PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 25 de abril de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 2 de 19
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta La Empresa Nintendo es Víctima de un Ciberataque Sufriendo el Robo de las Credenciales de sus Clientes
Tipo de ataque Robo de información Abreviatura RobInfo
Medios de propagación Red, internet, medios extraíbles y correo electrónico
Código de familia K Código de Sub familia K01 Clasificación temática familia Uso inapropiado de recursos
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional informa que la empresa Japonesa Nintendo, ha sido víctima de un ciberataque a los servicios que brinda, en la cual los ciberdelincuentes obtuvieron ilegalmente credenciales de sus clientes, con la finalidad de ser vendidas en la Deep Web. Se presume que los hechos han ocurrido los primeros días del mes de abril del presente año.
2. Detalles de la alerta:
Nintendo es una empresa multinacional de entretenimiento dedicada a la investigación, desarrollo, producción, distribución de software y hardware de videojuegos.
La empresa a través de un comunica en su portal web oficial, indica el incidente sufrido, con relación al acceso ilegal a las credenciales (usuario y contraseña) de las cuentas de sus clientes.
Asimismo, menciona que los ciberdelincuentes atacaron el sistema de inicio de sesión Nintendo Network ID (NNID, siglas en inglés) a principios de mes de abril del presente año, comprometiendo las cuentas de sus clientes. Además, este sistema es empleado principalmente por los propietarios de consolas como Nintendo 3DS y Wii U, que ya no reciben soporte.
La Empresa aun no proporcionó detalles técnicos sobre el ciberataque, aunque indico que los ciberdelincuentes obtuvieron las cuentas Nintendo Network ID (NNID) de forma ilegal por medio de un tercero. Como medida de respuesta, procedieron a inhabilitar la función para acceder a las cuentas, además de haber restablecido las contraseñas de las cuentas comprometidas.
Finalmente, el área de soporte técnico de la mencionada empresa, indica que pronto se pondrán en contacto con sus usuarios para restablecer las contraseñas de los ID de red de Nintendo y las cuentas de Nintendo. Además, también mencionan un procedimiento denominada como configurar la verificación en dos pasos para una cuenta de Nintendo.
Por consiguientes, al obtener las credenciales ilegalmente, expone a los clientes al acceso a información privada como la fecha de nacimiento, país de residencia, dirección de correo electrónico y otras de suma relevación. Lo cual, puede ser explota por los ciberdelincuentes para realizar hechos delictivos como extorsión, fraude, entre otras.
3. Recomendaciones:
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Implementar y promover las mejores prácticas de ciberseguridad.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 3 de 19
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Campaña Phishing de Skype que utiliza GTLD .app de Google Tipo de ataque Robo de información Abreviatura RobInfo
Medios de propagación Red, internet, Redes Sociales
Código de familia K Código de Subfamilia K01
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 23 de abril de 2020 por bleepingcomputer (sitio web de noticias sobre seguridad de la información), sobre una campaña de Phishing contra trabajadores remotos que vienen empleando Skype debido a la pandemia COVID-19, atrayéndolos con correos electrónicos que falsifican notificaciones de servicios.
2. Los mensajes de notificación parecen originarse en el servicio de Skype con una dirección de correo electrónico de aspecto legítimo ("67519-81987 @ skype. [CORREO ELECTRÓNICO REDACTADO]"), el remitente es en realidad una cuenta externa comprometida.
3. La página de inicio de sesión falsa de Skype se carga en ("hxxps: // skype-online0345 [.] Web [.] App"). El uso de .APP gTLD está destinado al desarrollo de aplicaciones por parte de empresas, servicios de soporte y profesionales, y requiere una conexión HTTPS, lo que ayuda al atacante a eludir la protección de phishing.
4. Así mismo, el nombre de usuario se completa automáticamente, lo único que la víctima tiene que hacer es escribir su contraseña y el atacante la obtiene automáticamente.
