXi, mediante el uso de técnicas de VM Escape explotadas en entornos productivos.
Actividad maliciosa de la botnet Kimwolf dirigida a dispositivos AndroidDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida a la botnet Kimwolf en la que ha logrado comprometer más de 2 millones de dispositivos Android alrededor del mundo, transformándose en una de las amenazas más extendidas y multifacéticas observadas en los últimos meses.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-de-la-botnet-kimwolf-dirigida-a-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida a la botnet Kimwolf en la que ha logrado comprometer más de 2 millones de dispositivos Android alrededor del mundo, transformándose en una de las amenazas más extendidas y multifacéticas observadas en los últimos meses.
Campaña Ghost Tap orientada a transacciones contactless mediante aplicaciones AndroidDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña conocida como Ghost Tap, basada en aplicaciones Android denominadas TX NFC, X NFC y NFU Pay, utilizadas para abusar de la funcionalidad NFC y ejecutar pagos contactless sin autorización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-ghost-tap-orientada-a-transacciones-contactless-mediante-aplicaciones-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña conocida como Ghost Tap, basada en aplicaciones Android denominadas TX NFC, X NFC y NFU Pay, utilizadas para abusar de la funcionalidad NFC y ejecutar pagos contactless sin autorización.
Nueva campaña del troyano bancario Astaroth utiliza Whatsapp Web para su propagación.Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña asociada al troyano bancario Astaroth, la cual incorpora un mecanismo de propagación automatizada mediante WhatsApp Web. Esta campaña, observada principalmente en Brasil, se caracteriza por el uso intensivo de técnicas de ingeniería social y por el aprovechamiento de canales de mensajería basados en confianza para facilitar la distribución del troyano.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-astaroth-utiliza-whatsapp-web-para-su-propagacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña asociada al troyano bancario Astaroth, la cual incorpora un mecanismo de propagación automatizada mediante WhatsApp Web. Esta campaña, observada principalmente en Brasil, se caracteriza por el uso intensivo de técnicas de ingeniería social y por el aprovechamiento de canales de mensajería basados en confianza para facilitar la distribución del troyano.
Nuevo troyano NodeCordRAT distribuido a través de paquetes maliciosos en npmDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a un nuevo troyano de acceso remoto denominado NodeCordRAT, el cual es distribuido mediante paquetes maliciosos en el repositorio npm.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-nodecordrat-distribuido-a-traves-de-paquetes-maliciosos-en-npmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a un nuevo troyano de acceso remoto denominado NodeCordRAT, el cual es distribuido mediante paquetes maliciosos en el repositorio npm.
Nueva campaña de ClickFix facilita la ejecución de DCRat mediante MSBuildDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó la campaña PHALT#BLYX (ClickFix), una amenaza de ingeniería social que se distribuye mediante correos de phishing que suplantan comunicaciones legítimas de servicios de reservas hoteleras. Los mensajes redirigen a las víctimas a sitios web fraudulentos que replican fielmente la interfaz del servicio suplantado, donde se despliegan errores falsos del navegador, CAPTCHA fraudulentos y la simulación a pantalla completa de una Pantalla Azul de la Muerte (BSOD).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-clickfix-facilita-la-ejecucion-de-dcrat-mediante-msbuildhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó la campaña PHALT#BLYX (ClickFix), una amenaza de ingeniería social que se distribuye mediante correos de phishing que suplantan comunicaciones legítimas de servicios de reservas hoteleras. Los mensajes redirigen a las víctimas a sitios web fraudulentos que replican fielmente la interfaz del servicio suplantado, donde se despliegan errores falsos del navegador, CAPTCHA fraudulentos y la simulación a pantalla completa de una Pantalla Azul de la Muerte (BSOD).
