PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 21 de setiembre de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido IBM Cloud Transformation Advisor se ve afectado por múltiples vulnerabilidades de Node.js ................... 3

Vulnerabilidad en firefox ............................................................................................................................... 4

Maze ransomware ahora encripta a través de máquinas virtuales para evadir la detección ...................... 5

Hacker Ruso vende curso y Exploit para atacar tiendas de comercio electrónico. ....................................... 6

Ataque tipo phishing suplantan identidad de Entidad Bancaria ................................................................... 7

Vulnerabilidad permitiría a los hackers secuestrar firefox para android ...................................................... 8

La NSA emite guías de ciberseguridad para trabajadores remotos y administradores de sistemas ............ 9

Detección del grupo cibernético denominado Rampant Kitten ..................................................................10

Índice alfabético ..........................................................................................................................................12

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 170

Fecha: 21-09-2020

Página: 3 de 12

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta IBM Cloud Transformation Advisor se ve afectado por múltiples vulnerabilidades de Node.js

Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC

Medios de propagación Red e internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad reportan el hallazgo de múltiples vulnerabilidades IBM Cloud Transformation Advisor. La explotación exitosa de estas fallas de seguridad podría desbordar el búfer y ejecutar código arbitrario en el sistema o hacer que la aplicación se bloquee.

2. Detalles de la alerta:

IBM Cloud Transformation Advisor le ayuda a analizar sus cargas de trabajo locales para modernizarlas. Determina la complejidad de sus aplicaciones, estima un costo de desarrollo para realizar el traslado a la nube y recomienda el mejor entorno de destino.

Especialistas en ciberseguridad, reportan cuatro (4) vulnerabilidades en IBM Cloud Transformation Advisor, las versiones afectados son 2.1.1 y 2.2.0; a continuación, se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).

CVE-2020-11080: Node.js es vulnerable a una denegación de servicio, causada por un error en el marco de sesión HTTP / 2 que está limitado a 32 configuraciones por defecto. Al enviar tramas de configuración HTTP / 2 demasiado grandes, un atacante podría aprovechar esta vulnerabilidad para consumir todos los recursos de CPU disponibles. Esta falla de seguridad recibió un puntaje de 3.7/10 según el CVSS.

CVE-2020-10531: International Components for Unicode (ICU) para C / C ++ es vulnerable a un desbordamiento de búfer basado en el montón, causado por un desbordamiento de enteros en la función UnicodeString :: doAppend () en common / unistr.cpp. Al enviar una solicitud especialmente diseñada, un atacante remoto podría desbordar un búfer y ejecutar código arbitrario en el sistema o hacer que la aplicación se bloquee. Esta falla de seguridad recibió un puntaje de 9.8/10 según el CVSS.

CVE-2020-8172: Node.js podría permitir que un atacante remoto eluda las restricciones de seguridad. El evento “sesión” podría emitirse antes del evento “secureConnect” y posiblemente permitir la reutilización de la sesión TLS. Un atacante podría aprovechar esta vulnerabilidad para evitar la verificación del certificado de host y obtener acceso al sistema. Esta vulnerabilidad recibió un puntaje de 7.5/10 según el CVSS.

CVE-2020-8174: Node.js es vulnerable a un desbordamiento de búfer, causado por múltiples daños en la memoria en las funciones napi_get_value_string_latin1 (), napi_get_value_string_utf8 () o napi_get_value_string_utf16 (). Al enviar una cadena demasiado larga, un atacante remoto podría desbordar un búfer y ejecutar código arbitrario en el sistema o provocar una denegación de servicio. La falla recibió un puntaje de 9.8/10 según el CVSS.

3. Recomendaciones:

Actualizar los parches de seguridad del sitio web oficial del fabricante en cuanto estén disponible.

Mantener un protocolo de actualizaciones de sistemas operativos, antivirus y todas las aplicaciones de TI.

Establecer procedimientos de registro de incidentes.

Preparar un plan de recuperación operacional.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 170

Fecha: 21-09-2020

Página: 4 de 12

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad en firefox

Tipo de ataque Vulnerabilidades, phishing Abreviatura Firefox vulnerabilidad

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Vulnerabilidades, phishing

Descripción

1. El 21 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de un fallo de seguridad en Firefox para Android muy fácil de explotar. Permite a un atacante en la misma red WiFi abrir arbitrariamente cualquier URL en el navegador de la víctima, sin que este deba generar ninguna acción. El exploit Evil-SSDP disponible fue desarrollado para Firefox for Android versión 68.11.0 y anteriores, la aplicación de escritorio no tiene esta vulnerabilidad.

