Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Malware Voldemort utiliza Google Sheets para exfiltrar datos
Publicado: 01/09/2024 | Importancia: Media
El malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.
Nueva campaña de distribución de WikiLoader
Publicado: 01/09/2024 | Importancia: Media
Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.
Nueva variante de Lumma Stealer
Publicado: 30/08/2024 | Importancia: Media
LummaC2 es un stealer escrito en C el cual es identificado como Malware as a Service (MaaS) con la capacidad de detectar si se encuentra ejecutando en un entorno seguro (sandbox), este está diseñado específicamente para obtener información sensible.
Ransomware como servicio RansomHub
Publicado: 29/08/2024 | Importancia: Media
RansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.
Malware Rocinante tiene como objetivo clientes de instituciones financieras
Publicado: 28/08/2024 | Importancia: Media
Rocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.
NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKE
Publicado: 28/08/2024 | Importancia:
Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.
Técnica AppDomainManager ejecuta malware en Windows
Publicado: 28/08/2024 | Importancia: Media
El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.
Nuevo loader denominado UULoader con grandes capacidades de evasión
Publicado: 27/08/2024 | Importancia: Media
Mediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.
Nueva actividad maliciosa del ransomware BlackSuit
Publicado: 26/08/2024 | Importancia: Media
Atacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.
Nueva versión del backdoor HZ Rat
Publicado: 26/08/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva revisión del backdoor llamado HZ Rat.
Nuevo troyano de acceso remoto denominado Lilith RAT
Publicado: 25/08/2024 | Importancia: Media
Se identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.
Qilin exfiltra credenciales almacenadas en Google Chrome
Publicado: 25/08/2024 | Importancia: Media
El equipo del Csirt Financiero evidenció que el grupo de ransomware Qilin llevó a cabo una actividad maliciosa que resultó en la exfiltración masiva de credenciales almacenadas en el navegador Google Chrome en un subconjunto de puntos finales de una red comprometida.
Nuevo Loader para Windows que se oculta en memoria
Publicado: 24/08/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado PEAKLIGHT.
Nueva actividad relacionada con Angry Stealer
Publicado: 23/08/2024 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad maliciosa relacionada con Angry Stealer, un software malicioso ofrecido en canales clandestinos de Telegram a un precio de 250 dólares.
NGate: Nuevo Malware Para Dispositivos Android Que Captura Datos De Tarjetas De Crédito
Publicado: 22/08/2024 | Importancia: Media
Mediante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó un nuevo software malicioso llamado NGate, diseñado para dispositivos Android con el objetivo de capturar datos de tarjetas de crédito.
Ciberdelincuentes aprovechan errores de configuración para acceder a archivos de variables de entorno
Publicado: 22/08/2024 | Importancia: Media
Nueva campaña compromete entornos cloud utilizando archivos .env para acceder a información confidencial.
Nuevas variantes del troyano de acceso remoto MoonPeak
Publicado: 21/08/2024 | Importancia: Media
Recientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.
Campañas de phishing en aplicaciones PWA
Publicado: 21/08/2024 | Importancia: Media
Nuevas campañas de phishing con aplicaciones PWA dirigidas a usuarios de dispositivos móviles afectan sistemas operativos Android y iOS.
Nuevo Dropper denominado TodoSwift para dispositivos MacOS
Publicado: 20/08/2024 | Importancia: Media
Se ha detectado un nuevo dropper denominado "TodoSwift", que está siendo utilizado para distribuir diversas formas de malware. Este dropper destaca por sus técnicas avanzadas de evasión y persistencia.
Nuevos indicadores de compromiso relacionados con SpyNote
Publicado: 19/08/2024 | Importancia: Media
SpyNote es un spyware para que se oculta en aplicaciones aparentemente legítimas, este permite a los ciberdelincuentes monitorear y capturar datos del usuario.
Nuevo Stealer denominado Blank Grabber
Publicado: 18/08/2024 | Importancia: Media
Blank Grabber es un malware avanzado diseñado para infiltrarse en sistemas informáticos y robar información confidencial. Este software malicioso puede capturar contraseñas, cookies, historial de navegación, y tokens de acceso, afectando gravemente la privacidad y seguridad de los usuarios. Su capacidad para evadir detección y desactivar antivirus lo convierte en una amenaza crítica.
Nueva Campaña De ValleyRAT
Publicado: 18/08/2024 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha identificado una nueva campaña vinculada con el Troyano de Acceso Remoto (RAT) conocido como ValleyRAT. Este malware ha sido dirigido a sectores como comercio electrónico, finanzas, ventas y administración.
Nuevos indicadores de compromiso asociados a NetSupport Manager RAT
Publicado: 17/08/2024 | Importancia: Media
NetSupport Manager RAT es un troyano que aparenta ser una herramienta de control remoto legítima, permitiendo a ciberdelincuentes acceder a sistemas sin autorización, exfiltrar información confidencial e instalar malware.
Nueva campaña denominada Tusk para distribuir malware DanaBot y StealC
Publicado: 17/08/2024 | Importancia: Media
Se ha detectado una campaña de ciberataques orquestada por un grupo de ciberdelincuentes de habla rusa, conocido como "Tusk". Esta campaña emplea tácticas sofisticadas, como la creación de sitios web falsos que imitan a plataformas legítimas, con el objetivo de distribuir malware y capturar información confidencial.
Banshee Stealer: Nuevo Malware Dirigido A MacOS De Apple
Publicado: 16/08/2024 | Importancia: Media
El equipo Csirt Financiero ha identificado Banshee Stealer como un nuevo malware diseñado para afectar dispositivos macOS de Apple, codificado en C++ este malware y funciona en arquitecturas x86_64 y ARM64. Banshee Stealer se comercializa en la Deep y Dark Web por un precio elevado, representa una seria amenaza para los usuarios de Mac.
- Conexión
- Global
- Troyano
- MacOS
- Banshee Stealer
- API sysctl
- ARM64
- Dark Web
- Deep Web
- Ofuscado
- C++
- /Users//password-entered
- dscl Local/Default -authonly
- malware
- CFLocaleCopyPreferredLanguages
- API
- System_profiler
- sandboxes
- cookie
- sha1 y sha256
- hash md5
- AppleScript
- .ZIP
- .keys
- .wallet
- .doc
- .rtf
- .docx
- XOR
- System::collectSystemInfo
Nueva campaña del grupo APT UTG-Q-010
Publicado: 15/08/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña orquestada por el grupo llamado UTG-Q-010.
Troyano Sharprhino Suplanta Sitio Oficial Angry Ip Scanner Para Su Distribución
Publicado: 14/08/2024 | Importancia: Media
El equipo del CSIRT Financiero ha identificado el surgimiento de un nuevo troyano de acceso remoto (RAT) identificado como “SharpRhino” el cual esta desarrollado en el lenguaje de programación C#, y muestra relaciones con otras familias de malware, como “ThunderShell”, propagándose mediante un dominio fraudulento que suplanta la identidad del sitio oficial de Angry IP Scanner.
Nuevos Indicadores de Compromiso Relacionados con XWorm
Publicado: 14/08/2024 | Importancia: Media
El equipo del Csirt Financiero ha detectado nuevos indicadores de compromiso (IoC) asociados a XWorm, un malware diseñado para permitir el control remoto de equipos infectados y realizar una amplia gama de actividades maliciosas, como la captura de información sensible, la ejecución de comandos remotos y la propagación a través de redes internas.
Campañas de ingeniería social distribuyen SystemBC
Publicado: 14/08/2024 | Importancia: Media
El malware SystemBC se está distribuyendo mediante campañas que utilizan técnicas de ingeniería social.