-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
NUEVA ACTIVIDAD MALICIOSA RELACIONADA CON EL TROYANO BANCARIO ASTAROTH
Publicado: 15/10/2024 | Importancia: Media
Se identifico una campaña de spear phishing denominada Water Makara, que emplea el malware bancario Astaroth con nuevas técnicas de evasión de defensas. La campaña se ha dirigido principalmente a empresas en Brasil, afectando sectores clave como la manufactura, comercio minorista y agencias gubernamentales. Los correos electrónicos maliciosos se hacen pasar por documentos fiscales oficiales para engañar a las víctimas y ejecutar el malware.
Nueva variante de FASTCash
Publicado: 15/10/2024 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva variante del malware FASTCash, utilizada por actores de amenaza norcoreanos.
Nuevas variantes del troyano bancario TrickMo
Publicado: 14/10/2024 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad relacionada con el troyano bancario TrickMo, el cual está dirigido principalmente a usuarios de dispositivos Android en Canadá, Emiratos Árabes Unidos, Turquía y Alemania.
CoreWarrior ataca equipos Windows
Publicado: 14/10/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado CoreWarrior enfocado a afectar sistemas Windows.
Nueva campaña de distribución de Cerberus
Publicado: 13/10/2024 | Importancia: Media
Esta campaña utiliza un dropper de varias etapas para distribuir el troyano Cerberus, que permite el control remoto del dispositivo y la recopilación de información personal.
Nuevos indicadores de compromiso relacionados con Smoke Loader
Publicado: 13/10/2024 | Importancia: Media
Se ha detectado actividad relacionada con Smoke Loader, un troyano modular diseñado para infectar sistemas Windows y descargar malware adicional. Esta amenaza ha sido utilizada para capturar información confidencial y realizar otras actividades maliciosas.
Nuevos indicadores de compromiso asociados a CryptBot
Publicado: 12/10/2024 | Importancia: Media
El stealer CryptBot es un malware diseñado para infiltrarse en sistemas y robar información confidencial. Captura datos sensibles, como credenciales y cookies, y los envía a un servidor de control.
Nueva actividad maliciosa relacionada con el troyano Amadey
Publicado: 12/10/2024 | Importancia: Media
Se identifico el troyano Amadey, un malware ampliamente utilizado en campañas maliciosas para robar información confidencial, propagar ransomware y participar en actividades ilícitas como el envío de spam y ataques DDoS.
Malware Octo2 se oculta en aplicaciones para Android
Publicado: 11/10/2024 | Importancia: Media
Octo2 es un troyano bancario que se disfraza de aplicaciones legítimas en Android. Utiliza el dropper Zombinder para propagarse y emplea técnicas avanzadas para eludir la detección de sistemas de seguridad.
Nuevas actividades del Ransomware Lynx
Publicado: 11/10/2024 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero, identificó una nueva actividad maliciosa relacionada con el Ransomware denominado Lynx, sucesor directo del Ransomware INC.
Nuevos indicadores de compromiso relacionados con Guloader
Publicado: 10/10/2024 | Importancia: Media
A través de actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se han observado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con Guloader.
Dark Angels distribuye ransomware de terceros
Publicado: 09/10/2024 | Importancia: Media
El equipo de analistas del Csirt Financiero, durante su monitoreo, ha detectado una nueva actividad maliciosa atribuida al grupo de ransomware Dark Angels.
Nueva campaña de distribución de Trojan.AutoIt.1443
Publicado: 09/10/2024 | Importancia: Media
Trojan.AutoIt.1443 es un troyano que oculta su malware tras archivos legítimos. Se especializa en criptominería y captura de datos, utilizando técnicas avanzadas para evadir detección y asegurar su persistencia en el equipo comprometido.
NUEVO LOADER DENOMINADO PHATOM PARA DISTRIBUIR SSLOAD
Publicado: 08/10/2024 | Importancia: Media
Se identifico un nuevo loader denominado PhantomLoader y el malware basado en Rust, SSLoad. Contando con técnicas evasivas y de anti-análisis empleadas, así como las posibles estrategias de mitigación.
Malware LemonDuck explota vulnerabilidad de SMB
Publicado: 08/10/2024 | Importancia: Media
El malware de minería de criptomonedas LemonDuck está explotando la vulnerabilidad de SMB conocida como EternalBlue para comprometer sistemas, después de obtener acceso inicial mediante ataques de fuerza bruta.
