Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad de LazarusMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-lazarushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Lazarus.
Campaña de Silver Fox explota controladores legítimos para desplegar ValleyRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-silver-fox-explota-controladores-legitimos-para-desplegar-valleyrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.
Nueva actividad del troyano bancario Brokewell con mejoras en sus capacidadesDurante las labores de monitoreo efectuadas por el equipo de analistas del Csirt Financiero se identificó una nueva actividad maliciosa que distribuye una variante evolucionada del troyano bancario Brokewell, orientado a dispositivos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-brokewell-con-mejoras-en-sus-capacidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo efectuadas por el equipo de analistas del Csirt Financiero se identificó una nueva actividad maliciosa que distribuye una variante evolucionada del troyano bancario Brokewell, orientado a dispositivos Android.
Nueva actividad relacionada al troyano bancario GrandoreiroDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó una nueva actividad relacionada con el troyano bancario Grandoreiro, una amenaza de origen brasileño que se encuentra entre los troyanos bancarios más extendidos a nivel mundial, incluyendo distribuciones en Colombia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-al-troyano-bancario-grandoreirohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó una nueva actividad relacionada con el troyano bancario Grandoreiro, una amenaza de origen brasileño que se encuentra entre los troyanos bancarios más extendidos a nivel mundial, incluyendo distribuciones en Colombia.
Nuevo keylogger denominado TinkyWinkeyDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-keylogger-denominado-tinkywinkeyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza dirigida a sistemas Windows, denominada TinkyWinkey, clasificada como un keylogger y con capacidad para operar de manera encubierta como un servicio del sistema.
Nuevo stealer denominado TamperedChefDurante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una extensa campaña de ciberdelincuencia que incorpora múltiples sitios fraudulentos promovidos a través de Google Ads para inducir a las víctimas a descargar un editor de PDF aparentemente gratuito, denominado AppSuite PDF Editor pero que en realidad instala una nueva amenaza conocida como TamperedChef.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-tamperedchefhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una extensa campaña de ciberdelincuencia que incorpora múltiples sitios fraudulentos promovidos a través de Google Ads para inducir a las víctimas a descargar un editor de PDF aparentemente gratuito, denominado AppSuite PDF Editor pero que en realidad instala una nueva amenaza conocida como TamperedChef.
Nueva actividad de XwormMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Xworm.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-xwormhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Xworm.
PromptLock: el supuesto primer ransomware impulsado por inteligencia artificialEl equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/promptlock-el-supuesto-primer-ransomware-impulsado-por-inteligencia-artificialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.
Charon ransomware es asociado a técnicas de Earth BaxiaEl equipo del Csirt Financiero identificó nuevos actividad relacionada con Charon, una familia de ransomware recientemente observada en campañas dirigidas contra organizaciones a nivel global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/charon-ransomware-es-asociado-a-tecnicas-de-earth-baxiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó nuevos actividad relacionada con Charon, una familia de ransomware recientemente observada en campañas dirigidas contra organizaciones a nivel global.
Nueva actividad del grupo APT C36 bajo la denominación TAG-144 que opera en ColombiaEl equipo de analistas del Csirt Financiero mediante actividades de monitoreo, identifico una nueva actividad relacionada al actor de amenazas TAG-144, también conocido como Blind Eagle o APT-C-36, con actividad maliciosa orientada a Colombiahttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-apt-c36-bajo-la-denominacion-tag-144-que-opera-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero mediante actividades de monitoreo, identifico una nueva actividad relacionada al actor de amenazas TAG-144, también conocido como Blind Eagle o APT-C-36, con actividad maliciosa orientada a Colombia
Nueva campaña de la botnet basada en Mirai “Gayfemboy”A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware caracterizada por el despliegue de una variante de la botnet Mirai llamada Gayfemboy, que combina capacidades de persistencia, evasión y control remoto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-la-botnet-basada-en-mirai-201cgayfemboy201dhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de malware caracterizada por el despliegue de una variante de la botnet Mirai llamada Gayfemboy, que combina capacidades de persistencia, evasión y control remoto.
Nueva versión del troyano bancario HookMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del troyano bancario Hook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-troyano-bancario-hookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del troyano bancario Hook.
Campaña de phishing asociada a UpCrypter para la distribución de RATEl equipo de analistas del Csirt Financiero ha identificado indicadores de compromiso relacionados con UpCrypter, un loader activamente empleado por ciberdelincuentes en campañas globales de phishing contra usuarios de Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-asociada-a-upcrypter-para-la-distribucion-de-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado indicadores de compromiso relacionados con UpCrypter, un loader activamente empleado por ciberdelincuentes en campañas globales de phishing contra usuarios de Microsoft Windows.
SpyNote se distribuye bajo la apariencia de IBM Trusteer MobileDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que utiliza una aplicación falsa para Android con el objetivo de engañar a los usuarios haciéndose pasar por un producto de seguridad de IBM.http://csirtasobancaria.com/Plone/alertas-de-seguridad/spynote-se-distribuye-bajo-la-apariencia-de-ibm-trusteer-mobilehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que utiliza una aplicación falsa para Android con el objetivo de engañar a los usuarios haciéndose pasar por un producto de seguridad de IBM.
Nuevo ransomware denominado CephalusDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado Cephalus, identificado en dos incidentes diferentes durante agosto de 2025. En ambos casos, los ciberdelincuentes obtuvieron acceso inicial mediante Remote Desktop Protocol (RDP), aprovechando cuentas comprometidas que carecían de autenticación multifactor (MFA).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-cephalushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado Cephalus, identificado en dos incidentes diferentes durante agosto de 2025. En ambos casos, los ciberdelincuentes obtuvieron acceso inicial mediante Remote Desktop Protocol (RDP), aprovechando cuentas comprometidas que carecían de autenticación multifactor (MFA).
Distribución de malware a través de clickfix y cargadores de shellcodeDurante las actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada a la campaña ClickFix, la cual estaría distribuyendo un loader denominado DonutLoaderhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/distribucion-de-malware-a-traves-de-clickfix-y-cargadores-de-shellcodehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa vinculada a la campaña ClickFix, la cual estaría distribuyendo un loader denominado DonutLoader
Nuevo malware para Android se hace pasar por un antivirus para infectar dispositivosEl equipo de analistas del Csirt Financiero ha identificado una nueva amenaza dirigida a usuarios de dispositivos móviles Android, inicialmente observada en Rusia, la cual distribuye un spyware enfocado al sector financiero y corporativo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-para-android-se-hace-pasar-por-un-antivirus-para-infectar-dispositivoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva amenaza dirigida a usuarios de dispositivos móviles Android, inicialmente observada en Rusia, la cual distribuye un spyware enfocado al sector financiero y corporativo.
Nueva actividad de BqtlockMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Bqtlock.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-bqtlockhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Bqtlock.
Nueva actividad del grupo APT UNC5518 que distribuye malware mediante verificaciones CaptchaEl equipo de analistas del Csirt Financiero ha identificado una nueva campaña atribuida al grupo APT UNC5518, el cual se caracteriza por sus motivaciones económicas y su especialidad en proveer acceso inicial como servicio (Initial Access Broker IAB).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-apt-unc5518-que-distribuye-malware-mediante-verificaciones-captchahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña atribuida al grupo APT UNC5518, el cual se caracteriza por sus motivaciones económicas y su especialidad en proveer acceso inicial como servicio (Initial Access Broker IAB).
Variante de Atomic dirigida a macOSMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de Atomic.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-atomic-dirigida-a-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de Atomic.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}