Alertas de seguridad

Nuevas actividades maliciosa en Colombia con el Ransomware Makop y Crysis

Publicado: 01/11/2024 | Importancia: Alta

Se ha identificado una campaña activa de ransomware dirigida a organizaciones en Colombia, utilizando malware avanzado para cifrar archivos, evitar detección y asegurar persistencia. Esta amenaza subraya la necesidad de fortalecer las medidas de seguridad en el sector financiero del país.

• RDP
• phishing
• ransomware
• Makop
• Crysis
• persistencia
• evasión
• cifrado
• Microsoft Windows
• sistemas corporativos

Nuevas técnicas de evasión de Latrodectus

Publicado: 31/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas, se identificó nueva actividad del loader llamado Lactrodectus, el cual emplea técnicas avanzadas de ocultación y autoeliminación que permite dificultar su análisis.

• Comunicación con C2
• Persistencia
• Evasión de analisis
• Latrodectus
• Loader

Nueva campaña de distribucion de AsyncRAT por ClaroDrive

Publicado: 30/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña de distribución del troyano de acceso remoto AsynRAT por medio de ClaroDrive.

• AsyncRAT
• RAT
• Malware
• Phishing
• AntiVM
• C2
• ClaroDrive

Nueva actividad relaciona con los malware Lumma y Amadey

Publicado: 29/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha detectado una nueva actividad relacionada con la distribución de los malware Lumma y Amadey. Estas amenazas emergentes podrían comprometer la infraestructura de los asociados, destacando la importancia de mantenerse alerta ante estas campañas maliciosas y fortalecer las medidas de seguridad para mitigar los riesgos asociados.

• Stealer
• Trojan
• C2
• Exfiltración de información
• Lumma
• Amaday
• Captcha falso
• Adware
• PowerShell
• Ingeniería Social

Nueva actividad maliciosa del malware SmokeLoader

Publicado: 29/10/2024 | Importancia: Media

El equipo de analistas del CSIRT Financiero ha identificado nueva actividad maliciosa del malware SmokeLoader. Este malware emplea técnicas avanzadas para distribuir cargas maliciosas y permitir el acceso remoto de atacantes.

• Phishing
• Exfiltración de información
• Troyano
• Loader
• SmokeLoader
• .ZIP

NUEVA CAMPAÑA MALICIOSA QUE SUPLANTA A ORGANIZACIÓN GUBERNAMENTAL COLOMBIANA

Publicado: 28/10/2024 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa activa en la que los ciberdelincuentes envían mensajes de texto (SMS) fraudulentos, suplantando a una organización gubernamental colombiana.

• Técnicas de Ingeniería Social
• Phishing
• Suplantación de Identidad
• Fraude Financiero
• Captura de Información
• DIAN
• Enlace Malicioso
• Captura de Credenciales
• SMS Fraudulento

Nueva actividad relacionada con DBatLoader

Publicado: 28/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con DBatLoader.

• Malware
• DBatLoader
• phishing
• Loader
• UAC
• IoC
• Almacenamiento en nube y Windows

Nuevos IoC relacionados con el troyano XenoRAT

Publicado: 27/10/2024 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron y recopilaron nuevos Indicadores de Compromiso (IoC)) relacionados con el troyano XenoRAT, una amenaza diseñada para sistemas operativos Windows 10 y 11.

• Malware
• XenoRAT
• RAT
• Troyano
• Phishing
• C2
• Persistencia
• Exfiltración de Datos
• Windows Nuevos IoC

Nueva actividad de TeamTNT distribuyendo Sliver

Publicado: 26/10/2024 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado una nueva campaña maliciosa dirigida por el grupo de ciberdelincuentes conocido como TeamTNT.

• TeamTNT
• Sliver
• Docker
• Kubernetes
• Malware
• Ciberseguridad
• GoLang
• Multiplataforma
• Infraestructura Nube
• DockerHub
• Masscan
• ZGrab
• APT
• Backdoor
• C2
• Campaña Maliciosa

Nuevos IoC relacionados con BazaLoader

Publicado: 26/10/2024 | Importancia: Media

El equipo de Csirt Financiero observó y recopilo nuevos Indicadores de Compromiso (IoC) relacionados con el loader BazaLoader, este malware que funciona como troyano de puerta trasera. Este malware permite cargar herramientas maliciosas en los dispositivos infectados, y evadir la detección de herramientas de seguridad.

