lima, 23 de julio de 2020 · 2020. 8. 3. · engaño que promete cafetera nespresso gratis a...
TRANSCRIPT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
La presente Alerta Integrada de Seguridad Digital corresponde a un anaacutelisis teacutecnico perioacutedico realizado por el
Comando Conjunto de las Fuerzas Armadas el Ejeacutercito del Peruacute la Marina de Guerra del Peruacute la Fuerza Aeacuterea
del Peruacute la Direccioacuten Nacional de Inteligencia la Policiacutea Nacional del Peruacute la Asociacioacuten de Bancos del Peruacute y
la Secretariacutea de Gobierno Digital de la Presidencia del Consejo de Ministros en el marco del Centro Nacional de
Seguridad Digital
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Informacioacuten de las entidades
puacuteblicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la poblacioacuten
Las marcas y logotipos de empresas privadas yo entidades puacuteblicas se reflejan para ilustrar la informacioacuten que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020
La presente Alerta Integrada de Seguridad Digital es informacioacuten netamente especializada para informar a las
aacutereas teacutecnicas de entidades y empresas Esta informacioacuten no ha sido preparada ni dirigida a ciudadanos
Lima 23 de julio de 2020
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Contenido Nueva campantildea de ciberataques contra agencias gubernamentales de la India y Hong Kong 3
Vulnerabilidad de Apache Tomcat 5
App de trading falso genera malware para MACacutes 6
Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento 8
Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo 9
Ataque tipo defacement a paacutegina web peruana 10
Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo 11
Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp 12
Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo 14
Coacutedigo malicioso dentro de la infraestructura de telegram 16
Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android 17
Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS 18
Iacutendice alfabeacutetico 20
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 3 de 20
Componente que reporta PECERTEQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Nueva campantildea de ciberataques contra agencias gubernamentales de la India y Hong Kong
Tipo de ataque Malware Abreviatura Malware
Medios de propagacioacuten Correo electroacutenico
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional informa que los especialistas en ciberseguridad de la empresa Malwarebytes han detectado nuevas campantildeas de ciberataque dirigidas a las agencias gubernamentales en la India y residentes de Hong Kong con la finalidad de robar informacioacuten confidencial
2 Detalles de la alerta
Los ciberataques a las agencias de gobierno de los paiacuteses de la India y Hong Kong fueron detectados durante la primera semana de julio coincidiendo con la aprobacioacuten de la controvertida ley de seguridad en Hong Kong y la prohibicioacuten de la India de 59 aplicaciones hechas en China por motivos de privacidad
Al atribuir el ciberataque con confianza moderada a un nuevo grupo APT chino especialistas en ciberseguridad de la empresa Malwarebytes mencionaron que pudieron rastrear sus actividades basaacutendose en los ldquointentos uacutenicos de phishing disentildeados para comprometer objetivos en India y Hong Kong
Los operadores del grupo APT han aprovechado al menos tres Taacutecticas Teacutecnicas y Procedimientos (TTP) diferentes utilizando correos electroacutenicos de phishing para eliminar variantes del malware Cobalt Strike y MgBot y aplicaciones falsas de Android para recopilar registros de llamadas contactos y SMS mensajes
Los sentildeuelos utilizados en esta campantildea indican que el actor de la amenaza puede estar apuntando al gobierno indio y a individuos en Hong Kong o al menos a aquellos que estaacuten en contra de la nueva ley de seguridad emitida por China
Una de los ataques maacutes utilizadas son los de Spear-Phishing para instalar el malware de MgBot La primera variante observada el 2 de julio alerto a los destinatarios con el dominio govin indicando que algunas de sus direcciones de correo electroacutenico se habiacutean filtrado y que deben completar un control de seguridad antes del 5 de julio
Los correos electroacutenicos se adjuntan con un mensaje Seguridad de correo checkdocx supuestamente del Centro de Seguridad de la Informacioacuten del Gobierno de la India Al abrirlo emplea la inyeccioacuten de plantilla para descargar una plantilla remota y ejecutar una variante muy ofuscada de Cobalt Strike Pero un diacutea despueacutes del ataque antes mencionado los operadores cambiaron la carga maliciosa Cobalt Strike por una versioacuten actualizada del malware MgBot
Y en la tercera versioacuten que se vio en la naturaleza el 5 de julio los investigadores observaron que la APT utilizaba un documento incrustado completamente diferente con una declaracioacuten sobre Hong Kong del primer ministro britaacutenico Boris Johnson que supuestamente prometiacutea admitir tres millones de hongkoneses en el paiacutes
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Los comandos maliciosos para descargar y soltar el cargador que estaacuten codificados dentro de los documentos se ejecutan utilizando el protocolo de intercambio dinaacutemico de datos (DDE siglas en ingles) un sistema de comunicacioacuten entre procesos que permite que los datos se comuniquen o compartan entre aplicaciones de Windows
3 Indicadores de Compromiso (IoC)
Hashes
o 2a5890aca37a83ca02c78f00f8056e20d9b73f0532007b270dbf99d5ade59e2a
o fc885b50892fe0c27f797ba6670012cd3bbd5dc66f0eb8fdd1b5fca9f1ea98cc
o 3b93bc1e0c73c70bc8f314f2f11a91cf5912dab4c3d34b185bd3f5e7dd0c0790
o ecf63a9430a95c34f85c4a261691d23f5ac7993f9ac64b0a652110659995fc03
o 1e9c91e4125c60e5cc5c4c6ef8cbb94d7313e20b830a1e380d5d84b8592a7bb6
o 3a04c1bdce61d76ff1a4e1fd0c13da1975b04a6a08c27afdd5ce5c601d99a45b
o 855af291da8120a48b374708ef38393e7c944a8393880ef51352ce44e9648fd8
o 1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
o 99aee7ae27476f057ef3131bb371a276f77a526bb1419bfab79a5fac0582b76a
Muestras para MgBot
Hashes
o 2310f3d779acdb4881b5014f4e57dd65b4d6638fd011ac73e90df729b58ae1e0
o e224d730e66931069d6760f2cac97ab0f62d1ed4ddec8b58783237d3dcd59468
o 5b0c93a70032d80c1f5f61e586edde6360ad07b697021a83ed75481385f9f51f
o 1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
o 07bb016c3fde6b777be4b43f293cacde2d3aae0d4e4caa15e7c66835e506964f
o 7bdfabdf9a96b3d941f90ec124836084827f6ef06fadf0dce1ae35c2361f1ac6
o 8ab344a1901d8129d99681ce33a76f7c64fd95c314ac7459c4b1527c3d968bb4
o f41bfc57c2681d94bf102f39d4af022beddafb4d49a49d7d7c1901d14eb698d2
IP que ha sido utilizada por Cobalt Strike como un servidor de CampC 45[] 77[] 245 [] 0
IP del servidor CampC utilizado por la carga uacutetil final 42 [] 99 [] 116 [] 225
Dominio para plantillas remotos flashgovernmentmmcom
Muestras para Android
Hashes
o b5304a0836baf1db8909128028793d12bd418ff78c69dc6f9d014cadede28b77
o 9aade1f7a1f067688d5da9e9991d3a66799065ffe82fca7bb679a71d89fec846
o 5f7f87db34340ec83314313ec40333aebe6381ef00b69d032570749d4cedee46
4 Recomendaciones
Evaluar el bloqueo de indicadores de compromiso
Eliminar correos electroacutenicos con contenido de dudosa procedencia
Cambiar perioacutedicamente la contrasentildea de su cuenta de correo electroacutenico
Utilizar contrasentildeas seguras
Contar con un antivirus y estar actualizado
Fuentes de informacioacuten Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 5 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta Vulnerabilidad de Apache Tomcat
Tipo de ataque Explotacioacuten de vulnerabilidades conocidas Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia H Coacutedigo de subfamilia H01
Clasificacioacuten temaacutetica familia Intento de intrusioacuten
Descripcioacuten
1 ANTECEDENTES
Las instituciones como The Apache Software Foundation El Centro Criptoloacutegico Nacional de Espantildea (CN-CERT) y el Instituto Nacional de Ciberseguridad (INCIBE) han venido reportando desde el 15 de Julio de 2020 muacuteltiples vulnerabilidades en la plataforma Apache Tomcat en sus anteriores versiones como 7027 850 900M1 y la 1000-M1
2 DESCRIPCION DE LA VULNERABILIDAD
Entre las muacuteltiples vulnerabilidades encontramos las siguientes
Las versiones 7 8 9 y 10 de Apache Tomcat estaacuten afectadas por 2 vulnerabilidades una severidad criacutetica y otra media de tipo denegacioacuten de servicio (DoS) en WebSocket y DoS en el protocolo HTTP2 respectivamente
CVE-2020-13934 Vulnerabilidad que puede permitir la lectura o escritura en una ubicacioacuten de memoria que estaacute fuera del liacutemite previsto del buacutefer El error se produce cuando una conexioacuten directa h2c no libera el proceso HTTP11 despueacutes de la actualizacioacuten a HTTP2 Un atacante que realice una cantidad suficiente de este tipo de solicitudes provocariacutea una excepcioacuten del tipo OutOfMemoryException y causariacutea una denegacioacuten de servicio
CVE-2020-13935 Vulnerabilidad del tipo ldquoInfinite Looprdquo al existir una iteracioacuten o ciclo con una condicioacuten de salida que no se puede alcanzar es decir un ciclo infinito El fallo se debe a que la longitud del payload en un marco WebSocket no se valida correctamente en Apache Tomcat Estas longitudes no vaacutelidas podriacutean desencadenar bucles infinitos y en gran nuacutemero conducir a escenarios de denegacioacuten de servicio
3 RECURSOS AFECTADOS
Las aplicaciones u versiones afectadas a esta vulnerabilidad son
Apache Tomcat 1000-M1 a 1000-M6
Apache Tomcat 900M5 a 9036
Apache Tomcat 851 a 8556
Apache Tomcat versiones 850 a 8556
Apache Tomcat versiones 7027 a 70104
4 NIVEL DE RIESGO Intermedio - Alto
5 MITIGACION
Actualizar a Apache Tomcat 1000-M7 o posterior
Actualizar a Apache Tomcat 9037 o posterior
Actualizar a Apache Tomcat 8557 o posterior
NOTA Todas las versiones de Apache Tomcat se encuentran disponibles en el siguiente enlace https[]archiveapacheorgdisttomcat
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE http[]tomcatapacheorgsecurity-10html http[]tomcatapacheorgsecurity-9html http[]tomcatapacheorgsecurity -8html https[]nvdnistgovvulndetailCVE-2020-13935vulnCurrentDescriptionTitle https[]nvdnistgovvulndetailCVE-2020-13934vulnCurrentDescriptionTitle
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 6 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta App de trading falso genera malware para MACacutes
Tipo de ataque Malware Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 DESCRIPCIOacuteN DEL EVENTO ANOMALO
Se ha descubierto sitios web que distribuyen aplicaciones maliciosas para la compra y venta de criptomonedas dirigidas a usuarios de Mac (ver figura 1) El malware utilizado tiene como objetivo robar informacioacuten como son cookies del navegador billeteras de criptomonedas y realizar capturas de pantalla Al analizar las muestras de malware se descubrioacute raacutepidamente que se trataba de una nueva campantildea de lo que los investigadores de Trend Micro llamaron GMERA en un anaacutelisis que publicaron en septiembre de 2019 Al igual que en las campantildeas anteriores el malware reporta a un servidor de CampC a traveacutes de HTTP y conecta sesiones de terminal remotas a otro servidor de CampC utilizando una direccioacuten IP hardcodeada
2 VECTORES DE ATAQUE
