Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo malware para Android se hace pasar por un antivirus para infectar dispositivosEl equipo de analistas del Csirt Financiero ha identificado una nueva amenaza dirigida a usuarios de dispositivos móviles Android, inicialmente observada en Rusia, la cual distribuye un spyware enfocado al sector financiero y corporativo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-para-android-se-hace-pasar-por-un-antivirus-para-infectar-dispositivoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva amenaza dirigida a usuarios de dispositivos móviles Android, inicialmente observada en Rusia, la cual distribuye un spyware enfocado al sector financiero y corporativo.
Distribución de malware a través de clickfix y cargadores de shellcodeDurante las actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada a la campaña ClickFix, la cual estaría distribuyendo un loader denominado DonutLoaderhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/distribucion-de-malware-a-traves-de-clickfix-y-cargadores-de-shellcodehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada a la campaña ClickFix, la cual estaría distribuyendo un loader denominado DonutLoader
Nuevo ransomware denominado CephalusDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado Cephalus, identificado en dos incidentes diferentes durante agosto de 2025. En ambos casos, los ciberdelincuentes obtuvieron acceso inicial mediante Remote Desktop Protocol (RDP), aprovechando cuentas comprometidas que carecían de autenticación multifactor (MFA).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-cephalushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado Cephalus, identificado en dos incidentes diferentes durante agosto de 2025. En ambos casos, los ciberdelincuentes obtuvieron acceso inicial mediante Remote Desktop Protocol (RDP), aprovechando cuentas comprometidas que carecían de autenticación multifactor (MFA).
SpyNote se distribuye bajo la apariencia de IBM Trusteer MobileDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que utiliza una aplicación falsa para Android con el objetivo de engañar a los usuarios haciéndose pasar por un producto de seguridad de IBM.http://csirtasobancaria.com/Plone/alertas-de-seguridad/spynote-se-distribuye-bajo-la-apariencia-de-ibm-trusteer-mobilehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que utiliza una aplicación falsa para Android con el objetivo de engañar a los usuarios haciéndose pasar por un producto de seguridad de IBM.
Campaña de phishing asociada a UpCrypter para la distribución de RATEl equipo de analistas del Csirt Financiero ha identificado indicadores de compromiso relacionados con UpCrypter, un loader activamente empleado por ciberdelincuentes en campañas globales de phishing contra usuarios de Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-asociada-a-upcrypter-para-la-distribucion-de-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado indicadores de compromiso relacionados con UpCrypter, un loader activamente empleado por ciberdelincuentes en campañas globales de phishing contra usuarios de Microsoft Windows.
Nueva versión del troyano bancario HookMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del troyano bancario Hook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-troyano-bancario-hookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del troyano bancario Hook.
Nueva campaña de la botnet basada en Mirai “Gayfemboy”A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware caracterizada por el despliegue de una variante de la botnet Mirai llamada Gayfemboy, que combina capacidades de persistencia, evasión y control remoto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-la-botnet-basada-en-mirai-201cgayfemboy201dhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware caracterizada por el despliegue de una variante de la botnet Mirai llamada Gayfemboy, que combina capacidades de persistencia, evasión y control remoto.
Nueva actividad del grupo APT C36 bajo la denominación TAG-144 que opera en ColombiaEl equipo de analistas del Csirt Financiero mediante actividades de monitoreo, identifico una nueva actividad relacionada al actor de amenazas TAG-144, también conocido como Blind Eagle o APT-C-36, con actividad maliciosa orientada a Colombiahttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-apt-c36-bajo-la-denominacion-tag-144-que-opera-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero mediante actividades de monitoreo, identifico una nueva actividad relacionada al actor de amenazas TAG-144, también conocido como Blind Eagle o APT-C-36, con actividad maliciosa orientada a Colombia
Charon ransomware es asociado a técnicas de Earth BaxiaEl equipo del Csirt Financiero identificó nuevos actividad relacionada con Charon, una familia de ransomware recientemente observada en campañas dirigidas contra organizaciones a nivel global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/charon-ransomware-es-asociado-a-tecnicas-de-earth-baxiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó nuevos actividad relacionada con Charon, una familia de ransomware recientemente observada en campañas dirigidas contra organizaciones a nivel global.
