Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo loader detectadoMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado CountLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-detectadohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado CountLoader.
Nueva campaña de phishing en Latinoamérica distribuye el troyano de acceso remoto RattyDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing focalizada en usuarios de Latinoamérica, con especial incidencia en Perú, que emplea archivos PDF como señuelo para distribuir el troyano de acceso remoto Ratty.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-en-latinoamerica-distribuye-el-troyano-de-acceso-remoto-rattyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing focalizada en usuarios de Latinoamérica, con especial incidencia en Perú, que emplea archivos PDF como señuelo para distribuir el troyano de acceso remoto Ratty.
Campaña de GOLD SALEM despliega Warlock Ransomware mediante explotación de vulnerabilidadesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-gold-salem-despliega-warlock-ransomware-mediante-explotacion-de-vulnerabilidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.
Nueva campaña de BlackLock ransomwareEl equipo del Csirt Financiero ha identificado una nueva campaña activa atribuida al grupo BlackLock, una operación de ransomware anteriormente conocida como “El Dorado”. Esta amenaza se destaca por su capacidad de comprometer entornos Windows, Linux y VMware ESXi mediante un binario compilado en lenguaje Go, que facilita su ejecución multiplataforma y refuerza su evasión.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-blacklock-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva campaña activa atribuida al grupo BlackLock, una operación de ransomware anteriormente conocida como “El Dorado”. Esta amenaza se destaca por su capacidad de comprometer entornos Windows, Linux y VMware ESXi mediante un binario compilado en lenguaje Go, que facilita su ejecución multiplataforma y refuerza su evasión.
Campaña de fraude masivo genera eliminación de aplicaciones de la Google Play StoreEl equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-fraude-masivo-genera-eliminacion-de-aplicaciones-de-la-google-play-storehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.
Nueva campaña del grupo RevengeHotels distribuye VenomRATRevengeHotels, conocido también como TA558, ha lanzado una nueva serie de campañas contra hoteles de América Latina, particularmente en Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-revengehotels-distribuye-venomrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña de Maranhão Stealer vía instaladores troyanizadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Maranhão Stealer, un infostealer desarrollado en Node.js que emplea inyección de DLL reflectante para exfiltrar credenciales. La campaña, activa desde mayo de 2025 y aún en desarrollo, se distribuye a través de sitios de ingeniería social alojados en plataformas en la nube, los cuales ofrecen software pirateado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-maranhao-stealer-via-instaladores-troyanizadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de Maranhão Stealer, un infostealer desarrollado en Node.js que emplea inyección de DLL reflectante para exfiltrar credenciales. La campaña, activa desde mayo de 2025 y aún en desarrollo, se distribuye a través de sitios de ingeniería social alojados en plataformas en la nube, los cuales ofrecen software pirateado.
Campaña de GONEPOSTAL permite a KTA007 operar de manera encubierta dentro de OutlookDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-gonepostal-permite-a-kta007-operar-de-manera-encubierta-dentro-de-outlookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.
Nueva campaña de XWorm y Remcos distribuidos mediante BAT y archivos SVGEl equipo del Csirt Financiero identificó una campaña activa que distribuye los troyanos de acceso remoto XWorm y Remcos mediante archivos ZIP. Orientada a equipos Windows, la operación persigue el control remoto del sistema y la captura sistemática de información sensible, destacando técnicas de ejecución en memoria de ensamblados .NET, desactivación de AMSI/ETW y persistencia a través de la carpeta de Inicio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-xworm-y-remcos-distribuidos-mediante-bat-y-archivos-svghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una campaña activa que distribuye los troyanos de acceso remoto XWorm y Remcos mediante archivos ZIP. Orientada a equipos Windows, la operación persigue el control remoto del sistema y la captura sistemática de información sensible, destacando técnicas de ejecución en memoria de ensamblados .NET, desactivación de AMSI/ETW y persistencia a través de la carpeta de Inicio.
Campaña de Mustang Panda introduce variantes avanzadas de Toneshell y SnakeDiskDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo Hive0154, también conocido como Mustang Panda, en la que se identificó el uso de dos amenazas principales: la puerta trasera Toneshell en su versión más reciente y el gusano USB SnakeDisk.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-mustang-panda-introduce-variantes-avanzadas-de-toneshell-y-snakediskhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo Hive0154, también conocido como Mustang Panda, en la que se identificó el uso de dos amenazas principales: la puerta trasera Toneshell en su versión más reciente y el gusano USB SnakeDisk.
Nuevo grupo de ransomware llamado YureiDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-llamado-yureihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo grupo de ransomware denominado Yurei, el cual inició operaciones a comienzos de septiembre de 2025, teniendo como primera víctima a una empresa del sector alimentario y ampliando rápidamente su alcance a otras organizaciones.
Nuevo ransomware HybridPetya aprovecha CVE-2024-7344Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al nuevo ransomware HybridPetya, una amenaza que retoma características de Petya e introduce la capacidad de evadir el arranque seguro en equipos modernos mediante la explotación de la vulnerabilidad CVE-2024-7344 en el componente UEFI.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-hybridpetya-aprovecha-cve-2024-7344http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al nuevo ransomware HybridPetya, una amenaza que retoma características de Petya e introduce la capacidad de evadir el arranque seguro en equipos modernos mediante la explotación de la vulnerabilidad CVE-2024-7344 en el componente UEFI.
Nueva campaña de Vidar stealerEl equipo de analistas del Csirt Financiero ha identificado una campaña activa de Vidar, un stealer derivado de la familia Arkei y distribuido bajo el modelo de Malware-as-a-Service (MaaS) a través de diversos métodos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-vidar-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de Vidar, un stealer derivado de la familia Arkei y distribuido bajo el modelo de Malware-as-a-Service (MaaS) a través de diversos métodos.
Nueva variante de ToneShellMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de ToneShell.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-toneshellhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de ToneShell.
Troyano de acceso remoto multiplataformaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZynorRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-de-acceso-remoto-multiplataformahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZynorRAT.
Nuevo ransomware CyberVolkEl equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-cybervolkhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.
Nuevas puertas traseras atribuidas a APT37 contra sistemas WindowsEl equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-puertas-traseras-atribuidas-a-apt37-contra-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.
Nuevo troyano bancario MostereRATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano bancario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-mostererathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano bancario.
RatOn: nuevo troyano bancario que combina NFC, control remoto y ATSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.http://csirtasobancaria.com/Plone/alertas-de-seguridad/raton-nuevo-troyano-bancario-que-combina-nfc-control-remoto-y-atshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.
Odyssey Stealer utiliza portal fraudulento de Microsoft Teams para infectar macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/odyssey-stealer-utiliza-portal-fraudulento-de-microsoft-teams-para-infectar-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}