lima, 19 de octubre de 2020 integr… · 4. se encontraron más de diez versiones de...

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 19 de octubre de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Vulnerabilidad de ejecución remota de código de Microsoft SharePoint .................................................... 3

Campaña de phishing que utilizan Basecamp ............................................................................................... 4

Nuevo archivo adjunto Windows Update del malware Emotet. .................................................................. 5

El malware Windows “GravityRAT” ahora también se dirige a Android, macOS .......................................... 6

Nuevo malware “Vizom” ............................................................................................................................... 7

Suplantan sitio web del Banco de la Nación ................................................................................................. 8

Nueva campaña de phishing Vizom que afecta a las cuentas bancarias del sector financiero. ................... 9

Campaña de una nueva variante del grupo APT Cobalt Dickens ................................................................10

Índice alfabético ..........................................................................................................................................12

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 198

Fecha: 19-102020

Página: 3 de 00

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidad de ejecución remota de código de Microsoft SharePoint

Tipo de ataque Explotación de vulnerabilidades Conocidas Abreviatura EVC

Medios de propagación Red e internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que especialista en ciberseguridad, han identificado una vulnerabilidad de ejecución remota de código en Microsoft SharePoint cuando el software no puede verificar el código fuente de un paquete de aplicación. Un ciberdelincuente que aprovechara con éxito la falla de seguridad podría ejecutar código arbitrario en el contexto del grupo de aplicaciones de SharePoint y la cuenta de la granja de servidores de SharePoint.

2. Detalles de la alerta:

A través de la búsqueda de amenazas en el ciberespacio, especialistas en ciberseguridad identificaron el hallazgo de una vulnerabilidad de ejecución remota de código (RCE) en Microsoft SharePoint. Identificada como CVE-2020-16952, esta falla de seguridad permitiría a los actores de amenazas realizar diversas acciones maliciosas en el contexto del administrador local en cualquier implementación afectada del servidor.

Asimismo, los expertos mencionan que esta falla de seguridad es generada por un problema de validación en los datos proporcionados por el usuario a la aplicación vulnerable. La falla puede ser explotada cuando un usuario carga un paquete de aplicación de SharePoint especialmente diseñado en una versión afectada, impactando en las siguientes versiones:

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Microsoft SharePoint Enterprise Server 2016

Cabe precisar, esta vulnerabilidad ya ha sido corregido por Microsoft y es encuentra disponible en su sitio web oficial.

3. Recomendaciones:

Actualizar los parches de seguridad en el sitio web oficial del fabricante.

Establecer procedimientos de registro de incidentes.

Preparar un plan de recuperación operacional.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°198

Fecha: 19-10-2020

Página: 4 de 00

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS / CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Campaña de phishing que utilizan Basecamp

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 19 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una campaña de phishing que utilizan Basecamp para insertar malware o robar credenciales de inicio de sesión.

2. Basecamp, es una herramienta colaborativa para equipos, que organiza proyectos de forma sencilla y eficaz, que permite a las personas colaborar, chatear entre sí, crear documentos y compartir archivos, también permite a los usuarios cargar proyecto, que incluye formatos de archivo como ejecutables, archivos JavaScript, etc. Los usuarios para poder compartir públicamente los archivos cargados tienen que crear un enlace público que permita a personas ajenas a la organización visualizar y descargar el archivo.

3. Según los investigadores de seguridad malwarehunterteam y James, han descubierto que los ciberdelincuentes se encuentran distribuyendo ejecutables del malware BazarLoder a través de enlaces de descarga públicos de Basecamp.

4. Asimismo, según el investigador de seguridad Will Thomas descubrió que los actores de amenazas utilizan Basecamp para alojar páginas intermediarias que redirigen a los usuarios a páginas de inicio de phishing, a fin de robar las credenciales de inicio de sesión de los usuarios.

5. Por lo que se recomienda a todos los usuarios a extremar las precauciones y ser cautelosos, para no ser víctima de estafa que ponen en riesgo a las redes corporativas, robo, entre otros.

6. Se recomienda:

Mantener actualizado el antivirus.

No descargar enlaces o archivos no confiables.

No abrir correos de usuarios desconocidos o que no hayan solicitado.

Mantener actualizado todos los softwares de la computadora como herramientas, navegadores, etc.

Establecer una estrategia de backups eficiente.