2. El objetivo simplemente tiene que tener la aplicación Firefox ejecutándose en su teléfono. No necesitan acceder a sitios web maliciosos ni hacer clic en enlaces maliciosos. No se requiere la instalación de una aplicación maliciosa o de un atacante en el medio. Simplemente pueden estar bebiendo café mientras están en el WiFi de un café, y su dispositivo comenzará a ejecutar URI de la aplicación bajo el control del atacante.

3. Firefox siempre está buscando servidores SSDP en otros dispositivos, por si pudiera proyectar algo en ellos. Así que cuando encuentra el del atacante, este le responde con un XML con las especificaciones del dispositivo UPnP que puede encontrar en la red. Y en ellas puede ir la URL maliciosa que el atacante hace visitar a la víctima sin que esta tenga que hacer absolutamente nada. La página aparecerá visitada en su dispositivo.

4. Se recomienda:

Para mitigar los problemas de seguridad, actualizar a la versión más reciente, una vez más se demuestra la gran importancia de contar siempre con las últimas versiones. Es vital que tengamos actualizados los equipos con los parches de seguridad disponibles.

Observa con cuidado para identificar direcciones erróneas, dominios incorrectos, URL con etiquetas engañosas y otras señales.

Fuentes de información https[:]//blog.segu-info.com.ar/2020/09/vulnerabilidad-en-firefox-for-android.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 170

Fecha: 21-09-2020

Página: 5 de 12

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Maze ransomware ahora encripta a través de máquinas virtuales para evadir la detección Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01 Clasificación temática familia Código malicioso

Descripción

1. El 21 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 19 de setiembre de 2020 por Bllepingcomputer indicando que los operadores del ransomware Maze han adoptado una táctica previamente utilizada por la banda Ragnar Locker; para cifrar una computadora desde dentro de una máquina virtual.

2. La máquina virtual montaría las unidades de un host como recursos compartidos remotos y luego ejecutaría el ransomware en la máquina virtual para cifrar los archivos del recurso compartido. Como la máquina virtual no está ejecutando ningún software de seguridad y está montando las unidades del host, el software de seguridad del host no pudo detectar el malware y bloquearlo.

3. En los dos primeros intentos, el atacante de Maze intentó ejecutar varios ejecutables de ransomware utilizando tareas programadas llamadas "Windows Update Security", "Windows Update Security Patches" o "Google Chrome Security Update".Después de los dos ataques fallidos, Peter Mackenzie de Sophos le dijo a BleepingComputer que los actores de la amenaza Maze probaron una táctica previamente utilizada por el ransomware Ragnar Locker.

4. En su tercer ataque, Maze implementó un archivo MSI que instaló el software VirtualBox VM en el servidor junto con una máquina virtual personalizada de Windows 7. Una vez que se inició la máquina virtual, al igual que los ataques anteriores de Ragnar Locker, se ejecutaría un archivo por lotes llamado startup_vrun.bat que prepara la máquina con los ejecutables de Maze.

5. Luego, la máquina se apaga y, una vez reiniciada, ejecutará vrun.exe para cifrar los archivos del host. Dado que la máquina virtual está realizando el cifrado en las unidades montadas del host, el software de seguridad no pudo detectar el comportamiento y detenerlo.

6. Se recomienda:

A actualizar el sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 170

Fecha:21-09-2020

Página: 6 de 12

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Hacker Ruso vende curso y Exploit para atacar tiendas de comercio electrónico. Tipo de ataque Exploits Abreviatura Exploits Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso

Descripción

1. El 21 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro la informacion que se detalla a continuacion: Informes preliminares señalan que el incidente reúne todas las características de los ataques de Magecart, en los que los actores de amenazas inyectan código malicioso en un sitio web para extraer la información financiera de los usuarios inadvertidos; esta campaña ha sido identificada como “Ataque CardBleed”. Cabe mencionar que los sitios web afectados operaban Magento 1, una versión que dejó de recibir actualizaciones desde hace algunos meses.

