Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva amenaza denominada RadzaRat afecta dispositivos AndroidDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto RadzaRat dirigida a dispositivos Android, distribuida de forma global mediante un archivo APK alojado en un repositorio público.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-radzarat-afecta-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto RadzaRat dirigida a dispositivos Android, distribuida de forma global mediante un archivo APK alojado en un repositorio público.
Nueva campaña de ToddyCat dirigida a exfiltraciones de entidades corporativasDurante las actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad atribuida al grupo APT ToddyCat, cuya campaña más reciente se centra en la exfiltración de correos corporativos y datos en entornos Microsoft.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-toddycat-dirigida-a-exfiltraciones-de-entidades-corporativashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad atribuida al grupo APT ToddyCat, cuya campaña más reciente se centra en la exfiltración de correos corporativos y datos en entornos Microsoft.
RelayNFC: troyano para Android orientado al fraude mediante tecnología NFCMediante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware dirigida a usuarios en Brasil, denominada RelayNFC.http://csirtasobancaria.com/Plone/alertas-de-seguridad/relaynfc-troyano-para-android-orientado-al-fraude-mediante-tecnologia-nfchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware dirigida a usuarios en Brasil, denominada RelayNFC.
Técnicas de ofuscación y ejecución encubierta empleadas por Water Gamayun en cargas cifradas basadas en PowershellEl contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-ofuscacion-y-ejecucion-encubierta-empleadas-por-water-gamayun-en-cargas-cifradas-basadas-en-powershellhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El contenido que se va a compartir presenta un análisis de la campaña de intrusión atribuida al grupo Water Gamayun, un APT que utiliza dominios comprometidos para distribuir un archivo RAR que desencadena la explotación de la vulnerabilidad MSC EvilTwin en MMC, permitiendo la ejecución de cadenas de PowerShell ofuscado y la carga del loader ItunesC.exe en equipos corporativos Windows.
Nueva actividad asociada a la botnet shadowv2 que afecta dispositivos IOTDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña global asociada a la botnet ShadowV2, una variante reciente basada en la arquitectura de Mirai diseñada específicamente para dispositivos IoT vulnerables.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-a-la-botnet-shadowv2-que-afecta-dispositivos-iothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña global asociada a la botnet ShadowV2, una variante reciente basada en la arquitectura de Mirai diseñada específicamente para dispositivos IoT vulnerables.
Esteganografía en campañas de Clickfix oculta malware en imágenes pngEl análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthyshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/esteganografia-en-campanas-de-clickfix-oculta-malware-en-imagenes-pnghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El análisis técnico de la técnica ClickFix como vector de acceso inicial en equipos Windows, donde se combinan señuelos de verificación humana y falsas pantallas de Windows Update con una cadena de ejecución de múltiples etapas que abusa de herramientas legítimas como mshta, PowerShell y ensamblados en .NET para extraer shellcode oculto mediante esteganografía en imágenes PNG, permitiendo finalmente la ejecución de infostealers como LummaC2 y Rhadamanthys
Campaña de Bloody Wolf distribuye NetSupport RAT mediante archivos JARDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-bloody-wolf-distribuye-netsupport-rat-mediante-archivos-jarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivas.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_actividad-reciente-de-apt31-con-evolucion-tactica-y-nuevas-capacidades-ofensivashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
Campaña basada en USB distribuye nueva amenaza denominada PrintMinerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso que utiliza dispositivos USB como vector para distribuir un malware especializado en criptominería.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-basada-en-usb-distribuye-nueva-amenaza-denominada-printminerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso que utiliza dispositivos USB como vector para distribuir un malware especializado en criptominería.
Nueva familia de RAT para Android “Albiriox” orientado a fraude financieroDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-rat-para-android-201calbiriox201d-orientado-a-fraude-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.
Nueva actividad del backdoor TamperedChef distribuido mediante instaladores firmadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña denominada TamperedChef, la cual distribuye instaladores firmados que despliegan un backdoor en JavaScript que comparte el mismo nombre.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-backdoor-tamperedchef-distribuido-mediante-instaladores-firmadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña denominada TamperedChef, la cual distribuye instaladores firmados que despliegan un backdoor en JavaScript que comparte el mismo nombre.