Todaviacutea no se ha podido encontrar exactamente doacutende se promueven estas aplicaciones troyanizadas Sin embargo en marzo de 2020 Kattana publicoacute una advertencia (ver figura Ndeg2) que sugiere que las viacutectimas fueron abordadas de forma individual con la intencioacuten de engantildearlas para que descarguen una app troyanizada No se ha podido confirmar que estuviera vinculado a esta campantildea en particular pero bien podriacutea ser el caso la supuesta URL anoacutemala es kattanatrade[]online al acceder a dicha URL algunos navegadores lo identifican como una URL maliciosa (ver figura Ndeg3) sin embargo en otros ambientes lo podriacutea detectar como una aplicacioacuten normal Los sitios web copiados estaacuten configurados para que la descarga de la falsa aplicacioacuten parezca legiacutetima En este sentido para una persona que no conoce Kattana los sitios web tienen apariencia legiacutetima la plataforma oficial es la mostrada en la figura Ndeg4 y la clonada es la figura Ndeg5 con la direccioacuten licatrade[]com
El botoacuten de descarga en los sitios falsos es un enlace a un archivo ZIP que contiene el paquete de aplicaciones troyanizadas
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 INDICADORES DE COMPROMISO
La aplicacioacuten maliciosa Licatrade estaba disponible en el sitio web licatradecom y el dominio del servidor CampC al que reporta viacutea HTTP es stepbystepby[]com Ambos dominios se registraron utilizando la direccioacuten de correo electroacutenico levistor777gmailcom La buacutesqueda de otros dominios registrados con esa direccioacuten de correo electroacutenico revela lo que pareceriacutean ser campantildeas anteriores Aquiacute hay una lista de dominios que encontramos en muestras o registrados con esa direccioacuten de correo electroacutenico
SHA-1 Filename
2AC42D9A11B67E8AF7B610AA59AADCF1BD5EDE3B Licatradezip
560071EF47FE5417FFF62CB5C0E33B0757D197FA LicatradeappContentsResourcesrunsh
4C688493958CC7CCCFCB246E706184DD7E2049CE LicatradeappContentsMacOSLicatrade
9C0D839D1F3DA0577A123531E5B4503587D62229 Cointrazerzip
DA1FDA04D4149EBF93756BCEF758EB860D0791B0 CointrazerappContentsResourcesnytyntrunsh
F6CD98A16E8CC2DD3CA1592D9911489BB20D1380 CointrazerappContentsMacOSCointrazer
575A43504F79297CBFA900B55C12DC83C2819B46 Stockfoliozip
B8F19B02F9218A8DD803DA1F8650195833057E2C StockfolioappContentsMacOSStockfoli
AF65B1A945B517C4D8BAAA706AA19237F036F023 StockfolioappContentsResourcesrunsh
Nombres de dominio
repbaerraypw macstockfoliocom latinumtradecom trezaruscom creditfinelorcom
trezarusnet cointrazercom apperdentacom narudinacom maccatreckcom
nagsrsdfsudinasacom cupatradecom stepbystepbycom licatradecom
Direcciones IP
85[]209[]88[]123 85[]217[]171[]87 193[]37[]214[]7 193[]37[]212[]97
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE https[]twittercomkattanatradestatus1238051414745722880 https[]blogtrendmicrocomtrendlabs-security-intelligencemac-malware-that-spoofs-
trading-app-steals-user-information-uploads-it-to-website https[]wwwwelivesecuritycomla-es20200720app-trading-criptomonedas-para-
mac-utilizada-distribuir-malwareutm_campaign=welivesecurityamputm_source=linkedinamputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 8 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento
Tipo de ataque Robo de informacioacuten Abreviatura RobInfo
Medios de propagacioacuten Red internet redes sociales
Coacutedigo de familia K Coacutedigo de subfamilia K01
Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 Debido a un fallo de configuracioacuten de seguridad los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (tambieacuten llamado Charming Kitten Phosphorous o APT35)
2 Los investigadores de IBM dijeron que encontraron los viacutedeos en un servidor cloud que quedoacute expuesto debido a una incorrecta configuracioacuten de seguridad El servidor conteniacutea maacutes de 40 gigabytes de datos
3 Los archivos de viacutedeo descubiertos muestran que ITG18 teniacutea acceso al correo electroacutenico de los objetivos y las credenciales de las redes sociales obtenidas a traveacutes de ataques de phishing Utilizaban la informacioacuten para iniciar sesioacuten en las cuentas eliminar notificaciones de inicios de sesioacuten sospechosos para no alertar a las viacutectimas y filtrar contactos fotos y documentos de Google Drive
4 ITG18 tiene un largo historial de ataque es al personal militar diplomaacutetico y gubernamental de los EEUU para la recoleccioacuten de inteligencia que pueda servir a los intereses geopoliacuteticos de Iraacuten
5 Se recomienda
Aplicar buenas praacutecticas y criterios de seguridad para evitar ser viacutectimas de Mekotio
No abrir enlaces contenidos en correos no deseados
Evitar la descargar archivos adjuntos en correos no deseados en caso de que un archivo comience a descargarse automaacuteticamente no abrirlo
Ser especialmente prudentes a la hora de descargarejecutar instaladores msi o ejecutables exe verificando su legitimidad y sometieacutendolos al anaacutelisis de un producto de seguridad
Fuentes de informacioacuten https[]unaaldiahispaseccom202007grupo-de-hackers-iranies-publica-por-accidente-sus-videos-de-entrenamientohtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Contenido Nueva campantildea de ciberataques contra agencias gubernamentales de la India y Hong Kong 3
Vulnerabilidad de Apache Tomcat 5
App de trading falso genera malware para MACacutes 6
Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento 8
Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo 9
Ataque tipo defacement a paacutegina web peruana 10
Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo 11
Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp 12
Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo 14
Coacutedigo malicioso dentro de la infraestructura de telegram 16
Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android 17
Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS 18
Iacutendice alfabeacutetico 20
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 3 de 20
Componente que reporta PECERTEQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Nueva campantildea de ciberataques contra agencias gubernamentales de la India y Hong Kong
Tipo de ataque Malware Abreviatura Malware
Medios de propagacioacuten Correo electroacutenico
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional informa que los especialistas en ciberseguridad de la empresa Malwarebytes han detectado nuevas campantildeas de ciberataque dirigidas a las agencias gubernamentales en la India y residentes de Hong Kong con la finalidad de robar informacioacuten confidencial
2 Detalles de la alerta
Los ciberataques a las agencias de gobierno de los paiacuteses de la India y Hong Kong fueron detectados durante la primera semana de julio coincidiendo con la aprobacioacuten de la controvertida ley de seguridad en Hong Kong y la prohibicioacuten de la India de 59 aplicaciones hechas en China por motivos de privacidad
Al atribuir el ciberataque con confianza moderada a un nuevo grupo APT chino especialistas en ciberseguridad de la empresa Malwarebytes mencionaron que pudieron rastrear sus actividades basaacutendose en los ldquointentos uacutenicos de phishing disentildeados para comprometer objetivos en India y Hong Kong
Los operadores del grupo APT han aprovechado al menos tres Taacutecticas Teacutecnicas y Procedimientos (TTP) diferentes utilizando correos electroacutenicos de phishing para eliminar variantes del malware Cobalt Strike y MgBot y aplicaciones falsas de Android para recopilar registros de llamadas contactos y SMS mensajes
Los sentildeuelos utilizados en esta campantildea indican que el actor de la amenaza puede estar apuntando al gobierno indio y a individuos en Hong Kong o al menos a aquellos que estaacuten en contra de la nueva ley de seguridad emitida por China
Una de los ataques maacutes utilizadas son los de Spear-Phishing para instalar el malware de MgBot La primera variante observada el 2 de julio alerto a los destinatarios con el dominio govin indicando que algunas de sus direcciones de correo electroacutenico se habiacutean filtrado y que deben completar un control de seguridad antes del 5 de julio
Los correos electroacutenicos se adjuntan con un mensaje Seguridad de correo checkdocx supuestamente del Centro de Seguridad de la Informacioacuten del Gobierno de la India Al abrirlo emplea la inyeccioacuten de plantilla para descargar una plantilla remota y ejecutar una variante muy ofuscada de Cobalt Strike Pero un diacutea despueacutes del ataque antes mencionado los operadores cambiaron la carga maliciosa Cobalt Strike por una versioacuten actualizada del malware MgBot
Y en la tercera versioacuten que se vio en la naturaleza el 5 de julio los investigadores observaron que la APT utilizaba un documento incrustado completamente diferente con una declaracioacuten sobre Hong Kong del primer ministro britaacutenico Boris Johnson que supuestamente prometiacutea admitir tres millones de hongkoneses en el paiacutes
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Los comandos maliciosos para descargar y soltar el cargador que estaacuten codificados dentro de los documentos se ejecutan utilizando el protocolo de intercambio dinaacutemico de datos (DDE siglas en ingles) un sistema de comunicacioacuten entre procesos que permite que los datos se comuniquen o compartan entre aplicaciones de Windows
3 Indicadores de Compromiso (IoC)
Hashes
o 2a5890aca37a83ca02c78f00f8056e20d9b73f0532007b270dbf99d5ade59e2a
o fc885b50892fe0c27f797ba6670012cd3bbd5dc66f0eb8fdd1b5fca9f1ea98cc
o 3b93bc1e0c73c70bc8f314f2f11a91cf5912dab4c3d34b185bd3f5e7dd0c0790
o ecf63a9430a95c34f85c4a261691d23f5ac7993f9ac64b0a652110659995fc03
o 1e9c91e4125c60e5cc5c4c6ef8cbb94d7313e20b830a1e380d5d84b8592a7bb6
o 3a04c1bdce61d76ff1a4e1fd0c13da1975b04a6a08c27afdd5ce5c601d99a45b
o 855af291da8120a48b374708ef38393e7c944a8393880ef51352ce44e9648fd8
o 1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
o 99aee7ae27476f057ef3131bb371a276f77a526bb1419bfab79a5fac0582b76a
Muestras para MgBot
Hashes
o 2310f3d779acdb4881b5014f4e57dd65b4d6638fd011ac73e90df729b58ae1e0
o e224d730e66931069d6760f2cac97ab0f62d1ed4ddec8b58783237d3dcd59468
o 5b0c93a70032d80c1f5f61e586edde6360ad07b697021a83ed75481385f9f51f
o 1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
o 07bb016c3fde6b777be4b43f293cacde2d3aae0d4e4caa15e7c66835e506964f
o 7bdfabdf9a96b3d941f90ec124836084827f6ef06fadf0dce1ae35c2361f1ac6
o 8ab344a1901d8129d99681ce33a76f7c64fd95c314ac7459c4b1527c3d968bb4
o f41bfc57c2681d94bf102f39d4af022beddafb4d49a49d7d7c1901d14eb698d2
IP que ha sido utilizada por Cobalt Strike como un servidor de CampC 45[] 77[] 245 [] 0
IP del servidor CampC utilizado por la carga uacutetil final 42 [] 99 [] 116 [] 225
Dominio para plantillas remotos flashgovernmentmmcom
Muestras para Android
Hashes
o b5304a0836baf1db8909128028793d12bd418ff78c69dc6f9d014cadede28b77
o 9aade1f7a1f067688d5da9e9991d3a66799065ffe82fca7bb679a71d89fec846
o 5f7f87db34340ec83314313ec40333aebe6381ef00b69d032570749d4cedee46
4 Recomendaciones
Evaluar el bloqueo de indicadores de compromiso
Eliminar correos electroacutenicos con contenido de dudosa procedencia
Cambiar perioacutedicamente la contrasentildea de su cuenta de correo electroacutenico
Utilizar contrasentildeas seguras
Contar con un antivirus y estar actualizado
Fuentes de informacioacuten Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 5 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta Vulnerabilidad de Apache Tomcat
Tipo de ataque Explotacioacuten de vulnerabilidades conocidas Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia H Coacutedigo de subfamilia H01