NUEVOS INDICADORES DE COMPROMISO CON LA BOTNET GAFGYT
Publicado: 07/10/2024 | Importancia: Media
Se comparte nuevos indicadores reciente relacionados de la botnet Gafgyt, también conocida como BASHLITE, que compromete dispositivos IoT vulnerables y los utiliza para lanzar ataques de denegación de servicio distribuido (DDoS).
Nuevo software malicioso denominado Yunit Stealer
Publicado: 07/10/2024 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan comprometer la infraestructura de los asociados, se observó un nuevo malware denominado Yunit Stealer, que destaca por sus capacidades avanzadas de captura de información, evasión y persistencia.
Nueva campaña de Awaken Likho emplea MeshCentral
Publicado: 07/10/2024 | Importancia: Media
El grupo APT Awaken Likho lanzó una nueva campaña en la que emplea la herramienta legítima MeshCentral para controlar equipos comprometidos. Mediante archivos comprimidos que ocultan scripts maliciosos, logran engañar a los usuarios y establecer comunicación con un servidor C2.
Seguimiento a Redline Stealer
Publicado: 06/10/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Redline Stealer.
Seguimiento al malware Snake Keylogger
Publicado: 06/10/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Snake Keylogger.
Nueva actividad maliciosa de Mars Stealer
Publicado: 05/10/2024 | Importancia: Media
Se identifico una nueva actividad maliciosa del malware Mars Stealer, diseñado para capturar criptomonedas a través de la infiltración en extensiones de billeteras digitales y autenticación de dos factores.
Nuevo Stealer denominado Vilsa
Publicado: 04/10/2024 | Importancia: Media
Se ha identificado un nuevo malware llamado "Vilsa Stealer", disponible en GitHub, que posee capacidades avanzadas para capturar credenciales, tokens de criptomonedas y datos confidenciales de aplicaciones. El stealer se destaca por su evasión de medidas de seguridad y generar persistencia en los sistemas comprometidos.
Nueva campaña de actualizaciones falsas distribuye el backdoor WarmCookie
Publicado: 04/10/2024 | Importancia: Media
Mediante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una nueva campaña maliciosa asociada al grupo SocGolish, conocido por emplear una estrategia de ciberataque denominada “FakeUpdate”.
Nuevos indicadores de compromiso asociados a Perfctl
Publicado: 03/10/2024 | Importancia: Media
Perfctl es un malware activo desde hace 3 a 4 años que logra el acceso a los servidores Linux mediante configuraciones incorrectas y vulnerabilidades, asegurando su persistencia generando varias copias en diversas ubicaciones.
Reciente actividad del grupo Andariel
Publicado: 02/10/2024 | Importancia: Media
El equipo de analistas del Csirt Financiero observó una nueva actividad maliciosa atribuida al grupo norcoreano Andariel, también conocido como Stonefly, APT35, Silent Chollima y Onyx Sleet, el cual ha operado desde al menos 2009.
NUEVA BOTNET DENOMINADA GORILLABOT
Publicado: 01/10/2024 | Importancia: Media
se observó una actividad de GorillaBot, la cual lanzó más de 300.000 comandos de ataque DDoS, afectando a más de 100 países y sectores. La botnet, basada en el código fuente de Mirai, presenta capacidades avanzadas de persistencia, evasión y una gran variedad de vectores de ataque.
Intrusión del ransomware BlackCat a través del malware Nitrogen
Publicado: 30/09/2024 | Importancia: Media
Se identificó el uso del malware Nitrogen para desplegar el ransomware BlackCat. Los ciberdelincuentes implementaron balizas, realizaron descubrimiento de red y utilizaron herramientas para obtener credenciales y distribuir el ransomware en el dominio.
NUEVO CRYPTO DRAINERS PARA DISPOSITIVOS MÓVILES EN GOOGLE PLAY
Publicado: 29/09/2024 | Importancia: Media
Se ha identificado una nueva aplicación maliciosa en Google Play que se hacía pasar por WalletConnect, una herramienta legítima para conectar billeteras a aplicaciones descentralizadas. Esta aplicación captura criptomonedas a través de tácticas de ingeniería social avanzadas y evadió los controles de seguridad de Google Play.
Nuevos artefactos relacionados con NanoCore RAT.
Publicado: 29/09/2024 | Importancia: Media
A través de actividades de monitoreo y seguimiento de amenazas, se observaron y recopilaron nuevos indicadores de compromiso (IoC), relacionados con el troyano de acceso remoto (RAT) conocido como NanoCore, el cual fue descubierto por primera vez en el año 2013.
Nuevos IoC identificados del Bot Tsunami
Publicado: 28/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC del bot llamado Tsunami.