Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña que distribuye a Remcos RATLa fase de distribución no difiere de otros analizados anteriormente por el Csirt, ya que los ciberdelincuentes detrás de estas campañas siguen usando correos electrónicos suplantando entidades para enviar supuestas notificaciones judiciales, que pueden ser descargadas desde otro repositorio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-distribuye-a-remcos-rat-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La fase de distribución no difiere de otros analizados anteriormente por el Csirt, ya que los ciberdelincuentes detrás de estas campañas siguen usando correos electrónicos suplantando entidades para enviar supuestas notificaciones judiciales, que pueden ser descargadas desde otro repositorio.
Nueva campaña que distribuye múltiples familias de malwareRecientemente, investigadores de seguridad identificaron diversas campañas maliciosas que tienen el objetivo de distribuir múltiples archivos que contienen las cargas útiles de diferentes familias de malware como el troyano de acceso remoto CraxsRAT, ransomware Chaos, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-distribuye-multiples-familias-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad identificaron diversas campañas maliciosas que tienen el objetivo de distribuir múltiples archivos que contienen las cargas útiles de diferentes familias de malware como el troyano de acceso remoto CraxsRAT, ransomware Chaos, entre otros.
Nueva campaña que distribuye variante de la botnet MiraiDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha detectado una campaña asociada a la distribución de Mirai, una botnet orientada a comprometer dispositivos con conectividad a Internet.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-distribuye-variante-de-la-botnet-miraihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha detectado una campaña asociada a la distribución de Mirai, una botnet orientada a comprometer dispositivos con conectividad a Internet.
Nueva campaña que emplea crossc2 para expandir el alcance de balizas Cobalt Strike en Linux y MacosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Cobalt Strike.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-emplea-crossc2-para-expandir-el-alcance-de-balizas-cobalt-strike-en-linux-y-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Cobalt Strike.
Nueva campaña que explota servidores de LinuxDesde el CSIRT Financiero se ha identificado una nueva campaña que explota servidores de Linux para implantar una nueva variante de Backdoor que no es detectado por los motores de antivirus de los proveedores de seguridad. Se han identificado un total de 39 indicadores de compromiso que pueden afectar las operaciones a nivel Global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-explota-servidores-de-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña que explota servidores de Linux para implantar una nueva variante de Backdoor que no es detectado por los motores de antivirus de los proveedores de seguridad. Se han identificado un total de 39 indicadores de compromiso que pueden afectar las operaciones a nivel Global.
Nueva campaña recopila tarjetas de crédito mediante paginas phishingDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña que recopila datos de tarjetas de crédito mediante páginas de phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-recopila-tarjetas-de-credito-mediante-paginas-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña que recopila datos de tarjetas de crédito mediante páginas de phishing.
Nueva campaña sofisticada de ValleyRAT emplea técnicas BYOVD y mecanismos de persistencia avanzadaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-sofisticada-de-valleyrat-emplea-tecnicas-byovd-y-mecanismos-de-persistencia-avanzadahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña operada por el grupo Silver Fox, en la que utilizan instaladores manipulados para distribuir ValleyRAT mediante una cadena de infección altamente estructurada.
Nueva campaña Spam en la que promocionan material corporativo malicioso.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una que se está distribuyendo a través de correos electrónicos tipo Spam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-spam-en-la-que-promocionan-material-corporativo-maliciosohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una que se está distribuyendo a través de correos electrónicos tipo Spam.
Nueva campaña ToolShell aprovecha vulnerabilidades en Microsoft SharePoint ServerDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña denominada ToolShell, la cual consiste en la explotación de cuatro vulnerabilidades críticas en Microsoft SharePoint, identificadas como CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771. Esta campaña ha sido atribuida a varios grupos de amenaza vinculados a China, entre los que destacan dos conocidos grupos APT: Linen Typhoon (APT27) y Violet Typhoon (APT31), además de un actor nuevo y previamente no documentado llamado Storm-2603.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-toolshell-aprovecha-vulnerabilidades-en-microsoft-sharepoint-serverhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña denominada ToolShell, la cual consiste en la explotación de cuatro vulnerabilidades críticas en Microsoft SharePoint, identificadas como CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771. Esta campaña ha sido atribuida a varios grupos de amenaza vinculados a China, entre los que destacan dos conocidos grupos APT: Linen Typhoon (APT27) y Violet Typhoon (APT31), además de un actor nuevo y previamente no documentado llamado Storm-2603.
