Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad asociada al troyano de acceso remoto XWormEl equipo de analistas del Csirt Financiero ha identificado actividad asociada a la distribución del troyano de acceso remoto XWorm, una amenaza utilizada por ciberdelincuentes para comprometer sistemas en sectores como el financiero, empresarial, gubernamental e industrial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-al-troyano-de-acceso-remoto-xwormhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad asociada a la distribución del troyano de acceso remoto XWorm, una amenaza utilizada por ciberdelincuentes para comprometer sistemas en sectores como el financiero, empresarial, gubernamental e industrial.
Nueva campaña explota la vulnerabilidad CVE-2017-0199 para propagar FormBookDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing que utiliza un archivo de Excel malicioso para explotar la vulnerabilidad CVE-2017-0199 en versiones anteriores de Microsoft Office. Esta vulnerabilidad permite la ejecución remota de código a través de la funcionalidad OLE (Object Linking and Embedding), facilitando la descarga y ejecución de un archivo HTA malicioso desde un servidor remoto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-explota-la-vulnerabilidad-cve-2017-0199-para-propagar-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing que utiliza un archivo de Excel malicioso para explotar la vulnerabilidad CVE-2017-0199 en versiones anteriores de Microsoft Office. Esta vulnerabilidad permite la ejecución remota de código a través de la funcionalidad OLE (Object Linking and Embedding), facilitando la descarga y ejecución de un archivo HTA malicioso desde un servidor remoto.
DuplexSpy RAT Permite Vigilancia Total y Control Remoto Encubierto en Equipos con WindowsDurante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad asociada a la distribución de DuplexSpy RAT, un troyano de acceso remoto para Windows que permite el control completo de los equipos comprometidos y presenta mecanismos de evasión frente a herramientas de seguridad. Este software malicioso, desarrollado en C#, cuenta con una interfaz gráfica limpia, opciones personalizables y funciones avanzadas que facilitan su adopción por parte de cibercriminales con conocimientos técnicos limitados. Aunque fue publicado con fines educativos en GitHub, su arquitectura modular y sus capacidades ofensivas lo convierten en una herramienta atractiva para actividades de ciberespionaje y control remoto no autorizado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/duplexspy-rat-permite-vigilancia-total-y-control-remoto-encubierto-en-equipos-con-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad asociada a la distribución de DuplexSpy RAT, un troyano de acceso remoto para Windows que permite el control completo de los equipos comprometidos y presenta mecanismos de evasión frente a herramientas de seguridad. Este software malicioso, desarrollado en C#, cuenta con una interfaz gráfica limpia, opciones personalizables y funciones avanzadas que facilitan su adopción por parte de cibercriminales con conocimientos técnicos limitados. Aunque fue publicado con fines educativos en GitHub, su arquitectura modular y sus capacidades ofensivas lo convierten en una herramienta atractiva para actividades de ciberespionaje y control remoto no autorizado.
APT41 reutiliza Google Calendar como canal C2 en nueva actividad TOUGHPROGRESSDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT41 (también conocido como HOODOO), en la cual se distribuye la amenaza TOUGHPROGRESS. Esta amenaza destaca por su canal de comunicación poco convencional, utiliza Google Calendar como mecanismo de comando y control (C2), lo que le permite camuflar el tráfico malicioso dentro de un servicio legítimo de nube.http://csirtasobancaria.com/Plone/alertas-de-seguridad/apt41-reutiliza-google-calendar-como-canal-c2-en-nueva-actividad-toughprogresshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT41 (también conocido como HOODOO), en la cual se distribuye la amenaza TOUGHPROGRESS. Esta amenaza destaca por su canal de comunicación poco convencional, utiliza Google Calendar como mecanismo de comando y control (C2), lo que le permite camuflar el tráfico malicioso dentro de un servicio legítimo de nube.
Actividad relacionada con DarkTortillaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-darktortillahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.
