PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional

de Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información

que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 13 de junio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Ataque de phishing alojado en [grupoa-sac.com] ....................................................................................... 3

Falsa promoción por WhatsApp de viajes gratis ......................................................................................... 4

Grupo de hackers gamaredon usan macros de Outlook para propagar malware ....................................... 5

Error en el protocolo SMB de Windows ..................................................................................................... 6

Aplicaciones infectadas con adware ........................................................................................................... 7

Aplicaciones Infectados con malware ......................................................................................................... 9

Índice alfabético ........................................................................................................................................ 11

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 070

Fecha: 13-06-2020

Página: 3 de 11

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Ataque de phishing alojado en [grupoa-sac.com]

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Red, internet

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Detalles de la alerta:

El 13 de junio de 2020, en el proceso de monitoreo de vulnerabilidades y amenazas se ha detectado un sitio web comprometido [grupoa-sac.com], con actividad maliciosa inicial el 19may20 y recientemente el 13jun20. El sitio web en mención está siendo utilizado para dañar a terceros.

Es muy previsible que el atacante que construyó este contenido de phishing también haya dejado material fraudulento adicional en el servidor atacado, como puntos de acceso ilegítimos.

El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Para luego ser usados de forma fraudulenta.

La Protección contra riesgos digitales aborda las amenazas en evolución a través de varios canales digitales como; redes sociales, dominio, web abierta, web oscura, tiendas móviles, crimeware, robo de identidad credencial.

2. Indicadores de Compromisos (IoC):

hXXps://grupoa-sac.com/filetempo/loginmobile?country=United+States&iso=US&wells_id=ef5e933672d19eae33d0a5be9

hXXps://grupoa-sac.com/filetempo/?id=wells

hXXps://grupoa-sac.com/filetempo?id=wells

hXXps://grupoa-sac.com/filetempo/loginmobile?country=United+States&iso=US&wells_id=8f1619dc70e1d8741486f7aea

hXXps://grupoa-sac.com/filetempo/loginmobile?country=United+States&iso=US&wells_id=355ee8f65b8484904c6dda81a

hXXps://grupoa-sac.com/filetempo/Security_Question

hXXps://grupoa-sac.com/filetempo/login

Dirección IP asociada: 208[.]91[.]198[.]30

3. Recomendaciones:

Actualizar sus aplicaciones web, incluidos CMS, blog, comercio electrónico y otras aplicaciones (y todos los módulos / componentes / complementos complementarios).

Busque en todos sus directorios web archivos sospechosos ya que los atacantes suelen dejar puertas traseras.

Escanee la computadora desde la que inicia sesión en su panel de control de alojamiento web o servidor ftp con un software antivirus.

Realizar un plan de actualizaciones de seguridad, así como de contingencia de emergencia de los sistemas y/o aplicaciones.

Coordinar con los proveedores de servicios digitales para reforzar las medidas de seguridad.

Habilitar la bitácora de aplicaciones, Firewall, IPS, WAF, etc.

Ante cualquier incidente de seguridad digital, notificar al Centro Nacional de Seguridad Digital por correo electrónico a: pecert@pcm.gob.pe

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 070

Fecha: 13-06-2020

Página: 4 de 11

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Falsa promoción por WhatsApp de viajes gratis

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 13 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de

la publicación del Observatorio de Delitos Informáticos de Canarias (ODIC), sobre una estafa que viene cursando a

través de las redes sociales en donde se anuncia “Gana un viaje a Lanzarote gratis”.

2. Según la ODIC, este tipo de ataque tipo phishing busca engañar y conseguir información personal de las víctimas,

como datos de tarjeta de crédito o números de cuenta bancaria, entre otros.