Campaña dirigida contra dispositivos FortiWeb mediante vulnerabilidades y uso de Sliver C2Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña dirigida contra dispositivos FortiWeb expuestos a Internet, en la cual un ciberdelincuente explota vulnerabilidades conocidas y potencialmente no divulgadas para obtener acceso inicial y desplegar a Sliver C2, una herramienta de acceso remoto utilizada como framework de postexploitation. A través de este mecanismo, el ciberdelincuente logra establecer control persistente y encubierto sobre los sistemas comprometidos, aprovechando que este tipo de dispositivos perimetrales suele carecer de capacidades avanzadas de detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-dirigida-contra-dispositivos-fortiweb-mediante-vulnerabilidades-y-uso-de-sliver-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña dirigida contra dispositivos FortiWeb expuestos a Internet, en la cual un ciberdelincuente explota vulnerabilidades conocidas y potencialmente no divulgadas para obtener acceso inicial y desplegar a Sliver C2, una herramienta de acceso remoto utilizada como framework de postexploitation. A través de este mecanismo, el ciberdelincuente logra establecer control persistente y encubierto sobre los sistemas comprometidos, aprovechando que este tipo de dispositivos perimetrales suele carecer de capacidades avanzadas de detección.
Campaña activa distribuye BlihanStealer mediante phishingEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a BlihanStealer, una amenaza de tipo stealer orientada a la captura silenciosa de credenciales y la exfiltración de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-blihanstealer-mediante-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a BlihanStealer, una amenaza de tipo stealer orientada a la captura silenciosa de credenciales y la exfiltración de información sensible.
VVS Stealer: malware de espionaje enfocado en la exfiltración de datos sensiblesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un malware denominado VVS Stealer, una familia tipo stealer desarrollada en Python y orientada principalmente a la captura de credenciales, tokens y datos sensibles asociados a la plataforma Discord.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vvs-stealer-malware-de-espionaje-enfocado-en-la-exfiltracion-de-datos-sensibleshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un malware denominado VVS Stealer, una familia tipo stealer desarrollada en Python y orientada principalmente a la captura de credenciales, tokens y datos sensibles asociados a la plataforma Discord.
Campaña asociada a ACRStealer mediante distribución de software pirataEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ACRStealer, un stealer orientado a la captura de credenciales y datos de sesión en entornos empresariales, financieros, industriales y gubernamentales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-asociada-a-acrstealer-mediante-distribucion-de-software-piratahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ACRStealer, un stealer orientado a la captura de credenciales y datos de sesión en entornos empresariales, financieros, industriales y gubernamentales.
Correos dirigidos aprovechan CVE-2017-11882 para distribuir múltiples amenazasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing que utiliza un loader no identificado como eje de la infección y como plataforma para desplegar distintas amenazas según el objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/correos-dirigidos-aprovechan-cve-2017-11882-para-distribuir-multiples-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing que utiliza un loader no identificado como eje de la infección y como plataforma para desplegar distintas amenazas según el objetivo.
Nueva actividad asociada al framework AdaptixC2Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad de AdaptixC2, un framework de Comando y Control relativamente reciente que está siendo empleado como infraestructura de post-explotación dentro de campañas de intrusión más amplias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-al-framework-adaptixc2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad de AdaptixC2, un framework de Comando y Control relativamente reciente que está siendo empleado como infraestructura de post-explotación dentro de campañas de intrusión más amplias.
Nueva campaña del grupo APT36 entrega archivos LNK como falsos PDF legítimosDurante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa atribuida al grupo APT36 (Transparent Tribe), orientada al compromiso de sistemas Windows mediante técnicas de phishing y ejecución encubierta de malware, Empleando archivos de acceso directo .LNK disfrazados como documentos PDF legítimos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt36-entrega-archivos-lnk-como-falsos-pdf-legitimoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa atribuida al grupo APT36 (Transparent Tribe), orientada al compromiso de sistemas Windows mediante técnicas de phishing y ejecución encubierta de malware, Empleando archivos de acceso directo .LNK disfrazados como documentos PDF legítimos.
