-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nueva campaña maliciosa que distribuye ransomware a través de Microsoft Teams
Publicado: 21/01/2025 | Importancia: Media
Durante las actividades de monitoreo y análisis realizadas por el equipo del CSIRT Financiero, se identificó una nueva campaña de distribución del ransomware BlackBasta. La campaña utiliza técnicas de ingeniería social, particularmente vishing a través de Microsoft Teams, para suplantar al personal de soporte técnico y engañar a las víctimas.
Nuevo ransomware llamado Anomaly
Publicado: 21/01/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha detectado una nueva amenaza llamada Anomaly, un ransomware basado en la familia Chaos que es capaz de cifrar archivos y exigir un rescate a las víctimas, estableciendo comunicación con servidores de comando y control (C2) controlados por cibercriminales.
Nuevo ransomware denominado Contacto
Publicado: 20/01/2025 | Importancia: Media
A través del monitoreo continúo realizado por el equipo de analistas del CSIRT Financiero, se identificó un nuevo ransomware denominado Contacto, con registros desde principios de 2025.
Nueva actividad maliciosa relacionada al stealer Vidar
Publicado: 20/01/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha detectado una nueva actividad maliciosa vinculada a Vidar, un stealer diseñado para sustraer información confidencial de equipos comprometidos. Este malware, reconocido por su capacidad para extraer credenciales de acceso, datos financieros y archivos sensibles, opera a través de conexiones a servidores de comando y control (C2), desde donde coordina sus acciones y facilita la exfiltración de los datos recopilados.
Nueva actividad relacionada con el troyano de acceso remoto XWorm
Publicado: 19/01/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso vinculados a XWorm, un troyano de acceso remoto diseñado para proporcionar a los atacantes control total sobre los equipos comprometidos. Este RAT destaca por su amplia distribución y su alto grado de adaptabilidad, empleando técnicas avanzadas para evadir la detección y garantizar su persistencia en los equipos afectados.
Nuevos detalles relacionados con el troyano PikaBot
Publicado: 19/01/2025 | Importancia: Media
Durante actividades de monitoreo y seguimiento de amenazas, se identificaron nuevos detalles sobre el troyano PikaBot, una amenaza diseñada para capturar credenciales, datos bancarios y otra información confidencial, exfiltrándola hacia servidores de comando y control (C2) a través de canales cifrados.
Nueva actividad del troyano Braodo
Publicado: 18/01/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC de troyano llamado Braodo.
Nueva actividad relacionada con el troyano de acceso remoto DcRat
Publicado: 18/01/2025 | Importancia: Media
Mediante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada a DcRAT también conocido como DarkCrystal, un troyano de acceso remoto que proporciona a los ciberdelincuentes acceso remoto y control total sobre los equipos infectados.
Nueva campaña de ransomware: alianza entre funksec y fsociety ataca infraestructuras gubernamentales en colombia
Publicado: 18/01/2025 | Importancia: Media
El equipo de Csirt Financiero ha identificado una campaña de ransomware crítica ejecutada por los grupos FunkSec y fsociety, específicamente dirigida contra infraestructuras gubernamentales en Colombia que combinó técnicas de ransomware con defacement, resultando en el cifrado de datos sensibles de las organizaciones afectadas y la alteración de sus sitios web, dejando inaccesible su contenido y comprometiendo la prestación de servicios esenciales
Nuevo kit de phishing denominado Sneaky 2FA recopila credenciales de Microsoft
Publicado: 17/01/2025 | Importancia: Media
El equipo del Csirt Financiero identificó un nuevo kit de phishing llamado Sneaky 2FA, que tiene como objetivo capturar credenciales y códigos de autenticación 2FA de cuentas Microsoft 365.
Nueva actividad maliciosa de la botnet AIRASHI
Publicado: 16/01/2025 | Importancia: Media
El CSIRT Financiero ha identificado una nueva actividad maliciosa asociada a la botnet AIRASHI, una variante mejorada de AISURU.
Explotación de puertas traseras en python: la estrategia de ransomhub para el despliegue de ransomware
Publicado: 16/01/2025 | Importancia: Media
El Csirt Financiero ha identificado una nueva actividad maliciosa asociada a un ransomware llamado Ransom, se trata de un actor de amenazas que utiliza una puerta trasera basada en Python para obtener acceso persistente a sistemas comprometidos.
Nuevo ransomware denominado Aptlock con técnicas avanzadas
Publicado: 15/01/2025 | Importancia: Media
Durante un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza de ransomware sofisticada denominada Aptlock. Este ransomware emplea métodos de propagación comunes, tales como correos electrónicos maliciosos con archivos adjuntos o enlaces fraudulentos, explotación de vulnerabilidades en sistemas desactualizados y descargas engañosas desde sitios web comprometidos.
Nuevo RAT denominado G700 compromete dispositivos Android
Publicado: 13/01/2025 | Importancia: Media
El CSIRT Financiero ha identificado una nueva amenaza denominada G700, un troyano de acceso remoto (RAT) altamente sofisticado y diseñado específicamente para atacar dispositivos Android, poniendo en riesgo la seguridad de información sensible y la integridad de las operaciones financieras.
Nueva actividad maliciosa del RAT llamado GOBackdoor
Publicado: 13/01/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha detectado actividad maliciosa relacionada con GOBackdoor, un troyano de acceso remoto (RAT) modular desarrollado en GoLang. Este malware se caracteriza por su capacidad para evadir mecanismos de detección y mantener un acceso persistente en los equipos infectados, lo que lo convierte en una amenaza considerable para infraestructuras críticas y entornos corporativos. Su diseño modular le permite ejecutar diversas funcionalidades maliciosas, como la captura de credenciales, la exfiltración de datos sensibles y la ejecución remota de comandos, adaptándose a diferentes entornos y evadiendo análisis de seguridad en plataformas controladas como sandbox y máquinas virtuales.
