lima, 11 de junio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 11 de junio de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Ataques de phishing alojado en [cmc.pe] ..................................................................................................... 3

Heineken phishing ......................................................................................................................................... 4

Nuevo ataque SGAxe roba datos protegidos de enclaves Intel SGX ............................................................. 5

Ransomware Tycoon ataca Windows y Linux ............................................................................................... 6

Vulnerabilidad ejecución de código arbitrario en Adobe Flash Player para Windows, macOS, Linux y

Chrome OS ..................................................................................................................................................... 7

Un grupo de ransomware ataca de nuevo realizando subastas con los datos robados ............................... 8

Un nuevo ransomware ataca a los sistemas de control industrial ................................................................ 9

Malware se hace pasar por aplicación Telegram ........................................................................................10

Modificación de páginas web de Sri Lanka ..................................................................................................11

Ransomware “Thanos” se propaga en dispositivos Windows ....................................................................12

Aplicaciones infectados con adware ...........................................................................................................13

Phishing, suplantando la identidad de Instagram. ......................................................................................15

Índice alfabético ..........................................................................................................................................17

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 068

Fecha: 11-06-2020

Página: 3 de 17

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Ataques de phishing alojado en [cmc.pe]

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Detalles de la alerta:

El 11 de junio de 2020, en el proceso de monitoreo de vulnerabilidades y amenazas se ha detectado un sitio web comprometido (cmc.pe), con actividad maliciosa inicial el 13may20 y recientemente el 11jun20. El sitio web en mención está siendo utilizado para dañar a terceros.

El tiempo es esencial cuando se responde a un incidente activo. Cuanto más persiste un incidente, más daño causa. Para avanzar rápidamente, los equipos de operaciones de seguridad y los respondedores de incidentes necesitan inteligencia y la capacidad de mitigar eficientemente las amenazas internas y externas.

Esta inteligencia se puede integrar automáticamente en firewalls, SOAR, SIEM, seguridad de correo electrónico y soluciones de punto final para bloquear amenazas. Las amenazas se pueden detectar y eliminar automáticamente de las bandejas de entrada de los usuarios.

La protección de las instituciones públicas y privadas contra riesgos digitales aborda las amenazas en evolución a través de varios canales digitales como; redes sociales, dominio, web abierta, web oscura, tiendas móviles, crimeware, robo de identidad credencial.

2. Indicadores de Compromisos (IoC):

hxxps://cmc.pe/secc/secBoa/login?boa_id=&country=United+States&iso=US

hxxps://cmc.pe/secc/secBoa/?id=boa

hxxps://cmc.pe/secc/secBoa/login?boa_id=&country=Canada&iso=CA

hxxps://cmc.pe/secc/secBoa/credit_verification

hxxps://cmc.pe/secc/secBoa/personal_details

hxxps://cmc.pe/secc/secBoa/start_verification

hxxps://cmc.pe/secc/secBoa/thanks?

hxxps://cmc.pe/secc/secBoa/verification

Dirección IP asociada: 192[.]185[.]129[.]72

3. Recomendaciones:

Validar todos los servicios digitales, incluso las aplicaciones legadas.

Analizar todos los subdominios de la Entidad, así como la respectiva actualización de los aplicativos, del mismo modo validar todo el rango de IP.

Realizar un plan de actualizaciones de seguridad, así como de contingencia de emergencia de los sistemas y/o aplicaciones.

Coordinar con los proveedores de servicios digitales para reforzar las medidas de seguridad, así como el monitoreo del tráfico correspondiente.

Habilitar la bitácora de aplicaciones, Firewall, IPS, WAF, etc.

Ante cualquier incidente de seguridad digital, notificar al Centro Nacional de Seguridad Digital por correo electrónico a: [email protected]

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 11-06-2020

Página: 4 de 17

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Heineken phishing


Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros



Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes aprovechan estas fechas de incertidumbre para atacar de diferentes maneras. Esta vez se ha detectado que en las redes sociales circula una supuesta promoción de la marca de cervezas Heineken a través de la que supuestamente regalan una "hielera llena de cervezas gratis". Es un bulo, se trata de un caso de phishing, una técnica usada para intentar hacerse con tus datos.