Clasificacioacuten temaacutetica familia Intento de intrusioacuten
Descripcioacuten
1 ANTECEDENTES
Las instituciones como The Apache Software Foundation El Centro Criptoloacutegico Nacional de Espantildea (CN-CERT) y el Instituto Nacional de Ciberseguridad (INCIBE) han venido reportando desde el 15 de Julio de 2020 muacuteltiples vulnerabilidades en la plataforma Apache Tomcat en sus anteriores versiones como 7027 850 900M1 y la 1000-M1
2 DESCRIPCION DE LA VULNERABILIDAD
Entre las muacuteltiples vulnerabilidades encontramos las siguientes
Las versiones 7 8 9 y 10 de Apache Tomcat estaacuten afectadas por 2 vulnerabilidades una severidad criacutetica y otra media de tipo denegacioacuten de servicio (DoS) en WebSocket y DoS en el protocolo HTTP2 respectivamente
CVE-2020-13934 Vulnerabilidad que puede permitir la lectura o escritura en una ubicacioacuten de memoria que estaacute fuera del liacutemite previsto del buacutefer El error se produce cuando una conexioacuten directa h2c no libera el proceso HTTP11 despueacutes de la actualizacioacuten a HTTP2 Un atacante que realice una cantidad suficiente de este tipo de solicitudes provocariacutea una excepcioacuten del tipo OutOfMemoryException y causariacutea una denegacioacuten de servicio
CVE-2020-13935 Vulnerabilidad del tipo ldquoInfinite Looprdquo al existir una iteracioacuten o ciclo con una condicioacuten de salida que no se puede alcanzar es decir un ciclo infinito El fallo se debe a que la longitud del payload en un marco WebSocket no se valida correctamente en Apache Tomcat Estas longitudes no vaacutelidas podriacutean desencadenar bucles infinitos y en gran nuacutemero conducir a escenarios de denegacioacuten de servicio
3 RECURSOS AFECTADOS
Las aplicaciones u versiones afectadas a esta vulnerabilidad son
Apache Tomcat 1000-M1 a 1000-M6
Apache Tomcat 900M5 a 9036
Apache Tomcat 851 a 8556
Apache Tomcat versiones 850 a 8556
Apache Tomcat versiones 7027 a 70104
4 NIVEL DE RIESGO Intermedio - Alto
5 MITIGACION
Actualizar a Apache Tomcat 1000-M7 o posterior
Actualizar a Apache Tomcat 9037 o posterior
Actualizar a Apache Tomcat 8557 o posterior
NOTA Todas las versiones de Apache Tomcat se encuentran disponibles en el siguiente enlace https[]archiveapacheorgdisttomcat
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE http[]tomcatapacheorgsecurity-10html http[]tomcatapacheorgsecurity-9html http[]tomcatapacheorgsecurity -8html https[]nvdnistgovvulndetailCVE-2020-13935vulnCurrentDescriptionTitle https[]nvdnistgovvulndetailCVE-2020-13934vulnCurrentDescriptionTitle
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 6 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta App de trading falso genera malware para MACacutes
Tipo de ataque Malware Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 DESCRIPCIOacuteN DEL EVENTO ANOMALO
Se ha descubierto sitios web que distribuyen aplicaciones maliciosas para la compra y venta de criptomonedas dirigidas a usuarios de Mac (ver figura 1) El malware utilizado tiene como objetivo robar informacioacuten como son cookies del navegador billeteras de criptomonedas y realizar capturas de pantalla Al analizar las muestras de malware se descubrioacute raacutepidamente que se trataba de una nueva campantildea de lo que los investigadores de Trend Micro llamaron GMERA en un anaacutelisis que publicaron en septiembre de 2019 Al igual que en las campantildeas anteriores el malware reporta a un servidor de CampC a traveacutes de HTTP y conecta sesiones de terminal remotas a otro servidor de CampC utilizando una direccioacuten IP hardcodeada
2 VECTORES DE ATAQUE
Todaviacutea no se ha podido encontrar exactamente doacutende se promueven estas aplicaciones troyanizadas Sin embargo en marzo de 2020 Kattana publicoacute una advertencia (ver figura Ndeg2) que sugiere que las viacutectimas fueron abordadas de forma individual con la intencioacuten de engantildearlas para que descarguen una app troyanizada No se ha podido confirmar que estuviera vinculado a esta campantildea en particular pero bien podriacutea ser el caso la supuesta URL anoacutemala es kattanatrade[]online al acceder a dicha URL algunos navegadores lo identifican como una URL maliciosa (ver figura Ndeg3) sin embargo en otros ambientes lo podriacutea detectar como una aplicacioacuten normal Los sitios web copiados estaacuten configurados para que la descarga de la falsa aplicacioacuten parezca legiacutetima En este sentido para una persona que no conoce Kattana los sitios web tienen apariencia legiacutetima la plataforma oficial es la mostrada en la figura Ndeg4 y la clonada es la figura Ndeg5 con la direccioacuten licatrade[]com
El botoacuten de descarga en los sitios falsos es un enlace a un archivo ZIP que contiene el paquete de aplicaciones troyanizadas
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 INDICADORES DE COMPROMISO
La aplicacioacuten maliciosa Licatrade estaba disponible en el sitio web licatradecom y el dominio del servidor CampC al que reporta viacutea HTTP es stepbystepby[]com Ambos dominios se registraron utilizando la direccioacuten de correo electroacutenico levistor777gmailcom La buacutesqueda de otros dominios registrados con esa direccioacuten de correo electroacutenico revela lo que pareceriacutean ser campantildeas anteriores Aquiacute hay una lista de dominios que encontramos en muestras o registrados con esa direccioacuten de correo electroacutenico
SHA-1 Filename
2AC42D9A11B67E8AF7B610AA59AADCF1BD5EDE3B Licatradezip
560071EF47FE5417FFF62CB5C0E33B0757D197FA LicatradeappContentsResourcesrunsh
4C688493958CC7CCCFCB246E706184DD7E2049CE LicatradeappContentsMacOSLicatrade
9C0D839D1F3DA0577A123531E5B4503587D62229 Cointrazerzip
DA1FDA04D4149EBF93756BCEF758EB860D0791B0 CointrazerappContentsResourcesnytyntrunsh
F6CD98A16E8CC2DD3CA1592D9911489BB20D1380 CointrazerappContentsMacOSCointrazer
575A43504F79297CBFA900B55C12DC83C2819B46 Stockfoliozip
B8F19B02F9218A8DD803DA1F8650195833057E2C StockfolioappContentsMacOSStockfoli
AF65B1A945B517C4D8BAAA706AA19237F036F023 StockfolioappContentsResourcesrunsh
Nombres de dominio
repbaerraypw macstockfoliocom latinumtradecom trezaruscom creditfinelorcom
trezarusnet cointrazercom apperdentacom narudinacom maccatreckcom
nagsrsdfsudinasacom cupatradecom stepbystepbycom licatradecom
Direcciones IP
85[]209[]88[]123 85[]217[]171[]87 193[]37[]214[]7 193[]37[]212[]97
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE https[]twittercomkattanatradestatus1238051414745722880 https[]blogtrendmicrocomtrendlabs-security-intelligencemac-malware-that-spoofs-
trading-app-steals-user-information-uploads-it-to-website https[]wwwwelivesecuritycomla-es20200720app-trading-criptomonedas-para-
mac-utilizada-distribuir-malwareutm_campaign=welivesecurityamputm_source=linkedinamputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 8 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento
Tipo de ataque Robo de informacioacuten Abreviatura RobInfo
Medios de propagacioacuten Red internet redes sociales
Coacutedigo de familia K Coacutedigo de subfamilia K01
Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 Debido a un fallo de configuracioacuten de seguridad los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (tambieacuten llamado Charming Kitten Phosphorous o APT35)
2 Los investigadores de IBM dijeron que encontraron los viacutedeos en un servidor cloud que quedoacute expuesto debido a una incorrecta configuracioacuten de seguridad El servidor conteniacutea maacutes de 40 gigabytes de datos
3 Los archivos de viacutedeo descubiertos muestran que ITG18 teniacutea acceso al correo electroacutenico de los objetivos y las credenciales de las redes sociales obtenidas a traveacutes de ataques de phishing Utilizaban la informacioacuten para iniciar sesioacuten en las cuentas eliminar notificaciones de inicios de sesioacuten sospechosos para no alertar a las viacutectimas y filtrar contactos fotos y documentos de Google Drive
4 ITG18 tiene un largo historial de ataque es al personal militar diplomaacutetico y gubernamental de los EEUU para la recoleccioacuten de inteligencia que pueda servir a los intereses geopoliacuteticos de Iraacuten
5 Se recomienda
Aplicar buenas praacutecticas y criterios de seguridad para evitar ser viacutectimas de Mekotio
No abrir enlaces contenidos en correos no deseados
Evitar la descargar archivos adjuntos en correos no deseados en caso de que un archivo comience a descargarse automaacuteticamente no abrirlo
Ser especialmente prudentes a la hora de descargarejecutar instaladores msi o ejecutables exe verificando su legitimidad y sometieacutendolos al anaacutelisis de un producto de seguridad
Fuentes de informacioacuten https[]unaaldiahispaseccom202007grupo-de-hackers-iranies-publica-por-accidente-sus-videos-de-entrenamientohtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 3 de 20
Componente que reporta PECERTEQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Nueva campantildea de ciberataques contra agencias gubernamentales de la India y Hong Kong
Tipo de ataque Malware Abreviatura Malware
Medios de propagacioacuten Correo electroacutenico
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional informa que los especialistas en ciberseguridad de la empresa Malwarebytes han detectado nuevas campantildeas de ciberataque dirigidas a las agencias gubernamentales en la India y residentes de Hong Kong con la finalidad de robar informacioacuten confidencial
2 Detalles de la alerta
Los ciberataques a las agencias de gobierno de los paiacuteses de la India y Hong Kong fueron detectados durante la primera semana de julio coincidiendo con la aprobacioacuten de la controvertida ley de seguridad en Hong Kong y la prohibicioacuten de la India de 59 aplicaciones hechas en China por motivos de privacidad
Al atribuir el ciberataque con confianza moderada a un nuevo grupo APT chino especialistas en ciberseguridad de la empresa Malwarebytes mencionaron que pudieron rastrear sus actividades basaacutendose en los ldquointentos uacutenicos de phishing disentildeados para comprometer objetivos en India y Hong Kong
Los operadores del grupo APT han aprovechado al menos tres Taacutecticas Teacutecnicas y Procedimientos (TTP) diferentes utilizando correos electroacutenicos de phishing para eliminar variantes del malware Cobalt Strike y MgBot y aplicaciones falsas de Android para recopilar registros de llamadas contactos y SMS mensajes
Los sentildeuelos utilizados en esta campantildea indican que el actor de la amenaza puede estar apuntando al gobierno indio y a individuos en Hong Kong o al menos a aquellos que estaacuten en contra de la nueva ley de seguridad emitida por China
Una de los ataques maacutes utilizadas son los de Spear-Phishing para instalar el malware de MgBot La primera variante observada el 2 de julio alerto a los destinatarios con el dominio govin indicando que algunas de sus direcciones de correo electroacutenico se habiacutean filtrado y que deben completar un control de seguridad antes del 5 de julio
Los correos electroacutenicos se adjuntan con un mensaje Seguridad de correo checkdocx supuestamente del Centro de Seguridad de la Informacioacuten del Gobierno de la India Al abrirlo emplea la inyeccioacuten de plantilla para descargar una plantilla remota y ejecutar una variante muy ofuscada de Cobalt Strike Pero un diacutea despueacutes del ataque antes mencionado los operadores cambiaron la carga maliciosa Cobalt Strike por una versioacuten actualizada del malware MgBot