5. Se recomienda:
No hacer clic en los enlaces de correo electrónicos sospechosos.
Siempre escribir la dirección de inicio de sesión legitima en el navegador.
Fuentes de información https://www.bleepingcomputer.com/news/security/creative-skype-phishing-campaign-uses-googles-app-gtld/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 4 de 19
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Uso incorrecto de configuración de seguridad en algunos dispositivos NETGEAR Tipo de ataque Exploits Abreviatura Exploits
Medios de propagación Navegación de internet
Código de familia C Código de Subfamilia C03
Clasificación temática familia Código Malicioso
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información sobre la “vulnerabilidad CVE-2018-21161”, publicada el 23 de abril de 2020 por NIST (Instituto Nacional de Estándares y Tecnología), en algunos dispositivos tecnológicos de conectividad de redes - router de NETGEAR D7800v-1.0.1.34 (empresa especializada en la producción y ventas de sistemas de redes para particulares y empresas).
2. Este tipo de tecnología, en la versión mencionada es afectada en el uso incorrecto de la configuración, por el consumidor, específicamente en la configuración de seguridad, esto permitiría un atacante vulnerar el protocolo de control de transmisión y la red inalámbrica con el fin de realizar un ataque de envenenamiento en la memoria cache y de esta manera obtendría datos privados del consumidor, incluyendo credenciales para iniciar sesión y contraseñas.
3. La configuración de seguridad más robustas es actualizar cada cierto tiempo la versión más reciente del firewall del router para hacer más complejo la vulnerabilidad y acceso a los datos.
4. Se recomienda:
Descargar y actualizar versiones de firmware del router anteriores o posteriores a 1.01.34.
Fuentes de información
https://nvd.nist.gov/ https://nvd.nist.gov/vuln/detail/CVE-2018-21161 https://kb.netgear.com/000059469/Security-Advisory-for-Security-Misconfiguration-on-Some-Gateways-and-Routers-PSV-2017-0429
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 5 de 19
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidad que permite evadir y deshabilitar el antivirus de los sistemas operativos Windows, Mac y Linux
Tipo de ataque Explotación de vulnerabilidades Abreviatura EV
Medios de propagación Red, navegación de internet
Código de familia H Código de Subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del informe realizado por especialistas de la RACK911 Labs (empresa de soluciones y servicios de ciberseguridad), sobre la vulnerabilidad que desactivan cualquier antivirus de sistemas operativos de Windows, macOS y Linux, publicada el 21 de abril de 2020 por la web Noticias de Seguridad.
2. Según RACK911 Labs, el antivirus se ejecuta con altos privilegios en los sistemas operativos lo cual es aprovechado por los atacantes para explotar algunas fallas de seguridad en la ventana de tiempo entre el inicio de análisis y la operación de limpieza del archivo sospechoso, que podría ser empleada para desplegar una condición de carrera mediante una función de directorio (en el caso de Windows) o enlace simbólico (en el caso macOS y Linux) esta acción podría explotar las operaciones de archivos privilegiados para deshabilitar el antivirus o bien interferir con el funcionamiento del sistema operativo para inutilizar la herramienta de seguridad.
3. Después de realizar algunas pruebas en Windows, macOS y Linux los especialistas de la RACK911 Labs, demostraron ser capaces de desactivar y eliminar algunos archivos importantes para el correcto funcionamiento del antivirus, incluso eliminaron algunos archivos importantes para el sistema operativo. A continuación, se presenta una lista de antivirus analizados por este equipo y que resultaron ser vulnerables a esta variante de ataque.
4. Se recomienda:
Verificar que el antivirus que tengamos en nuestro ordenador no esté en la lista de los analizados y vulnerables.
Si están en la relación buscar algún parche en la web oficial para eliminar esta vulnerabilidad.