3. La metodología de este tipo de ataque que usan los ciberdelincuentes, a través de la red social de WhatsApp donde

el gancho es un mensaje de un viaje a Lanzarote gratis, en el cual el mensaje que llega a la víctima dice “¡Mira

esto!!!!! Un viaje gratis a Lanzarote!! Yo ya me he apuntado. ¡Apúntate tú también!”, a fin de que la víctima haga clic

en el enlace que se encuentra en el mensaje, redirigiéndolo al link hxxp://lanzarotevacaciones.info/, el cual es un

sitio web falso, que solicita que la víctima debe inscribirse, ingresando su nombre completo y la ciudad a la que

pertenece, para luego redirigir a la víctima a otra página donde solicita que se comparta esta promoción fraudulenta

con familiares o amigos a través de red social de WhatsApp, para desbloquear la siguiente página en donde

supuestamente la victima tiene que ingresar información y poder recibir la entrega del viaje. Al compartir la victima

esta promoción fraudulenta, hace viral este tipo estafa poniendo en riesgo a que muchas personas caigan también

en este tipo de estafa, al inscribirse en estos sorteos fraudulentos.

4. Este tipo de estafas van dirigido a personas novatas que desconocen los riesgos reales que conlleva el navegar por

internet.

5. Se recomienda:

No ingresar a enlaces de dudosa procedencia que ofrezcan algún tipo de promoción, oferta o sorteos.

No ingresar datos en páginas sospechosas.

Validar y verificar la información por más que parezca tentadora.

Verificar la información en páginas oficiales.

Fuentes de información https[://]www.odicanarias.es/post/estafa-falsa-promoci%C3%B3n-por-whatsapp-de-viajes-gratis-a-lanzarote

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 070

Fecha: 13-06-2020

Página: 5 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Grupo de hackers gamaredon usan macros de Outlook para propagar malware

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 13 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado

información publicada el 12 de junio de 2020 en la red social Twitter por el usuario “jhintzbe”, sobre las nuevas

herramientas atribuidas al grupo de hackers Gamaredon que incluyen un módulo para Microsoft Outlook que crea

correos electrónicos personalizados con documentos maliciosos y los envía a los contactos de la víctima.

2. Un nuevo paquete utilizado por Gamaredon en campañas maliciosas recientes contiene un proyecto de Visual Basic

para Aplicaciones (VBA) (archivo .OTM) que se dirige al cliente de correo electrónico Microsoft Outlook con scripts

macro maliciosos.

3. El script modifica los valores del registro para eliminar la seguridad contra la ejecución de macros VBA en Outlook y

almacena en el disco un archivo OTM malicioso que ayuda a difundir los documentos infectados a las direcciones de

correo electrónico en la lista de contactos.

4. El código VBA es responsable de generar el correo electrónico completo con el texto del cuerpo y los archivos

maliciosos (.DOCX, .LNK).

5. Se recomienda:

No abrir enlaces o descargar archivos de correo electrónicos de remitentes desconocidos.

Tener siempre actualizado el programa antivirus.

Tener siempre actualizado el Sistema Operativo, con los últimos parches de seguridad.

Fuentes de información https[://]twitter.com/jhintzbe/status/1271419584923525128 https[://]www.blackhatethicalhacking.com/news/gamaredon-group-targets-microsoft-

outlook-and-office/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 070

Fecha: 13-06-2020

Página: 6 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Error en el protocolo SMB de Windows Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet

Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión Descripción

1. El 13 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada, sobre error del protocolo SMB de Windows permite que los piratas informáticos filtren la memoria del núcleo y ejecuten un código de forma remota.

2. Se descubrió los nombres de errores críticos como "SMBleed" en el protocolo de comunicación de red de Microsoft Server Message Block (SMB).

3. Esta falla de seguridad fue nombrada como SMBleed e identificada como CVE-2020-1206 y podría fácilmente permitir que los atacantes accedan a todos los datos confidenciales de la memoria del núcleo de forma remota.

4. Esta vulnerabilidad trata con mensajes SMB, y estos mensajes incluyen principalmente campos como el número de bytes para direccionar e indicadores, y por lo tanto, van acompañados de un buffer de longitud variable. Al elaborar esto, los mensajes se vuelven bastante fáciles, por lo que esta es una herramienta perfecta para la exposición.

5. La memoria que se ha filtrado generalmente está relacionada con la asignación anterior en el grupo NonPagedPoolNx, ya que podemos administrar el tamaño de la asignación, lo que implica que los datos filtrados pueden estar bajo nuestro control en cierta medida.

6.

7.

8.

9.

10.

11.

6. Se recomienda:

Actualizar su Windows a la última versión, ya que esto solucionará el problema por completo.