Y en la tercera versioacuten que se vio en la naturaleza el 5 de julio los investigadores observaron que la APT utilizaba un documento incrustado completamente diferente con una declaracioacuten sobre Hong Kong del primer ministro britaacutenico Boris Johnson que supuestamente prometiacutea admitir tres millones de hongkoneses en el paiacutes
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Los comandos maliciosos para descargar y soltar el cargador que estaacuten codificados dentro de los documentos se ejecutan utilizando el protocolo de intercambio dinaacutemico de datos (DDE siglas en ingles) un sistema de comunicacioacuten entre procesos que permite que los datos se comuniquen o compartan entre aplicaciones de Windows
3 Indicadores de Compromiso (IoC)
Hashes
o 2a5890aca37a83ca02c78f00f8056e20d9b73f0532007b270dbf99d5ade59e2a
o fc885b50892fe0c27f797ba6670012cd3bbd5dc66f0eb8fdd1b5fca9f1ea98cc
o 3b93bc1e0c73c70bc8f314f2f11a91cf5912dab4c3d34b185bd3f5e7dd0c0790
o ecf63a9430a95c34f85c4a261691d23f5ac7993f9ac64b0a652110659995fc03
o 1e9c91e4125c60e5cc5c4c6ef8cbb94d7313e20b830a1e380d5d84b8592a7bb6
o 3a04c1bdce61d76ff1a4e1fd0c13da1975b04a6a08c27afdd5ce5c601d99a45b
o 855af291da8120a48b374708ef38393e7c944a8393880ef51352ce44e9648fd8
o 1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
o 99aee7ae27476f057ef3131bb371a276f77a526bb1419bfab79a5fac0582b76a
Muestras para MgBot
Hashes
o 2310f3d779acdb4881b5014f4e57dd65b4d6638fd011ac73e90df729b58ae1e0
o e224d730e66931069d6760f2cac97ab0f62d1ed4ddec8b58783237d3dcd59468
o 5b0c93a70032d80c1f5f61e586edde6360ad07b697021a83ed75481385f9f51f
o 1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
o 07bb016c3fde6b777be4b43f293cacde2d3aae0d4e4caa15e7c66835e506964f
o 7bdfabdf9a96b3d941f90ec124836084827f6ef06fadf0dce1ae35c2361f1ac6
o 8ab344a1901d8129d99681ce33a76f7c64fd95c314ac7459c4b1527c3d968bb4
o f41bfc57c2681d94bf102f39d4af022beddafb4d49a49d7d7c1901d14eb698d2
IP que ha sido utilizada por Cobalt Strike como un servidor de CampC 45[] 77[] 245 [] 0
IP del servidor CampC utilizado por la carga uacutetil final 42 [] 99 [] 116 [] 225
Dominio para plantillas remotos flashgovernmentmmcom
Muestras para Android
Hashes
o b5304a0836baf1db8909128028793d12bd418ff78c69dc6f9d014cadede28b77
o 9aade1f7a1f067688d5da9e9991d3a66799065ffe82fca7bb679a71d89fec846
o 5f7f87db34340ec83314313ec40333aebe6381ef00b69d032570749d4cedee46
4 Recomendaciones
Evaluar el bloqueo de indicadores de compromiso
Eliminar correos electroacutenicos con contenido de dudosa procedencia
Cambiar perioacutedicamente la contrasentildea de su cuenta de correo electroacutenico
Utilizar contrasentildeas seguras
Contar con un antivirus y estar actualizado
Fuentes de informacioacuten Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 5 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta Vulnerabilidad de Apache Tomcat
Tipo de ataque Explotacioacuten de vulnerabilidades conocidas Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia H Coacutedigo de subfamilia H01
Clasificacioacuten temaacutetica familia Intento de intrusioacuten
Descripcioacuten
1 ANTECEDENTES
Las instituciones como The Apache Software Foundation El Centro Criptoloacutegico Nacional de Espantildea (CN-CERT) y el Instituto Nacional de Ciberseguridad (INCIBE) han venido reportando desde el 15 de Julio de 2020 muacuteltiples vulnerabilidades en la plataforma Apache Tomcat en sus anteriores versiones como 7027 850 900M1 y la 1000-M1
2 DESCRIPCION DE LA VULNERABILIDAD
Entre las muacuteltiples vulnerabilidades encontramos las siguientes
Las versiones 7 8 9 y 10 de Apache Tomcat estaacuten afectadas por 2 vulnerabilidades una severidad criacutetica y otra media de tipo denegacioacuten de servicio (DoS) en WebSocket y DoS en el protocolo HTTP2 respectivamente
CVE-2020-13934 Vulnerabilidad que puede permitir la lectura o escritura en una ubicacioacuten de memoria que estaacute fuera del liacutemite previsto del buacutefer El error se produce cuando una conexioacuten directa h2c no libera el proceso HTTP11 despueacutes de la actualizacioacuten a HTTP2 Un atacante que realice una cantidad suficiente de este tipo de solicitudes provocariacutea una excepcioacuten del tipo OutOfMemoryException y causariacutea una denegacioacuten de servicio
CVE-2020-13935 Vulnerabilidad del tipo ldquoInfinite Looprdquo al existir una iteracioacuten o ciclo con una condicioacuten de salida que no se puede alcanzar es decir un ciclo infinito El fallo se debe a que la longitud del payload en un marco WebSocket no se valida correctamente en Apache Tomcat Estas longitudes no vaacutelidas podriacutean desencadenar bucles infinitos y en gran nuacutemero conducir a escenarios de denegacioacuten de servicio
3 RECURSOS AFECTADOS
Las aplicaciones u versiones afectadas a esta vulnerabilidad son
Apache Tomcat 1000-M1 a 1000-M6
Apache Tomcat 900M5 a 9036
Apache Tomcat 851 a 8556
Apache Tomcat versiones 850 a 8556
Apache Tomcat versiones 7027 a 70104
4 NIVEL DE RIESGO Intermedio - Alto
5 MITIGACION
Actualizar a Apache Tomcat 1000-M7 o posterior
Actualizar a Apache Tomcat 9037 o posterior
Actualizar a Apache Tomcat 8557 o posterior
NOTA Todas las versiones de Apache Tomcat se encuentran disponibles en el siguiente enlace https[]archiveapacheorgdisttomcat
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE http[]tomcatapacheorgsecurity-10html http[]tomcatapacheorgsecurity-9html http[]tomcatapacheorgsecurity -8html https[]nvdnistgovvulndetailCVE-2020-13935vulnCurrentDescriptionTitle https[]nvdnistgovvulndetailCVE-2020-13934vulnCurrentDescriptionTitle
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 6 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta App de trading falso genera malware para MACacutes
Tipo de ataque Malware Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 DESCRIPCIOacuteN DEL EVENTO ANOMALO
Se ha descubierto sitios web que distribuyen aplicaciones maliciosas para la compra y venta de criptomonedas dirigidas a usuarios de Mac (ver figura 1) El malware utilizado tiene como objetivo robar informacioacuten como son cookies del navegador billeteras de criptomonedas y realizar capturas de pantalla Al analizar las muestras de malware se descubrioacute raacutepidamente que se trataba de una nueva campantildea de lo que los investigadores de Trend Micro llamaron GMERA en un anaacutelisis que publicaron en septiembre de 2019 Al igual que en las campantildeas anteriores el malware reporta a un servidor de CampC a traveacutes de HTTP y conecta sesiones de terminal remotas a otro servidor de CampC utilizando una direccioacuten IP hardcodeada
2 VECTORES DE ATAQUE
Todaviacutea no se ha podido encontrar exactamente doacutende se promueven estas aplicaciones troyanizadas Sin embargo en marzo de 2020 Kattana publicoacute una advertencia (ver figura Ndeg2) que sugiere que las viacutectimas fueron abordadas de forma individual con la intencioacuten de engantildearlas para que descarguen una app troyanizada No se ha podido confirmar que estuviera vinculado a esta campantildea en particular pero bien podriacutea ser el caso la supuesta URL anoacutemala es kattanatrade[]online al acceder a dicha URL algunos navegadores lo identifican como una URL maliciosa (ver figura Ndeg3) sin embargo en otros ambientes lo podriacutea detectar como una aplicacioacuten normal Los sitios web copiados estaacuten configurados para que la descarga de la falsa aplicacioacuten parezca legiacutetima En este sentido para una persona que no conoce Kattana los sitios web tienen apariencia legiacutetima la plataforma oficial es la mostrada en la figura Ndeg4 y la clonada es la figura Ndeg5 con la direccioacuten licatrade[]com
El botoacuten de descarga en los sitios falsos es un enlace a un archivo ZIP que contiene el paquete de aplicaciones troyanizadas
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 INDICADORES DE COMPROMISO
La aplicacioacuten maliciosa Licatrade estaba disponible en el sitio web licatradecom y el dominio del servidor CampC al que reporta viacutea HTTP es stepbystepby[]com Ambos dominios se registraron utilizando la direccioacuten de correo electroacutenico levistor777gmailcom La buacutesqueda de otros dominios registrados con esa direccioacuten de correo electroacutenico revela lo que pareceriacutean ser campantildeas anteriores Aquiacute hay una lista de dominios que encontramos en muestras o registrados con esa direccioacuten de correo electroacutenico
SHA-1 Filename
2AC42D9A11B67E8AF7B610AA59AADCF1BD5EDE3B Licatradezip
560071EF47FE5417FFF62CB5C0E33B0757D197FA LicatradeappContentsResourcesrunsh
4C688493958CC7CCCFCB246E706184DD7E2049CE LicatradeappContentsMacOSLicatrade
9C0D839D1F3DA0577A123531E5B4503587D62229 Cointrazerzip
DA1FDA04D4149EBF93756BCEF758EB860D0791B0 CointrazerappContentsResourcesnytyntrunsh
F6CD98A16E8CC2DD3CA1592D9911489BB20D1380 CointrazerappContentsMacOSCointrazer
575A43504F79297CBFA900B55C12DC83C2819B46 Stockfoliozip
B8F19B02F9218A8DD803DA1F8650195833057E2C StockfolioappContentsMacOSStockfoli
AF65B1A945B517C4D8BAAA706AA19237F036F023 StockfolioappContentsResourcesrunsh
Nombres de dominio
repbaerraypw macstockfoliocom latinumtradecom trezaruscom creditfinelorcom
trezarusnet cointrazercom apperdentacom narudinacom maccatreckcom
nagsrsdfsudinasacom cupatradecom stepbystepbycom licatradecom
Direcciones IP
85[]209[]88[]123 85[]217[]171[]87 193[]37[]214[]7 193[]37[]212[]97
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE https[]twittercomkattanatradestatus1238051414745722880 https[]blogtrendmicrocomtrendlabs-security-intelligencemac-malware-that-spoofs-
trading-app-steals-user-information-uploads-it-to-website https[]wwwwelivesecuritycomla-es20200720app-trading-criptomonedas-para-
mac-utilizada-distribuir-malwareutm_campaign=welivesecurityamputm_source=linkedinamputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 8 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento
Tipo de ataque Robo de informacioacuten Abreviatura RobInfo
Medios de propagacioacuten Red internet redes sociales
Coacutedigo de familia K Coacutedigo de subfamilia K01
Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 Debido a un fallo de configuracioacuten de seguridad los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (tambieacuten llamado Charming Kitten Phosphorous o APT35)
2 Los investigadores de IBM dijeron que encontraron los viacutedeos en un servidor cloud que quedoacute expuesto debido a una incorrecta configuracioacuten de seguridad El servidor conteniacutea maacutes de 40 gigabytes de datos
3 Los archivos de viacutedeo descubiertos muestran que ITG18 teniacutea acceso al correo electroacutenico de los objetivos y las credenciales de las redes sociales obtenidas a traveacutes de ataques de phishing Utilizaban la informacioacuten para iniciar sesioacuten en las cuentas eliminar notificaciones de inicios de sesioacuten sospechosos para no alertar a las viacutectimas y filtrar contactos fotos y documentos de Google Drive
4 ITG18 tiene un largo historial de ataque es al personal militar diplomaacutetico y gubernamental de los EEUU para la recoleccioacuten de inteligencia que pueda servir a los intereses geopoliacuteticos de Iraacuten
5 Se recomienda
Aplicar buenas praacutecticas y criterios de seguridad para evitar ser viacutectimas de Mekotio
No abrir enlaces contenidos en correos no deseados
Evitar la descargar archivos adjuntos en correos no deseados en caso de que un archivo comience a descargarse automaacuteticamente no abrirlo
