Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Seguimiento de campaña activa de ACRStealer.El equipo de analistas del Csirt Financiero ha identificado a ACRStealer, un stealer dirigido a equipos con sistema operativo Windows cuya finalidad es la recolección y exfiltración de información sensible, como credenciales, cookies, contraseñas en texto plano y configuraciones del sistema.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-de-campana-activa-de-acrstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a ACRStealer, un stealer dirigido a equipos con sistema operativo Windows cuya finalidad es la recolección y exfiltración de información sensible, como credenciales, cookies, contraseñas en texto plano y configuraciones del sistema.
Actividad observada del backdoor BRICKSTORM y su impacto en entornos virtualizadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-observada-del-backdoor-brickstorm-y-su-impacto-en-entornos-virtualizadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.
Nueva campaña de la botnet V3G4 combina capacidades DDoS y minería fileless en sistemas Linux.Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se identificó una campaña activa asociada a la botnet V3G4, una variante derivada de Mirai que ha evolucionado para combinar capacidades de escaneo masivo, control distribuido y minería ilícita de criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-la-botnet-v3g4-combina-capacidades-ddos-y-mineria-fileless-en-sistemas-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo adelantadas por el equipo del Csirt Financiero, se identificó una campaña activa asociada a la botnet V3G4, una variante derivada de Mirai que ha evolucionado para combinar capacidades de escaneo masivo, control distribuido y minería ilícita de criptomonedas.
Nueva actividad de spyware Predador aprovecha vulnerabilidades en iOS, Android y ChromeSe identificó actividad asociada al spyware Predator, el cual sigue explotando vulnerabilidades zero-day en navegadores móviles y sistemas operativos como iOS, Android y Chrome. Estas fallas permiten ejecutar cadenas de explotación silenciosas que instalan módulos como PREYHUNTER para validar el entorno, activar funciones de vigilancia y exfiltrar información sin generar alertas visibles en el dispositivo. La información filtrada sobre Intellexa confirma que la amenaza combina exploits propios con componentes de terceros y nuevos mecanismos de entrega basados en enlaces únicos y publicidad maliciosa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-spyware-predador-aprovecha-vulnerabilidades-en-ios-android-y-chromehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificó actividad asociada al spyware Predator, el cual sigue explotando vulnerabilidades zero-day en navegadores móviles y sistemas operativos como iOS, Android y Chrome. Estas fallas permiten ejecutar cadenas de explotación silenciosas que instalan módulos como PREYHUNTER para validar el entorno, activar funciones de vigilancia y exfiltrar información sin generar alertas visibles en el dispositivo. La información filtrada sobre Intellexa confirma que la amenaza combina exploits propios con componentes de terceros y nuevos mecanismos de entrega basados en enlaces únicos y publicidad maliciosa.
Nueva campaña híbrida de phishing combina capacidades de Salty2FA y Tycoon2FADurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-hibrida-de-phishing-combina-capacidades-de-salty2fa-y-tycoon2fahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.
Actividad del troyano bancario FvncBot dirigida a usuarios móviles en PoloniaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de un nuevo troyano bancario denominado FvncBot dirigida a usuarios de banca móvil en Polonia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-troyano-bancario-fvncbot-dirigida-a-usuarios-moviles-en-poloniahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de un nuevo troyano bancario denominado FvncBot dirigida a usuarios de banca móvil en Polonia.
Nueva variante de ransomware llamado BenzonaMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de una nueva variante de ransomware denominada Benzona.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-llamado-benzonahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la aparición de una nueva variante de ransomware denominada Benzona.
Seguimiento de campaña activa de AZORultEl equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano AZORult, una amenaza especializada en la recolección de credenciales y exfiltración de información sensible en equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-de-campana-activa-de-azorulthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada al troyano AZORult, una amenaza especializada en la recolección de credenciales y exfiltración de información sensible en equipos con sistema operativo Windows.
Nueva campaña maliciosa del grupo GoldFactoryDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad relacionada con el grupo GoldFactory, el cual estaría ejecutando una campaña de fraude móvil en la región de Asia. Como parte de esta operación, los actores modifican aplicaciones bancarias legítimas para generar versiones troyanizadas que mantienen la apariencia de ser oficiales, con el fin de engañar a los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-grupo-goldfactoryhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad relacionada con el grupo GoldFactory, el cual estaría ejecutando una campaña de fraude móvil en la región de Asia. Como parte de esta operación, los actores modifican aplicaciones bancarias legítimas para generar versiones troyanizadas que mantienen la apariencia de ser oficiales, con el fin de engañar a los usuarios.
Campaña activa de Amadey recopila información confidencial.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-amadey-recopila-informacion-confidencialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a Amadey, un troyano con capacidades de bot y cargador utilizado por ciberdelincuentes para comprometer equipos con sistema operativo Windows.
