lima, 10 de abril de 2020...ddos contra diferentes infraestructuras. 2. detalles de la alerta: dark...
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 10 de abril de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 2 de 13
Componente que reporta PECERT | EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Mensajes falsos sobre el bono para las familias vulnerables en el Perú. Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Aplicaciones de mensajería, redes sociales, mensajes de texto
Código de familia G Código de Sub familia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que los analistas de la empresa de ciberseguridad Bitdefender han descubierto recientemente una nueva y potente red de bots (botnet) denominada Dark Nexus, el cual afecta a los dispositivos de Internet de las Cosas (IoT).
Dark Nexus presenta unas características y capacidades muy superiores a las botnets y malware IoT conocidas, dado que reutiliza parte del código de otras botnets, como Qbot y Mirai, aunque sus módulos principales son en gran parte originales; esto le da la capacidad de comprometer dispositivos de IoT en cualquier país para llevar a cabo ataques DDoS contra diferentes infraestructuras.
2. Detalles de la alerta:
Dark Nexus únicamente se propaga a través de ataques de fuerza bruta dirigidos al protocolo Telnet. Es así como pueden conseguir una gran cantidad de infracciones con un bajo costo. En sus ataques utiliza un diccionario con las credenciales de autenticación más populares.
Esta botnet cuenta con los siguientes resultados claves: utilizada para DDoS, utiliza un diccionario de credenciales Telnet y exploits para comprometer una lista de modelos de enrutadores, usa un módulo de depuración para mantener la funcionalidad y confiabilidad adecuadas del dispositivo, contiene código compilado para doce arquitecturas de CPU y tiene inyección dinámica de descarga, incorpora una nueva táctica de persistencia al eliminar los permisos de reinicio del dispositivo y sus componentes son actualizados con más de 30 versiones.
3. Servicios afectados:
Entre los servicios más afectados tenemos los routers, grabadoras de video y cámaras térmicas.
4. Indicadores de Compromisos (IoC):
A continuación, se muestra una relación de hash comprometidos:
Hash : 0028b4f8c11608fef555672e1a61cb9bdad1389d
002dd603368e95914c83f442cc058a7c2fe468e7
GitHub: https://github.com/bitdefender/malware-ioc/blob/master/dark_nexus/all_bots.txt
5. Recomendaciones:
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Evaluar el bloqueo preventivo de los indicadores de compromisos.
Cambiar las contraseñas de los dispositivos tecnológicos que vienen por defecto, utilizando contraseñas robustas.
Actualizar los parches de seguridad en cuanto se encuentren disponibles.
Realizar concientización constante a los usuarios sobre este tipo de amenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional-PECERT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 3 de 13
Componente que reporta CENTRO DE CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Errores críticos de HP support assistant exponen las pc con SO Windows Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, páginas web
Código de familia H Código de sub familia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 10 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontraron errores críticos en la aplicación HP Support Assistant, que los atacantes podrían elevar sus privilegios o eliminar archivos.
2. HP Support Assistant está preinstalado en las nuevas computadoras de escritorio y portátiles HP, lo que hace que estas vulnerabilidades sean bastante generalizadas.
3. Recomendación:
Desinstalar el software HP Support Assistant y Soporte de Soluciones HP de su equipo hasta que se solucione los errores catalogados como críticos.
Fuentes de información
https://www.secureweek.com/varias-vulnerabilidades-criticas-de-hp-support-assistant/ https://borncity.com/win/2020/04/08/warning-hp-support-assistant-with-security-vulnerabilities/ https://blog.vulcan.io/vulcan-vulnerability-digest-top-threat-roundup-april-9th
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 4 de 13
Componente que reporta CENTRO DE CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Google prohíbe a sus empleados usar Zoom
Tipo de ataque Mal uso y abuso de los servicios tecnológicos
Abreviatura MALUSOSERVTEC
Medios de propagación Red, páginas web
Código de familia K Código de sub familia K01
Clasificación temática familia Uso inapropiado de recursos Descripción
1. El 10 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró que el navegador GOOGLE CHROME prohibía a sus empleados utilizar la plataforma de videoconferencias (ZOOM).
