Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña de Maranhão Stealer vía instaladores troyanizadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Maranhão Stealer, un infostealer desarrollado en Node.js que emplea inyección de DLL reflectante para exfiltrar credenciales. La campaña, activa desde mayo de 2025 y aún en desarrollo, se distribuye a través de sitios de ingeniería social alojados en plataformas en la nube, los cuales ofrecen software pirateado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-maranhao-stealer-via-instaladores-troyanizadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Maranhão Stealer, un infostealer desarrollado en Node.js que emplea inyección de DLL reflectante para exfiltrar credenciales. La campaña, activa desde mayo de 2025 y aún en desarrollo, se distribuye a través de sitios de ingeniería social alojados en plataformas en la nube, los cuales ofrecen software pirateado.
Nueva campaña del grupo RevengeHotels distribuye VenomRATRevengeHotels, conocido también como TA558, ha lanzado una nueva serie de campañas contra hoteles de América Latina, particularmente en Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-revengehotels-distribuye-venomrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña de fraude masivo genera eliminación de aplicaciones de la Google Play StoreEl equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-fraude-masivo-genera-eliminacion-de-aplicaciones-de-la-google-play-storehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.
Nueva campaña de BlackLock ransomwareEl equipo del Csirt Financiero ha identificado una nueva campaña activa atribuida al grupo BlackLock, una operación de ransomware anteriormente conocida como “El Dorado”. Esta amenaza se destaca por su capacidad de comprometer entornos Windows, Linux y VMware ESXi mediante un binario compilado en lenguaje Go, que facilita su ejecución multiplataforma y refuerza su evasión.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-blacklock-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva campaña activa atribuida al grupo BlackLock, una operación de ransomware anteriormente conocida como “El Dorado”. Esta amenaza se destaca por su capacidad de comprometer entornos Windows, Linux y VMware ESXi mediante un binario compilado en lenguaje Go, que facilita su ejecución multiplataforma y refuerza su evasión.
Campaña de GOLD SALEM despliega Warlock Ransomware mediante explotación de vulnerabilidadesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-gold-salem-despliega-warlock-ransomware-mediante-explotacion-de-vulnerabilidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.
Nueva campaña de phishing en Latinoamérica distribuye el troyano de acceso remoto RattyDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing focalizada en usuarios de Latinoamérica, con especial incidencia en Perú, que emplea archivos PDF como señuelo para distribuir el troyano de acceso remoto Ratty.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-en-latinoamerica-distribuye-el-troyano-de-acceso-remoto-rattyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing focalizada en usuarios de Latinoamérica, con especial incidencia en Perú, que emplea archivos PDF como señuelo para distribuir el troyano de acceso remoto Ratty.
Nuevo loader detectadoMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado CountLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-detectadohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado CountLoader.
Nueva campaña de distribución de DeerStealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de DeerStealer, caracterizada por su ejecución en múltiples etapas, mecanismos de persistencia y técnicas de ocultamiento similares a un rootkit.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-deerstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de DeerStealer, caracterizada por su ejecución en múltiples etapas, mecanismos de persistencia y técnicas de ocultamiento similares a un rootkit.
Nueva campaña de Atomic infostealerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña de Atomic.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-atomic-infostealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña de Atomic.
Nueva actividad relacionada con Raven StealerA través de actividades realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el stealer Raven, lo que indica que sus operadores continúan desarrollando y desplegando variantes activas de este malware, el cual está diseñado específicamente para afectar navegadores basados en Chromium, como Google Chrome, Microsoft Edge y Brave, extrayendo información sensible almacenada localmente, incluyendo contraseñas, cookies, datos de autocompletado y detalles de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-raven-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el stealer Raven, lo que indica que sus operadores continúan desarrollando y desplegando variantes activas de este malware, el cual está diseñado específicamente para afectar navegadores basados en Chromium, como Google Chrome, Microsoft Edge y Brave, extrayendo información sensible almacenada localmente, incluyendo contraseñas, cookies, datos de autocompletado y detalles de pago.
Colaboración entre Gamaredon y Turla amplía capacidades de espionaje digitalDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.http://csirtasobancaria.com/Plone/alertas-de-seguridad/colaboracion-entre-gamaredon-y-turla-amplia-capacidades-de-espionaje-digitalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.
Aplicaciones troyanizadas en Google Play propagan el spyware JokerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aplicaciones-troyanizadas-en-google-play-propagan-el-spyware-jokerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.
