Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva cepa de ransomware denominada ScRansom implementada por el grupo APT CosmicBeetleEste ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-cepa-de-ransomware-denominada-scransom-implementada-por-el-grupo-apt-cosmicbeetlehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Este ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.
Nueva actividad relacionada con los troyanos bancarios Mekotio y BBtokA través de las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa dirigida a usuarios de América Latina, vinculada a los troyanos bancarios Mekotio y BBtok. Los ciberdelincuentes responsables de esta campaña emplean correos electrónicos de phishing con señuelos basados en transacciones comerciales y judiciales, buscando persuadir a las víctimas para que descarguen los archivos maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-los-troyanos-bancarios-mekotio-y-bbtokhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa dirigida a usuarios de América Latina, vinculada a los troyanos bancarios Mekotio y BBtok. Los ciberdelincuentes responsables de esta campaña emplean correos electrónicos de phishing con señuelos basados en transacciones comerciales y judiciales, buscando persuadir a las víctimas para que descarguen los archivos maliciosos.
Nueva campaña del grupo Earth PretaEl equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-earth-pretahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.
Nueva amenaza de tipo backdoor denominado LokiA través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo backdoor denominado Loki. Este malware es detectado por las soluciones de seguridad de Kaspersky como Backdoor.Win64.MLoki, diferenciándose de otras familias como Loki Bot, Loki Locker, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-de-tipo-backdoor-denominado-lokihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo backdoor denominado Loki. Este malware es detectado por las soluciones de seguridad de Kaspersky como Backdoor.Win64.MLoki, diferenciándose de otras familias como Loki Bot, Loki Locker, entre otros.
BlindEagle ataca el sector financiero de Colombia con BlotchyQuasarMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que afecta el sector financiero de Colombia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blindeagle-ataca-el-sector-financiero-de-colombia-con-blotchyquasarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que afecta el sector financiero de Colombia.
Nuevo malware para AndroidMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado SpyAgent.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado SpyAgent.
NUEVA ACTIVIDAD MALICIOSA PARA DISTRIBUIR HAVOC, BRUTE RATEL Y PHANTOMCOREMacroPack, está siendo utilizados para distribuir malware avanzado como Havoc, Brute Ratel y PhantomCore. Se identifican las capacidades de evasión y persistencia, así como los métodos empleados por actores de amenazas para comprometer sistemas mediante macros maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-para-distribuir-havoc-brute-ratel-y-phantomcorehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
MacroPack, está siendo utilizados para distribuir malware avanzado como Havoc, Brute Ratel y PhantomCore. Se identifican las capacidades de evasión y persistencia, así como los métodos empleados por actores de amenazas para comprometer sistemas mediante macros maliciosas.
Nueva actividad maliciosa del Ransomware MalloxSe ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-malloxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.
Nueva puerta trasera para Microsoft Windows y LinuxMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado KTLVdoor.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-para-microsoft-windows-y-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado KTLVdoor.
Nueva actividad del troyano bancario Mispadu.Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-mispaduhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.
Nuevo ransomware como servicio Cicada3301Nuevo grupo de ransomware como servicio (RaaS) denominado Cicada3301 emplea tácticas de doble extorsión: cifra datos y amenaza con filtrar información confidencial para presionar a las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-como-servicio-cicada3301http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo grupo de ransomware como servicio (RaaS) denominado Cicada3301 emplea tácticas de doble extorsión: cifra datos y amenaza con filtrar información confidencial para presionar a las víctimas.
Malware Voldemort utiliza Google Sheets para exfiltrar datosEl malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-voldemort-utiliza-google-sheets-para-exfiltrar-datoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.
Nueva campaña de distribución de WikiLoaderCiberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-wikiloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.
Nueva variante de Lumma StealerLummaC2 es un stealer escrito en C el cual es identificado como Malware as a Service (MaaS) con la capacidad de detectar si se encuentra ejecutando en un entorno seguro (sandbox), este está diseñado específicamente para obtener información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-lumma-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
LummaC2 es un stealer escrito en C el cual es identificado como Malware as a Service (MaaS) con la capacidad de detectar si se encuentra ejecutando en un entorno seguro (sandbox), este está diseñado específicamente para obtener información sensible.
Ransomware como servicio RansomHubRansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-como-servicio-ransomhubhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.
Malware Rocinante tiene como objetivo clientes de instituciones financierasRocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-rocinante-tiene-como-objetivo-clientes-de-instituciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKESe identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-keylogger-denominado-snakehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.
Técnica AppDomainManager ejecuta malware en WindowsEl equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tecnica-appdomainmanager-ejecuta-malware-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.
Nuevo loader denominado UULoader con grandes capacidades de evasiónMediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-uuloader-con-grandes-capacidades-de-evasionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.
Nueva actividad maliciosa del ransomware BlackSuitAtacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-blacksuithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Atacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}