2. Según un correo electrónico, obtenido por BuzzFeed News (sitio web estadounidense de noticias), Google mencionó a sus empleados que la plataforma de videoconferencias Zoom dejaría de funcionar a partir de esta semana dadas las vulnerabilidades de seguridad del software. Un vocero de Google dijo al medio antes mencionado que Zoom no cumplía con los estándares de seguridad de la compañía.
3. Google no es la primera empresa que prohíbe usar Zoom, ya que a principios de abril, Space Exploration Technologies Corporation (SpaceX), empresa estadounidense de transporte aeroespacial, fundada por Elon Musk, prohibió el uso del software de videoconferencias y recomendó a sus empleados utilizar otros medios de comunicación, como correo electrónico, mensajes o llamadas.
4. Recientemente, el periódico The Washington Post reportó que miles de videollamadas realizadas a través de Zoom quedaron expuestas en Internet y la plataforma también ha padecido un incremento del fenómeno conocido como «zoombombing», que es la irrupción de personas no invitadas en las videoconferencias.
5. Recomendaciones:
Cambiar a otras alternativas de videoconferencia si trasmite información clasificada (confidencial, reservada o secreta).
Si decide continuar empleando el software y aceptar el riesgo, manténgala actualizada permanentemente.
Fuentes de información http://www.enhacke.com/2020/04/08/google-prohibe-a-sus-empleados-usar-zoom/ https://en.wikipedia.org/wiki/BuzzFeed_News https://www.redeszone.net/tutoriales/seguridad/consejos-seguridad-zoom/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 5 de 13
Componente que reporta CENTRO DE CIBERDEFENSA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidades críticas en la app Supervpn, cliente gratuito vpn Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, páginas web
Código de familia H Código de sub familia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 10 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró que la aplicación móvil SuperVPN presenta vulnerabilidades críticas, que permite a los atacantes emplear el vector de ataque hombre en el medio (MiTM) para extraer información del usuario (nombres, contraseñas, fotos, videos, sms, etc.).
2. La aplicación SuperVPN, que contaba con más de 100 millones de instalaciones, fue eliminada de Google Play Store. El desarrollador (SuperSoftTech) no tiene un sitio web oficial, posiblemente para ocultar la identidad real del desarrollador.
3. Se descubrió que SuperVPN se conecta con varios hosts, uno de ellos envía un paquete (carga útil) desde la aplicación a través de HTTP no seguro. Esta carga útil contenía datos cifrados y codificados, claves necesarias para descifrar la información.
4. Recomendación:
No descargar ni instalar la aplicación móvil SuperVPN.
Fuentes de información
https://latesthackingnews.com/2020/03/02/vulnerabilities-in-top-free-android-vpn-apps-risk-over-120-million-users/ https://vpnpro.com/blog/google-removes-one-of-biggest-vpn-apps-from-play-store-due-to-vulnerability/ https://www.techradar.com/reviews/supervpn-free-vpn-client
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 6 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Ataque tipo phishing a la plataforma de videoconferencias “Webex” Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de sub familia G02
Clasificación temática familia Fraude
Descripción
1. El 10 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento que ciberdelincuentes siguen aprovechándose del confinamiento social y del teletrabajo generado por la pandemia Covid-19 (Coronavirus), esta vez mediante una campaña de envío de correos electrónicos fraudulentos. Suplantando la identidad de la empresa de sistemas Cisco, usan un aviso de seguridad antiguo, advirtiendo sobre la vulnerabilidad crítica en la plataforma de videoconferencias “Webex” por medio del correo electrónico [email protected], con el asunto de "¡Actualización crítica" o "¡Alerta!". Asimismo, solicitan al usuario ingresar al enlace https://globalpagee-prod-webex.Com/signin, para que realice la actualización correspondiente, con el fin de robar sus credenciales.
