Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Malware Voldemort utiliza Google Sheets para exfiltrar datos

Publicado: 01/09/2024 | Importancia: Media

El malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.

Nueva campaña de distribución de WikiLoader

Publicado: 01/09/2024 | Importancia: Media

Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.

Nueva variante de Lumma Stealer

Publicado: 30/08/2024 | Importancia: Media

LummaC2 es un stealer escrito en C el cual es identificado como Malware as a Service (MaaS) con la capacidad de detectar si se encuentra ejecutando en un entorno seguro (sandbox), este está diseñado específicamente para obtener información sensible.

Ransomware como servicio RansomHub

Publicado: 29/08/2024 | Importancia: Media

RansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.

Malware Rocinante tiene como objetivo clientes de instituciones financieras

Publicado: 28/08/2024 | Importancia: Media

Rocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.

NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKE

Publicado: 28/08/2024 | Importancia:

Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.

Técnica AppDomainManager ejecuta malware en Windows

Publicado: 28/08/2024 | Importancia: Media

El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.

Nuevo loader denominado UULoader con grandes capacidades de evasión

Publicado: 27/08/2024 | Importancia: Media

Mediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.

Nueva actividad maliciosa del ransomware BlackSuit

Publicado: 26/08/2024 | Importancia: Media

Atacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.

Nueva versión del backdoor HZ Rat

Publicado: 26/08/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva revisión del backdoor llamado HZ Rat.

Nuevo troyano de acceso remoto denominado Lilith RAT

Publicado: 25/08/2024 | Importancia: Media

Se identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.

Qilin exfiltra credenciales almacenadas en Google Chrome

Publicado: 25/08/2024 | Importancia: Media

El equipo del Csirt Financiero evidenció que el grupo de ransomware Qilin llevó a cabo una actividad maliciosa que resultó en la exfiltración masiva de credenciales almacenadas en el navegador Google Chrome en un subconjunto de puntos finales de una red comprometida.

Nuevo Loader para Windows que se oculta en memoria

Publicado: 24/08/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado PEAKLIGHT.

Nueva actividad relacionada con Angry Stealer

Publicado: 23/08/2024 | Importancia: Media

Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad maliciosa relacionada con Angry Stealer, un software malicioso ofrecido en canales clandestinos de Telegram a un precio de 250 dólares.

NGate: Nuevo Malware Para Dispositivos Android Que Captura Datos De Tarjetas De Crédito

Publicado: 22/08/2024 | Importancia: Media

Mediante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó un nuevo software malicioso llamado NGate, diseñado para dispositivos Android con el objetivo de capturar datos de tarjetas de crédito.

Nuevas variantes del troyano de acceso remoto MoonPeak

Publicado: 21/08/2024 | Importancia: Media

Recientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.

Campañas de phishing en aplicaciones PWA

Publicado: 21/08/2024 | Importancia: Media

Nuevas campañas de phishing con aplicaciones PWA dirigidas a usuarios de dispositivos móviles afectan sistemas operativos Android y iOS.

Nuevo Dropper denominado TodoSwift para dispositivos MacOS

Publicado: 20/08/2024 | Importancia: Media

Se ha detectado un nuevo dropper denominado "TodoSwift", que está siendo utilizado para distribuir diversas formas de malware. Este dropper destaca por sus técnicas avanzadas de evasión y persistencia.

Nuevos indicadores de compromiso vinculados con TiSpy

Publicado: 20/08/2024 | Importancia: Media

TiSpy es un troyano de acceso remoto capaz de monitorear y exfiltrar información del equipo o dispositivo comprometido.

Nuevos indicadores de compromiso relacionados con SpyNote

Publicado: 19/08/2024 | Importancia: Media

SpyNote es un spyware para que se oculta en aplicaciones aparentemente legítimas, este permite a los ciberdelincuentes monitorear y capturar datos del usuario.

Nuevo Stealer denominado Blank Grabber

Publicado: 18/08/2024 | Importancia: Media

Blank Grabber es un malware avanzado diseñado para infiltrarse en sistemas informáticos y robar información confidencial. Este software malicioso puede capturar contraseñas, cookies, historial de navegación, y tokens de acceso, afectando gravemente la privacidad y seguridad de los usuarios. Su capacidad para evadir detección y desactivar antivirus lo convierte en una amenaza crítica.

Nueva Campaña De ValleyRAT

Publicado: 18/08/2024 | Importancia: Media

Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha identificado una nueva campaña vinculada con el Troyano de Acceso Remoto (RAT) conocido como ValleyRAT. Este malware ha sido dirigido a sectores como comercio electrónico, finanzas, ventas y administración.

Nuevos indicadores de compromiso asociados a NetSupport Manager RAT

Publicado: 17/08/2024 | Importancia: Media

NetSupport Manager RAT es un troyano que aparenta ser una herramienta de control remoto legítima, permitiendo a ciberdelincuentes acceder a sistemas sin autorización, exfiltrar información confidencial e instalar malware.

Nueva campaña denominada Tusk para distribuir malware DanaBot y StealC

Publicado: 17/08/2024 | Importancia: Media

Se ha detectado una campaña de ciberataques orquestada por un grupo de ciberdelincuentes de habla rusa, conocido como "Tusk". Esta campaña emplea tácticas sofisticadas, como la creación de sitios web falsos que imitan a plataformas legítimas, con el objetivo de distribuir malware y capturar información confidencial.

Banshee Stealer: Nuevo Malware Dirigido A MacOS De Apple

Publicado: 16/08/2024 | Importancia: Media

El equipo Csirt Financiero ha identificado Banshee Stealer como un nuevo malware diseñado para afectar dispositivos macOS de Apple, codificado en C++ este malware y funciona en arquitecturas x86_64 y ARM64. Banshee Stealer se comercializa en la Deep y Dark Web por un precio elevado, representa una seria amenaza para los usuarios de Mac.

Nueva campaña del grupo APT UTG-Q-010

Publicado: 15/08/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña orquestada por el grupo llamado UTG-Q-010.

Troyano Sharprhino Suplanta Sitio Oficial Angry Ip Scanner Para Su Distribución

Publicado: 14/08/2024 | Importancia: Media

El equipo del CSIRT Financiero ha identificado el surgimiento de un nuevo troyano de acceso remoto (RAT) identificado como “SharpRhino” el cual esta desarrollado en el lenguaje de programación C#, y muestra relaciones con otras familias de malware, como “ThunderShell”, propagándose mediante un dominio fraudulento que suplanta la identidad del sitio oficial de Angry IP Scanner.

Nuevos Indicadores de Compromiso Relacionados con XWorm

Publicado: 14/08/2024 | Importancia: Media

El equipo del Csirt Financiero ha detectado nuevos indicadores de compromiso (IoC) asociados a XWorm, un malware diseñado para permitir el control remoto de equipos infectados y realizar una amplia gama de actividades maliciosas, como la captura de información sensible, la ejecución de comandos remotos y la propagación a través de redes internas.

Campañas de ingeniería social distribuyen SystemBC

Publicado: 14/08/2024 | Importancia: Media

El malware SystemBC se está distribuyendo mediante campañas que utilizan técnicas de ingeniería social.