Ser especialmente prudentes a la hora de descargarejecutar instaladores msi o ejecutables exe verificando su legitimidad y sometieacutendolos al anaacutelisis de un producto de seguridad
Fuentes de informacioacuten https[]unaaldiahispaseccom202007grupo-de-hackers-iranies-publica-por-accidente-sus-videos-de-entrenamientohtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Los comandos maliciosos para descargar y soltar el cargador que estaacuten codificados dentro de los documentos se ejecutan utilizando el protocolo de intercambio dinaacutemico de datos (DDE siglas en ingles) un sistema de comunicacioacuten entre procesos que permite que los datos se comuniquen o compartan entre aplicaciones de Windows
3 Indicadores de Compromiso (IoC)
Hashes
o 2a5890aca37a83ca02c78f00f8056e20d9b73f0532007b270dbf99d5ade59e2a
o fc885b50892fe0c27f797ba6670012cd3bbd5dc66f0eb8fdd1b5fca9f1ea98cc
o 3b93bc1e0c73c70bc8f314f2f11a91cf5912dab4c3d34b185bd3f5e7dd0c0790
o ecf63a9430a95c34f85c4a261691d23f5ac7993f9ac64b0a652110659995fc03
o 1e9c91e4125c60e5cc5c4c6ef8cbb94d7313e20b830a1e380d5d84b8592a7bb6
o 3a04c1bdce61d76ff1a4e1fd0c13da1975b04a6a08c27afdd5ce5c601d99a45b
o 855af291da8120a48b374708ef38393e7c944a8393880ef51352ce44e9648fd8
o 1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
o 99aee7ae27476f057ef3131bb371a276f77a526bb1419bfab79a5fac0582b76a
Muestras para MgBot
Hashes
o 2310f3d779acdb4881b5014f4e57dd65b4d6638fd011ac73e90df729b58ae1e0
o e224d730e66931069d6760f2cac97ab0f62d1ed4ddec8b58783237d3dcd59468
o 5b0c93a70032d80c1f5f61e586edde6360ad07b697021a83ed75481385f9f51f
o 1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
o 07bb016c3fde6b777be4b43f293cacde2d3aae0d4e4caa15e7c66835e506964f
o 7bdfabdf9a96b3d941f90ec124836084827f6ef06fadf0dce1ae35c2361f1ac6
o 8ab344a1901d8129d99681ce33a76f7c64fd95c314ac7459c4b1527c3d968bb4
o f41bfc57c2681d94bf102f39d4af022beddafb4d49a49d7d7c1901d14eb698d2
IP que ha sido utilizada por Cobalt Strike como un servidor de CampC 45[] 77[] 245 [] 0
IP del servidor CampC utilizado por la carga uacutetil final 42 [] 99 [] 116 [] 225
Dominio para plantillas remotos flashgovernmentmmcom
Muestras para Android
Hashes
o b5304a0836baf1db8909128028793d12bd418ff78c69dc6f9d014cadede28b77
o 9aade1f7a1f067688d5da9e9991d3a66799065ffe82fca7bb679a71d89fec846
o 5f7f87db34340ec83314313ec40333aebe6381ef00b69d032570749d4cedee46
4 Recomendaciones
Evaluar el bloqueo de indicadores de compromiso
Eliminar correos electroacutenicos con contenido de dudosa procedencia
Cambiar perioacutedicamente la contrasentildea de su cuenta de correo electroacutenico
Utilizar contrasentildeas seguras
Contar con un antivirus y estar actualizado
Fuentes de informacioacuten Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 5 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta Vulnerabilidad de Apache Tomcat
Tipo de ataque Explotacioacuten de vulnerabilidades conocidas Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia H Coacutedigo de subfamilia H01
Clasificacioacuten temaacutetica familia Intento de intrusioacuten
Descripcioacuten
1 ANTECEDENTES
Las instituciones como The Apache Software Foundation El Centro Criptoloacutegico Nacional de Espantildea (CN-CERT) y el Instituto Nacional de Ciberseguridad (INCIBE) han venido reportando desde el 15 de Julio de 2020 muacuteltiples vulnerabilidades en la plataforma Apache Tomcat en sus anteriores versiones como 7027 850 900M1 y la 1000-M1
2 DESCRIPCION DE LA VULNERABILIDAD
Entre las muacuteltiples vulnerabilidades encontramos las siguientes
Las versiones 7 8 9 y 10 de Apache Tomcat estaacuten afectadas por 2 vulnerabilidades una severidad criacutetica y otra media de tipo denegacioacuten de servicio (DoS) en WebSocket y DoS en el protocolo HTTP2 respectivamente
CVE-2020-13934 Vulnerabilidad que puede permitir la lectura o escritura en una ubicacioacuten de memoria que estaacute fuera del liacutemite previsto del buacutefer El error se produce cuando una conexioacuten directa h2c no libera el proceso HTTP11 despueacutes de la actualizacioacuten a HTTP2 Un atacante que realice una cantidad suficiente de este tipo de solicitudes provocariacutea una excepcioacuten del tipo OutOfMemoryException y causariacutea una denegacioacuten de servicio
CVE-2020-13935 Vulnerabilidad del tipo ldquoInfinite Looprdquo al existir una iteracioacuten o ciclo con una condicioacuten de salida que no se puede alcanzar es decir un ciclo infinito El fallo se debe a que la longitud del payload en un marco WebSocket no se valida correctamente en Apache Tomcat Estas longitudes no vaacutelidas podriacutean desencadenar bucles infinitos y en gran nuacutemero conducir a escenarios de denegacioacuten de servicio
3 RECURSOS AFECTADOS
Las aplicaciones u versiones afectadas a esta vulnerabilidad son
Apache Tomcat 1000-M1 a 1000-M6
Apache Tomcat 900M5 a 9036
Apache Tomcat 851 a 8556
Apache Tomcat versiones 850 a 8556
Apache Tomcat versiones 7027 a 70104
4 NIVEL DE RIESGO Intermedio - Alto
5 MITIGACION
Actualizar a Apache Tomcat 1000-M7 o posterior
Actualizar a Apache Tomcat 9037 o posterior
Actualizar a Apache Tomcat 8557 o posterior
NOTA Todas las versiones de Apache Tomcat se encuentran disponibles en el siguiente enlace https[]archiveapacheorgdisttomcat
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE http[]tomcatapacheorgsecurity-10html http[]tomcatapacheorgsecurity-9html http[]tomcatapacheorgsecurity -8html https[]nvdnistgovvulndetailCVE-2020-13935vulnCurrentDescriptionTitle https[]nvdnistgovvulndetailCVE-2020-13934vulnCurrentDescriptionTitle
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 6 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta App de trading falso genera malware para MACacutes
Tipo de ataque Malware Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 DESCRIPCIOacuteN DEL EVENTO ANOMALO
Se ha descubierto sitios web que distribuyen aplicaciones maliciosas para la compra y venta de criptomonedas dirigidas a usuarios de Mac (ver figura 1) El malware utilizado tiene como objetivo robar informacioacuten como son cookies del navegador billeteras de criptomonedas y realizar capturas de pantalla Al analizar las muestras de malware se descubrioacute raacutepidamente que se trataba de una nueva campantildea de lo que los investigadores de Trend Micro llamaron GMERA en un anaacutelisis que publicaron en septiembre de 2019 Al igual que en las campantildeas anteriores el malware reporta a un servidor de CampC a traveacutes de HTTP y conecta sesiones de terminal remotas a otro servidor de CampC utilizando una direccioacuten IP hardcodeada
2 VECTORES DE ATAQUE
Todaviacutea no se ha podido encontrar exactamente doacutende se promueven estas aplicaciones troyanizadas Sin embargo en marzo de 2020 Kattana publicoacute una advertencia (ver figura Ndeg2) que sugiere que las viacutectimas fueron abordadas de forma individual con la intencioacuten de engantildearlas para que descarguen una app troyanizada No se ha podido confirmar que estuviera vinculado a esta campantildea en particular pero bien podriacutea ser el caso la supuesta URL anoacutemala es kattanatrade[]online al acceder a dicha URL algunos navegadores lo identifican como una URL maliciosa (ver figura Ndeg3) sin embargo en otros ambientes lo podriacutea detectar como una aplicacioacuten normal Los sitios web copiados estaacuten configurados para que la descarga de la falsa aplicacioacuten parezca legiacutetima En este sentido para una persona que no conoce Kattana los sitios web tienen apariencia legiacutetima la plataforma oficial es la mostrada en la figura Ndeg4 y la clonada es la figura Ndeg5 con la direccioacuten licatrade[]com
El botoacuten de descarga en los sitios falsos es un enlace a un archivo ZIP que contiene el paquete de aplicaciones troyanizadas
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 INDICADORES DE COMPROMISO
La aplicacioacuten maliciosa Licatrade estaba disponible en el sitio web licatradecom y el dominio del servidor CampC al que reporta viacutea HTTP es stepbystepby[]com Ambos dominios se registraron utilizando la direccioacuten de correo electroacutenico levistor777gmailcom La buacutesqueda de otros dominios registrados con esa direccioacuten de correo electroacutenico revela lo que pareceriacutean ser campantildeas anteriores Aquiacute hay una lista de dominios que encontramos en muestras o registrados con esa direccioacuten de correo electroacutenico
SHA-1 Filename
2AC42D9A11B67E8AF7B610AA59AADCF1BD5EDE3B Licatradezip
560071EF47FE5417FFF62CB5C0E33B0757D197FA LicatradeappContentsResourcesrunsh
4C688493958CC7CCCFCB246E706184DD7E2049CE LicatradeappContentsMacOSLicatrade
9C0D839D1F3DA0577A123531E5B4503587D62229 Cointrazerzip
DA1FDA04D4149EBF93756BCEF758EB860D0791B0 CointrazerappContentsResourcesnytyntrunsh
F6CD98A16E8CC2DD3CA1592D9911489BB20D1380 CointrazerappContentsMacOSCointrazer
575A43504F79297CBFA900B55C12DC83C2819B46 Stockfoliozip
B8F19B02F9218A8DD803DA1F8650195833057E2C StockfolioappContentsMacOSStockfoli
AF65B1A945B517C4D8BAAA706AA19237F036F023 StockfolioappContentsResourcesrunsh
Nombres de dominio
repbaerraypw macstockfoliocom latinumtradecom trezaruscom creditfinelorcom
trezarusnet cointrazercom apperdentacom narudinacom maccatreckcom
nagsrsdfsudinasacom cupatradecom stepbystepbycom licatradecom
Direcciones IP
85[]209[]88[]123 85[]217[]171[]87 193[]37[]214[]7 193[]37[]212[]97
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE https[]twittercomkattanatradestatus1238051414745722880 https[]blogtrendmicrocomtrendlabs-security-intelligencemac-malware-that-spoofs-
trading-app-steals-user-information-uploads-it-to-website https[]wwwwelivesecuritycomla-es20200720app-trading-criptomonedas-para-
mac-utilizada-distribuir-malwareutm_campaign=welivesecurityamputm_source=linkedinamputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 8 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento
Tipo de ataque Robo de informacioacuten Abreviatura RobInfo
Medios de propagacioacuten Red internet redes sociales
Coacutedigo de familia K Coacutedigo de subfamilia K01
Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 Debido a un fallo de configuracioacuten de seguridad los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (tambieacuten llamado Charming Kitten Phosphorous o APT35)
2 Los investigadores de IBM dijeron que encontraron los viacutedeos en un servidor cloud que quedoacute expuesto debido a una incorrecta configuracioacuten de seguridad El servidor conteniacutea maacutes de 40 gigabytes de datos
3 Los archivos de viacutedeo descubiertos muestran que ITG18 teniacutea acceso al correo electroacutenico de los objetivos y las credenciales de las redes sociales obtenidas a traveacutes de ataques de phishing Utilizaban la informacioacuten para iniciar sesioacuten en las cuentas eliminar notificaciones de inicios de sesioacuten sospechosos para no alertar a las viacutectimas y filtrar contactos fotos y documentos de Google Drive
4 ITG18 tiene un largo historial de ataque es al personal militar diplomaacutetico y gubernamental de los EEUU para la recoleccioacuten de inteligencia que pueda servir a los intereses geopoliacuteticos de Iraacuten
5 Se recomienda
Aplicar buenas praacutecticas y criterios de seguridad para evitar ser viacutectimas de Mekotio
No abrir enlaces contenidos en correos no deseados
Evitar la descargar archivos adjuntos en correos no deseados en caso de que un archivo comience a descargarse automaacuteticamente no abrirlo
Ser especialmente prudentes a la hora de descargarejecutar instaladores msi o ejecutables exe verificando su legitimidad y sometieacutendolos al anaacutelisis de un producto de seguridad