Nueva actividad relacionada con Kawa4096Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a Kawa4096, un grupo de ransomware detectado por primera vez en junio de 2025 y que ha tenido como objetivo a organizaciones de carácter multinacional en sectores como finanzas, educación y servicios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-kawa4096http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad asociada a Kawa4096, un grupo de ransomware detectado por primera vez en junio de 2025 y que ha tenido como objetivo a organizaciones de carácter multinacional en sectores como finanzas, educación y servicios.
Nueva actividad de Zloader: evolución de un troyano bancario con capacidades avanzadasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad maliciosa de Zloader, un troyano bancario basado en Zeus que ha estado activo desde 2015, el cual ha experimentado actualizaciones recientes (versiones 2.11.6.0 y 2.13.7.0) que le otorgan funcionalidades mejoradas en evasión, comunicaciones de red y descubrimiento de redes internas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-zloader-evolucion-de-un-troyano-bancario-con-capacidades-avanzadashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad maliciosa de Zloader, un troyano bancario basado en Zeus que ha estado activo desde 2015, el cual ha experimentado actualizaciones recientes (versiones 2.11.6.0 y 2.13.7.0) que le otorgan funcionalidades mejoradas en evasión, comunicaciones de red y descubrimiento de redes internas.
Nueva variante de XCSSET amplía sus capacidades con persistencia en macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano XCSSET, la cual presenta modificaciones importantes en sus módulos y mecanismos de persistencia. Esta amenaza está diseñada para infectar proyectos de Xcode, un entorno de desarrollo usado en equipos macOS, lo que facilita su propagación cuando los archivos de proyectos son compartidos entre desarrolladores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-xcsset-amplia-sus-capacidades-con-persistencia-en-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano XCSSET, la cual presenta modificaciones importantes en sus módulos y mecanismos de persistencia. Esta amenaza está diseñada para infectar proyectos de Xcode, un entorno de desarrollo usado en equipos macOS, lo que facilita su propagación cuando los archivos de proyectos son compartidos entre desarrolladores.
Campaña de phishing utiliza archivos SVG para distribuir Amatera Stealer y PureMinerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing dirigida contra usuarios en Ucrania que emplea archivos SVG maliciosos como vector de ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-utiliza-archivos-svg-para-distribuir-amatera-stealer-y-pureminerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing dirigida contra usuarios en Ucrania que emplea archivos SVG maliciosos como vector de ataque.
Nueva actividad de BQTLOCKMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de BQTLOCK.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-bqtlock-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de BQTLOCK.
Campaña de XWorm RAT distribuida mediante shellcode en archivos de OfficeDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente del troyano de acceso remoto XWorm, la cual emplea un proceso de infección en varias etapas que combina correos maliciosos y técnicas para evadir su detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-xworm-rat-distribuida-mediante-shellcode-en-archivos-de-officehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente del troyano de acceso remoto XWorm, la cual emplea un proceso de infección en varias etapas que combina correos maliciosos y técnicas para evadir su detección.
Campaña maliciosa distribuye BankBot.Remo mediante aplicaciones fraudulentasDurante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña activa desde agosto de 2024 orientada a la distribución de troyanos bancarios en dispositivos Android en Indonesia y Vietnam, afectando principalmente a usuarios que instalan aplicaciones fraudulentas que imitan plataformas oficiales de identidad digital y pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-bankbot-remo-mediante-aplicaciones-fraudulentashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña activa desde agosto de 2024 orientada a la distribución de troyanos bancarios en dispositivos Android en Indonesia y Vietnam, afectando principalmente a usuarios que instalan aplicaciones fraudulentas que imitan plataformas oficiales de identidad digital y pago.
Nueva campaña distribuye la puerta trasera Oyster mediante instaladores de Microsoft TeamsEl equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye la puerta trasera Oyster, también conocida como Broomstick, a través de instaladores troyanizados del software corporativo Microsoft Teams, esta amenaza tiene como propósito obtener acceso remoto persistente en los equipos comprometidos, facilitando además la ejecución de cargas maliciosas adicionales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-la-puerta-trasera-oyster-mediante-instaladores-de-microsoft-teamshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye la puerta trasera Oyster, también conocida como Broomstick, a través de instaladores troyanizados del software corporativo Microsoft Teams, esta amenaza tiene como propósito obtener acceso remoto persistente en los equipos comprometidos, facilitando además la ejecución de cargas maliciosas adicionales.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}