2. En la supuesta promoción se lee "QUEDATE en CASA con una Hielera llena de Cerveza Gratis" (sic), un supuesto premio que puedes ganar si respondes previamente a un cuestionario. Pero la URL del enlace (heineken.freegiveaway.win) no es ninguna de las páginas webs oficiales de Heineken (heiken.com o heinekenespana.es en el caso español).

3. Una vez que la víctima responde las preguntas del cuestionario, le pide que comparta el mensaje con 20 amigos o grupos de WhatsApp para conseguir el supuesto premio. Asimismo, si la victima comparte el mensaje le estará dando los datos de sus contactos.

4. Además, el enlace se ha compartido también en México, donde la marca publicó en su cuenta de Twitter que no están realizando ese tipo de promociones y que recomiendan "evitar darle click al enlace".

5. Se recomienda:

Fijarse bien en la dirección de los correos electrónicos que se reciben.

Verificar la dirección de la página web a la que se le redirige.

No aceptar correos electrónicos de remitentes desconocidos.

No abrir archivos sospechosos.

No proporcionar datos bancarios, ni de otras personas.

Fuentes de información

https[://]maldita.es/malditobulo/2020/06/11/heineken-hieleras-cerveza-gratis-phishing/

https[://]www.rtve.es/noticias/20200610/estafa-bulo-phishing-barriles-cerveza-heineken/2016656.shtml

http://www.gob.pe/


https://maldita.es/maldita-te-explica/2019/11/20/que-es-el-phishing-y-como-evitar-caer-en-el-cuidado-con-estos-timos-que-se-hacen-pasar-por-empresas/

https://archive.li/twWxH


www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 068

Fecha: 11-06-2020

Página: 5 de 17

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Nuevo ataque SGAxe roba datos protegidos de enclaves Intel SGX Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 09 de junio de 2020 por Bleepingcomputer, sobre procesadores Intel son vulnerables a un nuevo ataque conocido como SGAxe que viola las garantías de seguridad de los enclaves de Intel Software Guard eXtensions (SGX). Está diseñado para apuntar específicamente y filtrar datos de los procesadores Intel.

2. SGAxe, es una evolución del ataque CacheOut, también conocido como L1D Eviction Sampling. El ataque SGAxe permite extraer las claves de certificación SGX del enclave de citas de Intel, lo que hace posible que los atacantes de red suplanten criptográficamente máquinas legítimas SGX Intel.

3. En el documento SGAxe hacemos lo mismo para las claves de certificación, básicamente recuperando la clave completa de los enclaves SGX de producción de Intel.

4. Utilizaron los ataques SGAxe y CacheOut para robar claves de certificación privadas de máquinas SGX actualizadas y confiables.

5. Con estas claves de certificación privadas en las manos, podemos firmar citas arbitrarias de certificación SGX que luego son consideradas legítimas por el servicio de certificación de Intel.

6. El ataque se puede usar contra máquinas que usan los procesadores Coffee Lake Refresh de novena generación de Intel, completamente actualizados con todas las contramedidas SGX que Intel ha publicado hasta ahora.

7. SGAxe solo afecta a los procesadores de Intel, ya que su plataforma es la única que ofrece la función Intel SGX.

8. Se recomienda:

Intel mitigará SGAxe proporcionando actualizaciones de microcódigo de CPU a proveedores OEM para parchear la causa raíz.

Fuentes de información https[://]www.bleepingcomputer.com/news/security/new-sgaxe-attack-steals-protected-data-from-intel-sgx-enclaves/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 11-06-2020

Página: 6 de 17

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Ransomware Tycoon ataca Windows y Linux

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 09 de junio de 2020 en la red social Twitter por el usuario “ZDNet”, una nueva familia de ransomware que está siendo desplegada en ataques muy específicos que tienen como objetivo a PyMES de las industrias del software y educación desde diciembre de 2019.