2. Por otro lado, se analizó el enlace en Virus Total donde fue catalogado como Phishing.
3. Cabe señalar que dicha vulnerabilidad fue detectada por CloudCenter Orchestrator Docker Engine en el año 2016, se identificó como CVE-2016-9223 y fue corregido con la versión del parche 4.6.2 de Cisco.
4. Recomendaciones:
Evitar abrir correos electrónicos de dudosa procedencia, como enlaces adjuntos.
Evitar descargar y abrir archivos de fuentes no confiables o autorizadas.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina; Twitter, Osint, Virus total.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 7 de 13
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Campaña de Phishing “Servicio de Internet Gratuito” Tipo de ataque Robo de información (Phishing) Abreviatura RobInfo
Medios de propagación Red, internet y redes sociales
Código de familia K Código de sub familia K01
Clasificación temática familia
Uso inapropiado de recursos
Descripción
1. El 10 de abril de 2020 se pudo detectar que los ciberdelincuentes vienen optimizando y ofuscando las diversas técnicas de hacking (phishing), por medio de envío de mensajes masivos por la red social Whatsapp, brindan diversos tipos de servicios para posteriormente tener como resultado el robo de información personal.
2. Una vez que las preguntas se hayan respondido, el portal genera un enlace para poder compartirlo por la aplicación, poniendo en peligro los dispositivos móviles que hagan uso de ese enlace.
3. Recomendación:
No colocar información en formularios que envíen empresas telefónicas solicitando datos personales y bancarios.
Fuentes de información Red social de mensajería – Mensajes de Texto
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 8 de 13
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Hackeo a páginas web de Argentina Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia L Código de sub familia L01
Clasificación temática familia
Vandalismo
Descripción
1. El 10 de abril de 2020, se pudo detectar que un usuario registrado con el nombre de “Ferdysimo” en la red social Twitter, realizó una publicación sobre el ataque denominado “Defacement” (ataque a un sitio web que cambia la apariencia visual de una página web) a diversas páginas web de la República de Argentina y de Colombia.
2. Asimismo, en la publicación se muestra la captura de pantalla del defacement realizado a su página web.
3. Recomendaciones:
Los administradores de las páginas web de las Fuerzas Armadas; así como diversas entidades públicas y
privadas, deberán extremar medidas de seguridad digital para evitar diversos tipos de ataques.
Tener en cuenta el usuario “Ferdysimo” debido a que puede ser uno o más usuarios que estén en búsqueda
de vulnerabilidades de distintos países y de distintos rubros.
Fuentes de información https://twitter.com/org0n/status/1244822694614499334?s=20
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 9 de 13
Componente que reporta DIRECCION DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Hackeo a páginas web de Argentina Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb
Medios de propagación Red, internet
Código de familia L Código de sub familia L01
Clasificación temática familia
Vandalismo
Descripción
1. El 10 de abril de 2020 se pudo detectar que un usuario registrado en la red social “Twitter”, con el nombre de
“Andres Cardoso”, realizó una publicación sobre el ataque denominado “defacement” (ataque a un sitio web que cambia la apariencia visual de una página web) a la página web de la provincia de Santa Fe, de la República de Argentina.
2. Asimismo, en la publicación se muestra la captura de pantalla del defacement realizado a su página web.
3. Recomendaciones:
Los administradores de las páginas web de las Fuerzas Armadas, así como diversas entidades públicas y privadas, deberán extremar medidas de seguridad digital para evitar diversos tipos de ataques.
Tener en cuenta el usuario “Andres Cardoso”, debido a que puede ser uno o más usuarios que estén en búsqueda de vulnerabilidades de distintos países y de distintos rubros.
