Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña de Vidar stealerEl equipo de analistas del Csirt Financiero ha identificado una campaña activa de Vidar, un stealer derivado de la familia Arkei y distribuido bajo el modelo de Malware-as-a-Service (MaaS) a través de diversos métodos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-vidar-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de Vidar, un stealer derivado de la familia Arkei y distribuido bajo el modelo de Malware-as-a-Service (MaaS) a través de diversos métodos.
Nueva variante de ToneShellMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de ToneShell.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-toneshellhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de ToneShell.
Troyano de acceso remoto multiplataformaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZynorRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-de-acceso-remoto-multiplataformahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZynorRAT.
Nuevo ransomware CyberVolkEl equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-cybervolkhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.
Nuevas puertas traseras atribuidas a APT37 contra sistemas WindowsEl equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-puertas-traseras-atribuidas-a-apt37-contra-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.
Nuevo troyano bancario MostereRATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano bancario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-mostererathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano bancario.
RatOn: nuevo troyano bancario que combina NFC, control remoto y ATSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.http://csirtasobancaria.com/Plone/alertas-de-seguridad/raton-nuevo-troyano-bancario-que-combina-nfc-control-remoto-y-atshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.
Odyssey Stealer utiliza portal fraudulento de Microsoft Teams para infectar macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/odyssey-stealer-utiliza-portal-fraudulento-de-microsoft-teams-para-infectar-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.
Nuevo troyano modular GPUGate distribuido mediante Google Ads y commits maliciosos en GithubEl equipo de analistas del Csirt Financiero ha identificado a GPUGate, un troyano modular distribuido mediante campañas de malvertising en Google Ads y manipulación de commits en repositorios legítimos de GitHub.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-modular-gpugate-distribuido-mediante-google-ads-y-commits-maliciosos-en-githubhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a GPUGate, un troyano modular distribuido mediante campañas de malvertising en Google Ads y manipulación de commits en repositorios legítimos de GitHub.
KoiLoader: amenaza modular dirigida a sistemas WindowsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada a KoiLoader, un loader modular empleado por actores maliciosos para distribuir y ejecutar cargas útiles adicionales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/koiloader-amenaza-modular-dirigida-a-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada a KoiLoader, un loader modular empleado por actores maliciosos para distribuir y ejecutar cargas útiles adicionales.
Continua la propagación de StealeriumMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.http://csirtasobancaria.com/Plone/alertas-de-seguridad/continua-la-propagacion-de-stealeriumhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.
Nueva amenaza denominada Salat StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza para sistemas Windows conocida como Salat Stealer, también referida como WEB_RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-salat-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza para sistemas Windows conocida como Salat Stealer, también referida como WEB_RAT.
Nueva operación de TinyLoaderMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-operacion-de-tinyloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.
Seguimiento a SnakeKeyloggerEl equipo de análisis del Csirt Financiero ha identificado una campaña de SnakeKeylogger, una amenaza clasificada como stealer/spyware diseñada para infiltrarse en equipos mediante técnicas de ingeniería social, operar en segundo plano y extraer información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-snakekeyloggerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de análisis del Csirt Financiero ha identificado una campaña de SnakeKeylogger, una amenaza clasificada como stealer/spyware diseñada para infiltrarse en equipos mediante técnicas de ingeniería social, operar en segundo plano y extraer información confidencial.
Nueva puerta trasera NotDoor dirigida a Outlook fue atribuida a APT28El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada a APT28 que involucra la distribución de NotDoor, una puerta trasera especialmente diseñada para integrarse con el cliente de correo Outlook mediante macros en VBA, esta amenaza permite a los ciberdelincuentes exfiltrar información, ejecutar comandos remotos y recibir archivos en el equipo comprometido, todo a través de mensajes de correo electrónico estructurados. Su cadena de infección incluye la técnica de carga lateral sobre el binario legítimo OneDrive.exe y la ejecución de una DLL maliciosa que modifica el comportamiento de Outlook sin alertar al usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-notdoor-dirigida-a-outlook-fue-atribuida-a-apt28http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada a APT28 que involucra la distribución de NotDoor, una puerta trasera especialmente diseñada para integrarse con el cliente de correo Outlook mediante macros en VBA, esta amenaza permite a los ciberdelincuentes exfiltrar información, ejecutar comandos remotos y recibir archivos en el equipo comprometido, todo a través de mensajes de correo electrónico estructurados. Su cadena de infección incluye la técnica de carga lateral sobre el binario legítimo OneDrive.exe y la ejecución de una DLL maliciosa que modifica el comportamiento de Outlook sin alertar al usuario.
XWorm evoluciona con cadenas de infección más sigilosasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm, la cual muestra un cambio importante en su forma de propagarse. El troyano pasó de usar métodos más previsibles a incorporar técnicas engañosas que buscan evadir controles de seguridad y aumentar la tasa de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xworm-evoluciona-con-cadenas-de-infeccion-mas-sigilosashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm, la cual muestra un cambio importante en su forma de propagarse. El troyano pasó de usar métodos más previsibles a incorporar técnicas engañosas que buscan evadir controles de seguridad y aumentar la tasa de infección.
Nueva actividad del grupo DireWolfMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del grupo DireWolf.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-direwolfhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad del grupo DireWolf.
Nueva puerta trasera llamada MystRodX con activación DNS/ICMPEl equipo del Csirt Financiero identificó indicadores asociados a MystRodX, una puerta trasera orientada al sigilo y al control remoto sostenido en equipos a nivel global. La amenaza se despliega mediante un dropper que instala dos componentes que se vigilan mutuamente para asegurar su ejecución continua, y destaca por su modo pasivo: se activa únicamente cuando detecta señales específicas en tráfico DNS o ICMP, tras lo cual establece comunicación con el C2 mediante TCP o HTTP con cifrado opcional.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-llamada-mystrodx-con-activacion-dns-icmphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó indicadores asociados a MystRodX, una puerta trasera orientada al sigilo y al control remoto sostenido en equipos a nivel global. La amenaza se despliega mediante un dropper que instala dos componentes que se vigilan mutuamente para asegurar su ejecución continua, y destaca por su modo pasivo: se activa únicamente cuando detecta señales específicas en tráfico DNS o ICMP, tras lo cual establece comunicación con el C2 mediante TCP o HTTP con cifrado opcional.
Nueva actividad de LazarusMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-lazarushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Lazarus.
Campaña de Silver Fox explota controladores legítimos para desplegar ValleyRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-silver-fox-explota-controladores-legitimos-para-desplegar-valleyrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}