Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña de stealer distribuida mediante spearphishing enfocado a sistemas macosDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de spearphishing dirigida con temáticas empresariales como auditoría externa, cumplimiento fiscal, adquisición de tokens, entre otros, para utilizarlo como señuelo. El propósito de estos mensajes es generar confianza y una sensación de urgencia operativa, con el fin de motivar al destinatario a abrir el archivo adjunto, el cual aparenta ser un documento corporativo válido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-stealer-distribuida-mediante-spearphishing-enfocado-a-sistemas-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero identificó una campaña de spearphishing dirigida con temáticas empresariales como auditoría externa, cumplimiento fiscal, adquisición de tokens, entre otros, para utilizarlo como señuelo. El propósito de estos mensajes es generar confianza y una sensación de urgencia operativa, con el fin de motivar al destinatario a abrir el archivo adjunto, el cual aparenta ser un documento corporativo válido.
Nueva campaña DesckVB RAT v2.9 a través de JavaScript y PowerShellDurante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que emplea DesckVB RAT v2.9, un RAT modular desarrollado en .NET cuya distribución se apoya en una cadena de infección multietapa estructurada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-desckvb-rat-v2-9-a-traves-de-javascript-y-powershellhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que emplea DesckVB RAT v2.9, un RAT modular desarrollado en .NET cuya distribución se apoya en una cadena de infección multietapa estructurada.
Nueva campaña del Spyware Joker en ecosistemas AndroidDurante las actividades de monitoreo y seguimiento de amenazas adelantadas por el equipo de analistas del Csirt Financiero, se observó una campaña que conecta dos frentes de riesgo. Por un lado, se observó una explotación sistemática de proxies mal configurados, los cuales permiten redirigir tráfico externo hacia servicios de modelos de lenguaje de pago en la nube y facilitan que los ciberdelincuentes utilicen la infraestructura corporativa como puente de confianza, ocultando su actividad dentro de flujos legítimos y evadiendo los mecanismos convencionales de autenticación y control de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-spyware-joker-en-ecosistemas-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo y seguimiento de amenazas adelantadas por el equipo de analistas del Csirt Financiero, se observó una campaña que conecta dos frentes de riesgo. Por un lado, se observó una explotación sistemática de proxies mal configurados, los cuales permiten redirigir tráfico externo hacia servicios de modelos de lenguaje de pago en la nube y facilitan que los ciberdelincuentes utilicen la infraestructura corporativa como puente de confianza, ocultando su actividad dentro de flujos legítimos y evadiendo los mecanismos convencionales de autenticación y control de acceso.
Nueva campaña de spam con PDF falsos de Adobe ReaderDurante las actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña de spam que emplea técnicas de ingeniería social para instalar, sin autorización, software legítimo de monitoreo y gestión remota (RMM) en los dispositivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-spam-con-pdf-falsos-de-adobe-readerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña de spam que emplea técnicas de ingeniería social para instalar, sin autorización, software legítimo de monitoreo y gestión remota (RMM) en los dispositivos.
Campaña activa abusa de herramientas RMM legítimas “Datto RMM” para acceso remoto no autorizado.Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero observó actividad maliciosa asociada al abuso de la herramienta legítima de gestión remota Datto RMM.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-abusa-de-herramientas-rmm-legitimas-201cdatto-rmm201d-para-acceso-remoto-no-autorizadohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero observó actividad maliciosa asociada al abuso de la herramienta legítima de gestión remota Datto RMM.