• Loader
• Trojan
• BackDoor
• BazaLoader
• TrickBot
• C2
• Keylogger
• Phishing
• Windows
• Nuevos IoC
• Exfiltración de información

NUEVO RANSOMWARE DENOMINADO EMBARGO

Publicado: 24/10/2024 | Importancia: Media

Se ha identificado un nuevo ransomware denominado Embargo, que representa una amenaza significativa. Este ransomware utiliza técnicas avanzadas de cifrado y métodos de infección sofisticados, lo que lo hace especialmente peligroso

• Vulnnerabilidades
• EDR
• MDeployer
• MS4Killer
• Linys
• Tools
• Cifrado
• Embargo
• Rasonmware

Nueva campaña de distribución de malware WarmCookie

Publicado: 25/10/2024 | Importancia: Media

WarmCookie es un loader que se infiltra en los sistemas a través de correos electrónicos de phishing y publicidad maliciosa (malvertising). Generalmente, se presenta como comunicaciones legítimas, como facturas u ofertas de trabajo, engañando a los usuarios para que abran archivos adjuntos infectados.

• Familias de malware
• Loader
• Comando y Control (C2)
• Phishing
• Malverstising
• WarmCookie
• BadSpace
• Campaña Malspam

Nuevas actividades maliciosas del troyano bancario Grandoreiro

Publicado: 23/10/2024 | Importancia: Media

El equipo del CSIRT Financiero ha identificado nuevas actividades maliciosas relacionadas con el troyano bancario Grandoreiro, que opera bajo un modelo de Malware as a Service (MaaS). Este troyano bancario que se propaga mediante correos de phishing, permitiendo a los atacantes realizar fraudes financieros al evadir las medidas de seguridad de las instituciones bancarias.

• Grandoreiro
• Malware
• Tecnología Financiera
• Troyano
• Phishing

Nuevas tácticas de Lumma Stealer

Publicado: 24/10/2024 | Importancia: Media

A través del monitoreo constante realizado por el equipo del Csirt Financiero, se observó una nueva actividad relacionado con el malware Lumma Stealer, una amenaza diseñada para la exfiltración de información sensible de los equipos infectados.

• Malware
• Lumma
• Lumma Stealer
• Stealer
• Phishing
• Malware-as-a-Service (MaaS)
• PowerShell
• CAPTCHA

Nuevo RAT difundido mediante Gophish

Publicado: 23/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado PowerRAT.

• Malware
• Tecnología Financiera
• Troyano
• PowerRAT
• DCRAT
• T1566
• C2
• Gophish
• MaaS

Nueva actividad maliciosa de denegación de servicio (DoS) dirigida al sector financiero.

Publicado: 22/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ataque al sector financiero de Chile.

• Tecnología Financiera
• DoS
• Chile

Nueva Actividad del Troyano StrRAT

Publicado: 21/10/2024 | Importancia: Media

El troyano STRRAT, un malware de acceso remoto utilizado en campañas de ciberespionaje. Se explican sus capacidades, vectores de infección y su impacto en sistemas comprometidos, así como recomendaciones para mitigar los riesgos asociados.

• correos electrónicos maliciosos
• troyano de acceso remoto
• STRRAT
• captura de datos
• ejecución de comandos remotos
• persistencia
• ofuscación
• movimiento lateral
• Windows
• documentos con macros

Nueva actividad del Loader Bumblebee

Publicado: 20/10/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el loader Bumblebee, siendo esta su primera aparición desde la “Operación Endgame”, llevada a cabo por la Europol en mayo del año 2024 que tenía como objetivo interrumpir las principales botnets de malware, incluidas Bumblebee, IcedID y Pikabot.

• Bumblebee
• Loader Bumblebee
• Operación Endgame
• Botnets
• Malware
• Loader
• IcedID
• Pikabot
• Phishing
• Nvidia
• Midjourney
• C2
• .LNK
• .ZIP

Nuevos indicadores de compromiso relacionados con el troyano Tofsee

Publicado: 20/10/2024 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se observaron y recopilaron nuevos indicadores de compromiso relacionados con el troyano Tofsee también conocido como Gheg, Este malware puede realizar ataques de denegación de servicio (DDoS), capturar información sensible y enviar correos electrónicos maliciosos. Adicionalmente, tiene la capacidad de modificar el contenido de correos electrónicos y comprometer cuentas de correo electrónico.

• Phishing
• Tofsee
• Troyano
• Malware
• DDoS
• Captura de Credenciales
• Windows
• USB

Nuevos indicadores de compromiso relacionados con Qakbot

Publicado: 20/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Qakbot.

• Malware
• Tecnología Financiera
• Qakbot
• IoC
• botnet
• troyano bancario
• DDoS
• ransomware

Nuevos indicadores de compromiso asociados a Spider Ransomware

Publicado: 19/10/2024 | Importancia: Media

Spider Ransomware es un malware que se infiltra en los sistemas a través de phishing, la descarga de software ilegítimo o la explotación de vulnerabilidades de red, con el objetivo de cifrar archivos críticos y extorsionar a las víctimas.