Bloquear el puerto 445 para detener cualquier movimiento paralelo.

Fuentes de información https[://]gbhackers.com/smbleed/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 070

Fecha: 13-06-2020

Página: 7 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Aplicaciones infectadas con adware

Tipo de ataque Adware Abreviatura Adware

Medios de propagación Enlaces de internet

Código de familia C Código de subfamilia C07

Clasificación temática familia Código malicioso

Descripción

12. El 10 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web hackread.com, se informa sobre dos aplicaciones de Google Play Store que contienen Adware, las cuales pueden mostrar anuncios que siguen apareciendo cada 15 minutos.

La compañía reveló que dos aplicaciones de lector de código de barras, a saber, "QR & Barcode Scanner" y "Barcode Reader" son aplicaciones infectados con Adware y se han descargado más de un millón de veces.

Las aplicaciones de lector de códigos de barras se infectaron con AndroidOS_HiddenAd.HRXJA, que funcionó en segundo plano y lanzó anuncios que seguían desapareciendo de la vista. Las aplicaciones podrían disfrazarse de otras aplicaciones legítimas como Facebook y seguir trabajando en segundo plano incluso cuando el dispositivo no estaba en uso.

Estos anuncios se mostraban cada 15 minutos y se cerraban inmediatamente cuando el usuario intentaba abrirlos. Por lo tanto, un usuario solo puede ver breves destellos de los anuncios, pero este es tiempo suficiente para registrar una impresión de anuncio falsa y ganar dinero, Además, su comportamiento se controla a través de un servidor C&C malicioso que envía la información de configuración y los comandos de las aplicaciones, así como los ID de anuncios para guiar al malware sobre su próxima actividad.

El malware de Android también puede abrir contenido específico en el navegador del dispositivo infectado o iniciar una actividad con FLAG_ACTIVITY_NEW_TASK para que el usuario no sepa qué aplicación inició la nueva tarea.

Imágenes de las Aplicaciones Infectadas:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Análisis de APK

o Tipo: Android

o Nombre: base.apk

o Nombre del Paquete: com.dev.media.Scanner.barcode.pro

o Tamaño: 4.12 MB (4319305 bytes)

o MD5: 4fa7ded17ae2439a6460b61bea8b69ef

o SHA-1: bafe15979d0d49c3564eaea6dea84253fa904b97

o SHA-256: 02059efb3c8d51616910d53fea9f8f230da43dd8b50d4fd525db2851271046e9

Archivo Relacionado:

o Nombre: classes.dex

o Tipo: Android

o Tamaño: 4.76 MB (4995956 bytes)

o MD5: c37c317abe209bd7f971dab4a837d562

o SHA-1: 90e89bdf7ca4f7a8a75cd9faf16b3e841ddee489

o SHA-256:5a248db3c4cf3159f64b1a1a946712f6bd2e4988016b5219c3f6c65daadd78f2

Referencia:

o Adware: es cualquier programa que automáticamente muestra u ofrece publicidad no deseada o engañosa, ya sea incrustada en una página web mediante gráficos, carteles, ventanas flotantes, o durante la instalación de algún programa al usuario, con el fin de generar lucro a sus autores.

o C&C o C2.- la infraestructura mando y control (Command and control en inglés, usualmente abreviado C&C o C2) consta de servidores y otros elementos que son usados para controlar los malware.

o APK. - Los APK contienen los datos necesarios para instalar y ejecutar las aplicaciones. Cada aplicación requiere de una serie de datos para poder ejecutarse en un sistema operativo. En el caso de Android, esos datos de la app se encuentran comprimidos dentro del archivo APK (Android Application Package).

13. Algunas Recomendaciones:

Verifica las Aplicaciones en otros sitios web.

Verifica la Reputación de las Aplicaciones.

Ten presente que, los ciberdelincuentes buscan la oportunidad para infectar tu dispositivo.

Fuentes de información https[://]www.hackread.com/adware-barcode-reader-apps-on-play-store/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 070

Fecha: 13-06-2020

Página: 9 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Aplicaciones Infectados con malware

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 13 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio

web IBM, se informa el rastreo de aplicaciones web, con temática del COVID-19, las cuales vienen propagando Malware, robar información bancaria y personal.

