Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Enero de 2025

Nuevo ransomware denominado Aptlock con técnicas avanzadas

Publicado: 15/01/2025 | Importancia: Media

Durante un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza de ransomware sofisticada denominada Aptlock. Este ransomware emplea métodos de propagación comunes, tales como correos electrónicos maliciosos con archivos adjuntos o enlaces fraudulentos, explotación de vulnerabilidades en sistemas desactualizados y descargas engañosas desde sitios web comprometidos.

Nuevo RAT denominado G700 compromete dispositivos Android

Publicado: 13/01/2025 | Importancia: Media

El CSIRT Financiero ha identificado una nueva amenaza denominada G700, un troyano de acceso remoto (RAT) altamente sofisticado y diseñado específicamente para atacar dispositivos Android, poniendo en riesgo la seguridad de información sensible y la integridad de las operaciones financieras.

Nueva actividad maliciosa del RAT llamado GOBackdoor

Publicado: 13/01/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado actividad maliciosa relacionada con GOBackdoor, un troyano de acceso remoto (RAT) modular desarrollado en GoLang. Este malware se caracteriza por su capacidad para evadir mecanismos de detección y mantener un acceso persistente en los equipos infectados, lo que lo convierte en una amenaza considerable para infraestructuras críticas y entornos corporativos. Su diseño modular le permite ejecutar diversas funcionalidades maliciosas, como la captura de credenciales, la exfiltración de datos sensibles y la ejecución remota de comandos, adaptándose a diferentes entornos y evadiendo análisis de seguridad en plataformas controladas como sandbox y máquinas virtuales.

Nuevo loader llamado SmartLoader

Publicado: 12/01/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado una nueva amenaza conocida como SmartLoader, un loader diseñado para distribuir y ejecutar diversas cargas maliciosas en equipos comprometidos, como ransomware, spyware y troyanos de acceso remoto (RAT), destacándose por su sofisticación técnica, que incluye técnicas de evasión y persistencia, lo que dificulta su detección y remediación.

Nuevo troyano denominado Xorbot

Publicado: 11/01/2025 | Importancia: Media

A través del monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza llamada Xorbot, un troyano avanzado diseñado para formar parte de botnets y ejecutar actividades maliciosas.

Nueva backdoor llamada SystemBC

Publicado: 11/01/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con la backdoor modular SystemBC. Este malware está diseñado para establecer conexiones seguras con servidores de comando y control (C2), facilitando la ejecución remota de comandos, la descarga de cargas maliciosas adicionales y la persistencia en los equipos comprometidos, además su uso de técnicas de evasión y cifrado lo convierte en una amenaza persistente que debe ser tratada con prioridad.

Nuevo grupo ransomware llamado FunkSec

Publicado: 10/01/2025 | Importancia: Media

El equipo del CSIRT Financiero ha encontrado nueva información relacionada con el grupo de ransomware FunkSec. Surgido a finales de 2024, este grupo es conocido por realizar ataques dirigidos con motivaciones económicas y ha evolucionado recientemente al implementar tácticas avanzadas, como el uso de inteligencia artificial para optimizar y automatizar sus operaciones. Esta capacidad les permite maximizar el impacto de sus campañas, lo que los convierte en una amenaza significativa.

Nueva variante del ransomware HexaLocker distribuye Skuld Stealer

Publicado: 10/01/2025 | Importancia: Media

Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con HexaLocker V2, una variante evolucionada del ransomware HexaLocker. Esta nueva versión, desarrollada en el lenguaje de programación Go, presenta capacidades avanzadas para comprometer sistemas, cifrar archivos y exfiltrar información confidencial.

Nuevo stealer denominado Banshee

Publicado: 09/01/2025 | Importancia: Media

El CSIRT Financiero ha identificado una nueva actualización del stealer conocido como Banshee, un malware diseñado específicamente para sistemas macOS.

Malware se distribuye mediante PoC falsa

Publicado: 09/01/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado un exploit de prueba de concepto (PoC) para la vulnerabilidad LDAPNightmare (CVE-2024-49113). Esta vulnerabilidad, corregida por Microsoft en diciembre de 2024, afecta al protocolo LDAP, permitiendo a los atacantes ejecutar ataques de denegación de servicio (DoS). El malware se distribuye a través de un repositorio malicioso que imita ser una bifurcación legítima de un proyecto confiable. Su principal objetivo es desplegar scripts maliciosos, exfiltrar información sensible y descargar malware adicional, utilizando servicios como Pastebin y un servidor FTP externo. Esta amenaza representa un riesgo considerable, especialmente para profesionales de seguridad y desarrolladores que confían en herramientas PoC legítimas.

Nueva actividad maliciosa relacionada al troyano de acceso remoto FormBook

Publicado: 08/01/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa relacionada con FormBook, un troyano de acceso remoto (RAT) conocido por su modelo de negocio Trojan-as-a-Service (TaaS). Este RAT permite a los ciberdelincuentes acceder a múltiples capacidades para comprometer la seguridad de los equipos, como el registro de pulsaciones de teclas, capturas de pantalla y el robo de credenciales, lo que lo convierte en una amenaza crítica para la seguridad de datos sensibles y operaciones financieras.

Nueva actividad de LummaC2

Publicado: 08/01/2025 | Importancia: Media

Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una nueva campaña de distribución de LummaC2, un stealer diseñado para extraer información confidencial de sistemas comprometidos.

Nueva botnet llamada Gayfemboy

Publicado: 08/01/2025 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de la botnet Mirai llamada Gayfemboy, una red de dispositivos comprometidos diseñada para llevar a cabo ataques de denegación de servicio distribuido (DDoS) y otras actividades maliciosas la cual ha incorporado capacidades avanzadas como la explotación de vulnerabilidades de día 0 y la integración de dispositivos mediante contraseñas Telnet débiles.