Fuentes de información https://twitter.com/org0n/status/1244822694614499334?s=20
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 10 de 13
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Troyano xHelper se disfraza como una aplicación de limpieza y aceleración de smartphones con sistema operativo Android para distribuir malware
Tipo de ataque Malware Abreviatura Malware
Medios de propagación Red
Código de familia C Código de Sub familia C03 Clasificación temática familia Código malicioso
Descripción
1. El analista de malware Igor Golovin, de la empresa de ciberseguridad Kaspersky, ha descubierto en una muestra actualmente activa (Trojan-Dropper.AndroidOS.Helper.h) el mecanismo de persistencia del troyano xHelper que ha infectado a más de 45,000 dispositivos a lo largo del 2019. Como sus potenciales víctimas entre el 2019 y 2020 se encuentran: Rusia (80.56%), India (3.43%), Argelia (2.43%), México (0.49%) y Brasil (0.24%). xHelper, es un malware que ha sido clasificado como un troyano cuentagotas, ya que es capaz de instalar una APK maliciosa en un dispositivo Android sin conocimiento o permiso de la víctima. Este malware tiene la capacidad para reinstalarse en los dispositivos afectados, incluso después de que el usuario lo elimine y restaure la configuración de fábrica. Asimismo, el analista también nos indica los pasos a seguir para eliminar definitivamente el malware.
2. Como vector de ataque inicial, el malware se disfraza como una aplicación de limpieza y aceleración para teléfonos inteligentes. Después de la instalación, el limpiador desaparece y no aparece en ninguna parte, ya sea en la pantalla de inicio o en el menú de aplicaciones; la única forma de ver que está instalada es en la lista de aplicaciones instaladas en la configuración del sistema.
La carga útil del troyano está encriptada en el archivo / assets / firehelper.jar que tiene como objetivo enviar información sobre el dispositivo de la víctima (android_id, fabricante, modelo, versión de firmware, etc.) a un servidor remoto controlado por el atacante (lp.cooktracking [.] com / v1 / ls / get…), para descargar el siguiente modulo malicioso Trojan-Dropper.AndroidOS.Agent.of. Este malware a su vez descifra y lanza su carga útil utilizando una biblioteca nativa incluida. En esta etapa, el siguiente cuentagotas, Trojan-Dropper.AndroidOS.Helper.b, se descifra y se inicia. Esto a su vez ejecuta el malware Trojan-Downloader.AndroidOS.Leech.p, que infecta aún más el dispositivo. Leech.p tiene la tarea de descargar Trojan.AndroidOS.Triada.dd con un conjunto de exploits para obtener privilegios de root en el dispositivo de la víctima.
Los archivos maliciosos se almacenan secuencialmente en la carpeta de datos de la aplicación, a la que otros programas no tienen acceso. Este esquema de estilo matryoshka permite a los autores de malware ocultar el rastro y usar módulos maliciosos que son conocidos por las soluciones de seguridad. El malware puede obtener acceso de root principalmente en dispositivos con versiones de Android 6 y 7 de fabricantes chinos (incluidos ODM). Después de obtener privilegios, xHelper puede instalar archivos maliciosos directamente en la partición del sistema.
Se debe de tener en cuenta que la partición del sistema se monta al inicio del sistema en modo de solo lectura. Armado con derechos de root, el troyano lo vuelve a montar en modo de escritura y continúa con el trabajo principal de iniciar el script con nombre revelador forever.sh. Triada emplea sus trucos más conocidos, incluido el montaje de la partición del sistema para instalar allí sus programas, además copia algunos archivos en la carpeta /system/xbin. Luego se agrega una llamada a los archivos desde la carpeta xbin al archivo install-recovery.sh, que permite que Triada se ejecute al inicio del sistema. A todos los archivos en las carpetas de destino se les asigna el atributo inmutable, lo que dificulta la eliminación del malware, porque el sistema no permite que incluso los superusuarios eliminen archivos con este atributo. Además de eso, el troyano descarga e instala varios programas maliciosos más (por ejemplo, HEUR: Trojan-Dropper.AndroidOS.Necro.z) y elimina las aplicaciones de control de acceso raíz, como Superuser.