Nueva campaña de Infostealers dirigida a entornos macOSDurante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que refleja la evolución reciente de los infostealers hacia un escenario orientando a entornos macOShttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-infostealers-dirigida-a-entornos-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña que refleja la evolución reciente de los infostealers hacia un escenario orientando a entornos macOS
Nueva actividad del ransomware Interlock integra técnicas avanzadas de evasión y compromiso.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente asociada reciente asociada al ransomware Interlock, una amenaza de motivación financiera caracterizada por el uso de herramientas propias y técnicas avanzadas de evasión para comprometer entornos corporativos de forma progresiva y sigilosa, Interlock se distingue por no operar bajo el modelo de Ransomware-as-a-Service, ya que el grupo de ciberdelincuentes desarrolla y mantiene su propio ecosistema de malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-interlock-integra-tecnicas-avanzadas-de-evasion-y-compromisohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente asociada reciente asociada al ransomware Interlock, una amenaza de motivación financiera caracterizada por el uso de herramientas propias y técnicas avanzadas de evasión para comprometer entornos corporativos de forma progresiva y sigilosa, Interlock se distingue por no operar bajo el modelo de Ransomware-as-a-Service, ya que el grupo de ciberdelincuentes desarrolla y mantiene su propio ecosistema de malware.
Seguimiento a campaña activa del RAT XWormDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva campaña asociada a XWorm, un malware de tipo RAT mencionado en foros clandestinos y reconocido por su arquitectura modular, que facilita a los ciberdelincuentes adaptar sus funciones según la campaña que estén ejecutando.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-campana-activa-del-rat-xwormhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una nueva campaña asociada a XWorm, un malware de tipo RAT mencionado en foros clandestinos y reconocido por su arquitectura modular, que facilita a los ciberdelincuentes adaptar sus funciones según la campaña que estén ejecutando.
Nueva actividad relacionada con el ransomware NovaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa asociada al grupo de ransomware Nova, en la cual los actores de amenaza afirmaron haber exfiltrado información sensible y establecido un ultimátum de diez días para iniciar negociaciones antes de publicar los datos presuntamente capturados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-ransomware-novahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa asociada al grupo de ransomware Nova, en la cual los actores de amenaza afirmaron haber exfiltrado información sensible y establecido un ultimátum de diez días para iniciar negociaciones antes de publicar los datos presuntamente capturados.
Nueva campaña phishing con documento pdf que suplanta a dropboxEl equipo de analistas del Csirt Financiero ha identificado una nueva campaña de phishing estructurada en múltiples fases, orientada a la captura de credenciales corporativas mediante el uso de documentos PDF señuelo y la suplantación de la plataforma Dropbox.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-phishing-con-documento-pdf-que-suplanta-a-dropboxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña de phishing estructurada en múltiples fases, orientada a la captura de credenciales corporativas mediante el uso de documentos PDF señuelo y la suplantación de la plataforma Dropbox.
Nueva campaña del APT 28 aprovecha vulnerabilidad de MicrosoftDurante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida al grupo APT28, en la cual se aprovecha la vulnerabilidad CVE-2026-21509 mediante documentos RTF diseñados para iniciar una cadena de infección que se ejecuta en varias etapas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-apt-28-aprovecha-vulnerabilidad-de-microsofthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida al grupo APT28, en la cual se aprovecha la vulnerabilidad CVE-2026-21509 mediante documentos RTF diseñados para iniciar una cadena de infección que se ejecuta en varias etapas.
ShadowHS: framework fileless de post-explotación en sistemas LinuxDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo framework de post-explotación llamado ShadowHS para sistemas Linux que destaca por su capacidad de operar de forma completamente fileless, ejecutándose íntegramente en memoria. Esta característica reduce de manera significativa la huella forense en los sistemas comprometidos y dificulta su detección mediante mecanismos de seguridad tradicionales que dependen de la inspección de archivos en disco.http://csirtasobancaria.com/Plone/alertas-de-seguridad/shadowhs-framework-fileless-de-post-explotacion-en-sistemas-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo framework de post-explotación llamado ShadowHS para sistemas Linux que destaca por su capacidad de operar de forma completamente fileless, ejecutándose íntegramente en memoria. Esta característica reduce de manera significativa la huella forense en los sistemas comprometidos y dificulta su detección mediante mecanismos de seguridad tradicionales que dependen de la inspección de archivos en disco.