Fuentes de informacioacuten https[]unaaldiahispaseccom202007grupo-de-hackers-iranies-publica-por-accidente-sus-videos-de-entrenamientohtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 5 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta Vulnerabilidad de Apache Tomcat
Tipo de ataque Explotacioacuten de vulnerabilidades conocidas Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia H Coacutedigo de subfamilia H01
Clasificacioacuten temaacutetica familia Intento de intrusioacuten
Descripcioacuten
1 ANTECEDENTES
Las instituciones como The Apache Software Foundation El Centro Criptoloacutegico Nacional de Espantildea (CN-CERT) y el Instituto Nacional de Ciberseguridad (INCIBE) han venido reportando desde el 15 de Julio de 2020 muacuteltiples vulnerabilidades en la plataforma Apache Tomcat en sus anteriores versiones como 7027 850 900M1 y la 1000-M1
2 DESCRIPCION DE LA VULNERABILIDAD
Entre las muacuteltiples vulnerabilidades encontramos las siguientes
Las versiones 7 8 9 y 10 de Apache Tomcat estaacuten afectadas por 2 vulnerabilidades una severidad criacutetica y otra media de tipo denegacioacuten de servicio (DoS) en WebSocket y DoS en el protocolo HTTP2 respectivamente
CVE-2020-13934 Vulnerabilidad que puede permitir la lectura o escritura en una ubicacioacuten de memoria que estaacute fuera del liacutemite previsto del buacutefer El error se produce cuando una conexioacuten directa h2c no libera el proceso HTTP11 despueacutes de la actualizacioacuten a HTTP2 Un atacante que realice una cantidad suficiente de este tipo de solicitudes provocariacutea una excepcioacuten del tipo OutOfMemoryException y causariacutea una denegacioacuten de servicio
CVE-2020-13935 Vulnerabilidad del tipo ldquoInfinite Looprdquo al existir una iteracioacuten o ciclo con una condicioacuten de salida que no se puede alcanzar es decir un ciclo infinito El fallo se debe a que la longitud del payload en un marco WebSocket no se valida correctamente en Apache Tomcat Estas longitudes no vaacutelidas podriacutean desencadenar bucles infinitos y en gran nuacutemero conducir a escenarios de denegacioacuten de servicio
3 RECURSOS AFECTADOS
Las aplicaciones u versiones afectadas a esta vulnerabilidad son
Apache Tomcat 1000-M1 a 1000-M6
Apache Tomcat 900M5 a 9036
Apache Tomcat 851 a 8556
Apache Tomcat versiones 850 a 8556
Apache Tomcat versiones 7027 a 70104
4 NIVEL DE RIESGO Intermedio - Alto
5 MITIGACION
Actualizar a Apache Tomcat 1000-M7 o posterior
Actualizar a Apache Tomcat 9037 o posterior
Actualizar a Apache Tomcat 8557 o posterior
NOTA Todas las versiones de Apache Tomcat se encuentran disponibles en el siguiente enlace https[]archiveapacheorgdisttomcat
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE http[]tomcatapacheorgsecurity-10html http[]tomcatapacheorgsecurity-9html http[]tomcatapacheorgsecurity -8html https[]nvdnistgovvulndetailCVE-2020-13935vulnCurrentDescriptionTitle https[]nvdnistgovvulndetailCVE-2020-13934vulnCurrentDescriptionTitle
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 6 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta App de trading falso genera malware para MACacutes
Tipo de ataque Malware Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 DESCRIPCIOacuteN DEL EVENTO ANOMALO
Se ha descubierto sitios web que distribuyen aplicaciones maliciosas para la compra y venta de criptomonedas dirigidas a usuarios de Mac (ver figura 1) El malware utilizado tiene como objetivo robar informacioacuten como son cookies del navegador billeteras de criptomonedas y realizar capturas de pantalla Al analizar las muestras de malware se descubrioacute raacutepidamente que se trataba de una nueva campantildea de lo que los investigadores de Trend Micro llamaron GMERA en un anaacutelisis que publicaron en septiembre de 2019 Al igual que en las campantildeas anteriores el malware reporta a un servidor de CampC a traveacutes de HTTP y conecta sesiones de terminal remotas a otro servidor de CampC utilizando una direccioacuten IP hardcodeada
2 VECTORES DE ATAQUE
Todaviacutea no se ha podido encontrar exactamente doacutende se promueven estas aplicaciones troyanizadas Sin embargo en marzo de 2020 Kattana publicoacute una advertencia (ver figura Ndeg2) que sugiere que las viacutectimas fueron abordadas de forma individual con la intencioacuten de engantildearlas para que descarguen una app troyanizada No se ha podido confirmar que estuviera vinculado a esta campantildea en particular pero bien podriacutea ser el caso la supuesta URL anoacutemala es kattanatrade[]online al acceder a dicha URL algunos navegadores lo identifican como una URL maliciosa (ver figura Ndeg3) sin embargo en otros ambientes lo podriacutea detectar como una aplicacioacuten normal Los sitios web copiados estaacuten configurados para que la descarga de la falsa aplicacioacuten parezca legiacutetima En este sentido para una persona que no conoce Kattana los sitios web tienen apariencia legiacutetima la plataforma oficial es la mostrada en la figura Ndeg4 y la clonada es la figura Ndeg5 con la direccioacuten licatrade[]com
El botoacuten de descarga en los sitios falsos es un enlace a un archivo ZIP que contiene el paquete de aplicaciones troyanizadas
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 INDICADORES DE COMPROMISO
La aplicacioacuten maliciosa Licatrade estaba disponible en el sitio web licatradecom y el dominio del servidor CampC al que reporta viacutea HTTP es stepbystepby[]com Ambos dominios se registraron utilizando la direccioacuten de correo electroacutenico levistor777gmailcom La buacutesqueda de otros dominios registrados con esa direccioacuten de correo electroacutenico revela lo que pareceriacutean ser campantildeas anteriores Aquiacute hay una lista de dominios que encontramos en muestras o registrados con esa direccioacuten de correo electroacutenico
SHA-1 Filename
2AC42D9A11B67E8AF7B610AA59AADCF1BD5EDE3B Licatradezip
560071EF47FE5417FFF62CB5C0E33B0757D197FA LicatradeappContentsResourcesrunsh
4C688493958CC7CCCFCB246E706184DD7E2049CE LicatradeappContentsMacOSLicatrade
9C0D839D1F3DA0577A123531E5B4503587D62229 Cointrazerzip
DA1FDA04D4149EBF93756BCEF758EB860D0791B0 CointrazerappContentsResourcesnytyntrunsh
F6CD98A16E8CC2DD3CA1592D9911489BB20D1380 CointrazerappContentsMacOSCointrazer
575A43504F79297CBFA900B55C12DC83C2819B46 Stockfoliozip
B8F19B02F9218A8DD803DA1F8650195833057E2C StockfolioappContentsMacOSStockfoli
AF65B1A945B517C4D8BAAA706AA19237F036F023 StockfolioappContentsResourcesrunsh
Nombres de dominio
repbaerraypw macstockfoliocom latinumtradecom trezaruscom creditfinelorcom
trezarusnet cointrazercom apperdentacom narudinacom maccatreckcom
nagsrsdfsudinasacom cupatradecom stepbystepbycom licatradecom
Direcciones IP
85[]209[]88[]123 85[]217[]171[]87 193[]37[]214[]7 193[]37[]212[]97
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE https[]twittercomkattanatradestatus1238051414745722880 https[]blogtrendmicrocomtrendlabs-security-intelligencemac-malware-that-spoofs-
trading-app-steals-user-information-uploads-it-to-website https[]wwwwelivesecuritycomla-es20200720app-trading-criptomonedas-para-
mac-utilizada-distribuir-malwareutm_campaign=welivesecurityamputm_source=linkedinamputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 8 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento
Tipo de ataque Robo de informacioacuten Abreviatura RobInfo
Medios de propagacioacuten Red internet redes sociales
Coacutedigo de familia K Coacutedigo de subfamilia K01
Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 Debido a un fallo de configuracioacuten de seguridad los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (tambieacuten llamado Charming Kitten Phosphorous o APT35)
2 Los investigadores de IBM dijeron que encontraron los viacutedeos en un servidor cloud que quedoacute expuesto debido a una incorrecta configuracioacuten de seguridad El servidor conteniacutea maacutes de 40 gigabytes de datos
3 Los archivos de viacutedeo descubiertos muestran que ITG18 teniacutea acceso al correo electroacutenico de los objetivos y las credenciales de las redes sociales obtenidas a traveacutes de ataques de phishing Utilizaban la informacioacuten para iniciar sesioacuten en las cuentas eliminar notificaciones de inicios de sesioacuten sospechosos para no alertar a las viacutectimas y filtrar contactos fotos y documentos de Google Drive
4 ITG18 tiene un largo historial de ataque es al personal militar diplomaacutetico y gubernamental de los EEUU para la recoleccioacuten de inteligencia que pueda servir a los intereses geopoliacuteticos de Iraacuten
5 Se recomienda
Aplicar buenas praacutecticas y criterios de seguridad para evitar ser viacutectimas de Mekotio
No abrir enlaces contenidos en correos no deseados
Evitar la descargar archivos adjuntos en correos no deseados en caso de que un archivo comience a descargarse automaacuteticamente no abrirlo
Ser especialmente prudentes a la hora de descargarejecutar instaladores msi o ejecutables exe verificando su legitimidad y sometieacutendolos al anaacutelisis de un producto de seguridad
Fuentes de informacioacuten https[]unaaldiahispaseccom202007grupo-de-hackers-iranies-publica-por-accidente-sus-videos-de-entrenamientohtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 6 de 20
Entidad que reporta MINISTERIO DE RELACIONES EXTERIORES
Nombre de la alerta App de trading falso genera malware para MACacutes
Tipo de ataque Malware Abreviatura EVC
Medios de propagacioacuten Red e internet
Coacutedigo de familia C Coacutedigo de subfamilia C03
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 DESCRIPCIOacuteN DEL EVENTO ANOMALO
Se ha descubierto sitios web que distribuyen aplicaciones maliciosas para la compra y venta de criptomonedas dirigidas a usuarios de Mac (ver figura 1) El malware utilizado tiene como objetivo robar informacioacuten como son cookies del navegador billeteras de criptomonedas y realizar capturas de pantalla Al analizar las muestras de malware se descubrioacute raacutepidamente que se trataba de una nueva campantildea de lo que los investigadores de Trend Micro llamaron GMERA en un anaacutelisis que publicaron en septiembre de 2019 Al igual que en las campantildeas anteriores el malware reporta a un servidor de CampC a traveacutes de HTTP y conecta sesiones de terminal remotas a otro servidor de CampC utilizando una direccioacuten IP hardcodeada
2 VECTORES DE ATAQUE
Todaviacutea no se ha podido encontrar exactamente doacutende se promueven estas aplicaciones troyanizadas Sin embargo en marzo de 2020 Kattana publicoacute una advertencia (ver figura Ndeg2) que sugiere que las viacutectimas fueron abordadas de forma individual con la intencioacuten de engantildearlas para que descarguen una app troyanizada No se ha podido confirmar que estuviera vinculado a esta campantildea en particular pero bien podriacutea ser el caso la supuesta URL anoacutemala es kattanatrade[]online al acceder a dicha URL algunos navegadores lo identifican como una URL maliciosa (ver figura Ndeg3) sin embargo en otros ambientes lo podriacutea detectar como una aplicacioacuten normal Los sitios web copiados estaacuten configurados para que la descarga de la falsa aplicacioacuten parezca legiacutetima En este sentido para una persona que no conoce Kattana los sitios web tienen apariencia legiacutetima la plataforma oficial es la mostrada en la figura Ndeg4 y la clonada es la figura Ndeg5 con la direccioacuten licatrade[]com
