Nuevos indicadores de compromiso vinculados con TiSpyTiSpy es un troyano de acceso remoto capaz de monitorear y exfiltrar información del equipo o dispositivo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-con-tispyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo Dropper denominado TodoSwift para dispositivos MacOSSe ha detectado un nuevo dropper denominado "TodoSwift", que está siendo utilizado para distribuir diversas formas de malware. Este dropper destaca por sus técnicas avanzadas de evasión y persistencia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-dropper-denominado-todoswift-para-dispositivos-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado un nuevo dropper denominado "TodoSwift", que está siendo utilizado para distribuir diversas formas de malware. Este dropper destaca por sus técnicas avanzadas de evasión y persistencia.
Nuevas variantes del troyano de acceso remoto MoonPeakRecientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-troyano-de-acceso-remoto-moonpeakhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.
Nuevo troyano de acceso remoto denominado Lilith RATSe identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-lilith-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.
Nueva actividad maliciosa del ransomware BlackSuitAtacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-blacksuithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Atacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.
Nuevo loader denominado UULoader con grandes capacidades de evasiónMediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-uuloader-con-grandes-capacidades-de-evasionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.
Técnica AppDomainManager ejecuta malware en WindowsEl equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tecnica-appdomainmanager-ejecuta-malware-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.
NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKESe identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-keylogger-denominado-snakehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.
Malware Rocinante tiene como objetivo clientes de instituciones financierasRocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-rocinante-tiene-como-objetivo-clientes-de-instituciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña de distribución de WikiLoaderCiberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-wikiloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.
Nueva actividad del troyano bancario Mispadu.Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-mispaduhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.
Nueva actividad maliciosa del Ransomware MalloxSe ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-malloxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.
Nueva actividad maliciosa con el stealer LummaSe ha detectado una nueva amenaza del stealer LummaC2 y una extensión maliciosa de Google Chrome. Esta amenaza tiene la capacidad de robar información sensible de plataformas financieras y redes sociales, así como manipular el contenido web y ejecutar transacciones financieras fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-con-el-stealer-lummahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva amenaza del stealer LummaC2 y una extensión maliciosa de Google Chrome. Esta amenaza tiene la capacidad de robar información sensible de plataformas financieras y redes sociales, así como manipular el contenido web y ejecutar transacciones financieras fraudulentas.
Nuevo troyano bancario dirigido a dispositivos AndroidMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un nuevo troyano dirigido a dispositivos Android, denominado Ajina.Banker, que posee grandes capacidades para capturar datos financieros y eludir la autenticación de dos factores a través de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-dirigido-a-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un nuevo troyano dirigido a dispositivos Android, denominado Ajina.Banker, que posee grandes capacidades para capturar datos financieros y eludir la autenticación de dos factores a través de Telegram.
Loader Hadooken ataca Oracle WeblogicMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que distribuye el loader llamado Hadooken.http://csirtasobancaria.com/Plone/alertas-de-seguridad/loader-hadooken-ataca-oracle-weblogichttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que distribuye el loader llamado Hadooken.
Nuevo stealer denominado "Gomorrah" distribuido como Malware-as-a-Service (MaaS)Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un stealer sofisticado denominado Gomorrah, que opera como una herramienta de Malware como Servicio (MaaS) y está diseñado principalmente para capturar y exfiltrar información sensible, como contraseñas, detalles de tarjetas de crédito. cookies de navegadores web y otras aplicaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-gomorrah-distribuido-como-malware-as-a-service-maashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un stealer sofisticado denominado Gomorrah, que opera como una herramienta de Malware como Servicio (MaaS) y está diseñado principalmente para capturar y exfiltrar información sensible, como contraseñas, detalles de tarjetas de crédito. cookies de navegadores web y otras aplicaciones.
Nuevo grupo de ransomware llamado LynxLynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-llamado-lynxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.
Nuevos IoC relacionados con DarkTortillaDurante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se han identificado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con DarkTortilla, un cifrador o loader basado en .NET que ha estado activo desde al menos agosto de 2015.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-relacionados-con-darktortillahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se han identificado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con DarkTortilla, un cifrador o loader basado en .NET que ha estado activo desde al menos agosto de 2015.
Actividad relacionada con Akira RansomwareMediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-akira-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.
Nueva actividad maliciosa relacionada con DcRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad del troyano de acceso remoto DcRAT en la que se distribuye mediante una técnica conocida como “HTML Smuggling” a usuarios de habla rusa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-dcrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad del troyano de acceso remoto DcRAT en la que se distribuye mediante una técnica conocida como “HTML Smuggling” a usuarios de habla rusa.