Nueva campaña del backdoor Chrysalis atribuida al APT Lotus BlossomDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente asociada a una campaña avanzada atribuida al grupo APT Lotus Blossom, la campaña involucra el despliegue de un backdoor personalizado denominado Chrysalis, acompañado por loaders desarrollados específicamente para esta operación, lo que evidencia una evolución en las capacidades del grupo de ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-backdoor-chrysalis-atribuida-al-apt-lotus-blossomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente asociada a una campaña avanzada atribuida al grupo APT Lotus Blossom, la campaña involucra el despliegue de un backdoor personalizado denominado Chrysalis, acompañado por loaders desarrollados específicamente para esta operación, lo que evidencia una evolución en las capacidades del grupo de ciberdelincuentes.
Seguimiento a actividad asociada al stealer SalatStealerEl equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a SalatStealer, un stealer desarrollado en el lenguaje Go, orientado al compromiso de equipos con el objetivo de facilitar la exfiltración encubierta de información sensible y habilitar la vigilancia activa de las víctimas en tiempo real.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-al-stealer-salatstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a SalatStealer, un stealer desarrollado en el lenguaje Go, orientado al compromiso de equipos con el objetivo de facilitar la exfiltración encubierta de información sensible y habilitar la vigilancia activa de las víctimas en tiempo real.
Seguimiento a actividad asociada al stealer PureLogStealerEl equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a PureLogStealer, un stealer utilizado por cibercriminales con fines financieros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-actividad-asociada-al-stealer-purelogstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad continúa asociada a PureLogStealer, un stealer utilizado por cibercriminales con fines financieros.
Nueva campaña maliciosa asociada al framework HavocDurante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad maliciosa vinculada al uso del framework de comando y control de código abierto conocido como Havoc.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-asociada-al-framework-havochttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad maliciosa vinculada al uso del framework de comando y control de código abierto conocido como Havoc.
Campaña de fraude digital identificada a través de aplicación distribuida en Google PlayDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha la distribución de aplicaciones móviles a través de Google Play Store para ocultar actividades de fraude financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-fraude-digital-identificada-a-traves-de-aplicacion-distribuida-en-google-playhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha la distribución de aplicaciones móviles a través de Google Play Store para ocultar actividades de fraude financiero.
Campaña de Pulsar RAT y Stealerv37 orientada a control remoto interactivo y exfiltración de informaciónDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en Windows que emplea el troyano de acceso remoto Pulsar RAT junto con el stealer Stealerv37, caracterizada por ejecución en memoria y por la posibilidad de interacción directa con el usuario mediante un chat en vivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-pulsar-rat-y-stealerv37-orientada-a-control-remoto-interactivo-y-exfiltracion-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en Windows que emplea el troyano de acceso remoto Pulsar RAT junto con el stealer Stealerv37, caracterizada por ejecución en memoria y por la posibilidad de interacción directa con el usuario mediante un chat en vivo.
Infraestructura C2 utilizada por el framework BYOB en campañas activasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó infraestructura de comando y control (C2) asociada al framework malicioso BYOB (Build Your Own Botnet), mediante un servidor con directorios abiertos que alojaban múltiples componentes utilizados en campañas activas de despliegue de malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/infraestructura-c2-utilizada-por-el-framework-byob-en-campanas-activashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó infraestructura de comando y control (C2) asociada al framework malicioso BYOB (Build Your Own Botnet), mediante un servidor con directorios abiertos que alojaban múltiples componentes utilizados en campañas activas de despliegue de malware.
Nueva campaña de troyano de acceso remoto Android abusa de infraestructura legítima.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña activa de malware dirigida a dispositivos Android, en la cual se distribuye un troyano de acceso remoto mediante aplicaciones fraudulentas y técnicas de ingeniería social. La actividad se caracteriza por el uso de infraestructura legítima en la nube para el alojamiento y entrega de las cargas maliciosas, lo que le permite evadir mecanismos tradicionales de detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-troyano-de-acceso-remoto-android-abusa-de-infraestructura-legitimahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña activa de malware dirigida a dispositivos Android, en la cual se distribuye un troyano de acceso remoto mediante aplicaciones fraudulentas y técnicas de ingeniería social. La actividad se caracteriza por el uso de infraestructura legítima en la nube para el alojamiento y entrega de las cargas maliciosas, lo que le permite evadir mecanismos tradicionales de detección.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}