Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña del APT BlindEagle en Colombia distribuye activamente el troyano de acceso remoto AsyncRATUna nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-del-apt-blindeagle-en-colombia-distribuye-activamente-el-troyano-de-acceso-remoto-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.
Campaña del malspam que distribuye a WSH RATGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-del-malspam-que-distribuye-a-wsh-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.
Campaña dirigida contra dispositivos FortiWeb mediante vulnerabilidades y uso de Sliver C2Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña dirigida contra dispositivos FortiWeb expuestos a Internet, en la cual un ciberdelincuente explota vulnerabilidades conocidas y potencialmente no divulgadas para obtener acceso inicial y desplegar a Sliver C2, una herramienta de acceso remoto utilizada como framework de postexploitation. A través de este mecanismo, el ciberdelincuente logra establecer control persistente y encubierto sobre los sistemas comprometidos, aprovechando que este tipo de dispositivos perimetrales suele carecer de capacidades avanzadas de detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-dirigida-contra-dispositivos-fortiweb-mediante-vulnerabilidades-y-uso-de-sliver-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña dirigida contra dispositivos FortiWeb expuestos a Internet, en la cual un ciberdelincuente explota vulnerabilidades conocidas y potencialmente no divulgadas para obtener acceso inicial y desplegar a Sliver C2, una herramienta de acceso remoto utilizada como framework de postexploitation. A través de este mecanismo, el ciberdelincuente logra establecer control persistente y encubierto sobre los sistemas comprometidos, aprovechando que este tipo de dispositivos perimetrales suele carecer de capacidades avanzadas de detección.
Campaña emergente del malware Danabot incluye una nueva variante identificada como “669”El equipo de analistas del Csirt Financiero identificó una nueva actividad del malware bancario Danabot “669”, el cual resurge tras la Operación Endgame con una infraestructura C2 reconstruida y capacidades reforzadas para la exfiltración de credenciales, datos y sustracción de criptomonedas, confirmando su alto nivel de resiliencia y peligro operativo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-emergente-del-malware-danabot-incluye-una-nueva-variante-identificada-como-201c669201dhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una nueva actividad del malware bancario Danabot “669”, el cual resurge tras la Operación Endgame con una infraestructura C2 reconstruida y capacidades reforzadas para la exfiltración de credenciales, datos y sustracción de criptomonedas, confirmando su alto nivel de resiliencia y peligro operativo.
Campaña en desarrollo de SantaStealer orientada a equipos WindowsEl equipo de analistas del Csirt Financiero ha identificado una campaña emergente asociada a SantaStealer, anteriormente conocido como BluelineStealer, una amenaza de tipo stealer que se encuentra en fase de desarrollo activo y es publicitada a través de foros de la dark web y canales de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-en-desarrollo-de-santastealer-orientada-a-equipos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña emergente asociada a SantaStealer, anteriormente conocido como BluelineStealer, una amenaza de tipo stealer que se encuentra en fase de desarrollo activo y es publicitada a través de foros de la dark web y canales de Telegram.
Campaña maliciosa asociada al stealer Atomic dirigida a usuarios de MacAtomic es una amenaza cibernética que fue anunciada en el presente año, también conocida como AMOS, un stealer dirigido a entornos Windows, Linux y Mac, que tiene como finalidad recopilar y exfiltrar información sensible alojada en las infraestructuras comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-asociada-al-stealer-atomic-dirigida-a-usuarios-de-machttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Atomic es una amenaza cibernética que fue anunciada en el presente año, también conocida como AMOS, un stealer dirigido a entornos Windows, Linux y Mac, que tiene como finalidad recopilar y exfiltrar información sensible alojada en las infraestructuras comprometidas.
Campaña maliciosa denominada Magnat distribuye tres tipos de familia de malwareEn el monitoreo realizado a fuentes abiertas de información para la identificación de amenazas potenciales contra el sector, el equipo de analistas del Csirt Financiero ha observado una campaña maliciosa denominada Magnat, en la que ciberdelincuentes emplean tres diferentes familias de malware para llevar a cabo acciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-denominada-magnat-distribuye-tres-tipos-de-familia-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información para la identificación de amenazas potenciales contra el sector, el equipo de analistas del Csirt Financiero ha observado una campaña maliciosa denominada Magnat, en la que ciberdelincuentes emplean tres diferentes familias de malware para llevar a cabo acciones maliciosas.
Campaña maliciosa distribuye BankBot.Remo mediante aplicaciones fraudulentasDurante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña activa desde agosto de 2024 orientada a la distribución de troyanos bancarios en dispositivos Android en Indonesia y Vietnam, afectando principalmente a usuarios que instalan aplicaciones fraudulentas que imitan plataformas oficiales de identidad digital y pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-bankbot-remo-mediante-aplicaciones-fraudulentashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña activa desde agosto de 2024 orientada a la distribución de troyanos bancarios en dispositivos Android en Indonesia y Vietnam, afectando principalmente a usuarios que instalan aplicaciones fraudulentas que imitan plataformas oficiales de identidad digital y pago.
