Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Xehook Stealer: nueva amenaza dirigida a sistemas WindowsA través del monitoreo realizado por el equipo del Csirt Financiero se observó un nuevo software malicioso denominado Xehook Stealer, dirigido a sistemas operativos Windows y desarrollado en lenguaje de programación .NET.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xehook-stealer-nueva-amenaza-dirigida-a-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo del Csirt Financiero se observó un nuevo software malicioso denominado Xehook Stealer, dirigido a sistemas operativos Windows y desarrollado en lenguaje de programación .NET.
Xhelper, el nuevo Dropper [Descargador de malware]Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xhelper-el-nuevo-dropper-descargador-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.
Xwo nuevo malware escaneando internet para encontrar vulnerabilidades.Xwo es un malware con función de escanear páginas web y encontrar vulnerabilidades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xwo-nuevo-malware-escaneando-internet-para-encontrar-vulnerabilidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
XWorm 6.0, nueva variante del RAT dirigida a sistemas WindowsDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de XWorm, concretamente la versión 6, la cual ha sido observada en campañas recientes dirigidas a sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xworm-6-0-nueva-variante-del-rat-dirigida-a-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de XWorm, concretamente la versión 6, la cual ha sido observada en campañas recientes dirigidas a sistemas operativos Windows.
XWorm evoluciona con cadenas de infección más sigilosasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm, la cual muestra un cambio importante en su forma de propagarse. El troyano pasó de usar métodos más previsibles a incorporar técnicas engañosas que buscan evadir controles de seguridad y aumentar la tasa de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xworm-evoluciona-con-cadenas-de-infeccion-mas-sigilosashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm, la cual muestra un cambio importante en su forma de propagarse. El troyano pasó de usar métodos más previsibles a incorporar técnicas engañosas que buscan evadir controles de seguridad y aumentar la tasa de infección.
XWorm utiliza LOLBins en una compleja cadena de infecciónEn el panorama actual de ciberseguridad, los actores de amenazas han perfeccionado sus estrategias para llevar a cabo ataques maliciosos de manera cada vez más sigilosa y sofisticada. Entre las tácticas más utilizadas se encuentran los ataques de varias etapas, que buscan aumentar la probabilidad de éxito en la entrega de su carga maliciosa y eludir la detección de las soluciones antivirus. Recientemente, se identificó el RAT XWorm, que destaca por su método novedoso de propagación y su sofisticado enfoque de ataque de varias etapas mediante el uso de LOLBins (Living Off the Land Binaries), que son binarios legítimos del sistema.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xworm-utiliza-lolbins-en-una-compleja-cadena-de-infeccionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el panorama actual de ciberseguridad, los actores de amenazas han perfeccionado sus estrategias para llevar a cabo ataques maliciosos de manera cada vez más sigilosa y sofisticada. Entre las tácticas más utilizadas se encuentran los ataques de varias etapas, que buscan aumentar la probabilidad de éxito en la entrega de su carga maliciosa y eludir la detección de las soluciones antivirus. Recientemente, se identificó el RAT XWorm, que destaca por su método novedoso de propagación y su sofisticado enfoque de ataque de varias etapas mediante el uso de LOLBins (Living Off the Land Binaries), que son binarios legítimos del sistema.
Yellow Cockatoo ejecuta troyano RATEl equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/yellow-cockatoo-ejecuta-troyano-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.
ZE Loader apunta al sector financiero.En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva amenaza para el sector financiero denominada ZE Loader un cargador malicioso diseñado para crear superposición remota con el objetivo de capturar datos bancarios en línea.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ze-loader-apunta-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva amenaza para el sector financiero denominada ZE Loader un cargador malicioso diseñado para crear superposición remota con el objetivo de capturar datos bancarios en línea.
Zenrat el nuevo troyano que utiliza Bitwarden como señueloA través de fuentes de información, el equipo de analistas del Csirt Financiero ha detectado una nueva amenaza en el ámbito de la ciberseguridad, la cual se ha denominado ZenRAT. Este troyano de acceso remoto (RAT) se propaga mediante supuestos paquetes de instalación que se hacen pasar por la aplicación de gestión de contraseñas Bitwarden. ZenRAT tiene como objetivo específico a los usuarios de sistemas Windows y emplea tácticas de redirección para evadir la detección en sistemas operativos diferentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/zenrat-el-nuevo-troyano-que-utiliza-bitwarden-como-senuelohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de fuentes de información, el equipo de analistas del Csirt Financiero ha detectado una nueva amenaza en el ámbito de la ciberseguridad, la cual se ha denominado ZenRAT. Este troyano de acceso remoto (RAT) se propaga mediante supuestos paquetes de instalación que se hacen pasar por la aplicación de gestión de contraseñas Bitwarden. ZenRAT tiene como objetivo específico a los usuarios de sistemas Windows y emplea tácticas de redirección para evadir la detección en sistemas operativos diferentes.