2. El ransomware, llamado “Tycoon” por los investigadores de seguridad junto con BlackBerry Threat Intelligence y KPMG, se trata de un malware multiplataforma basado en Java que puede ser usado para encriptar sistemas Windows y Linux.

3. Tycoon se despliega de forma manual por sus administradores en forma de un archivo ZIP conteniendo una versión troyanizada del Java Runtime Enviroment después de que se infiltran en la red de sus víctimas usando servidores RDP expuestos y vulnerables como paso previo.

4. El ransomware usa el formato JIMAGE de Java para crear versiones maliciosas del JRE ejecutadas con la ayuda de un script.

5. Cuando se ejecuta el ransomware en el ordenador de la víctima, lo primero que hace es ganar persistencia en el equipo. Para ello realiza una inyección IFEO dentro de la función de teclado en pantalla de Windows. También cambia la contraseña de Active Directory, si es que se usa esta función, y se desactiva el antivirus usando la herramienta ProcessHacker.

6. Una vez el equipo infectado, el ransomware empieza a cifrar todos los datos que se guardaban en el ordenador; así como, los que se encontraban almacenados en unidades de red. Todos los archivos cifrados con este ransomware acaban con dos extensiones no vistas hasta ahora: “. grinch” y “. thanos”.

7. Se recomienda:

Tener siempre actualizado el programa antivirus.

Tener siempre actualizado el sistema operativo, con los últimos parches de seguridad.

Fuentes de información https[://]twitter.com/ZDNet/status/1270312842214780928 https[://]www.zdnet.com/article/this-new-ransomware-is-targeting-windows-and-linux-

pcs-with-a-unique-attack/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 11-06-2020

Página: 7 de 17

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad ejecución de código arbitrario en Adobe Flash Player para Windows, macOS, Linux y Chrome OS

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 10 de junio de 2020 en la red social Twitter por el usuario “seeckjp”, sobre una vulnerabilidad crítica identificada con el código CVE-2020-9633 en Adobe Flash Player.

2. La vulnerabilidad afecta a las siguientes versiones:

Producto Versión Plataforma

Adobe Flash Player Desktop Runtime 32.0.0.371 y anterior Windows, macOS y Linux

Adobe Flash Player para Google Chrome 32.0.0.371 y anterior Windows, macOS, Linux y Chrome OS

Adobe Flash Player para Microsoft Edge e internet Explorer 11

32.0.0.330 y anterior Windows 10 y 8.1

3. La explotación exitosa de esta vulnerabilidad podría conducir a la ejecución de código arbitrario.

4. Se recomienda:

Actualizar los productos vulnerables de Abobe Flash Player, desde el centro oficial de descargas de Flash Player.

Tener siempre actualizado el programa antivirus.

Tener siempre actualizado el sistema operativo, con los últimos parches de seguridad.

Fuentes de información https[://]twitter.com/seeckjp/status/1270630429108760577 https[://]www.ipa.go.jp/security/ciadr/vul/20200610-adobeflashplayer.html

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 11-06-2020

Página: 8 de 17

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Un grupo de ransomware ataca de nuevo realizando subastas con los datos robados Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso

Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que el grupo de ransomware REvil ha comenzado otra subasta en la dark web, tasando los datos confidenciales robados de dos bufetes de abogados con sede en los Estados Unidos. La lista apareció el 6 de junio, a través del blog oficial de REvil en la darknet, donde los postores buscan adquirir 50GB de datos de Fraser Wheeler & Courtney LLP y 1.2TB robados de la base de datos de Vierra Magen Marcus LLP. El precio inicial de la subasta de Fraser Wheeler & Courtney LLP es de 30,000 dólares a pagar Bitcoin (BTC) en menos de una semana o el grupo amenaza con publicar los datos, de acuerdo con la cuenta regresiva que se muestra a la hora de la publicación.

2. Se recomienda:

Evitar abrir correos de remitentes desconocidos.

