Alertas de seguridad

Bat

El ransomware Magniber reaparece con nuevas capacidades para generar persistencia.

Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.

Leer Más

Nueva actividad maliciosa del troyano de acceso remoto Quasar RAT

Aunque el troyano de acceso remoto Quasar RAT ha sido reportado anteriormente por el Csirt, es importante resaltar sus recientes actividades maliciosas, donde a través de fuentes de información abierta se han identificado nuevos indicadores de compromiso relacionados a Quasar RAT, el cual se encuentra dirigido a entidades financieras y en sus últimas campañas a estado dirigida a Colombia.

Leer Más

Nueva actividad maliciosa del troyano bancario Mekotio

Recientemente el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso del troyano bancario conocido como Mekotio, esta nueva campaña está dirigida a países de Latinoamérica con el objetivo de capturar datos confidenciales de entidades financieras, en donde los actores detrás de amenaza implementan nuevas (TTP) con el fin de no ser detectadas por soluciones de seguridad y tecnologías de detección antimalware.

Leer Más

Nueva variante de la botnet Mirai denominada V3G4

Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros. Recientemente se han identificado nuevas variantes de esta botnet y en esta ocasión se observó una nueva denominada V3g4, la cual viene realizando explotaciones a vulnerabilidades en servidores basados en el sistema operativo Linux y dispositivos IoT para usarlos en ataques DDoS.

Leer Más

Dark Caracal APT emplea una nueva versión del spyware Bandook en objetivos de América Latina

El grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.

Leer Más

Surge una campaña maliciosa con nuevas amenazas

El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.

Leer Más

Nueva actividad de ShadowPad RAT dirigido a organizaciones de Latinoamérica

El troyano de acceso remoto Shadowpad RAT fue inicialmente publicado como una herramienta legítima de acceso remoto en el 2021, en ese mismo año varios actores de amenaza la empezaron a implementar con fines delictivos; en esta ocasión, se observó a un grupo de ciberdelincuentes con origen en china conocido como DEV-0147 apuntando a organizaciones en América latina distribuyendo esta familia de malware.

Leer Más

Backdoor con capacidades para realizar inteligentes capturas de pantalla

Es muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.

Leer Más

El troyano Qbot es distribuido a través de archivos de Microsoft OneNote

Qbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.

Leer Más

Nueva campaña maliciosa relacionada con Gootloader

El despliegue de ataques que involucran GootLoader, implementan archivos JavaScript ofuscados, diseñados para evadir la seguridad y la carga de grandes payloads, disfrazados como legítimos. Recientemente se identificó una campaña de este loader, dirigida principalmente a entidades en países de habla inglesa, como Estados Unidos, Reino Unido y Australia, con un énfasis en el sector salud y financiero.

Leer Más

Se identifica nueva actividad maliciosa de Emotet

Aunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.

Leer Más

Royal ransomware es dirigido a servidores VMware ESXi

Durante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.

Leer Más

Variante de Clop ransomware afecta sistemas Linux

Los operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.

Leer Más

El ransomware ESXiArgs es identificado explotando vulnerabilidades de servidores VMware ESXI

El equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.

Leer Más

Emerge la nueva botnet llamada Medusa en el panorama de amenazas

La botnet Mirai se ha actualizado para descargar y propagar una nueva botnet llamada Medusa, afectando dispositivos de red vulnerables que ejecuten Linux para de este modo comprometerlos y llevar a cabo acciones maliciosas como ataques DDoS y descarga de malware.

Leer Más

Nuevo troyano bancario denominado HookBot dirigido a dispositivos móviles

La mayoría de la población posee un dispositivo móvil, un hecho que también beneficia a los ciberdelincuentes y a los actores de amenazas dirigido a sistemas móviles, cuyo principal objetivo es capturar datos confidenciales. Un ejemplo de esto es el nuevo troyano bancario HookBot, diseñado para obtener acceso a información privada como contraseñas bancarias, cuentas de correo electrónico, billeteras de criptomonedas, y sitios de redes sociales.

Leer Más

Nuevo troyano bancario para Android denominado PixPirate

El equipo de analistas del Csirt financiero realizó un observatorio de seguridad con el fin de compartir información de nuevas campañas y amenazas que puedan afectar al sector financiero o la infraestructura de los asociados, donde se identificó un nuevo troyano bancario para dispositivos móviles conocido como PixPirate que impacto en Brasil y está dirigido a países de Latinoamérica (LATAM).

Leer Más

Qakbot renueva sus estrategias de infección

Qakbot, es uno de los troyanos bancarios más reconocidos en el ámbito de ciberseguridad, esto por ser una familia de malware que evoluciona constantemente a llegar a tal punto de convertirse en una botnet; así mismo, se evidencia la constante implementación de nuevas actualizaciones y estrategias en sus campañas maliciosas, con el propósito de afectar sistemas informáticos objetivos y, por ende, organizaciones de alto nivel.

Leer Más

Actores de amenaza implementan inyecciones web en sus troyanos bancarios

Usualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.

Leer Más

Systembc utilizado por actores de amenaza que distribuyen ransomware

SystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.

Leer Más

Archivo