Zero-Days en Microsoft Edge y IE BrowsersLas vulnerabilidades con las que cuentas Internet Explorer y Microsoft Edge permiten acceso a datos de sesión confidenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/zero-days-en-microsoft-edge-y-ie-browsershttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña del troyano bancario Astaroth utiliza Whatsapp Web para su propagación.Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña asociada al troyano bancario Astaroth, la cual incorpora un mecanismo de propagación automatizada mediante WhatsApp Web. Esta campaña, observada principalmente en Brasil, se caracteriza por el uso intensivo de técnicas de ingeniería social y por el aprovechamiento de canales de mensajería basados en confianza para facilitar la distribución del troyano.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-astaroth-utiliza-whatsapp-web-para-su-propagacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña asociada al troyano bancario Astaroth, la cual incorpora un mecanismo de propagación automatizada mediante WhatsApp Web. Esta campaña, observada principalmente en Brasil, se caracteriza por el uso intensivo de técnicas de ingeniería social y por el aprovechamiento de canales de mensajería basados en confianza para facilitar la distribución del troyano.
Campaña Ghost Tap orientada a transacciones contactless mediante aplicaciones AndroidDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña conocida como Ghost Tap, basada en aplicaciones Android denominadas TX NFC, X NFC y NFU Pay, utilizadas para abusar de la funcionalidad NFC y ejecutar pagos contactless sin autorización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-ghost-tap-orientada-a-transacciones-contactless-mediante-aplicaciones-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña conocida como Ghost Tap, basada en aplicaciones Android denominadas TX NFC, X NFC y NFU Pay, utilizadas para abusar de la funcionalidad NFC y ejecutar pagos contactless sin autorización.
Actividad maliciosa de la botnet Kimwolf dirigida a dispositivos AndroidDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida a la botnet Kimwolf en la que ha logrado comprometer más de 2 millones de dispositivos Android alrededor del mundo, transformándose en una de las amenazas más extendidas y multifacéticas observadas en los últimos meses.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-de-la-botnet-kimwolf-dirigida-a-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida a la botnet Kimwolf en la que ha logrado comprometer más de 2 millones de dispositivos Android alrededor del mundo, transformándose en una de las amenazas más extendidas y multifacéticas observadas en los últimos meses.
Campaña activa de explotación de vulnerabilidades críticas en VMware ESXiDurante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa de intrusión avanzada orientada al compromiso de infraestructuras virtualizadas VMware ESXi, mediante el uso de técnicas de VM Escape explotadas en entornos productivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-explotacion-de-vulnerabilidades-criticas-en-vmware-esxihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa de intrusión avanzada orientada al compromiso de infraestructuras virtualizadas VMware ESXi, mediante el uso de técnicas de VM Escape explotadas en entornos productivos.
Campaña del grupo APT Muddy Water basada en documentos con macrosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Muddy Water, dirigida a organizaciones del Medio Oriente con un interés destacado en el sector financiero, así como en entidades diplomáticas, marítimas y de telecomunicaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-del-grupo-apt-muddy-water-basada-en-documentos-con-macroshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Muddy Water, dirigida a organizaciones del Medio Oriente con un interés destacado en el sector financiero, así como en entidades diplomáticas, marítimas y de telecomunicaciones.
Campaña activa explota servidores proxy mal configuradosDurante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero se identificó una campaña activa en la que ciberdelincuentes están abusando de servidores proxy expuestos o mal configurados para obtener acceso no autorizado a servicios de modelos de lenguaje LLM de pago en la nube.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-explota-servidores-proxy-mal-configuradoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero se identificó una campaña activa en la que ciberdelincuentes están abusando de servidores proxy expuestos o mal configurados para obtener acceso no autorizado a servicios de modelos de lenguaje LLM de pago en la nube.
Campaña mediante extensiones de Chrome expone conversaciones con servicios de IADurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña basada en extensiones maliciosas de Google Chrome que se hacen pasar por herramientas legítimas para interactuar con servicios de inteligencia artificial como ChatGPT y DeepSeek.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-mediante-extensiones-de-chrome-expone-conversaciones-con-servicios-de-iahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña basada en extensiones maliciosas de Google Chrome que se hacen pasar por herramientas legítimas para interactuar con servicios de inteligencia artificial como ChatGPT y DeepSeek.
Campaña activa distribuye HijackLoader mediante phishingEl equipo de analistas del Csirt Financiero ha identificado una campaña activa de HijackLoader, un loader modular que se distribuye mediante campañas de phishing dirigidas a entornos empresariales, financieros y gubernamentales, utilizando mensajes de correo electrónico con archivos ZIP maliciosos que contienen ejecutables legítimos y DLL manipuladas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-hijackloader-mediante-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de HijackLoader, un loader modular que se distribuye mediante campañas de phishing dirigidas a entornos empresariales, financieros y gubernamentales, utilizando mensajes de correo electrónico con archivos ZIP maliciosos que contienen ejecutables legítimos y DLL manipuladas.
Campaña de phishing distribuye Guloader y habilita acceso remoto mediante Remcos RATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza correos de phishing con supuestos informes de desempeño laboral como señuelo para distribuir la amenaza Guloader y, en una etapa posterior, instalar el troyano de acceso remoto Remcos RAT en equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-distribuye-guloader-y-habilita-acceso-remoto-mediante-remcos-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza correos de phishing con supuestos informes de desempeño laboral como señuelo para distribuir la amenaza Guloader y, en una etapa posterior, instalar el troyano de acceso remoto Remcos RAT en equipos comprometidos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}