No instalar softwares desconocidos y sin analizar.

Evitar abrir enlaces no solicitados o de dudosa procedencia.

Realizar copias de seguridad periódicas de los datos.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 11-06-2020

Página: 9 de 17

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Un nuevo ransomware ataca a los sistemas de control industrial Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, USB Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso

Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un nuevo ransomware llamado EKANS, un anagrama de Snake, especializado en sistemas de control industrial (ICS) y desarrollado por ciberdelincuentes, este tipo de ataques es muy poco común en el mundo de la piratería informática. Al momento no hay mucha información de este nuevo malware; pero de lo que se tiene conocimiento hasta el momento es que EKANS está diseñado para terminar 64 procesos de software diferentes en las computadoras de las víctimas.

2. Se recomienda:

Evitar abrir correos de remitentes desconocidos.

No instalar softwares desconocidos y sin analizar.

Evitar abrir enlaces no solicitados o de dudosa procedencia.

Realizar copias de seguridad periódicas de los datos.



Vitali Kremez, investigador de

Sentinel One publicó el

descubrimiento de EKANS a

principios de enero y lo publicó en

su cuenta de Twitter.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 11-06-2020

Página: 10 de 17

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Malware se hace pasar por aplicación Telegram Tipo de ataque Malware Abreviatura Malware Medios de propagación Red, Correo electrónico Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso

Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó de un aplicativo fraudulento de plataforma de mensajería y VOIP de nombre “Telegram.apk”, circula principalmente por redes sociales, invitando a los usuarios a descargar e instalarlo desde una tienda de aplicaciones digitales, que en su lugar sería una aplicación maliciosa.

2. Se analizó el citado aplicativo en la página web “Virus Total” donde es catalogado como troyano.

3. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.



http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 11-06-2020

Página: 11 de 17

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Modificación de páginas web de Sri Lanka

Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb

Medios de propagación Red, internet

Código de familia L Código de subfamilia L01

Clasificación temática familia Vandalismo

Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó en la red Social Twitter, al usuario con el nombre “Sin 1peCrew” (@sin1pecrew), quien publicó el ataque denominado “defacement” (ataque a un sitio web que cambia la apariencia visual de una página web), realizado a una página web del estado de Sri Lanka, país ubicado en el continente asiático.

2. Se recomienda:

Los administradores de páginas web, deben extremar medidas de contingencia, para poder actuar frente a los incidentes informáticos que podría suceder por diversos ciberdelincuentes.

Fuentes de información https[://]twitter.com/sin1pecrew/status/1270828293353361410

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 11-06-2020

Página: 12 de 17

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Ransomware “Thanos” se propaga en dispositivos Windows

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia -


Descripción

1. El 11 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un ransomware denominado “Thanos”, el cual es el primero en usar una técnica anti-ransomware, así como otras funcionalidades más. La distribución del ransomware, fue a partir de octubre del 2019, pero desde enero 2020 empezaron las consecuencias por reportes realizados por sus usuarios.

2. Cabe mencionar, que este ransomware recluta a diferentes personas para poder distribuir el ransomware y, de ese modo, recibir un monto por participación de los ingresos generados (generalmente es alrededor del 60% al 70% de cualquier pago de rescate). Además, las personas afiliadas a Thanos, obtendrá acceso a una herramienta denominada “Constructor de ransomware privado”, para generar ejecutables personalizados de este ransomware.

3. Es preciso señalar, que la herramienta está escrita en el lenguaje C#, no tiene un alto nivel de sofisticación, pero tiene numerosas caracteristicas avanzadas.

4. Del mismo modo, Thanos es el primer ransomare en adoptar la técnica RIPlace.

5. Se recomienda:

Los administradores de red deben de prever las medidas para minimizar la infección del ransomware antes mencionado, a fin de evitar pérdidas y secuestros de información por parte de ciberdelincuentes.