3. Indicadores de Compromiso (IoC)
Lp.cooktracking [.] com / v1 / ls / get
www.koapkmobi [.] com: 8081
45.79.110.191, 45.33.9.178, 23.239.4.169, 172.104.215.170, 172. 104. 208. 241, 172. 104. 212. 184, 45. 33. 117. 188, 172. 104. 216. 43, 172. 104. 218. 166, 104. 200. 16. 77, 198. 58. 123. 253, 172. 104. 211. 160, 172. 104. 210. 184, 162. 216. 18. 240, 172. 104. 212. 4, 172. 104. 214. 199, 172. 104. 212. 202, 172. 104. 209. 55, 172. 104. 219. 210, 172. 104. 218. 146, 45. 79. 177. 230, 45. 33. 0. 123, 45. 79. 77. 161, 45. 33. 120. 75, 45. 79. 171. 160, 172. 104. 210. 193, 45. 33. 0. 176, 45. 79. 146. 48
Ddl.okyesmobi [.] com
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
45. 79. 151. 241, 172. 104. 213. 65, 172 104. 211. 117
ddl.okgoodmobi [.] com
Trojan-Dropper.AndroidOS.Helper.h - 59acb21b05a16c08ade1ec50571ba5d4
Trojan-Dropper.AndroidOS.Agent.of - 57cb18969dfccfd3e22e33ed5c8c66ce
Trojan-Dropper.AndroidOS.Helper.b - b5ccbfd13078a341ee3d5f6e35a54b0a
Trojan-Downloader.AndroidOS.Leech.p - 5fdfb02b94055d035e38a994e1f420ae
Trojan.AndroidOS.Triada. dd - 617f5508dd3066de7ec647bdd1497118
Trojan-Dropper.AndroidOS.Tiny.d - 21ae93aa54156d0c6913243cb45700ec
Trojan.AndroidOS.Triada.dd - 105265b01bac8e224e34a700662ffc4c8
Trojan.AndroidOS.Agent.rt - 95e2817a37c317b17de42e565475f40f
Trojan.AndroidOS.Triada.dy - cfe7d8c9c1e43ca02a4b1852cb34d5a5
Trojan.AndroidOS.Triada.dx - e778d4cc1a7901689b59e9abebc925e1
Trojan-Dropper.AndroidOS.Necro.z - 2887ab410356ea06d99286327e2bc36b
4. Imágenes:
Porcentaje de usuarios de Kaspersky atacados por el troyano xHelper en el número total de ataques, 2019-2020
5. Recomendaciones:
Reemplazar la librería modificada (archivo libc.so) con la que viene originalmente en el sistema podría restablecer el dispositivo. Sin embargo, los especialistas sugieren que sería mucho más simple realizar el formateo del dispositivo. Es recomendable establecer líneas base de configuración para cada dispositivo para fortalecer la seguridad y controlar los cambios en la integridad de la información, firmware y configuraciones.
Tener en cuenta que el firmware de los dispositivos afectados por xHelper a veces contienen malware preinstalado que independientemente descargan e instalan programas (incluyendo a xHelper). En este caso, formatear constantemente el dispositivo no tendría mucho sentido, por lo que sería beneficioso tener en cuenta otras alternativas de firmware compatibles con el dispositivo (aunque esta opción podría hacer que algunos componentes no funcionasen de la manera esperada) y llevar un proceso de control de los cambios.
Concientizar a los usuarios en relación a temas de ciberseguridad, considerando las pautas para el uso y manejo de los dispositivos móviles y los riesgos asociados
Fuentes de información
1. https://securelist.com/unkillable-xhelper-and-a-trojan-matryoshka/96487/ 2. https://unaaldia.hispasec.com/2020/04/xhelper-el-malware-de-android-que-se-reinstala-despues-de-restablecer-los-datos-de-fabrica.html 3. https://www.eluniversal.com.mx/techbit/xhelper-el-virus-para-android-mas-resistente 4. https://www.tekcrispy.com/2020/02/15/xhelper-troyano-amenaza-android/ 5. Equipo de Seguridad Digital DINI
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 006
Fecha: 10-04-2020
Página: 12 de 13
Componente que reporta POLICIA NACIONAL DEL PERU
Nombre de la alerta Aparición de Troyano Dridex
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet Código de familia C Código de Subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 10 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que la compañía proveedor global de soluciones de seguridad IT (Check Point) ha presentado el informe sobre el Índice Global de Amenazas de marzo de 2020, sobre los Malware más utilizados por los ciberdelincuentes, teniendo como novedad la aparición del Troyano bancario conocido como “Dridex”.