Nueva actividad de ChimeraWire orientada a la simulación de navegación webDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano ChimeraWire, cuyo objetivo principal es simular navegación humana para incrementar artificialmente la relevancia de sitios web en motores de búsqueda.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-chimerawire-orientada-a-la-simulacion-de-navegacion-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano ChimeraWire, cuyo objetivo principal es simular navegación humana para incrementar artificialmente la relevancia de sitios web en motores de búsqueda.
Nueva campaña de vishing aprovecha herramientas legítimas de Microsoft para evadir controles de seguridadSe identificó una campaña de vishing en la que los ciberdelincuentes suplantan a personal de TI mediante llamadas realizadas desde Microsoft Teams, con el fin de persuadir a las víctimas para habilitar Quick Assist y así conceder acceso remoto. A partir de ese punto, la cadena de ataque redirige al usuario a un sitio malicioso que distribuye un ejecutable disfrazado de actualizador legítimo, el cual actúa como un contenedor .NET Core capaz de descargar, descifrar y ejecutar cargas maliciosas directamente en memoria. Esta combinación entre ingeniería social, abuso de herramientas confiables y técnicas fileless permite evadir mecanismos de seguridad tradicionales y aumenta la complejidad para su detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-vishing-aprovecha-herramientas-legitimas-de-microsoft-para-evadir-controles-de-seguridadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificó una campaña de vishing en la que los ciberdelincuentes suplantan a personal de TI mediante llamadas realizadas desde Microsoft Teams, con el fin de persuadir a las víctimas para habilitar Quick Assist y así conceder acceso remoto. A partir de ese punto, la cadena de ataque redirige al usuario a un sitio malicioso que distribuye un ejecutable disfrazado de actualizador legítimo, el cual actúa como un contenedor .NET Core capaz de descargar, descifrar y ejecutar cargas maliciosas directamente en memoria. Esta combinación entre ingeniería social, abuso de herramientas confiables y técnicas fileless permite evadir mecanismos de seguridad tradicionales y aumenta la complejidad para su detección.
Campaña activa de ValleyRAT orientada a equipos Windows.El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, una puerta trasera modular también conocida como Winos o Winos4.0, esta amenaza ha sido empleada en múltiples operaciones cibercriminales dirigidas a equipos con sistema operativo Windows, su arquitectura basada en plugins le permite adaptar sus capacidades según el nivel de interés que represente la víctima, facilitando acciones como vigilancia remota, manipulación del sistema y exfiltración de información. Desde la filtración pública de su constructor y panel de C2 en marzo de 2025, su adopción se ha incrementado considerablemente, dificultando la atribución y ampliando su uso por diversos actores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-de-valleyrat-orientada-a-equipos-windows-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa asociada a ValleyRAT, una puerta trasera modular también conocida como Winos o Winos4.0, esta amenaza ha sido empleada en múltiples operaciones cibercriminales dirigidas a equipos con sistema operativo Windows, su arquitectura basada en plugins le permite adaptar sus capacidades según el nivel de interés que represente la víctima, facilitando acciones como vigilancia remota, manipulación del sistema y exfiltración de información. Desde la filtración pública de su constructor y panel de C2 en marzo de 2025, su adopción se ha incrementado considerablemente, dificultando la atribución y ampliando su uso por diversos actores.
Nueva campaña de Ashen Lepus despliega malware AshTagDurante las actividades de monitoreo adelantadas por el equipo del Csirt Financiero se identificó una campaña activa atribuida al grupo APT Ashen Lepus, la cual emplea la suite modular de malware AshTag junto con los cargadores AshenLoader y AshenStager. La operación combina archivos señuelo en PDF con contenido geopolítico auténtico y un mecanismo de side-loading que permite ejecutar cargas en memoria, recuperar módulos adicionales desde su infraestructura C2 y mantener un flujo de espionaje orientado a entidades gubernamentales y diplomáticas de países árabes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ashen-lepus-despliega-malware-ashtaghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo adelantadas por el equipo del Csirt Financiero se identificó una campaña activa atribuida al grupo APT Ashen Lepus, la cual emplea la suite modular de malware AshTag junto con los cargadores AshenLoader y AshenStager. La operación combina archivos señuelo en PDF con contenido geopolítico auténtico y un mecanismo de side-loading que permite ejecutar cargas en memoria, recuperar módulos adicionales desde su infraestructura C2 y mantener un flujo de espionaje orientado a entidades gubernamentales y diplomáticas de países árabes.
Nuevo ransomware DroidLock toma control de equipos Android mediante accesibilidadDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado DroidLock, dirigido a usuarios de España y orientado a dispositivos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-droidlock-toma-control-de-equipos-android-mediante-accesibilidadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo ransomware denominado DroidLock, dirigido a usuarios de España y orientado a dispositivos Android.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}