2. Un reporte de Sansec menciona que al menos 1904 sitios de e-commerce distintos fueron infectados con un sofisticado keylogger en sus secciones de pago; el ataque comenzó este viernes con la infección de 10 sitios web, y se extendió durante todo el fin de semana, infectando 1058 páginas web.

3. La firma de seguridad había detectado una campaña similar en 2005, aunque en esa ocasión los hackers sólo lograron atacar 960 tiendas en línea, lo que indica que los operadores del ataque han logrado avanzar en el desarrollo de métodos más sofisticados de skimming. Este incidente podría haber comprometido la información financiera de decenas de miles de personas.

4. Otro dato interesante sobre este incidente, sugiere que se empleó un nuevo método de ataque para acceder a los servidores de los sitios afectados. Aunque el incidente sigue bajo investigación, esta campaña podría estar relacionada con un exploit día cero que fue puesto en venta hace un par de semanas en un foro de hacking. Un vendedor en dark web, identificado como z3r0day, anunció la venta de un exploit de ejecución remota de código funcional en Magento 1 por 5 mil dólares, pago que incluye un manual para llevar a cabo el ataque. En un video publicado por el hacker, presuntamente ruso, puede apreciarse que ni siquiera se requiere una cuenta de administrador de Magento para completar el ataque.

5. Adobe dio a conocer que no planea lanzar correcciones para estas vulnerabilidades puesto que Magento 1 está en la recta final de su vida útil, aunque esta parece una decisión poco razonable debido a la gran cantidad de sitios de e-commerce que aún operan con esta versión del software.

6. Se recomienda:

Asegúrese de instalar antivirus, parches de software y publicaciones de seguridad requeridos.

Navegue de forma segura y esté al corriente de las últimas noticias instalando todas las actualizaciones de su software.

Fuentes de información https[:]//noticiasseguridad.com/hacking-incidentes/hacker-ruso-vende-curso-y-exploit-para-atacar-tiendas-de-comercio-electronico-por-5-mil-usd/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 170

Fecha: 21-09-2020

Página: 7 de 12

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Ataque tipo phishing suplantan identidad de Entidad Bancaria

Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 21 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó una campaña de envío de mensajes de texto (SMS) suplantando la identidad del Banco Bilbao Vizcaya Argentaria (BBVA), donde informa al usuario que “Debido a una actualización, hemos tenido que suspender su cuenta. Para desbloquearlo: hxxps[:]//particulares[-]personase[.]giize[.]com”, en el cual solicita al usuario ingresar al enlace e iniciar sesión para acceder a su plataforma bancaria y poder desbloquear. Esta modalidad tiene como objetivo robar datos personales y credenciales de cuentas bancarias de los usuarios.

2. Por otro lado, se verificó el enlace en la página de Virus Total, donde es catalogado como phishing.

3. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes de dudosa procedencia.

Evitar brindar información personal.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 170

Fecha: 21-09-2020

Página: 8 de 12

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Vulnerabilidad permitiría a los hackers secuestrar firefox para android Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión.

Descripción

1. El 21 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento sobre una vulnerabilidad de ejecución remota de comandos de alto riesgo que afecta al aplicativo “Firefox” para Android. La vulnerabilidad reside en el motor del Protocolo Simple de Descubrimiento de Servicios (SSDP) del navegador, el cual permite a un atacante en la misma red WiFi abrir arbitrariamente cualquier URL en el navegador de la víctima, sin que este deba generar ninguna acción.

2. SSDP es un protocolo basado en UDP que forma parte de UPnP (conjunto de protocolos de comunicación que permite periféricos en la red) para encontrar otros dispositivos en una red. En Android, Firefox envía de forma periódica mensajes de descubrimiento SSDP a otros dispositivos conectados a la misma red, con el fin de buscar dispositivos de segunda pantalla para transmitir. Esto permite que cualquier dispositivo de la red local puede responder a estas transmisiones y proporcionar una ubicación para obtener información detallada en un dispositivo UPnP. Asimismo, Firefox intenta acceder a esa ubicación, esperando encontrar un archivo XML (Lenguaje de Marcas Extensible) que cumpla con las especificaciones UPnP.