Campaña maliciosa distribuye SteelFoxEl equipo del Csirt Financiero identificó una campaña que distribuye el nuevo stealer denominado SteelFox, el cual es capaz de exfiltrar datos sensibles, como información de tarjetas de crédito y detalles sobre el equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-steelfoxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una campaña que distribuye el nuevo stealer denominado SteelFox, el cual es capaz de exfiltrar datos sensibles, como información de tarjetas de crédito y detalles sobre el equipo comprometido.
Campaña maliciosa distribuye Wiki ransomwareWiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-wiki-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Wiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.
Campaña maliciosa para distribuir NjRAT a través de phishing impacta a entidades en ColombiaA través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña de ciber espionaje que impacta a entidades en Colombia con la finalidad de distribuir NjRAT, troyano de acceso remoto que logra persistir en los equipos sin ser detectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-para-distribuir-njrat-a-traves-de-phishing-impacta-a-entidades-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña de ciber espionaje que impacta a entidades en Colombia con la finalidad de distribuir NjRAT, troyano de acceso remoto que logra persistir en los equipos sin ser detectado.
Campaña maliciosa utiliza herramientas RMM para distribuir el troyano PatoRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha herramientas lícitas de gestión remota (RMM), específicamente LogMeIn Resolve (GoTo Resolve) y PDQ Connect, como medio para propagar un troyano de acceso remoto denominado PatoRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-utiliza-herramientas-rmm-para-distribuir-el-troyano-patorathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha herramientas lícitas de gestión remota (RMM), específicamente LogMeIn Resolve (GoTo Resolve) y PDQ Connect, como medio para propagar un troyano de acceso remoto denominado PatoRAT.
Campaña masiva de ataques a páginas web de WordPress mediante el backdoor Balad InjectorMás un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-de-ataques-a-paginas-web-de-wordpress-mediante-el-backdoor-balad-injectorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Más un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.
Campaña masiva de phishing orquestada mediante el Phiskit SwitchsymbRecientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-de-phishing-orquestada-mediante-el-phiskit-switchsymbhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:
Campaña masiva del troyano bancario MispaduEl troyano bancario Mispadu, también conocido como URSA, ha estado involucrado en múltiples campañas de spam en países como Bolivia, Chile, México, Perú y Portugal, desde agosto de 2022. Su objetivo es capturar credenciales de las víctimas al acceder a banca en línea, escuelas, servicios gubernamentales, redes sociales, juegos, comercio electrónico, repositorios públicos, etc. Los atacantes utilizaron una estrategia de infección en varias etapas y técnicas de ofuscación para evadir la detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-del-troyano-bancario-mispaduhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Mispadu, también conocido como URSA, ha estado involucrado en múltiples campañas de spam en países como Bolivia, Chile, México, Perú y Portugal, desde agosto de 2022. Su objetivo es capturar credenciales de las víctimas al acceder a banca en línea, escuelas, servicios gubernamentales, redes sociales, juegos, comercio electrónico, repositorios públicos, etc. Los atacantes utilizaron una estrategia de infección en varias etapas y técnicas de ofuscación para evadir la detección.
Campaña mundial contra entidades gubernamentales y financieras con los RAT Orcus y Revenge.Detectadas campañas de distribución de malware, en el que se envían correos a las víctimas para qué descarguen herramientas de acceso remoto con el fin de que se instalen en el equipo víctima y así tomar el control de manera remota para obtener información como datos sensibles y obtener beneficios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-mundial-contra-entidades-gubernamentales-y-financieras-con-los-rat-orcus-y-revengehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Detectadas campañas de distribución de malware, en el que se envían correos a las víctimas para qué descarguen herramientas de acceso remoto con el fin de que se instalen en el equipo víctima y así tomar el control de manera remota para obtener información como datos sensibles y obtener beneficios.
Campaña Nansh0u.Se detecta una campaña de infección dirigida a servidores Windows MS-SQL y PHPMyAdmin, la campaña se dirige principalmente a entidades que pertenecen a salud, telecomunicaciones y TI.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-nansh0uhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta una campaña de infección dirigida a servidores Windows MS-SQL y PHPMyAdmin, la campaña se dirige principalmente a entidades que pertenecen a salud, telecomunicaciones y TI.
Campaña PerSwaysion; kit de phishing webCampaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-perswaysion-kit-de-phishing-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.
Campaña phishing activa en ColombiaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en Colombia que distribuye el troyano de acceso remoto DCRat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-phishing-activa-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en Colombia que distribuye el troyano de acceso remoto DCRat.
Campaña que distribuye el malware Raccoon StealerDesde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-que-distribuye-el-malware-raccoon-stealer-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}