Alertas de seguridad

Bat

Nuevos indicadores de compromiso vinculados con TiSpy

TiSpy es un troyano de acceso remoto capaz de monitorear y exfiltrar información del equipo o dispositivo comprometido.

Leer Más

Nuevo Dropper denominado TodoSwift para dispositivos MacOS

Se ha detectado un nuevo dropper denominado "TodoSwift", que está siendo utilizado para distribuir diversas formas de malware. Este dropper destaca por sus técnicas avanzadas de evasión y persistencia.

Leer Más

Nuevas variantes del troyano de acceso remoto MoonPeak

Recientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.

Leer Más

Nuevo troyano de acceso remoto denominado Lilith RAT

Se identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.

Leer Más

Nueva actividad maliciosa del ransomware BlackSuit

Atacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.

Leer Más

Nuevo loader denominado UULoader con grandes capacidades de evasión

Mediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.

Leer Más

Técnica AppDomainManager ejecuta malware en Windows

El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.

Leer Más

NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKE

Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.

Leer Más

Malware Rocinante tiene como objetivo clientes de instituciones financieras

Rocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.

Leer Más

Nueva campaña de distribución de WikiLoader

Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.

Leer Más

Nueva actividad del troyano bancario Mispadu.

Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.

Leer Más

Nueva actividad maliciosa del Ransomware Mallox

Se ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.

Leer Más

Nueva actividad maliciosa con el stealer Lumma

Se ha detectado una nueva amenaza del stealer LummaC2 y una extensión maliciosa de Google Chrome. Esta amenaza tiene la capacidad de robar información sensible de plataformas financieras y redes sociales, así como manipular el contenido web y ejecutar transacciones financieras fraudulentas.

Leer Más

Nuevo troyano bancario dirigido a dispositivos Android

Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un nuevo troyano dirigido a dispositivos Android, denominado Ajina.Banker, que posee grandes capacidades para capturar datos financieros y eludir la autenticación de dos factores a través de Telegram.

Leer Más

Loader Hadooken ataca Oracle Weblogic

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que distribuye el loader llamado Hadooken.

Leer Más

Nuevo stealer denominado "Gomorrah" distribuido como Malware-as-a-Service (MaaS)

Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un stealer sofisticado denominado Gomorrah, que opera como una herramienta de Malware como Servicio (MaaS) y está diseñado principalmente para capturar y exfiltrar información sensible, como contraseñas, detalles de tarjetas de crédito. cookies de navegadores web y otras aplicaciones.

Leer Más

Nuevo grupo de ransomware llamado Lynx

Lynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.

Leer Más

Nuevos IoC relacionados con DarkTortilla

Durante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se han identificado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con DarkTortilla, un cifrador o loader basado en .NET que ha estado activo desde al menos agosto de 2015.

Leer Más

Actividad relacionada con Akira Ransomware

Mediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.

Leer Más

Nueva actividad maliciosa relacionada con DcRAT

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad del troyano de acceso remoto DcRAT en la que se distribuye mediante una técnica conocida como “HTML Smuggling” a usuarios de habla rusa.

Leer Más

Archivo