Fuentes de información hxxps://noticiasseguridad.com/vulnerabilidades/una-vulnerabilidad-permite-evadir-y-deshabilitar-cualquier-antivirus-en-windows-mac-y-linux/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 6 de 19
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidad protocolos de TLS y SSL. Tipo de ataque Interrupción de servicios tecnológicos Abreviatura IntServTec
Medios de propagación Usb, disco, red, correo, navegación de internet
Código de familia F Código de Subfamilia F02
Clasificación temática familia Disponibilidad del servicio
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que los especialistas en servicio de seguridad informática de la empresa OpenSSL, publicaron el 21 de abril de 2020 la vulnerabilidad denominada “CVE-2020-1967”, la explotación de esta vulnerabilidad realiza un despliegue de actividades maliciosas como la denegación de servicios (DDoS) en los protocolos Seguridad de la capa de transporte (TLS) y Capa de sockets seguros (SSL).
2. La vulnerabilidad “CVE-2020-1967”, es un error de segmentación en la función SSL check, las aplicaciones de servidor o cliente que llaman a la función SSL check durante o después de un protocolo de enlace TLS, pueden bloquearse debido a una desreferencia de puntero NULL como resultado de un manejo incorrecto de la extensión TLS.
3. Cuando la vulnerabilidad es explotada, causa un colapso en el sistema, asi mismo esto se origina cuando se recibe un algoritmo de firma inválido o no reconocido por parte del mismo, esto podría ser explotado por un actor de amenazas en un ataque de denegación de servicio, la vulnerabilidad está presente en las versiones 1.1.1d, 1.1.1e y 1.1.1f de OpenSSL.
4. Se recomienda:
Actualizar a la versión 1.1.1g.
Fuentes de información
https://www.openssl.org/news/secadv/20200421.txt https://noticiasseguridad.com/vulnerabilidades/como-explotar-openssl-para-hacer-un-ataque-dos-cve-2020-1967/
https://www.debian.org/security/2020/dsa-4661
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 7 de 19
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Ataque tipo Phishing por WhatsApp Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico.
Código de familia G Código de Subfamilia G02
Clasificación temática familia Fraude
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que ciberdelincuentes mediante una campaña de envío de mensajes de texto fraudulentos a través de la aplicación WhatsApp, suplantan la identidad de una marca de cerveza, ofreciendo “barriles de cerveza gratis con envío a domicilio durante los días de cuarentena”.
2. Al hacer clic al enlace, está la redirige a una página web fraudulenta, donde solicita al usuario que responda un cuestionario.
3. Cuando el usuario termina de realizar el cuestionario, debe compartir el mensaje con 15 contactos de WhatsApp para acceder a los barriles de cerveza.
4. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 8 de 19
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Phishing Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico.
Código de familia G Código de Subfamilia G02
Clasificación temática familia Fraude
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que ciberdelincuentes utilizan un correo electrónico con dominio durango.gob.mx que pertenece al Gobierno del Estado de Durango (México), para realizar una campaña maliciosa, con el siguiente asunto: “ADVERTENCIA FINAL DE MICROSOFT”, con la finalidad de robo de información, robo de identidad y estafas.
2. Al hacer clic en “HAGA CLIC AQUÍ” es redirigido a la URL tar1258.wixsite.com/mysite donde solicita el ingreso sus credenciales para iniciar sesión.
3. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina.
Imagen2: URL tar1258.wixsite.com/mysite
Imagen1: Correo phishing.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 9 de 19
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AEREA DEL PERÚ
Nombre de la alerta Extracción de datos de la página web del Poder Legislativo de Chaco, Argentina Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb
Medios de propagación Red, Internet, Redes Sociales
Código de familia M Código de Subfamilia M01
Clasificación temática familia Vandalismo
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red Social denominada Twitter, el usuario identificado con el nombre “Anonsargentina1”, realizó una publicación el 24 de abril de 2020, haciendo referencia a un ataque denominado Sql Injection (ataque realizado para la extracción de datos sensible, por medio de inyección de datos, mediante instrucciones específicas a las bases de datos), el cual tuvo como resultado la extracción de credenciales de la página web del Poder Legislativo de Chaco, de Argentina.