Distribución de CyberLock, Lucky_Gh0$t y Numero mediante instaladores falsos de IADurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una campaña activa que involucra la propagación de CyberLock, Lucky_Gh0$t y un malware recientemente identificado bajo el nombre “Numero”, esta actividad maliciosa utiliza instaladores fraudulentos de soluciones de inteligencia artificial como mecanismo de engaño, con el fin de introducir cargas perjudiciales en los equipos de las víctimas, comprometiendo aspectos esenciales de la seguridad de la información, como su disponibilidad, integridad y confidencialidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/distribucion-de-cyberlock-lucky_gh0-t-y-numero-mediante-instaladores-falsos-de-iahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una campaña activa que involucra la propagación de CyberLock, Lucky_Gh0$t y un malware recientemente identificado bajo el nombre “Numero”, esta actividad maliciosa utiliza instaladores fraudulentos de soluciones de inteligencia artificial como mecanismo de engaño, con el fin de introducir cargas perjudiciales en los equipos de las víctimas, comprometiendo aspectos esenciales de la seguridad de la información, como su disponibilidad, integridad y confidencialidad.
Tycoon2FA y Dadsec: campaña de phishing AiTM dirigida a credenciales empresarialesDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de recopilación de credenciales atribuida al grupo Storm-1575 mediante el uso del kit de phishing Tycoon2FA.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tycoon2fa-y-dadsec-campana-de-phishing-aitm-dirigida-a-credenciales-empresarialeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de recopilación de credenciales atribuida al grupo Storm-1575 mediante el uso del kit de phishing Tycoon2FA.
Nueva actividad maliciosa relacionada con HorabotDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con Horabot, una botnet que ha estado dirigida principalmente a usuarios de habla hispana en América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-horabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con Horabot, una botnet que ha estado dirigida principalmente a usuarios de habla hispana en América Latina.
Nueva campaña de ingeniería social que busca distribuir los stealers Vidar y StealCDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de Vidar y StealC, dos familias de malware tipo stealer diseñadas para capturar grandes volúmenes de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ingenieria-social-que-busca-distribuir-los-stealers-vidar-y-stealchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de Vidar y StealC, dos familias de malware tipo stealer diseñadas para capturar grandes volúmenes de información sensible.
Nueva actividad de Myth StealerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Myth Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-myth-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Myth Stealer.
Nueva campaña de distribución de RhadamanthysDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de Rhadamanthys, un stealer cuya funcionalidad principal consiste en la captura y exfiltración de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-rhadamanthyshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de Rhadamanthys, un stealer cuya funcionalidad principal consiste en la captura y exfiltración de información sensible.
Nueva campaña de distribución de NetSupport RATDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una campaña reciente orientada a la distribución de NetSupport, un RAT (troyano de acceso remoto) utilizado por ciberdelincuentes para comprometer equipos e instaurar comunicaciones no autorizadas, esta herramienta, cuyo propósito original era proporcionar soporte remoto legítimo, ha sido modificada para ser empleada con fines maliciosos, facilitando a los actores de amenaza el control remoto de los sistemas afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-netsupport-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una campaña reciente orientada a la distribución de NetSupport, un RAT (troyano de acceso remoto) utilizado por ciberdelincuentes para comprometer equipos e instaurar comunicaciones no autorizadas, esta herramienta, cuyo propósito original era proporcionar soporte remoto legítimo, ha sido modificada para ser empleada con fines maliciosos, facilitando a los actores de amenaza el control remoto de los sistemas afectados.
Chaos RAT: De herramienta de código abierto a amenaza persistenteDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron nuevas variantes del troyano de acceso remoto Chaos RAT, una herramienta originalmente publicada en 2022 como un proyecto de código abierto con fines legítimos de administración remota.http://csirtasobancaria.com/Plone/alertas-de-seguridad/chaos-rat-de-herramienta-de-codigo-abierto-a-amenaza-persistentehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron nuevas variantes del troyano de acceso remoto Chaos RAT, una herramienta originalmente publicada en 2022 como un proyecto de código abierto con fines legítimos de administración remota.
ViperSoftX: Actualización de Capacidades y Nuevos Indicadores de CompromisoDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una actualización significativa en las capacidades del stealer ViperSoftX, junto con nuevos indicadores de compromiso asociados a su actividad reciente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vipersoftx-actualizacion-de-capacidades-y-nuevos-indicadores-de-compromisohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una actualización significativa en las capacidades del stealer ViperSoftX, junto con nuevos indicadores de compromiso asociados a su actividad reciente.