2. El Troyano Dridex es una variedad sofisticada de malware bancario que se dirige a la plataforma Windows ofreciendo campañas de spam para infectar computadoras y robar credenciales bancarias y otra información personal, facilitandola transferencia fraudulenta de dinero. El malware se ha actualizado y desarrollado sistemáticamente durante la última década.
3. Cómo se propaga el Troyano Dridex: usa generalmente correos electrónicos como medio de propagación, a través de los cuales toman la identidad de diferentes empresas, además trae archivos adjuntos, audios, entre otros.
Muestra de Email que contienen archivo infectado con el Troyano Dridex:
4. Analizando un archivo infectado con Troyano Dridex en las diferentes plataformas virtuales de las compañías de seguridad informática.
Troyano Dridex:
Nombre del Archivo DUI70.dll
Tipo de Archivo Win32 DLL
Peso de Archivo 1.02 MB (1069056 bytes)
MD5 369638ac700f3c41ebaba447d4048ff8
SHA-1 6c50a1abf9dc992e74a73279d40fb1a09368cdfe
SHA-256 6712500bb0de148a99ec940160d3d61850e2ce3803adca8f39e9fa8621 b8ea6f
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Como resultado del análisis, se reportó 49 detecciones, de las cuales se ha realizado una lista de 10 muestras como referencia.
N° Compañía de Seguridad Informática
Resultado
1 ALYac Spyware.Banker.Dridex
2 Ad-Aware Trojan.GenericKD.42888808
3 AhnLab-V3 Trojan/Win64.Dridex.R330831
4 Avast Win64:BankerX-gen [Trj]
5 DrWeb Trojan.Siggen9.25677
6 ESET-NOD32 A Variant Of Win64/Kryptik.BWS
7 Malwarebytes Trojan.Crypt
8 Sangfor Engine Zero Malware
9 AVG Win64:BankerX-gen [Trj]
10 Symantec Trojan.Gen.MBT
Definiciones:
Spyware.Banker.Dridex Es un malware especializado en el robo de credenciales bancarias
Trojan.GenericKD.42888808 Es un ransomware que cifra los archivos almacenados en el dispositivo afectado y exige el pago de un rescate
Trojan/Win64.Dridex.R330831 Familia del Malware Dridex.
Win64:BankerX-gen [Trj] Troyano que es capaz de ejecutar varias tareas, como instalar
otros malware, reunir datos sensibles o mostrar anuncios cuestionables mientras navegas por la web.
Trojan.Siggen9.25677 Es un tipo de malware que a menudo se disfraza de software legítimo
A Variant Of Win64/Kryptik.BWS Es un Troyano que se introduce al sistema utilizando puertas traseras
Trojan.Crypt Es un intruso silencioso que se entromete sin la aprobación
de los usuarios y lleva a cabo numerosas actividades maliciosas
Malware Engloba a todo tipo de programa o código informático
malicioso cuya función es dañar un sistema o causar un mal funcionamiento.
Win64:BankerX-gen [Trj] Diseñado para robar cuentas bancarias.
Trojan.Gen.MBT Troyano que encripta todos los archivos de la PC, solicitando rescate.
5. Recomendaciones:
No descargues archivos de sitios de dudosa reputación.
No confíes en e-mails con programas o archivos ejecutables adjuntos.
Use software de firewall, anti-virus y anti-malware, y manténgalo actualizado.
Siempre sospeche de correos electrónicos no solicitados.
Fuentes de información https://blog.checkpoint.com/2020/04/09/march-2020s-most-wanted-malware-dridex-banking-trojan-ranks-on-top-malware-list-for-first-time/ https://www.muyseguridad.net/2020/04/10/troyano-bancario-dridex/