El botoacuten de descarga en los sitios falsos es un enlace a un archivo ZIP que contiene el paquete de aplicaciones troyanizadas
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 INDICADORES DE COMPROMISO
La aplicacioacuten maliciosa Licatrade estaba disponible en el sitio web licatradecom y el dominio del servidor CampC al que reporta viacutea HTTP es stepbystepby[]com Ambos dominios se registraron utilizando la direccioacuten de correo electroacutenico levistor777gmailcom La buacutesqueda de otros dominios registrados con esa direccioacuten de correo electroacutenico revela lo que pareceriacutean ser campantildeas anteriores Aquiacute hay una lista de dominios que encontramos en muestras o registrados con esa direccioacuten de correo electroacutenico
SHA-1 Filename
2AC42D9A11B67E8AF7B610AA59AADCF1BD5EDE3B Licatradezip
560071EF47FE5417FFF62CB5C0E33B0757D197FA LicatradeappContentsResourcesrunsh
4C688493958CC7CCCFCB246E706184DD7E2049CE LicatradeappContentsMacOSLicatrade
9C0D839D1F3DA0577A123531E5B4503587D62229 Cointrazerzip
DA1FDA04D4149EBF93756BCEF758EB860D0791B0 CointrazerappContentsResourcesnytyntrunsh
F6CD98A16E8CC2DD3CA1592D9911489BB20D1380 CointrazerappContentsMacOSCointrazer
575A43504F79297CBFA900B55C12DC83C2819B46 Stockfoliozip
B8F19B02F9218A8DD803DA1F8650195833057E2C StockfolioappContentsMacOSStockfoli
AF65B1A945B517C4D8BAAA706AA19237F036F023 StockfolioappContentsResourcesrunsh
Nombres de dominio
repbaerraypw macstockfoliocom latinumtradecom trezaruscom creditfinelorcom
trezarusnet cointrazercom apperdentacom narudinacom maccatreckcom
nagsrsdfsudinasacom cupatradecom stepbystepbycom licatradecom
Direcciones IP
85[]209[]88[]123 85[]217[]171[]87 193[]37[]214[]7 193[]37[]212[]97
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE https[]twittercomkattanatradestatus1238051414745722880 https[]blogtrendmicrocomtrendlabs-security-intelligencemac-malware-that-spoofs-
trading-app-steals-user-information-uploads-it-to-website https[]wwwwelivesecuritycomla-es20200720app-trading-criptomonedas-para-
mac-utilizada-distribuir-malwareutm_campaign=welivesecurityamputm_source=linkedinamputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 8 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento
Tipo de ataque Robo de informacioacuten Abreviatura RobInfo
Medios de propagacioacuten Red internet redes sociales
Coacutedigo de familia K Coacutedigo de subfamilia K01
Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 Debido a un fallo de configuracioacuten de seguridad los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (tambieacuten llamado Charming Kitten Phosphorous o APT35)
2 Los investigadores de IBM dijeron que encontraron los viacutedeos en un servidor cloud que quedoacute expuesto debido a una incorrecta configuracioacuten de seguridad El servidor conteniacutea maacutes de 40 gigabytes de datos
3 Los archivos de viacutedeo descubiertos muestran que ITG18 teniacutea acceso al correo electroacutenico de los objetivos y las credenciales de las redes sociales obtenidas a traveacutes de ataques de phishing Utilizaban la informacioacuten para iniciar sesioacuten en las cuentas eliminar notificaciones de inicios de sesioacuten sospechosos para no alertar a las viacutectimas y filtrar contactos fotos y documentos de Google Drive
4 ITG18 tiene un largo historial de ataque es al personal militar diplomaacutetico y gubernamental de los EEUU para la recoleccioacuten de inteligencia que pueda servir a los intereses geopoliacuteticos de Iraacuten
5 Se recomienda
Aplicar buenas praacutecticas y criterios de seguridad para evitar ser viacutectimas de Mekotio
No abrir enlaces contenidos en correos no deseados
Evitar la descargar archivos adjuntos en correos no deseados en caso de que un archivo comience a descargarse automaacuteticamente no abrirlo
Ser especialmente prudentes a la hora de descargarejecutar instaladores msi o ejecutables exe verificando su legitimidad y sometieacutendolos al anaacutelisis de un producto de seguridad
Fuentes de informacioacuten https[]unaaldiahispaseccom202007grupo-de-hackers-iranies-publica-por-accidente-sus-videos-de-entrenamientohtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 INDICADORES DE COMPROMISO
La aplicacioacuten maliciosa Licatrade estaba disponible en el sitio web licatradecom y el dominio del servidor CampC al que reporta viacutea HTTP es stepbystepby[]com Ambos dominios se registraron utilizando la direccioacuten de correo electroacutenico levistor777gmailcom La buacutesqueda de otros dominios registrados con esa direccioacuten de correo electroacutenico revela lo que pareceriacutean ser campantildeas anteriores Aquiacute hay una lista de dominios que encontramos en muestras o registrados con esa direccioacuten de correo electroacutenico
SHA-1 Filename
2AC42D9A11B67E8AF7B610AA59AADCF1BD5EDE3B Licatradezip
560071EF47FE5417FFF62CB5C0E33B0757D197FA LicatradeappContentsResourcesrunsh
4C688493958CC7CCCFCB246E706184DD7E2049CE LicatradeappContentsMacOSLicatrade
9C0D839D1F3DA0577A123531E5B4503587D62229 Cointrazerzip
DA1FDA04D4149EBF93756BCEF758EB860D0791B0 CointrazerappContentsResourcesnytyntrunsh
F6CD98A16E8CC2DD3CA1592D9911489BB20D1380 CointrazerappContentsMacOSCointrazer
575A43504F79297CBFA900B55C12DC83C2819B46 Stockfoliozip
B8F19B02F9218A8DD803DA1F8650195833057E2C StockfolioappContentsMacOSStockfoli
AF65B1A945B517C4D8BAAA706AA19237F036F023 StockfolioappContentsResourcesrunsh
Nombres de dominio
repbaerraypw macstockfoliocom latinumtradecom trezaruscom creditfinelorcom
trezarusnet cointrazercom apperdentacom narudinacom maccatreckcom
nagsrsdfsudinasacom cupatradecom stepbystepbycom licatradecom
Direcciones IP
85[]209[]88[]123 85[]217[]171[]87 193[]37[]214[]7 193[]37[]212[]97
Fuentes de informacioacuten
Oficina de Tecnologiacutea de la Informacioacuten de RREE https[]twittercomkattanatradestatus1238051414745722880 https[]blogtrendmicrocomtrendlabs-security-intelligencemac-malware-that-spoofs-
trading-app-steals-user-information-uploads-it-to-website https[]wwwwelivesecuritycomla-es20200720app-trading-criptomonedas-para-
mac-utilizada-distribuir-malwareutm_campaign=welivesecurityamputm_source=linkedinamputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 8 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento
Tipo de ataque Robo de informacioacuten Abreviatura RobInfo
Medios de propagacioacuten Red internet redes sociales
Coacutedigo de familia K Coacutedigo de subfamilia K01
Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 Debido a un fallo de configuracioacuten de seguridad los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (tambieacuten llamado Charming Kitten Phosphorous o APT35)
2 Los investigadores de IBM dijeron que encontraron los viacutedeos en un servidor cloud que quedoacute expuesto debido a una incorrecta configuracioacuten de seguridad El servidor conteniacutea maacutes de 40 gigabytes de datos
3 Los archivos de viacutedeo descubiertos muestran que ITG18 teniacutea acceso al correo electroacutenico de los objetivos y las credenciales de las redes sociales obtenidas a traveacutes de ataques de phishing Utilizaban la informacioacuten para iniciar sesioacuten en las cuentas eliminar notificaciones de inicios de sesioacuten sospechosos para no alertar a las viacutectimas y filtrar contactos fotos y documentos de Google Drive
4 ITG18 tiene un largo historial de ataque es al personal militar diplomaacutetico y gubernamental de los EEUU para la recoleccioacuten de inteligencia que pueda servir a los intereses geopoliacuteticos de Iraacuten
5 Se recomienda
Aplicar buenas praacutecticas y criterios de seguridad para evitar ser viacutectimas de Mekotio
No abrir enlaces contenidos en correos no deseados
Evitar la descargar archivos adjuntos en correos no deseados en caso de que un archivo comience a descargarse automaacuteticamente no abrirlo
Ser especialmente prudentes a la hora de descargarejecutar instaladores msi o ejecutables exe verificando su legitimidad y sometieacutendolos al anaacutelisis de un producto de seguridad
Fuentes de informacioacuten https[]unaaldiahispaseccom202007grupo-de-hackers-iranies-publica-por-accidente-sus-videos-de-entrenamientohtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 8 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Grupo de hackers iraniacutees publica por accidente sus viacutedeos de entrenamiento
Tipo de ataque Robo de informacioacuten Abreviatura RobInfo
Medios de propagacioacuten Red internet redes sociales
Coacutedigo de familia K Coacutedigo de subfamilia K01
Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 Debido a un fallo de configuracioacuten de seguridad los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (tambieacuten llamado Charming Kitten Phosphorous o APT35)
2 Los investigadores de IBM dijeron que encontraron los viacutedeos en un servidor cloud que quedoacute expuesto debido a una incorrecta configuracioacuten de seguridad El servidor conteniacutea maacutes de 40 gigabytes de datos
3 Los archivos de viacutedeo descubiertos muestran que ITG18 teniacutea acceso al correo electroacutenico de los objetivos y las credenciales de las redes sociales obtenidas a traveacutes de ataques de phishing Utilizaban la informacioacuten para iniciar sesioacuten en las cuentas eliminar notificaciones de inicios de sesioacuten sospechosos para no alertar a las viacutectimas y filtrar contactos fotos y documentos de Google Drive
4 ITG18 tiene un largo historial de ataque es al personal militar diplomaacutetico y gubernamental de los EEUU para la recoleccioacuten de inteligencia que pueda servir a los intereses geopoliacuteticos de Iraacuten
5 Se recomienda
Aplicar buenas praacutecticas y criterios de seguridad para evitar ser viacutectimas de Mekotio
No abrir enlaces contenidos en correos no deseados
Evitar la descargar archivos adjuntos en correos no deseados en caso de que un archivo comience a descargarse automaacuteticamente no abrirlo
Ser especialmente prudentes a la hora de descargarejecutar instaladores msi o ejecutables exe verificando su legitimidad y sometieacutendolos al anaacutelisis de un producto de seguridad
Fuentes de informacioacuten https[]unaaldiahispaseccom202007grupo-de-hackers-iranies-publica-por-accidente-sus-videos-de-entrenamientohtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 9 de 20
Componente que reporta CIBERDEFENSA Y TELEMAacuteTICA DEL EJEacuteRCITO DEL PERUacute Nombre de la alerta Las familias de malware bancario Tedrade apuntan a usuarios de todo el mundo Tipo de ataque Malware Abreviatura Malware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C02 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se ha encontrado informacioacuten publicada el 20 de julio de 2020 por Security Affairs sobre cuatro familias diferentes de troyanos bancarios brasilentildeos rastreados como Tetrade que se han dirigido a instituciones financieras en Brasil Ameacuterica Latina y Europa
2 Las cuatro familias de malware se llaman Guildma Javali Melcoz y Grandoreiro los expertos creen que son el resultado de una operacioacuten grupo bancario brasilentildeo que estaacute desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero
3 Tanto Guildma como Javali emplean una cadena de ataque de muacuteltiples etapas y se distribuyeron mediante mensajes de phishing utilizando archivos adjuntos de correo electroacutenico comprimido (por ejemplo VBS LNK) o un archivo HTML que ejecuta Javascript para descargar un archivo malicioso