Implementar una cultura de ciberseguridad.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/hackers-now-abuse-basecamp-for-free-malware-hosting/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 19-10-2020

Página: 5 de 00

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Nuevo archivo adjunto Windows Update del malware Emotet. Tipo de ataque Malware Abreviatura Malware Medios de propagación Usb, correo, red, navegación internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 19 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por investigadores de seguridad y la página web “Bleeping Computer”, quienes han reportado que la botnet “Emotet” ha comenzado a utilizar un nuevo archivo adjunto malicioso que pretende ser un mensaje de Windows Update que le indica que actualice Microsoft Word.

2. El malware “Emotet” es una infección que se propaga a través de correos electrónicos no deseados que contienen documentos maliciosos de Word o Excel.

3. Estos documentos utilizan macros para descargar e instalar el malware “Emotet” en la computadora de la víctima, que utiliza la computadora para enviar correo electrónico no deseado y, en última instancia, conduce a un ataque de ransomware en la red de la víctima.

4. Para actualizar Word, el mensaje le dice al usuario que haga clic en los botones Habilitar edición y Habilitar contenido, lo que hará que se activen las macros maliciosas.

5. Se recomienda lo siguiente:

Tener una protección antimalware y la base de datos del antivirus actualizada.

No descargar archivos de correo eléctrico de remitentes desconocidos.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/watch-out-for-emotet-malwares-new-windows-update-attachment/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N°198

Fecha: 19-10-2020

Página: 6 de 00

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta El malware Windows “GravityRAT” ahora también se dirige a Android, macOS

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, correo, red, navegación internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 19 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por investigadores del sitio web Bleeping Computer, quienes han reportado una variante del malware “GravityRAT” conocida por verificar la temperatura de la CPU de las computadoras con Windows para detectar máquinas virtuales o sandboxes, ahora es un software espía multiplataforma, ya que ahora también se puede usar para infectar dispositivos Android y macOS.

2. La muestra de RAT actualizada se detectó al analizar una aplicación de software espía de Android (Travel Mate Pro), que roba contactos, correos electrónicos y documentos que se envían al servidor de comando y control en línea “nortonupdates”. También utilizan otras dos aplicaciones maliciosas (Enigma y Titanium) dirigidos a las plataformas Windows y macOS.

3. El malware espía lanzado por estas aplicaciones maliciosas en dispositivos infectados ejecuta un código multiplataforma y permite a los atacantes:

Obtener información sobre el sistema.

Buscar archivos en la computadora y discos extraíbles con las extensiones .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp y .ods, y subirlos al servidor.

Obtener una lista de procesos en ejecución.

Interceptar pulsaciones de teclas.

Tomar capturas de pantalla.

Ejecutar comandos de shell arbitrarios.

Grabar audio (no implementado en esta versión).

4. Se encontraron más de diez versiones de “GravityRAT”, distribuidas bajo la apariencia de aplicaciones legítimas, como aplicaciones seguras para compartir archivos que ayudarían a proteger los dispositivos de los usuarios de los troyanos encriptados o reproductores multimedia. Usados en conjunto, estos módulos permitieron acceder al sistema operativo Windows, MacOS y Android.

5. Se recomienda lo siguiente:

Mantener actualizado los sistemas operativos y la base de datos del software antivirus.

Evitar la descarga de aplicaciones o archivos de remitentes desconocidos.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/windows-gravityrat-malware-now-also-

targets-android-macos/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 19-10-2020

Página: 7 de 00

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Nuevo malware “Vizom” Tipo de ataque Malware Abreviatura Malware Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.

Descripción

1. El 19 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un nuevo malware denominado “Vizom” dirigido a sistemas operativos de Windows. Utiliza técnicas de superposición remota y secuestro de archivos DLL (bibliotecas de vínculos dinámicos), se propaga a través de correos electrónicos fraudulentos suplantando la identidad de empresas de software de videoconferencia, con la finalidad de infectar y controlar remotamente el equipo para posteriormente robar información de credenciales bancarias de los usuarios.

2. Al infectarse el equipo, Vizom ataca el directorio “AppData” para iniciar la cadena de infección, posteriormente secuestra los archivos DLL. Asimismo, el malware intentará forzar la carga de DLL maliciosa nombrando sus propias variantes basadas en Delphi con los nombres esperados por el software legítimo en sus directorios.