Fuentes de información https[://]www.bleepingcomputer.com/news/security/thanos-ransomware-auto-spreads-to-windows-devices-evades-security/

http://www.gob.pe/


https://www.bleepingcomputer.com/news/security/thanos-ransomware-auto-spreads-to-windows-devices-evades-security/

https://www.bleepingcomputer.com/news/security/thanos-ransomware-auto-spreads-to-windows-devices-evades-security/


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 11-06-2020

Página: 13 de 17

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Aplicaciones infectados con adware

Tipo de ataque Adware Abreviatura Adware

Medios de propagación Enlaces de internet

Código de familia C Código de subfamilia C07


Descripción

4. El 10 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web hackread.com, se informa sobre dos aplicaciones de Google Play Store que contienen Adware, las cuales pueden mostrar anuncios que siguen apareciendo cada 15 minutos.

La compañía reveló que dos aplicaciones de lector de código de barras, a saber, "QR & Barcode Scanner" y "Barcode Reader" son aplicaciones infectados con adware y se han descargado más de un millón de veces.

Las aplicaciones de lector de códigos de barras se infectaron con AndroidOS_HiddenAd.HRXJA, que funcionó en segundo plano y lanzó anuncios que seguían desapareciendo de la vista. Las aplicaciones podrían disfrazarse de otras aplicaciones legítimas como Facebook y seguir trabajando en segundo plano incluso cuando el dispositivo no estaba en uso.

Estos anuncios se mostraban cada 15 minutos y se cerraban inmediatamente cuando el usuario intentaba abrirlos. Por lo tanto, un usuario solo puede ver breves destellos de los anuncios, pero este es tiempo suficiente para registrar una impresión de anuncio falsa y ganar dinero, Además, su comportamiento se controla a través de un servidor C&C malicioso que envía la información de configuración y los comandos de las aplicaciones, así como los ID de anuncios para guiar al malware sobre su próxima actividad.

El malware de Android también puede abrir contenido específico en el navegador del dispositivo infectado o iniciar una actividad con FLAG_ACTIVITY_NEW_TASK para que el usuario no sepa qué aplicación inició la nueva tarea.

Imágenes de las Aplicaciones Infectadas:

http://www.gob.pe/



www.gob.pe

[email protected]

Análisis de APK

o Tipo: Android

o Nombre: base.apk

o Nombre del Paquete: com.dev.media.Scanner.barcode.pro

o Tamaño: 4.12 MB (4319305 bytes)

o MD5: 4fa7ded17ae2439a6460b61bea8b69ef

o SHA-1: bafe15979d0d49c3564eaea6dea84253fa904b97

o SHA-256: 02059efb3c8d51616910d53fea9f8f230da43dd8b50d4fd525db2851271046e9

Archivo Relacionado:

o Nombre: classes.dex

o Tipo: Android

o Tamaño: 4.76 MB (4995956 bytes)

o MD5: c37c317abe209bd7f971dab4a837d562

o SHA-1: 90e89bdf7ca4f7a8a75cd9faf16b3e841ddee489

o SHA-256:5a248db3c4cf3159f64b1a1a946712f6bd2e4988016b5219c3f6c65daadd78f2

Referencia:

o Adware: es cualquier programa que automáticamente muestra u ofrece publicidad no deseada o engañosa, ya sea incrustada en una página web mediante gráficos, carteles, ventanas flotantes, o durante la instalación de algún programa al usuario, con el fin de generar lucro a sus autores.

o C&C o C2.- la infraestructura mando y control (Command and control en inglés, usualmente abreviado C&C o C2) consta de servidores y otros elementos que son usados para controlar los malware.

o APK. - Los APK contienen los datos necesarios para instalar y ejecutar las aplicaciones. Cada aplicación requiere de una serie de datos para poder ejecutarse en un sistema operativo. En el caso de Android, esos datos de la app se encuentran comprimidos dentro del archivo APK (Android Application Package).

5. Algunas Recomendaciones:

Verifica las Aplicaciones en otros sitios web.

Verifica la Reputación de las Aplicaciones.

Ten presente que, los ciberdelincuentes buscan la oportunidad para infectar tu dispositivo.