Nueva actividad maliciosa relacionada con BrazilianBankerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con BrazilianBanker, un troyano bancario de alta complejidad diseñado para cometer fraude financiero contra instituciones de América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-brazilianbankerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con BrazilianBanker, un troyano bancario de alta complejidad diseñado para cometer fraude financiero contra instituciones de América Latina.
Actividad de PoSeidon dirigida al sector bancario brasileño mediante macros ofuscadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano bancario PoSeidon, dirigida principalmente al sector financiero latinoamericano y con especial impacto en entidades brasileñas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-poseidon-dirigida-al-sector-bancario-brasileno-mediante-macros-ofuscadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano bancario PoSeidon, dirigida principalmente al sector financiero latinoamericano y con especial impacto en entidades brasileñas.
RondoDox es empleado en campañas de exfiltración de información.El equipo de analistas del Csirt Financiero ha identificado a RondoDox, un troyano bancario con capacidades de stealer utilizado en campañas de espionaje corporativo orientadas a la exfiltración silenciosa de documentos confidenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rondodox-es-empleado-en-campanas-de-exfiltracion-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a RondoDox, un troyano bancario con capacidades de stealer utilizado en campañas de espionaje corporativo orientadas a la exfiltración silenciosa de documentos confidenciales.
Campaña relacionada con el APT ShinyHunters distribuye ransomware ShinySp1d3rDurante el monitoreo realizado por el CSIRT Financiero se identificó una actividad maliciosa atribuida al grupo APT ShinyHunters, quienes utilizaron tokens OAuth exfiltrados para acceder a integraciones de Gainsight dentro de Salesforce.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-relacionada-con-el-apt-shinyhunters-distribuye-ransomware-shinysp1d3rhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el CSIRT Financiero se identificó una actividad maliciosa atribuida al grupo APT ShinyHunters, quienes utilizaron tokens OAuth exfiltrados para acceder a integraciones de Gainsight dentro de Salesforce.
Seguimiento de campaña activa de SpyNote.El equipo de analistas del Csirt Financiero ha identificado actividad asociada a SpyNote, un spyware dirigido a dispositivos Android que ha sido utilizado en campañas de espionaje móvil a través de la distribución encubierta de aplicaciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-de-campana-activa-de-spynotehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a SpyNote, un spyware dirigido a dispositivos Android que ha sido utilizado en campañas de espionaje móvil a través de la distribución encubierta de aplicaciones maliciosas.
Nueva campaña sofisticada de ValleyRAT emplea técnicas BYOVD y mecanismos de persistencia avanzadaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-sofisticada-de-valleyrat-emplea-tecnicas-byovd-y-mecanismos-de-persistencia-avanzadahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.
Campaña de ‘Water Saci’, asistida por IA, se distribuye a través de Whatsapp Web.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña atribuida al grupo “Water Saci”, caracterizada por el uso de automatización asistida por inteligencia artificial y la distribución de archivos maliciosos a través de WhatsApp Web. La actividad observada mostró un incremento notable en las tácticas de propagación, así como en las capacidades destinadas a la exfiltración de información financiera y al compromiso de usuarios en el ecosistema bancario brasileño.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-2018water-saci2019-asistida-por-ia-se-distribuye-a-traves-de-whatsapp-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña atribuida al grupo “Water Saci”, caracterizada por el uso de automatización asistida por inteligencia artificial y la distribución de archivos maliciosos a través de WhatsApp Web. La actividad observada mostró un incremento notable en las tácticas de propagación, así como en las capacidades destinadas a la exfiltración de información financiera y al compromiso de usuarios en el ecosistema bancario brasileño.
Nueva actividad del Stealer Arkanix con capacidades para exfiltrar información de navegadoresDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva actividad del Stealer Arkanix, un malware empleado por ciberdelincuentes para la exfiltración sistemática de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-stealer-arkanix-con-capacidades-para-exfiltrar-informacion-de-navegadoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva actividad del Stealer Arkanix, un malware empleado por ciberdelincuentes para la exfiltración sistemática de información sensible.
Campaña activa de Muddywater, uso de loaders personalizados y nuevos backdoors en infraestructura crítica.Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-muddywater-uso-de-loaders-personalizados-y-nuevos-backdoors-en-infraestructura-criticahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se observó una campaña avanzada atribuida al grupo MuddyWater, conocido por su enfoque en ciberespionaje y por dirigir operaciones contra sectores estratégicos en Oriente Medio.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}