Gafgyt: impacto en dispositivos IoT

Publicado: 07/01/2025 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante de Mirai llamada Gafgyt.

Nuevo ransomware de la familia MedusaLocker

Publicado: 07/01/2025 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado Bbuild.

Nueva actividad del backdoor EAGERBEE

Publicado: 06/01/2025 | Importancia: Media

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el backdoor EAGERBEE, una amenaza avanzada que ha sido identificada en ataques dirigidos contra organizaciones gubernamentales y proveedores de servicios de internet (ISP) en el Medio Oriente.

Nueva actividad maliciosa relacionada a CobaltStrike

Publicado: 05/01/2025 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevos indicadores de compromiso relacionados a CobaltStrike. Esta herramienta, diseñada inicialmente para simulación de amenazas en pruebas de seguridad, ha sido ampliamente utilizada por ciberdelincuentes debido a su versatilidad, capacidades avanzadas y modularidad. Sus características la convierten en una amenaza significativa, especialmente en el sector financiero.

Nueva campaña de distribución del reciente Backdoor PLAYFULGHOST

Publicado: 05/01/2025 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado una nueva campaña de distribución del backdoor PLAYFULGHOST.

Nuevo ransomware basado en Chaos

Publicado: 04/01/2025 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado AlienWare.

Nueva actividad relacionada al ransomware RdpLocker

Publicado: 04/01/2025 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado recientemente actividad maliciosa relacionada al ransomware RdpLocker, un malware diseñado para cifrar archivos en infraestructuras afectadas, añadiendo la extensión ".rdplocker".

LegionLoader: el downloader que abusa de instaladores falsos y servicios en la nube

Publicado: 03/01/2025 | Importancia: Media

LegionLoader es un downloader escrito en C/C++ que fue identificado por primera vez en 2019. También es conocido por otros nombres, como Satacom y RobotDropper, y es rastreado como CurlyGate por la firma de ciberseguridad Mandiant. Este loader ha sido utilizado para distribuir diversas amenazas, incluyendo extensiones maliciosas para navegadores como Chrome, las cuales son capaces de alterar contenidos en correos electrónicos y monitorear la actividad de navegación. Entre estas extensiones, destaca CursedChrome, diseñada para convertir navegadores comprometidos en proxies HTTP, permitiendo a los ciberdelincuentes navegar de manera autenticada como las víctimas en múltiples plataformas.

Nuevo método de distribución de Quasar RAT

Publicado: 03/01/2025 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución del troyano de acceso remoto (RAT) Quasar RAT. Este malware utiliza un paquete malicioso alojado en el repositorio npm, ampliamente usado en el desarrollo con Node.js, para comprometer equipos y ejecutar diversas actividades maliciosas.

Nuevo RAT en acción: NonEuclid y sus mecanismos de evadir detección

Publicado: 02/01/2025 | Importancia: Media

El NonEuclid RAT es un troyano de acceso remoto desarrollado en C# para la plataforma .NET Framework 4.8, diseñado para otorgar acceso no autorizado y control remoto sobre equipos comprometidos. Este malware destaca por implementar técnicas avanzadas de evasión, como eludir soluciones antivirus, escalar privilegios, evitar detección y cifrar archivos críticos utilizando funcionalidades similares a las de un ransomware. Su promoción en foros clandestinos y plataformas de redes sociales ha incrementado significativamente su popularidad entre comunidades cibercriminales, facilitando su distribución y empleo en operaciones maliciosas de diversa índole

Nuevos indicadores de compromiso relacionados al troyano bancario Grandoreiro

Publicado: 02/01/2025 | Importancia: Media

El equipo de analistas del CSIRT Financiero ha identificado nuevos indicadores de compromiso asociados con Grandoreiro, un troyano bancario activo desde 2016 que ha afectado principalmente a usuarios en América del Sur, América Central y Europa, con énfasis en países como Brasil, España, México y Colombia, caracterizado por su capacidad para robar información financiera, incluyendo credenciales bancarias, y por su habilidad para realizar transferencias no autorizadas mediante la suplantación de la interfaz de usuario de aplicaciones bancarias legítimas.

Nuevo Ransomware denominado Crynox

Publicado: 01/01/2025 | Importancia: Media

El CSIRT Financiero ha identificado una nueva variante de ransomware denominada Crynox, basada en el malware Chaos, empleando algoritmos de cifrado avanzados, como RSA y AES, lo que garantiza que los datos cifrados solo puedan ser descifrados utilizando una clave privada en posesión de los atacantes.

Nueva actividad relacionada a GURAM Ransomware

Publicado: 31/12/2024 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado recientemente actividad maliciosa relacionada con GURAM Ransomware.

Nuevos indicadores de compromiso relacionados al loader DBatLoader

Publicado: 31/12/2024 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con DBatLoader, también conocido como ModiLoader o NatsoLoader. Este loader ha sido utilizado en campañas maliciosas dirigidas principalmente a empresas en Europa del Este. Su capacidad para descargar y ejecutar cargas maliciosas de manera sigilosa, aprovechando servicios legítimos de almacenamiento en la nube,esto lo convierte en una amenaza considerable y persistente que requiere atención prioritaria.

Nueva variante de BellaCiao (BellaCPP) pone en riesgo sistemas Windows

Publicado: 31/12/2024 | Importancia: Media

BellaCiao es una familia de malware desarrollada en .NET, atribuida al grupo de amenazas persistentes avanzadas (APT) conocido como Charming Kitten. Esta amenaza se distingue por su capacidad para establecer persistencia en los sistemas comprometidos mediante técnicas similares a las utilizadas por webshells. Además, emplea túneles encubiertos para facilitar la comunicación no autorizada y la exfiltración de datos sensibles