Nueva campaña abusa de paste.ee para entregar troyanos de acceso remotoDurante el monitoreo continuo realizado por el equipo de analistas del Csirt Financiero, se detectó una actividad maliciosa que utiliza archivos JavaScript ofuscados para iniciar una cadena de infección con el objetivo de distribuir el troyano de acceso remoto XWorm. Esta actividad aprovecha el servicio paste.ee como plataforma intermedia para alojar y recuperar código adicional, lo que permite evadir mecanismos tradicionales de detección y facilitar la entrega del RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-abusa-de-paste-ee-para-entregar-troyanos-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continuo realizado por el equipo de analistas del Csirt Financiero, se detectó una actividad maliciosa que utiliza archivos JavaScript ofuscados para iniciar una cadena de infección con el objetivo de distribuir el troyano de acceso remoto XWorm. Esta actividad aprovecha el servicio paste.ee como plataforma intermedia para alojar y recuperar código adicional, lo que permite evadir mecanismos tradicionales de detección y facilitar la entrega del RAT.
Nueva campaña de distribución de AMOS stealerDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa asociada con AMOS stealer, una herramienta diseñada para el robo de información que está siendo distribuida mediante falsos desafíos de verificación CAPTCHAhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-amos-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa asociada con AMOS stealer, una herramienta diseñada para el robo de información que está siendo distribuida mediante falsos desafíos de verificación CAPTCHA
Nueva campaña distribuye Bumblebee mediante instaladores falsos de herramientas TIEl equipo de analistas del CSIRT Financiero ha identificado una nueva actividad maliciosa orientada a distribuir el loader Bumblebee mediante instaladores falsos de herramientas legítimas comúnmente utilizadas en entornos técnicos, como WinMTR y Milestone XProtect.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-bumblebee-mediante-instaladores-falsos-de-herramientas-tihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha identificado una nueva actividad maliciosa orientada a distribuir el loader Bumblebee mediante instaladores falsos de herramientas legítimas comúnmente utilizadas en entornos técnicos, como WinMTR y Milestone XProtect.
Nueva actividad maliciosa relacionada con PumpkinStealerDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una campaña activa vinculada a PumpkinStealer, también identificado como PupkinStealer. Esta herramienta maliciosa ha sido desarrollada con el propósito de realizar la captura y exfiltración ágil de información sensible desde los equipos afectados. Su actividad se remonta a abril de 2025 y se asocia a comunidades de ciberdelincuentes de habla rusa, lo cual se evidencia en elementos como un bot de Telegram con nombre en ruso y cadenas internas que hacen referencia a un desarrollador bajo el seudónimo “Ardent”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-pumpkinstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una campaña activa vinculada a PumpkinStealer, también identificado como PupkinStealer. Esta herramienta maliciosa ha sido desarrollada con el propósito de realizar la captura y exfiltración ágil de información sensible desde los equipos afectados. Su actividad se remonta a abril de 2025 y se asocia a comunidades de ciberdelincuentes de habla rusa, lo cual se evidencia en elementos como un bot de Telegram con nombre en ruso y cadenas internas que hacen referencia a un desarrollador bajo el seudónimo “Ardent”.
Nueva campaña del ransomware RALordEl equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware RALord, una amenaza desarrollada en el lenguaje Rust que ha sido utilizada en campañas recientes para comprometer la confidencialidad y disponibilidad de la información mediante técnicas de doble extorsión.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-ralordhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware RALord, una amenaza desarrollada en el lenguaje Rust que ha sido utilizada en campañas recientes para comprometer la confidencialidad y disponibilidad de la información mediante técnicas de doble extorsión.
Nueva actividad de LOSTKEYSEl equipo de analistas del Csirt Financiero ha identificado una nueva actividad relacionada con LOSTKEYS, un spyware atribuido al grupo APT COLDRIVER, también conocido como UNC4057, Star Blizzard o Callisto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-lostkeyshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva actividad relacionada con LOSTKEYS, un spyware atribuido al grupo APT COLDRIVER, también conocido como UNC4057, Star Blizzard o Callisto.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}