2. Asimismo, se adjunta un archivo de texto donde se muestras las credenciales obtenidas por medio del ataque en mención.
3. Se recomienda:
Los administradores de base de datos de las páginas web del estado, deberá de extremar medidas en cuanto a la configuración e implementación de políticas de seguridad en sus bases de datos.
Fuentes de información https://twitter.com/Anonsargentina1/status/1253875545684742146
https://pastebin.com/aSkeMyEu
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 10 de 19
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AEREA DEL PERÚ
Nombre de la alerta Hackeo de diversas páginas web por Ciberdelincuentes Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb
Medios de propagación Red, Internet
Código de familia L Código de Subfamilia L01
Clasificación temática familia Vandalismo
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red Social denominada Twitter el usuario identificado con el nombre “Spy_Unkn0wn”, realizó una publicación el 24ABR2020, adjuntando ocho (08) links, donde se muestra el ataque denominado defacement (ataque a un sitio web que cambia la apariencia visual de una página web), realizado a diversas páginas web.
2. Se recomienda:
Los administradores de red deberán extremar medidas en cuanto a las políticas de seguridad y las configuraciones de las páginas web del estado.
Fuentes de información https://twitter.com/Spy_Unkn0wn/status/1253820152489132034
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 11 de 19
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Acortador de URL contiene Malware. Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 25 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que a través de la red social Facebook, existe un Fanpage denominado “BONO 380 Covid-19, en la cual se realiza publicaciones con informaciones de los diferentes bonos concedido por el gobierno de turno a las familias de pobreza y pobreza extrema, así como a independientes.
2. Al realizar el análisis de la Fanpage en mención, se detectó que existe una publicación sobre la operación de bonos por 3 millones de dólares, efectuada por el Ministerio de Economía y Finanzas, donde se muestra un comunicado al respecto, para mayor información se debe ingresar a la URL:
hxxps://bit.ly/2RVCtlw
Imágenes:
3. Al realizar el análisis del acortador de URL, en las diferentes plataformas de las compañías de seguridad informática, dio como resultado lo siguiente:
IP: 67.199.248.10, la cual fue analizada con el resultado de:
1 2
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Topología de IP:
Referencia:
o Malware. - Hace referencia a cualquier tipo de software malicioso que trata de infectar un ordenador o un dispositivo móvil. Los hackers utilizan el malware con múltiples finalidades, tales como extraer información personal o contraseñas, robar dinero o evitar que los propietarios accedan a su dispositivo. Puede protegerse contra el malware mediante el uso de software.
o Acortador. - Es un tipo de servicio software que permite usar URL cortas las cuales redirigen a la URL original. Lo cual es aprovechado por los ciberdelincuentes para ocultar la URL de una página maliciosa.
4. Algunas Recomendaciones:
No ingrese a URL, que sean acortadores, puede contener Malware.
Visita las páginas oficiales de la entidad del estado.
No sigas publicaciones que puedan redirigirte a una página maliciosa
Ten presente que los Ciberdelincuentes, siempre aprovechan la oportunidad para infectar tu dispositivo o robarte tus datos personales.
Fuentes de información Análisis propias de redes sociales
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 13 de 19
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Botnet “VictoryGate”, utilizado para Minar Criptomonedas. Tipo de ataque Botnet Abreviatura Virus
Medios de propagación IRC, USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Subfamilia C02
Clasificación temática familia Código malicioso
Descripción
1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, investigadores de ESET (compañía de seguridad informática), han descubierto una botnet no documentada previamente, a la que han denominado VictoryGate. La misma ha estado activa al menos desde mayo de 2019 y desde entonces, se han identificado tres variantes de su módulo inicial.