3. Por último, el malware esperará sigilosamente alguna indicación de que se está accediendo a un servicio bancario en línea, si el nombre de la página web coincide con la lista de objetivos de Vizom, los ciberdelincuentes reciben una alerta para conectarse remotamente al equipo comprometido.

4. Recomendaciones:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes de dudosa procedencia.

Realizar copias de seguridad periódicas en los equipos.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 19-10-2020

Página: 8 de 00

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Suplantan sitio web del Banco de la Nación

Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 18 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó una campaña de envío de mensajes de texto (SMS) suplantando la identidad del sitio web del Banco de la Nación, donde informa al usuario que “Debido a un ERROR en sus datos, no pudimos procesar la Transferencia de su Bono Familiar, Actualice sus datos Aquí: https[:]//cutt.ly/agg4pxQ”, el cual solicita al usuario iniciar sesión para acceder a su plataforma bancaria y actualizar sus datos, con la finalidad de robar sus datos personales y credenciales de su cuenta bancaria.

2. Por otro lado, se verificó el enlace cutt.ly/agg4pxQ en la página de Virus Total, donde lo cataloga como phishing.

3. Recomendaciones:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes de dudosa procedencia.

Evitar brindar información personal.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 198

Fecha: 19-102020

Página: 9 de 00

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva campaña de phishing Vizom que afecta a las cuentas bancarias del sector financiero.

Tipo de ataque Phishing Abreviatura Phishing



Clasificación temática familia Fraude

Descripción

1. Resumen:

Los investigadores Chen Nahman, Ofir Ozer y Limor Kessem de IBM Security Trusteer han descubierto un nuevo código de malware dirigida a los titulares de cuentas bancarias brasileñas, y distribuido a través de campañas de phishing, la nueva variante de malware denominada “Vizom” utiliza tácticas de ataque para permanecer oculto y comprometer los dispositivos de los usuarios en tiempo real, es decir, técnicas de superposición remota y secuestro de DLL. También, de apoderarse de los dispositivos de los usuarios en tiempo real, cuando la víctima prevista inicia sesión y luego inicia transacciones que son fraudulentas desde su cuenta bancaria.

2. Detalles:

Vizom se propaga a través de campañas de phishing basadas en spam y se disfraza de software de videoconferencia populares, herramientas que se han vuelto cruciales para las empresas. Utiliza el 'secuestro de DLL' para filtrarse en directorios legítimos en máquinas basadas en Windows, enmascarado como un software de videoconferencia legítimo, y engaña la lógica inherente del sistema operativo para cargar sus bibliotecas de vínculos dinámicos (DLL) maliciosas antes de que cargue las legítimas que pertenecen a ese espacio de direcciones. Utiliza tácticas similares para operar el ataque.

Normalmente entregado por correo no deseado, una vez que Vizom es descargado por un usuario involuntario, encuentra su camino hacia el directorio AppData e inicia el proceso de infección. Al aprovechar el secuestro de DLL, el malware intentará forzar la carga de DLL maliciosas nombrando sus propias variantes basadas en Delphi con los nombres esperados por el software legítimo en sus directorios. Asimismo, al secuestrar la "lógica inherente" de un sistema, IBM indica que el sistema operativo es engañado para cargar el malware Vizom como un proceso secundario de un archivo de videoconferencia legítimo. La DLL se llama Cmmlib.dll, que es un archivo asociado con Zoom. “Para asegurarse de que el código malicioso se ejecute desde Cmmlib.dll ", el autor del malware copió la lista de exportación real de la DLL legítima, pero se aseguró de modificarla y tener todas las funciones directamente en la misma dirección ", indicaron los investigadores.

Luego iniciará zTscoder.exe a través del símbolo del sistema y una segunda carga útil, un troyano de acceso remoto (RAT), se extrae de un servidor remoto, con el mismo artificio de secuestro realizado en el navegador de internet Vivaldi. Para establecer la persistencia, los accesos directos del navegador se manipulan y sin importar qué navegador intente ejecutar un usuario, el código malicioso de Vivaldi / Vizom se ejecutará en segundo plano.

Vizom se enfoca en los grandes bancos brasileños, sin embargo, podría utilizar las mismas tácticas contra los usuarios en Sudamérica y ya se ha observado que apuntan a banco otras partes del mundo.

3. Indicadores de compromiso (IoC):

Ver indicadores aquí.

4. Recomendaciones:

Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

No abrir correos electrónicos, ni descargar archivos de fuentes no confiables, y bloquearla la dirección de correo para evitar nuevamente un posible mensaje.