• Phishing
• Global
• Windows
• Linux
• Explotación de Vulnerabilidades
• Spider Ransomware
• Ransomware
• Cifrado de Datos
• Exfiltación de Información
• Doble Extorsión

Ransomware se hace pasar por LockBit 2.0

Publicado: 18/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ransomware que intenta suplantar LockBit 2.0.

• Malware
• LockBit 2.0
• Ransomware
• AWS
• C2
• Windows
• MacOS
• Golang

Nueva campaña de ClickFix que suplanta Google Meet

Publicado: 18/10/2024 | Importancia: Media

La nueva campaña suplanta sitios legítimos, como Google Meet y otras páginas web, y está organizada por grupos APT. Estos grupos distribuyen el ataque a través de phishing, logrando que los usuarios descarguen malware que pasa inadvertido por las soluciones de seguridad.

• Global
• Windows
• MacOS
• Ingeniería social
• PowerShell
• ClickFix
• Phishing
• Google Workspace
• Suplantación de Sitios Web

NUEVA CAMPAÑA DE DISTRIBUCIÓN DEL MALWARE STEALC Y RHADAMANTHYS

Publicado: 17/10/2024 | Importancia: Media

Stealc y Rhadamanthys son malwares que capturan credenciales y datos financieros mediante correos de phishing disfrazados de invitaciones legítimas, estableciendo conexiones con servidores C2 para extraer información sensible y comprometer la seguridad financiera.

• Malware
• Stealc
• Rhadamathys
• Command and Control
• C2
• Phishing
• Exfiltracion de datos
• Seguridad informatica

Nueva campaña de distribución de SingleCamper

Publicado: 17/10/2024 | Importancia: Media

En esta nueva campaña se distribuye SingleCamper, una variante del RAT RomCom que permite la exfiltración de datos y la ejecución de comandos, entre otras actividades maliciosas.

• Phishing
• Spear-Phishing
• RomCom
• UAT-5647
• RAT
• SingleCamper
• Backdoor
• Downloader
• RustyClaw
• MeltingClaw
• DustyHammock
• ShadyHammock
• Exfiltación de Información
• Europa

Nuevo codificador de malware llamado Horus Protector

Los creadores del codificador de malware Horus Protector aseguran que este es indetectable y se ofrece con el objetivo de distribuir otras familias de malware mediante la inyección de carga útil en procesos legítimos.

• Evasión de detección
• C2
• Scripts VBE
• Scripts VBS
• Inyección de carga útil en procesos
• Malware
• Codificador de malware
• Horus Protector
• Windows
• Global

Nueva actividad maliciosa relacionada con el troyano bancario Astaroth

Publicado: 15/10/2024 | Importancia: Media

Se identifico una campaña de spear phishing denominada Water Makara, que emplea el malware bancario Astaroth con nuevas técnicas de evasión de defensas. La campaña se ha dirigido principalmente a empresas en Brasil, afectando sectores clave como la manufactura, comercio minorista y agencias gubernamentales. Los correos electrónicos maliciosos se hacen pasar por documentos fiscales oficiales para engañar a las víctimas y ejecutar el malware.

• agencias gubernamentales
• sector minorista
• sector manufactura
• mshta.exe
• troyano bancario
• Astaroth
• evasión de defensas
• correo electrónico malicioso
• Spear phishing

Nueva variante de FASTCash

Publicado: 15/10/2024 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva variante del malware FASTCash, utilizada por actores de amenaza norcoreanos.

• Infiltración de Sistemas de Pago
• Cifrado AES
• Retiros No Autorizados
• ISO8583
• ATM
• Cajeros Automáticos
• Grupo Lazarus
• FASTCash

Nuevas variantes del troyano bancario TrickMo

Publicado: 14/10/2024 | Importancia: Media

Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad relacionada con el troyano bancario TrickMo, el cual está dirigido principalmente a usuarios de dispositivos Android en Canadá, Emiratos Árabes Unidos, Turquía y Alemania.

• Malware
• Troyano Bancario
• Phishing
• Android
• Exfiltración de Datos
• Superposición de Pantalla
• Fraude Financiero
• Comando y Control (C2)
• Seguridad Financiera
• Interceptación de OTP

CoreWarrior ataca equipos Windows

Publicado: 14/10/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado CoreWarrior enfocado a afectar sistemas Windows.

• Tecnología Financiera
• Troyano
• CoreWarrior
• C2
• sandbox
• Deep y Dark web
• FTP
• SMTP
• POP3
• UPX
• Windows