2. La botnet está compuesta principalmente por dispositivos ubicados en la región de LATAM, principalmente en Perú, país en donde están más del 90% de los dispositivos comprometidos. El tamaño de la botnet, está conformada, como mínimo, por 35.000 dispositivos. Y aproximadamente 10 payload que son descargados por el equipo de la víctima desde sitios de file hosting en Internet.
3. La actividad principal de la botnet ha sido la utilización de los equipos infectados para la minería de la criptomonedas Monero, el tráfico de red comprometido se origina desde organizaciones tanto públicas como privadas, incluyendo empresas del sector financiero en Perú.
4. Imágenes: comparaciones entre un dispositivo Limpio y uno infectado.
Cada uno de estos archivos maliciosos son scripts AutoIt que VictoryGate compila “on the fly” (sobre la marcha), utilizando la plantilla que se muestra en la Figura 3. Se menciona que a cada uno de estos archivos se les agrega metadatos aleatorios para que el hash resultante nunca sea el mismo.
3
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La ejecución de cualquiera de estos archivos por parte del usuario hará que se ejecute tanto el archivo original que se desea abrir, así como el módulo inicial de la amenaza, ambos escondidos en una carpeta oculta (marcada con atributos de sistema) en la raíz de la unidad de almacenamiento extraíble.
Una vez ejecutado el módulo inicial escondido en el pendrive, el mismo realiza una copia de sí mismo en el directorio %AppData% en el sistema de archivos del equipo de la víctima, modificando su nombre para aparentar ser un archivo de Windows legítimo como “ctfmon2.exe”. Además, crea un acceso directo, que apunta a dicha copia, en la carpeta de inicio de Windows como un mecanismo simple de establecer persistencia en el equipo de la víctima.
Flujo de ejecución de los payloads
Indicadores de Compromiso:
Nombre de detección Hash Amenaza
MSIL/VictoryGate.A 398C99FD804043863959CC34C68B0215B1131388
Trojan.GenericKD.41961803 Malware/Win64.Generic.C3539055 Trojan.Generic.D280494B Trojan.VictoryGate.A. A Malicioso Win64: Trojan-gen TR/Kryptik.umyww
MSIL/VictoryGate.A a187d8be61b7ad6c328f3ee9ac66f3d2f4b48c6b
Trojan.GenericKD.32409157 Malicious.e61b7a W64/Trojan.TTNO-4848 Win64: Trojan-gen TrojanDropper.MSIL. Autit Generic/Trojan.Dropper.b98 Malicioso (high Confidence)
4
5
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Nombre de detección Hash Amenaza
MSIL/VictoryGate.B 483a55389702cdc83223c563efb9151a704a973e
Trojan.GenericKD.33535920 Trojan/Win32.AGeneric Trojan.VictoryGate.A Win32:Trojan-gen
MSIL/VictoryGate.C 686eef924e6b7aadb5bcff1045b25163501670e6
Win32: Trojan-gen Trojan. Generic. D2839E1F Trojan.MSIL.ogez Trj/GdSda.A
Propagación del Botnet.
Referencias:
o Payload. - Es la carga que se ejecuta al aprovechar una vulnerabilidad.
o VictoryGate. - Es una nueva botnet que utiliza dispositivos de almacenamiento USB como mecanismo de propagación, una técnica recurrente en campañas de malware.
o Botnet. - Es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota.
o Criptomonedas. - Es una moneda digital o virtual diseñada para funcionar como medio de intercambio. Utiliza criptografía para asegurar y verificar transacciones, así como para controlar la creación de nuevas unidades de una criptomonedas particular.
5. Algunas Recomendaciones
Cambia las contraseñas de todos los dispositivos informáticos que tengas de forma frecuente y que sean robusta.
Ten cuidado a la hora de descargarte o abrir cualquier documento que proceda de un tercero y más si no es de confianza.
Ten un buen antivirus o programa de seguridad que te proteja de cualquier amenaza y fíjate bien cuando te notifique cualquier acción, ya sea buena o maliciosa.