Nueva campaña utiliza la herramienta Nezha para distribuir Gh0st RATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a actores con presunta vinculación a China, quienes emplean la herramienta legítima de código abierto Nezha como medio de intrusión para distribuir el troyano de acceso remoto Gh0st RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-utiliza-la-herramienta-nezha-para-distribuir-gh0st-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a actores con presunta vinculación a China, quienes emplean la herramienta legítima de código abierto Nezha como medio de intrusión para distribuir el troyano de acceso remoto Gh0st RAT.
Nueva campaña utilizando el troyano adwind ratDesde el Csirt Financiero se ha evidenciado una nueva campaña contra entidades bancarias localizadas en la India, en los ataques se ha utilizado el troyano Adwind RAT. Este malware está programado en Java y permite ejecución multiplataforma sin distinción del sistema operativo, siempre y cuando cuente con Java instalado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-utilizando-el-troyano-adwind-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado una nueva campaña contra entidades bancarias localizadas en la India, en los ataques se ha utilizado el troyano Adwind RAT. Este malware está programado en Java y permite ejecución multiplataforma sin distinción del sistema operativo, siempre y cuando cuente con Java instalado.
Nueva capacidad de autopropagación implementada en Black BastaEvidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-capacidad-de-autopropagacion-implementada-en-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Evidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.
Nueva cepa de malware denominada LONEPAGEEl equipo del Csirt Financiero identificó una nueva cepa de malware maliciosa denominada LONEPAGE, un malware de Visual Basic Script (VBS), con capacidad para conectarse a un servidor de comando y control (C2) para realizar diferentes acciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-cepa-de-malware-denominada-lonepagehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una nueva cepa de malware maliciosa denominada LONEPAGE, un malware de Visual Basic Script (VBS), con capacidad para conectarse a un servidor de comando y control (C2) para realizar diferentes acciones maliciosas.
Nueva cepa de ransomware denominada ScRansom implementada por el grupo APT CosmicBeetleEste ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-cepa-de-ransomware-denominada-scransom-implementada-por-el-grupo-apt-cosmicbeetlehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Este ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.
Nueva distribución de InfoStealer a través de instaladores empaquetadosSe observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-de-infostealer-a-traves-de-instaladores-empaquetadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.
Nueva distribución del stealer Phantom GoblinEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Phantom Goblin, un stealer diseñado para capturar credenciales y otros datos sensibles almacenados en navegadores web, esta amenaza emplea técnicas de ingeniería social y se distribuye principalmente a través de campañas de phishing con archivos adjuntos en formato RAR que contienen accesos directos (LNK) maliciosos, su ejecución activa comandos de PowerShell que descargan cargas útiles desde GitHub, permitiendo la captura de información y el establecimiento de túneles en Visual Studio Code (VSCode) para mantener acceso remoto no autorizado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-stealer-phantom-goblinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Phantom Goblin, un stealer diseñado para capturar credenciales y otros datos sensibles almacenados en navegadores web, esta amenaza emplea técnicas de ingeniería social y se distribuye principalmente a través de campañas de phishing con archivos adjuntos en formato RAR que contienen accesos directos (LNK) maliciosos, su ejecución activa comandos de PowerShell que descargan cargas útiles desde GitHub, permitiendo la captura de información y el establecimiento de túneles en Visual Studio Code (VSCode) para mantener acceso remoto no autorizado.
Nueva Distribución del Troyano Bancario DridexEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-troyano-bancario-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.
Nueva Distribución del Troyano Bancario DridexEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-troyano-bancario-dridex-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.
Nueva Dropper Gh0stGambit Distribuyendo Gh0st RAT a Usuarios ChinosEl equipo de analistas del Csirt Financiero detectó un nuevo dropper denominado Gh0stGambit distribuyendo el troyano de acceso remoto Gh0st RAT, explotando un sitio falso de Google Chrome para atacar usuarios Windows en china.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-dropper-gh0stgambit-distribuyendo-gh0st-rat-a-usuarios-chinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero detectó un nuevo dropper denominado Gh0stGambit distribuyendo el troyano de acceso remoto Gh0st RAT, explotando un sitio falso de Google Chrome para atacar usuarios Windows en china.
Nueva familia de malware denominada MosaicLoaderEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-malware-denominada-mosaicloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}