PromptLock: el supuesto primer ransomware impulsado por inteligencia artificialEl equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/promptlock-el-supuesto-primer-ransomware-impulsado-por-inteligencia-artificialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.
Nueva actividad de XwormMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Xworm.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-xwormhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Xworm.
Nuevo stealer denominado TamperedChefDurante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una extensa campaña de ciberdelincuencia que incorpora múltiples sitios fraudulentos promovidos a través de Google Ads para inducir a las víctimas a descargar un editor de PDF aparentemente gratuito, denominado AppSuite PDF Editor pero que en realidad instala una nueva amenaza conocida como TamperedChef.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-tamperedchefhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una extensa campaña de ciberdelincuencia que incorpora múltiples sitios fraudulentos promovidos a través de Google Ads para inducir a las víctimas a descargar un editor de PDF aparentemente gratuito, denominado AppSuite PDF Editor pero que en realidad instala una nueva amenaza conocida como TamperedChef.
Nuevo keylogger denominado TinkyWinkeyDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-keylogger-denominado-tinkywinkeyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.
Nueva actividad relacionada al troyano bancario GrandoreiroDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó una nueva actividad relacionada con el troyano bancario Grandoreiro, una amenaza de origen brasileño que se encuentra entre los troyanos bancarios más extendidos a nivel mundial, incluyendo distribuciones en Colombia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-al-troyano-bancario-grandoreirohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó una nueva actividad relacionada con el troyano bancario Grandoreiro, una amenaza de origen brasileño que se encuentra entre los troyanos bancarios más extendidos a nivel mundial, incluyendo distribuciones en Colombia.
Nueva actividad del troyano bancario Brokewell con mejoras en sus capacidadesDurante las labores de monitoreo efectuadas por el equipo de analistas del Csirt Financiero se identificó una nueva actividad maliciosa que distribuye una variante evolucionada del troyano bancario Brokewell, orientado a dispositivos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-brokewell-con-mejoras-en-sus-capacidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo efectuadas por el equipo de analistas del Csirt Financiero se identificó una nueva actividad maliciosa que distribuye una variante evolucionada del troyano bancario Brokewell, orientado a dispositivos Android.
Campaña de Silver Fox explota controladores legítimos para desplegar ValleyRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-silver-fox-explota-controladores-legitimos-para-desplegar-valleyrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.
Nueva actividad de LazarusMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-lazarushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Lazarus.
Nueva puerta trasera llamada MystRodX con activación DNS/ICMPEl equipo del Csirt Financiero identificó indicadores asociados a MystRodX, una puerta trasera orientada al sigilo y al control remoto sostenido en equipos a nivel global. La amenaza se despliega mediante un dropper que instala dos componentes que se vigilan mutuamente para asegurar su ejecución continua, y destaca por su modo pasivo: se activa únicamente cuando detecta señales específicas en tráfico DNS o ICMP, tras lo cual establece comunicación con el C2 mediante TCP o HTTP con cifrado opcional.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-llamada-mystrodx-con-activacion-dns-icmphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó indicadores asociados a MystRodX, una puerta trasera orientada al sigilo y al control remoto sostenido en equipos a nivel global. La amenaza se despliega mediante un dropper que instala dos componentes que se vigilan mutuamente para asegurar su ejecución continua, y destaca por su modo pasivo: se activa únicamente cuando detecta señales específicas en tráfico DNS o ICMP, tras lo cual establece comunicación con el C2 mediante TCP o HTTP con cifrado opcional.
Nueva actividad del grupo DireWolfMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del grupo DireWolf.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-direwolfhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del grupo DireWolf.
XWorm evoluciona con cadenas de infección más sigilosasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm, la cual muestra un cambio importante en su forma de propagarse. El troyano pasó de usar métodos más previsibles a incorporar técnicas engañosas que buscan evadir controles de seguridad y aumentar la tasa de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xworm-evoluciona-con-cadenas-de-infeccion-mas-sigilosashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm, la cual muestra un cambio importante en su forma de propagarse. El troyano pasó de usar métodos más previsibles a incorporar técnicas engañosas que buscan evadir controles de seguridad y aumentar la tasa de infección.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}