Fuentes de información https[://]www.hackread.com/adware-barcode-reader-apps-on-play-store/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 11-06-2020

Página: 15 de 17

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Phishing, suplantando la identidad de Instagram.


Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros



Descripción

1. El 10 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de Phishing, a través de los diferentes navegadores web, vienen suplantando la identidad de la red social Instagram (aplicación para subir o compartir fotos y/o videos), la cual incitan al usuario en ingresar a la aplicación por medio de una URL, a fin de verificar si su perfil corresponde a una figura pública, celebridad, marca comercial o usuario natural, informando con el ícono azul característico que Instagram otorga a todas los usuarios o cuentas que tengan miles de seguidores.

1

2

Al continuar con lo

solicitado el usuario

deberá ingresar datos

confidenciales de la

cuenta de Instagram

(contraseña y Gmail) y

brindar otra información

relevante, a fin de

terminar con la

configuración.

3

Solicitan colocar el

nombre de usuario de la

cuenta y hacer clic en

siguiente o próximo, a fin

de verificar si el perfil

existe

Google cataloga como

peligrosa a dicha URL

http://www.gob.pe/



www.gob.pe

[email protected]

2. La URL maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo la siguiente información:

URL: hxxps[:]//instagramcopyrightsecurity[.]com

Topología URL:

Topología IP: 13[.]66[.]196[.]107

3. Cómo funciona el phishing:

Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.

Medios de propagación del phishing: WhatsApp, telegram, redes sociales, SMS entre otros.

Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.)

4. Referencia:

Phishing o suplantación de identidad. - Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.

5. Algunas Recomendaciones

Verifica la información en los sitios web oficiales.

No introduzcas datos personales en páginas sospechosas.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio de redes sociales y fuente abierta

Fortinet: Phishing CyRadar: Malicioso Avira: Phishing AegisLab: Phishing

http://www.gob.pe/


https://instagramcopyrightsecurity.com/


www.gob.pe

[email protected]

Página: 17 de 17

Índice alfabético

adware ................................................................................................................................................................... 2, 13, 14 Adware ....................................................................................................................................................................... 13, 14 Código malicioso ...................................................................................................................................... 6, 8, 9, 10, 12, 13 Correo electrónico ............................................................................................................................................. 8, 9, 10, 12 Correo electrónico, redes sociales, entre otros .............................................................................................................. 12 Enlaces de internet .......................................................................................................................................................... 13 Explotación de vulnerabilidades conocidas ................................................................................................................... 5, 7 Fraude ...................................................................................................................................................................... 3, 4, 15 Intento de intrusión ....................................................................................................................................................... 5, 7 internet .............................................................................................................................................................................. 7 malware ............................................................................................................................................................. 6, 9, 13, 14 Malware ................................................................................................................................................................... 2, 6, 10 Modificación del sitio web ............................................................................................................................................... 11 phishing ............................................................................................................................................................... 2, 3, 4, 16 Phishing ......................................................................................................................................................... 2, 3, 4, 15, 16 ransomware ..................................................................................................................................................... 2, 6, 8, 9, 12 Ransomware .................................................................................................................................................... 2, 6, 8, 9, 12 Red, internet ............................................................................................................................................................ 5, 7, 11 redes sociales ................................................................................................................................................. 1, 3, 4, 10, 16 Redes sociales .......................................................................................................................................................... 3, 4, 15 Redes sociales, SMS, correo electrónico, videos de internet, entre otros .................................................................. 4, 15 servidor ............................................................................................................................................................................ 13 servidores .................................................................................................................................................................... 6, 14 software ............................................................................................................................................................... 6, 8, 9, 10 URL ......................................................................................................................................................................... 4, 15, 16 USB, disco, red, correo, navegación de internet ............................................................................................................... 6 Vandalismo ...................................................................................................................................................................... 11 Vulnerabilidad................................................................................................................................................................ 2, 7

http://www.gob.pe/


lima, 11 de junio de 2020

Documents