Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña distribuye Python RAT mediante versiones manipuladas de libreríasDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que distribuye Python RAT a través de dos paquetes maliciosos publicados en PyPI, identificados como spellcheckerpy y spellcheckpy.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-python-rat-mediante-versiones-manipuladas-de-libreriashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que distribuye Python RAT a través de dos paquetes maliciosos publicados en PyPI, identificados como spellcheckerpy y spellcheckpy.
Explotación de WinRAR permite la ejecución de Quasar RAT en sistemas WindowsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa que explota una vulnerabilidad crítica en WinRAR, identificada como CVE-2025-8088, la cual permite la escritura arbitraria de archivos fuera del directorio de extracción previsto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-winrar-permite-la-ejecucion-de-quasar-rat-en-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa que explota una vulnerabilidad crítica en WinRAR, identificada como CVE-2025-8088, la cual permite la escritura arbitraria de archivos fuera del directorio de extracción previsto.
Seguimiento a actividad asociada a Gh0stRAT en el sector financieroEl equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a Gh0stRAT, un troyano de acceso remoto con capacidades modulares orientadas al ciberespionaje y al control persistente de infraestructuras críticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-a-gh0strat-en-el-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a Gh0stRAT, un troyano de acceso remoto con capacidades modulares orientadas al ciberespionaje y al control persistente de infraestructuras críticas.
Actualización de Windows provoca errores de autenticación en entornos de Escritorio RemotoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con una actualización de seguridad de Microsoft que genera fallos en conexiones de Escritorio Remoto en equipos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-de-windows-provoca-errores-de-autenticacion-en-entornos-de-escritorio-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con una actualización de seguridad de Microsoft que genera fallos en conexiones de Escritorio Remoto en equipos Windows.
Nueva campaña de proxyjacking: secuestrando ancho de banda a gran escalaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña activa atribuida al actor de amenaza Larva-25012, observada inicialmente en Corea, orientada a la distribución de proxyware malicioso mediante la suplantación de aplicaciones legítimas, como Notepad++.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-proxyjacking-secuestrando-ancho-de-banda-a-gran-escalahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña activa atribuida al actor de amenaza Larva-25012, observada inicialmente en Corea, orientada a la distribución de proxyware malicioso mediante la suplantación de aplicaciones legítimas, como Notepad++.
Seguimiento a actividad asociada a FormBookEl equipo de analistas del Csirt Financiero ha identificado actividad asociada a FormBook, un troyano de acceso remoto comercializado bajo el modelo Malware-as-a-Service (MaaS), el cual ha mantenido una presencia constante en campañas dirigidas contra el sector empresarial y financiero, permitiendo a los cibercriminales capturar credenciales, registrar pulsaciones de teclado y exfiltrar información sensible desde equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-a-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a FormBook, un troyano de acceso remoto comercializado bajo el modelo Malware-as-a-Service (MaaS), el cual ha mantenido una presencia constante en campañas dirigidas contra el sector empresarial y financiero, permitiendo a los cibercriminales capturar credenciales, registrar pulsaciones de teclado y exfiltrar información sensible desde equipos comprometidos.
Nueva campaña incluye herramientas legítimas utilizadas como puerta trasera persistente.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña de phishing orientada a la exfiltración de credenciales de correo electrónico y al establecimiento de acceso remoto persistente mediante el abuso de herramientas legítimas de Monitoreo y Gestión Remota RMM. La campaña se apoya en correos electrónicos fraudulentos que suplantan a plataformas legítimas, los cuales redirigen a los usuarios a páginas diseñadas para capturar credenciales de múltiples proveedores de correo. Una vez comprometidas, dichas credenciales son utilizadas para desplegar de forma encubierta la herramienta LogMeIn Resolve, permitiendo a ciberdelincuentes mantener acceso remoto persistente a los sistemas afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-incluye-herramientas-legitimas-utilizadas-como-puerta-trasera-persistentehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña de phishing orientada a la exfiltración de credenciales de correo electrónico y al establecimiento de acceso remoto persistente mediante el abuso de herramientas legítimas de Monitoreo y Gestión Remota RMM. La campaña se apoya en correos electrónicos fraudulentos que suplantan a plataformas legítimas, los cuales redirigen a los usuarios a páginas diseñadas para capturar credenciales de múltiples proveedores de correo. Una vez comprometidas, dichas credenciales son utilizadas para desplegar de forma encubierta la herramienta LogMeIn Resolve, permitiendo a ciberdelincuentes mantener acceso remoto persistente a los sistemas afectados.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}