Los países afectados incluyen Armenia, India, Brasil, Colombia, Indonesia, Irán, Italia, Kirguistán, Rusia y Singapur. Parte del malware se clasifica como malware genérico, mientras que otros se nombran como Anubis y Spynote.

o Anubis, es un troyano bancario que utiliza superposiciones para robar credenciales y acceder a dispositivos

infectados. Este malware particular se ha observado en Brasil y Rusia. La aplicación está modelada a partir de aplicaciones legítimas, específicamente Coronavirus - SUS. La aplicación solicita servicios de accesibilidad. Una vez habilitados, los permisos se ejecutan en segundo plano y ocultan el icono de la aplicación del cajón de aplicaciones.

o Spynote, visto en Indonesia, se ha ocultado como una copia de la aplicación legítima PeduliLindungi. Sus funciones

principales son acceder a SMS, GPS, datos de ubicación, contactos, capturar fotos y otras funciones del dispositivo infectado. Este malware infectado instala la aplicación legítima al ocultar la aplicación maliciosa.

o El Malware restante se clasifica simplemente como Malware Genérico y Adware.

Indicadores de Compromiso:

o Nombre de Archivo: am.ac19.health.apk o Tipo: Android apk o Tamaño: 4.73 MB (4963919 bytes) o MD5: cca074f7040eb92c5e2a193c4872cf1a o SHA1: 08733be27096c75c2e2d1b91618944a8bb96ec06

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

o Nombre de Archivo: 4f4935dccae844aea97c94e4be455240.virus o Tipo: Android apk o Tamaño: 1.06 MB (1110917 bytes) o MD5: cca074f7040eb92c5e2a193c4872cf1a o SHA1: 08733be27096c75c2e2d1b91618944a8bb96ec06 o SHA-256: a76bb2e56079dca73d759cdae9857cd5626c200785f004e492f60ce52784f745

o Nombre de Archivo: Aarogya-Setu-v1.5.apk o Tipo: Android apk o Tamaño: 3.54 MB (3709693 bytes) o MD5: df5698d5aef850b217cbbfa9789bd347 o SHA1: 6ffe03aad1b06238e9692aa90f6bdc5dbb6a1024 o SHA-256: 885d07d1532dcce08ae8e0751793ec30ed0152eee3c1321e2d051b2f0e3fa3d7

2. Referencia:

Apk: significa: Android Aplication Package. Es decir, un archivo ejecutable de aplicaciones para Android. Un archivo con extensión. APK es un paquete para el sistema operativo Android.

3. Algunas Recomendaciones:

Verifica las Aplicaciones en otros sitios web.

Verifica la Reputación de las Aplicaciones.

Descarga Aplicaciones de sitios seguros.

Desconfías de Aplicaciones gratuitas.

Ten presente que, los ciberdelincuentes buscan la oportunidad para infectar tu dispositivo.

Fuentes de información

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 11 de 11

Índice alfabético adware .................................................................................................................................................................... 2, 7, 8 Adware ........................................................................................................................................................................ 7, 9 Código malicioso ..................................................................................................................................................... 5, 7, 9 Enlaces de internet .......................................................................................................................................................... 7 Explotación de vulnerabilidades conocidas ..................................................................................................................... 6 Fraude ......................................................................................................................................................................... 3, 4 hxxp ................................................................................................................................................................................. 4 Intento de intrusión ........................................................................................................................................................ 6 internet ........................................................................................................................................................................... 4 malware .............................................................................................................................................................. 2, 5, 7, 9 Malware ...................................................................................................................................................................... 5, 9 phishing ................................................................................................................................................................... 2, 3, 4 Phishing ....................................................................................................................................................................... 3, 4 puerto ............................................................................................................................................................................. 6 Red, internet ............................................................................................................................................................... 3, 6 redes sociales .......................................................................................................................................................... 1, 3, 4 Redes sociales ................................................................................................................................................................. 4 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ....................................................................... 4 servidor ....................................................................................................................................................................... 3, 7 servidores ........................................................................................................................................................................ 7 software .......................................................................................................................................................................... 3 USB, disco, red, correo, navegación de internet ......................................................................................................... 5, 9