Antes de descargarte algo de un sitio de poca confianza, chequea los archivos con el antivirus. Preferiblemente, descárgate las cosas desde una web contrastada y certificada con HTTPS.
Fuentes de información https://www.welivesecurity.com/la-es/2020/04/23/victorygate-disrumpen-botnet-minar-criptomonedas-afecta-peru/
6
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 16 de 19
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Fanpage falso de Facebook, suplantando identidad de Actor de cine. Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de Subfamilia G02
Clasificación temática familia Fraude
Descripción
1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en la red social Facebook, existe un Fanpage Falso del actor Mark Sinclair Vincent (Vin Diesel), quien supuestamente elegirá 100 personas, quienes se harán acreedores de premios que alcanzan los 90 millones de dólares, para ser ganador el usuario debe dar Clic en me “gusta” y compartir la publicación en 10 grupos de Facebook.
Imágenes:
Diferencias del Fanpage Falso y Oficial.
Fanpage Falso Fanpage Oficial
CONTENIDO
Algunas fotografías del actor Videos de sus películas
COMUNIDAD (SEGUIDORES)
273 96 607 272
INFORMACIÓN
Actor/Actriz - PelículaSe proporciona información con datos
generales
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Imágenes del proceso de la estafa: Mensaje recibidos por Messenger de Facebook.
Al ingresar al enlace “REGÍSTESE AHORA”, la envía a la siguiente página:
La URL de dicha publicación no es detectada en los motores de análisis como sospechoso o malicioso.
2. Por las características de la publicación todo parecería indicar que se trata de un típico caso de “Phishing”, una técnica de ingeniería social utilizada para obtener información confidencial de los usuarios haciéndose pasar por una comunicación confiable y legítima.
3. Algunas Recomendaciones
No abras correos electrónicos sospechosos.
Verifica la fuente de información de tus correos entrantes.
No participes de sorteo de páginas falsas.
Visita páginas oficiales de las entidades que ofrecen premio.
Piensa siempre que los ciberdelincuentes, quieren obtener información personal
Fuentes de información Análisis propio en redes sociales y fuentes abiertas
4 5
1 2 3
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 18 de 19
Componente que reporta ASOCIACIÓN DE BANCOS DEL PERÚ
Nombre de la alerta Páginas Web falsas de Bancos, tiendas online y casas de apuestas. Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de Subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Comportamiento
El Área de Operaciones de ASBANC advierte sobre una campaña de phishing que se está difundiendo desde redes sociales y correo electrónico.
2. Indicadores de compromiso
URL de alojamiento: hxxp://bbva-tepremia.com/
IP: 107.180.40.107
Dominio: bbva-tepremia.com
Localización: Scottsdale – Estados Unidos
3. Imágenes
4. Recomendaciones
Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).
Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
Mantener actualizados los sistemas operativos de los equipos utilizados (Servidores, computadoras, smartphones).
Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad financiera
Fuentes de información Área de Operaciones de ASBANC
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 021
Fecha: 25-04-2020
Página: 19 de 19
Componente que reporta AREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ
Nombre de la alerta Páginas Web falsas de Bancos, tiendas online y casas de apuestas. Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de Subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Comportamiento
El Área de Operaciones de ASBANC advierte sobre una campaña de phishing que se está difundiendo desde redes sociales y correo electrónico.
2. Indicadores de compromiso
URL de alojamiento: hxxps://ingresowzonasegura-bcpsperu.xyz/iniciar-sesion
IP: 199.188.200.199
Dominio: ingresowzonasegura-bcpsperu.xyz
Localización: Los Ángeles – Estados Unidos
3. Imágenes
4. Recomendaciones
Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).
Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.
Mantener actualizados los sistemas operativos de los equipos utilizados (Servidores, computadoras, smartphones).
Realizar concientización constante a los usuarios sobre:
o Ataques cibernéticos.
o Esquemas de Ingeniería social.
o Aprenda a reconocer las características de los portales de su entidad financiera
Fuentes de información Área de Operaciones de ASBANC