3. Además, engaña al motor SSDP de los navegadores Firefox de las víctimas para que active un intent de Android (mecanismo de software que permite a los usuarios coordinar las funciones de diferentes actividades para lograr una tarea), simplemente reemplazando la ubicación del archivo XML en los paquetes de respuesta con un mensaje especialmente diseñado que apunta a un intent URI de android.

4. Las actividades permitidas por el intent, también incluyen el inicio automático del navegador y la apertura de cualquier URL definida, por lo que es suficiente para engañar a las víctimas para que proporcionen sus credenciales, instalen aplicaciones maliciosas, entre otras actividades basadas en escenarios circundantes.

5. En caso de utilizar el navegador web Firefox para Android, es necesario asegurarse de que se haya actualizado a la versión 80 o superior disponible en Google Play Store, con el fin de evitar problemas de seguridad.

6. Se recomienda:

Actualizado a la versión 80 o superior disponible en Google Play Store

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 170

Fecha: 21-09-2020

Página: 9 de 12

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta La NSA emite guías de ciberseguridad para trabajadores remotos y administradores de sistemas

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

La Agencia de Seguridad Nacional (NSA) ha publicado dos guías de información de seguridad cibernética (CSI) con recomendaciones para los trabajadores y administradores de sistemas del Sistema de Seguridad Nacional (NSS) y del Departamento de Defensa (DoD) sobre la protección de las redes y la respuesta a incidentes durante el trabajo desde casa.

2. Detalles:

La primera guía titulada “Indicadores y mitigaciones de redes personales comprometidas”, está destinado a brindar detalles sobre cómo los teletrabajadores pueden identificar y mitigar el compromiso de sus redes personales y proteger los datos y el equipo proporcionado por el gobierno cuando trabajan de forma remota. Además, proporciona una serie de indicadores de compromiso (IoC), junto con las técnicas de mitigación que los teletrabajadores pueden aplicar para evitar compromisos futuros. Según la NSA, el CSI está destinado a empleados del gobierno, pero cualquiera puede utilizar la información proporcionada para identificar y prevenir brechas en la red. “Si bien no hay forma de garantizar que las redes personales estén completamente protegidas de los ataques, los atacantes son persistentes y continúan encontrando formas de eludir los controles de seguridad, los usuarios aún pueden tomar medidas para ayudar a prevenir futuros ataques”, indicó la NSA.

La segunda guía de CSI de la NSA, titulado “Realización de administración de red fuera de banda”, proporciona a los administradores de sistemas, información sobre cómo aislar el tráfico de administración del tráfico operativo para garantizar que un dispositivo comprometido o tráfico malicioso no afecte las operaciones de la red ni comprometa la infraestructura de la red. “La administración fuera de banda [OoB] crea un marco que permite a los administradores mejorar la seguridad de sus redes segmentando el tráfico de administración del tráfico operativo y asegurando que el tráfico de administración solo provenga de la ruta de comunicación OoB”, explica la NSA. El informe proporciona el diseño de la arquitectura de la gestión fuera de banda y recomienda que se realice primero una evaluación de vulnerabilidad y riesgo para decidir si se debe implementar una arquitectura de red segmentada virtual o físicamente.

3. Indicadores de compromiso (IoC): Ver IoC aquí.

4. Recomendaciones:

De observar los indicadores de compromiso descritos en el documento, se orienta a los usuarios que apliquen las mitigaciones proporcionadas a cualquier computadora, dispositivo móvil o dispositivo IoT conectado a su red personal.

Los pasos recomendados para mitigar el compromiso, incluyen reiniciar y restablecer los enrutadores, deshabilitar su funcionalidad de administración remota y actualizar el firmware; desconectar las máquinas infectadas de la red, restablecer las contraseñas en un dispositivo diferente y ejecutar software antimalware; y eliminar las infecciones de ransomware y restaurar un buen estado previamente respaldado.

Igualmente, la NSA aconseja el uso de protocolos de cifrado y algoritmos de cifrado sólidos y tamaños de clave, la administración de dispositivos utilizando solo redes privadas virtuales (VPN) sólidas, el fortalecimiento de los dispositivos de administración de red, el monitoreo continuo de la red y la revisión de registros, y el establecimiento de un proceso de revisión y registro de la configuración.