Las aplicaciones deben ser de fuentes confiables si se trata de incluir datos, para así evitar su propagación a un posible ataque que implique información personal o de la organización

Fuentes de información

hxxps://securityintelligence.com/posts/vizom-malware-targets-brazilian-bank-customers-remote-overlay/

hxxps://www.zdnet.com/article/this-new-malware-uses-remote-overlay-attacks-to-hijack-your-bank-account/

http://www.gob.pe/


https://securityintelligence.com/posts/vizom-malware-targets-brazilian-bank-customers-remote-overlay/


www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 198

Fecha: 19-102020

Página: 10 de 00

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Campaña de una nueva variante del grupo APT Cobalt Dickens

Tipo de ataque Amenaza Avanzada Persistente Abreviatura APT



Clasificación temática familia Código malicioso

Descripción

1. El 19 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Security Affairs”, se informa sobre la detección de una nueva variante del grupo APT denominado “Cobalt Dickens”, también conocido como “Silent Librarian” y “TA407”, el cual viene llevando a cabo una campaña de phishing, dirigido a universidades y otras organizaciones de todo el mundo, con el objetivo de robar datos de investigación y de propiedad de las víctimas.

2. Detalles:

Cobalt Dickens, se distribuye a través de campañas maliciosas de phishing o correos electrónicos no deseados con enlaces adjuntos de páginas de inicio de sesión falsificadas para recursos asociados s los objetivo.

La APT Cobalt Dickens al ser ejecutado con éxito, les dirige a las víctimas a una página web que parece idéntica o similar al recurso de la biblioteca falsificado, una vez que las víctimas ingresan sus credenciales, sus navegadores web se redirigen al archivo next.php, donde las credenciales se almacenan localmente en el archivo pass.txt. A continuación, el navegador de la víctima se envía al sitio legítimo que se está falsificando.

Los actores de la amenaza usan Cloudflare para la mayoría de sus nombres de host de phishing con el fin de ocultar el origen real del alojamiento.

COBALT DICKENS utiliza herramientas disponibles públicamente, incluido el complemento SingleFile disponible en GitHub y la aplicación independiente HTTrack Website Copier, para copiar las páginas de inicio de sesión de las víctimas.

Imágenes.

http://www.gob.pe/



www.gob.pe

[email protected]

3. Las URL Maliciosas, fueron analizadas en las diferentes plataformas virtuales de seguridad digital, obteniendo el siguiente resultado:

URL: biblioteca[.]adelaide[.]crev[.]me

URL: librarysso[.]vu[.]cvrr[.]me

URL: ole[.]bris[.]crir[.]me

URL: idpz[.]utorauth[.]utoronto[.]ca[.]itlf[.]cf

4. Recomendaciones

Verifica la información en los sitios web oficiales.

No introduzcas datos personales en páginas sospechosas.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información https[:]//securityaffairs.co/wordpress/109657/apt/silent-librarian-campaign.html

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 12 de 00

Índice alfabético

botnet ................................................................................................................................................................................ 5 Código malicioso .................................................................................................................................................. 5, 6, 7, 10 Fraude ........................................................................................................................................................................ 4, 8, 9 Intento de intrusión ........................................................................................................................................................... 3 internet .................................................................................................................................................................. 3, 5, 6, 9 malware ............................................................................................................................................................. 4, 5, 6, 7, 9 Malware ..................................................................................................................................................................... 5, 6, 7 phishing ............................................................................................................................................................... 4, 8, 9, 10 Phishing ..................................................................................................................................................................... 4, 8, 9 ransomware ....................................................................................................................................................................... 5 redes sociales ..................................................................................................................................................................... 1 Redes sociales .................................................................................................................................................. 4, 7, 8, 9, 10 Redes sociales, SMS, correo electrónico, videos de internet, entre otros .......................................................... 4, 8, 9, 10 servidor ...................................................................................................................................................................... 3, 6, 9 servidores .......................................................................................................................................................................... 3 software ............................................................................................................................................................. 3, 6, 7, 8, 9 troyanos ............................................................................................................................................................................. 6 URL ................................................................................................................................................................................... 11 Vulnerabilidad.................................................................................................................................................................... 3

http://www.gob.pe/


lima, 19 de octubre de 2020 integr… · 4. se encontraron más de diez versiones de...

Documents