Nueva actividad asociada a MassLoggerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de MassLogger, una familia de malware de tipo keylogger, orientado a la captura y exfiltración de información sensible. Esta amenaza se distribuye principalmente mediante campañas de phishing que utilizan archivos adjuntos y enlaces maliciosos para inducir a la ejecución de la carga inicial. Una vez activo, MassLogger implementa mecanismos de persistencia, evasión y comunicación con infraestructura C2, permitiéndole capturar credenciales, datos de navegación y contenido de aplicaciones de correo y mensajería, lo que representa un riesgo relevante para entornos corporativos, especialmente del sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-a-massloggerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de MassLogger, una familia de malware de tipo keylogger, orientado a la captura y exfiltración de información sensible. Esta amenaza se distribuye principalmente mediante campañas de phishing que utilizan archivos adjuntos y enlaces maliciosos para inducir a la ejecución de la carga inicial. Una vez activo, MassLogger implementa mecanismos de persistencia, evasión y comunicación con infraestructura C2, permitiéndole capturar credenciales, datos de navegación y contenido de aplicaciones de correo y mensajería, lo que representa un riesgo relevante para entornos corporativos, especialmente del sector financiero.
Campaña asociada a ValleyRAT orientada a la exfiltración de información financieraEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, un troyano de acceso remoto que ha sido utilizado en operaciones de ciberespionaje dirigidas principalmente al sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-asociada-a-valleyrat-orientada-a-la-exfiltracion-de-informacion-financierahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, un troyano de acceso remoto que ha sido utilizado en operaciones de ciberespionaje dirigidas principalmente al sector financiero.
GlassWorm utiliza extensiones de VS Code como vector contra macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del gusano autopropagable GlassWorm que aprovecha extensiones de VS Code como vector contra equipos macOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/glassworm-utiliza-extensiones-de-vs-code-como-vector-contra-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del gusano autopropagable GlassWorm que aprovecha extensiones de VS Code como vector contra equipos macOS.
Campaña activa de la botnet RondoDoX utiliza como vector inicial vulnerabilidad critica de React2Shell.Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa asociada a la botnet RondoDoX, orientada al compromiso automatizado de aplicaciones web y dispositivos IoT expuestos a Internet. La actividad observada evidencia la explotación de vulnerabilidades críticas recientemente divulgadas, destacándose React2Shell en entornos Next.js, lo que permite a los ciberdelincuentes ejecutar código remoto, desplegar payloads maliciosos y establecer control persistente sobre los sistemas afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-la-botnet-rondodox-utiliza-como-vector-inicial-vulnerabilidad-critica-de-react2shellhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa asociada a la botnet RondoDoX, orientada al compromiso automatizado de aplicaciones web y dispositivos IoT expuestos a Internet. La actividad observada evidencia la explotación de vulnerabilidades críticas recientemente divulgadas, destacándose React2Shell en entornos Next.js, lo que permite a los ciberdelincuentes ejecutar código remoto, desplegar payloads maliciosos y establecer control persistente sobre los sistemas afectados.
Nuevos indicadores de compromiso relacionados con Salat StealerDurante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados con Salat Stealer, un malware de espionaje desarrollado en el lenguaje Go y orientado a la captura de información sensible de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-salat-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados con Salat Stealer, un malware de espionaje desarrollado en el lenguaje Go y orientado a la captura de información sensible de los usuarios.
Nueva actividad asociada a RhadamanthysEl equipo de analistas del Csirt Financiero ha identificado y mantiene bajo seguimiento una campaña de Rhadamanthys, un stealer que se distribuye principalmente mediante la suplantación de software legítimo. La campaña se apoya en sitios web falsos que imitan aplicaciones ampliamente utilizadas y en anuncios patrocinados en motores de búsqueda, lo que incrementa la probabilidad de descarga por parte de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-a-rhadamanthyshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado y mantiene bajo seguimiento una campaña de Rhadamanthys, un stealer que se distribuye principalmente mediante la suplantación de software legítimo. La campaña se apoya en sitios web falsos que imitan aplicaciones ampliamente utilizadas y en anuncios patrocinados en motores de búsqueda, lo que incrementa la probabilidad de descarga por parte de los usuarios.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}