Fuentes de información

hxxps://media.defense.gov/2020/Sep/17/2002499615/-1/-1/0/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF

hxxps://media.defense.gov/2020/Sep/17/2002499616/-1/-1/0/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 170

Fecha: 21-09-2020

Página: 10 de 12

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del grupo cibernético denominado Rampant Kitten

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 21 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio “Threat Post”, se informa sobre la detección de un nuevo grupo cibernético denominado Rampant Kitten, dirigido a dispositivos Android, que al ser ejecutado salta la verificación 2FA del sistema afectado, el cual distribuye sus ataques a través de campañas maliciosas de spear phishing. Rampant Kitten tiene como finalidad recopilar todos los códigos de seguridad de autenticación de dos factores (2FA) enviados a los dispositivos de la víctima, detectar las credenciales de Telegram y lanza ataques de phishing de cuentas de Google.

2. Detalles:

El grupo de amenazas para llevar a cabo sus ataques se basado en múltiples herramientas, incluidas cuatro variantes de robo de información de Windows utilizadas para obtener información confidencial de cuentas de Telegram y KeePass; páginas de phishing que se hacen pasar por Telegram para robar contraseñas; y la puerta trasera de Android antes mencionada que extrae los códigos 2FA de los mensajes SMS y registra el entorno de voz del teléfono.

Los actores de la amenaza del grupo cibernético Rampant Kitten realiza las siguientes acciones.

o Robar mensajes SMS existentes.

o Reenviar mensajes SMS de autenticación de dos factores a un número de teléfono proporcionado por el servidor de comando y control (C&C) controlados por los atacantes.

o Recuperar información personal como contactos y detalles de cuentas.

o Iniciar una grabación de voz del entorno del teléfono.

o Realizar phishing en la cuenta de Google.

o Recupere información del dispositivo, como aplicaciones instaladas y procesos en ejecución.

Imagen del proceso de infección del grupo cibernético Rampant Kitten.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso (IoC).

o Archivos analizados: Nombre: Android apk

Tipo: Android

Tamaño: 11.01 MB (11540596 bytes)

MD5: 4ae3654b7ed172b0273e7c7448b0c23c

SHA-1: f3a4feedd4f62702c65b037a91bd8332d9518c08

SHA-256: 24e5b2967437dbc1866df3ac1bf776a4960a5a56676b48bb9a143e62849a43d2

Nombre: direct-cpu-clock-access

Tipo: Win32 EXE

Tamaño: 119.00 KB (121856 bytes)

MD5: 315e6338bf9c9bcbe3d5af0482f51dfd

SHA-1: 8b00d62a5c03efa76dfca8bd8c95c969167f83ee

SHA-256: a713a2749e9791243a89471a2603bf1f32ec11c9179771ca46fb5583b8412cb0

3. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//threatpost.com/android-2fa-telegram-gmail/159384/?utm_source=dlvr.it&utm_medium=twitter

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 12 de 12

Índice alfabético

Código malicioso .................................................................................................................................................. 5, 6, 9, 10 Exploits .............................................................................................................................................................................. 6 Explotación de vulnerabilidades conocidas ....................................................................................................................... 8 Fraude ................................................................................................................................................................................ 7 Intento de intrusión ....................................................................................................................................................... 3, 8 internet .............................................................................................................................................................................. 3 IoT ...................................................................................................................................................................................... 9 malware ............................................................................................................................................................................. 5 Malware ....................................................................................................................................................................... 9, 10 phishing ............................................................................................................................................................... 2, 4, 7, 10 Phishing ............................................................................................................................................................................. 7 ransomware ............................................................................................................................................................... 2, 5, 9 Ransomware ...................................................................................................................................................................... 5 Red, internet .................................................................................................................................................................. 4, 8 redes sociales ..................................................................................................................................................................... 1 Redes sociales .................................................................................................................................................................... 7 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 7 servidor ........................................................................................................................................................................ 5, 10 servidores ...................................................................................................................................................................... 4, 6 software ............................................................................................................................................................. 5, 6, 7, 8, 9 URL ................................................................................................................................................................................. 4, 8 USB, disco, red, correo, navegación de internet ................................................................................................. 5, 6, 9, 10 Vulnerabilidad............................................................................................................................................................ 2, 4, 8 Vulnerabilidades ................................................................................................................................................................ 4