Nuevo loader llamado SmartLoader
Publicado: 12/01/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva amenaza conocida como SmartLoader, un loader diseñado para distribuir y ejecutar diversas cargas maliciosas en equipos comprometidos, como ransomware, spyware y troyanos de acceso remoto (RAT), destacándose por su sofisticación técnica, que incluye técnicas de evasión y persistencia, lo que dificulta su detección y remediación.
Nuevo troyano denominado Xorbot
Publicado: 11/01/2025 | Importancia: Media
A través del monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza llamada Xorbot, un troyano avanzado diseñado para formar parte de botnets y ejecutar actividades maliciosas.
Nueva backdoor llamada SystemBC
Publicado: 11/01/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con la backdoor modular SystemBC. Este malware está diseñado para establecer conexiones seguras con servidores de comando y control (C2), facilitando la ejecución remota de comandos, la descarga de cargas maliciosas adicionales y la persistencia en los equipos comprometidos, además su uso de técnicas de evasión y cifrado lo convierte en una amenaza persistente que debe ser tratada con prioridad.
Nuevo grupo ransomware llamado FunkSec
Publicado: 10/01/2025 | Importancia: Media
El equipo del CSIRT Financiero ha encontrado nueva información relacionada con el grupo de ransomware FunkSec. Surgido a finales de 2024, este grupo es conocido por realizar ataques dirigidos con motivaciones económicas y ha evolucionado recientemente al implementar tácticas avanzadas, como el uso de inteligencia artificial para optimizar y automatizar sus operaciones. Esta capacidad les permite maximizar el impacto de sus campañas, lo que los convierte en una amenaza significativa.
Nueva variante del ransomware HexaLocker distribuye Skuld Stealer
Publicado: 10/01/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con HexaLocker V2, una variante evolucionada del ransomware HexaLocker. Esta nueva versión, desarrollada en el lenguaje de programación Go, presenta capacidades avanzadas para comprometer sistemas, cifrar archivos y exfiltrar información confidencial.
Nuevo stealer denominado Banshee
Publicado: 09/01/2025 | Importancia: Media
El CSIRT Financiero ha identificado una nueva actualización del stealer conocido como Banshee, un malware diseñado específicamente para sistemas macOS.
Malware se distribuye mediante PoC falsa
Publicado: 09/01/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado un exploit de prueba de concepto (PoC) para la vulnerabilidad LDAPNightmare (CVE-2024-49113). Esta vulnerabilidad, corregida por Microsoft en diciembre de 2024, afecta al protocolo LDAP, permitiendo a los atacantes ejecutar ataques de denegación de servicio (DoS). El malware se distribuye a través de un repositorio malicioso que imita ser una bifurcación legítima de un proyecto confiable. Su principal objetivo es desplegar scripts maliciosos, exfiltrar información sensible y descargar malware adicional, utilizando servicios como Pastebin y un servidor FTP externo. Esta amenaza representa un riesgo considerable, especialmente para profesionales de seguridad y desarrolladores que confían en herramientas PoC legítimas.
Nueva actividad maliciosa relacionada al troyano de acceso remoto FormBook
Publicado: 08/01/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa relacionada con FormBook, un troyano de acceso remoto (RAT) conocido por su modelo de negocio Trojan-as-a-Service (TaaS). Este RAT permite a los ciberdelincuentes acceder a múltiples capacidades para comprometer la seguridad de los equipos, como el registro de pulsaciones de teclas, capturas de pantalla y el robo de credenciales, lo que lo convierte en una amenaza crítica para la seguridad de datos sensibles y operaciones financieras.
Nueva actividad de LummaC2
Publicado: 08/01/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una nueva campaña de distribución de LummaC2, un stealer diseñado para extraer información confidencial de sistemas comprometidos.
Nueva botnet llamada Gayfemboy
Publicado: 08/01/2025 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de la botnet Mirai llamada Gayfemboy, una red de dispositivos comprometidos diseñada para llevar a cabo ataques de denegación de servicio distribuido (DDoS) y otras actividades maliciosas la cual ha incorporado capacidades avanzadas como la explotación de vulnerabilidades de día 0 y la integración de dispositivos mediante contraseñas Telnet débiles.
Gafgyt: impacto en dispositivos IoT
Publicado: 07/01/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante de Mirai llamada Gafgyt.
Nuevo ransomware de la familia MedusaLocker
Publicado: 07/01/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado Bbuild.
Nueva actividad del backdoor EAGERBEE
Publicado: 06/01/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el backdoor EAGERBEE, una amenaza avanzada que ha sido identificada en ataques dirigidos contra organizaciones gubernamentales y proveedores de servicios de internet (ISP) en el Medio Oriente.
Nueva actividad maliciosa relacionada a CobaltStrike
Publicado: 05/01/2025 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevos indicadores de compromiso relacionados a CobaltStrike. Esta herramienta, diseñada inicialmente para simulación de amenazas en pruebas de seguridad, ha sido ampliamente utilizada por ciberdelincuentes debido a su versatilidad, capacidades avanzadas y modularidad. Sus características la convierten en una amenaza significativa, especialmente en el sector financiero.
Nueva campaña de distribución del reciente Backdoor PLAYFULGHOST
Publicado: 05/01/2025 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado una nueva campaña de distribución del backdoor PLAYFULGHOST.