4 Los expertos notaron que el malware usa la herramienta BITSAdmin para descargar los moacutedulos adicionales Los atacantes utilizaron la herramienta para evitar la deteccioacuten ya que estaacute en la lista blanca del sistema operativo Windows El malware tambieacuten aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las cargas uacutetiles descargadas y emplea el secuestro de oacuterdenes de buacutesqueda de DLL para iniciar los binarios de malware Una vez que la carga uacutetil final se instala en el sistema de destino supervisa los sitios web bancarios especiacuteficos Cuando la viacutectima abra estos sitios los atacantes obtendraacuten el control sobre cualquier transaccioacuten financiera realizada por los usuarios
5 Melcoz puede robar contrasentildeas de los navegadores e informacioacuten del portapapeles y las billeteras de Bitcoin reemplazando los detalles de la billetera original con la que estaacute bajo el control del atacante La cadena de ataque comienza con mensajes de phishing que contienen un enlace a un instalador MSI descargable
6 Grandoreiro estaacute alojado en las paacuteginas de Google Sites y se propaga a traveacutes de sitios web comprometidos y Google Ads los atacantes tambieacuten lo enviacutean a traveacutes de mensajes de phishing
7 Se recomienda
No descargar archivos de sitios de dudosa reputacioacuten mantener los programas y el sistema operativo actualizados
Fuentes de informacioacuten https[]securityaffairscowordpress106126malwaretetrade-brazilian-banking-trojahtml
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo defacement a paacutegina web peruana
Tipo de ataque Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten
Abreviatura DAIC
Medios de propagacioacuten Red internet Coacutedigo de familia K Coacutedigo de subfamilia K02 Clasificacioacuten temaacutetica familia Uso inapropiado de recursos
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se tuvo conocimiento que UNA (1) paacutegina web de dominio [edupe] sufrioacute un ataque ciberneacutetico de tipo Defacement Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque
Fecha Paacutegina atacada Hacker Referencia
21072020 http[]wwwunfvedupefacultadesfoimageslukatxt FZ MalaikaHati Universidad
Nacional Federico Villareal
2 Se recomienda
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevencioacuten de intrusos FIREWALL Firewall para Aplicaciones Web y base de datos)
Adquirir un certificado de seguridad para proteger el sitio web
Contratar un escaacutener de seguridad para el sitio web
Realizar copias de seguridad del sitio web con frecuencia
Establecer contrasentildeas seguras para la administracioacuten del servicio web y base de datos asiacute como para los usuarios
Tener software actualizados
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Aplicacioacuten maliciosa ldquocovidtrackerapkrdquo
Tipo de ataque Troyano Abreviatura Troyano Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C01 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute una aplicacioacuten fraudulenta llamada ldquoCOVIDTRACKERAPKrdquo que tiene como finalidad el robo de informacioacuten personal Los ciberdelincuentes siguen aprovechando el desarrollo de la actual pandemia mundial para realizar sus actividades maliciosas en esta oportunidad con la creacioacuten del aplicativo logran obtener datos del usuario luego de haberse descargado el archivo desde una falsa plataforma de Google
2 Asimismo se verificoacute la ruta de descarga de dicha aplicacioacuten en Virus Total resultando maliciosa
3 Se recomienda
Evitar ingresar a enlaces no confiables o no solicitados
Evitar descargar e instalar aplicaciones de plataformas no oficiales
Realizar copias de seguridad perioacutedicas en los equipos moacuteviles
En lo posible contar con antivirus para la proteccioacuten del equipo moacutevil
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 12 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute
Nombre de la alerta Engantildeo que promete cafetera nespresso gratis a traveacutes de whatsapp
Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de Julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que viene circulando viacutea WhatsApp una campantildea de engantildeo en la que se suplanta la identidad de la marca ldquoNespressordquo para hacer creer a las potenciales viacutectimas que estaacuten regalando una cafetera a quienes respondan un cuestionario de tres preguntas
2 Si el usuario decide continuar e ingresa al enlace este redirige a la siguiente paacutegina
Enlace
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
3 Como se puede observar en la imagen anterior se trata de una supuesta paacutegina de premios y promociones que cuenta con un certificado SSL (se observa el candado cerrado a la izquierda de la barra de direcciones) dando seguridad al usuario de que el sitio es legiacutetimo Sin embargo la URL en la barra del navegador no estaacute relacionada con la paacutegina wwwnespressocom
4 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Osint
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 14 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Ataque tipo phishing a paacutegina web de alojamiento de archivos ldquoOne Driverdquo Tipo de ataque Phishing Abreviatura Phishing Medios de propagacioacuten Redes sociales SMS correo electroacutenico videos de internet entre otros Coacutedigo de familia G Coacutedigo de subfamilia G02 Clasificacioacuten temaacutetica familia Fraude
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute que ciberdelincuentes utilizan una nueva modalidad de suplantacioacuten a la paacutegina web de alojamiento de archivos ldquoONE DRIVErdquo mediante el enlace https[]hatunsumakugobecwp-contentthemesmantrawp_exec donde se busca que el usuario ingrese a las cuentas de correo electroacutenico de las plataformas Gmail AoI Yahoo outllook office 365 entre otros con la finalidad de robar informacioacuten personal
3 Al ingresar a una de las cuentas solicita al usuario que ingrese sus credenciales para iniciar sesioacuten
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
4 Por otro lado se analizoacute la URL en ldquoVirus Totalrdquo donde es catalogado como maliciosa
5 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar abrir paacuteginas web no oficiales
Evitar descargar y abrir archivos de fuentes no confiables
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina Virus Total OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 16 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERUacute Nombre de la alerta Coacutedigo malicioso dentro de la infraestructura de telegram Tipo de ataque Spyware Abreviatura Spyware Medios de propagacioacuten USB disco red correo navegacioacuten de internet Coacutedigo de familia C Coacutedigo de subfamilia C08 Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten 1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se identificoacute un programa
de coacutedigo malicioso utiliza el aplicativo de mensajeriacutea Telegram para enviar oacuterdenes a dispositivos infectados con la finalidad de obtener acceso a la informacioacuten de estos Actualmente la amenaza se estaacute propagando por el dominio cl ubicado en Chile mediante el enlace https[]robotica[]clw3ZunC4T3NabRBY[]exe
2 Al ejecutar el enlace el antivirus Kaspersky detecta que el objeto estaacute infectado por HEUR Trojan-
PSW[]MSIL[]Agensla[]gen asimismo otros repositorios lo catalogan de la siguiente manera
3 Se recomienda
Evitar ingresar a enlaces no confiables
Evitar descargar y abrir archivos de fuentes no confiables
No brindar datos personales en sitios web que consideren malicioso
Mantener los equipos protegidos con el software actualizado
Fuentes de informacioacuten Comandancia de Ciberdefensa de la Marina OSINT
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 17 de 20
Componente que reporta DIRECCIOacuteN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo troyano bancario ldquoDEFENSOR IDrdquo abusa del servicio de accesibilidad de Android
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 Resumen
Los investigadores de ESET han descubierto un nuevo troyano bancario para Android con el nombre ldquoDEFENSOR IDrdquo dirigido a usuarios de Brasil con el propoacutesito de robar las credenciales de la viacutectima para iniciar sesioacuten en aplicaciones SMS y mensajes de correo electroacutenico claves privadas de criptomonedas que se hayan abierto e incluso coacutedigos de doble factor de autenticacioacuten (2FA) generados a traveacutes de un software Al evadir los coacutedigos de doble factor de autenticacioacuten los atacantes pueden tomar el control total de la cuenta bancaria de la viacutectima
2 Detalles
El troyano bancario DEFENSOR ID logroacute llegar a tienda de Google Play al reducir la superficie maliciosa de la aplicacioacuten al miacutenimo al eliminar todas las funcionalidades potencialmente maliciosas excepto una abusar del Servicio de Accesibilidad
El Servicio de Accesibilidad es conocido desde hace mucho tiempo como el punto maacutes deacutebil del sistema operativo Android Y si bien las soluciones de seguridad pueden detectar el uso combinado de los servicios de accesibilidad junto con otros permisos funciones sospechosas o funcionalidades maliciosas en el caso de DEFENSOR ID todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones para Android (incluidos los motores de deteccioacuten de los miembros de la App Defense Alliance) y los proveedores de seguridad que participan en el programa VirusTotal fallaron en activar cualquier alarma al enfrentarse a la no existencia de una funcionalidad adicional o permiso Para asegurarse de que el troyano sobrevive al reinicio del dispositivo abusa de los servicios de accesibilidad ya activados que le permitiraacuten al troyano iniciarse justo despueacutes de reiniciar el dispositivo
El troyano DEFENSOR ID puede ejecutar 17 comandos recibidos desde el servidor controlado por el atacante mediante los cuales puede desinstalar una aplicacioacuten iniciar una aplicacioacuten y luego realizar cualquier accioacuten de clictoque controlada remotamente por el atacante Ademaacutes el atacante puede obtener la lista de todas las aplicaciones instaladas en el equipo de la viacutectima y luego iniciar de forma remota la aplicacioacuten que elija para robar credenciales o realizar acciones maliciosas (por ejemplo enviar fondos a traveacutes de una transferencia bancaria)
Seguacuten los investigadores este puede ser la razoacuten por la cual el troyano DEFENSOR ID solicita al usuario que habilite el permiso ldquoModificar la configuracioacuten del sistemardquo Posteriormente el malware cambiaraacute el tiempo de espera de la pantalla a 10 minutos Esto significa que a menos que las viacutectimas bloqueen sus dispositivos mediante el botoacuten del equipo el temporizador proporciona tiempo suficiente para que el malware realice de forma remota operaciones maliciosas en la aplicacioacuten Si el dispositivo se bloquea el malware no puede desbloquearlo
3 Indicadores de Compromiso (IoC) Nombre del paquete HASH Nombre detectado ESET
comsecureprotectworld F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android SpyBanBraA
combrazilandroidfree EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android SpyBanBraA
4 Recomendaciones
Mantener su dispositivo moacutevil actualizado con las uacuteltimas actualizaciones de software de fuentes legiacutetimas
Mantener Google Play Protect activado
No descargar aplicaciones moacuteviles de fuentes no oficiales o no autorizadas
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo
Utilizar soluciones de deteccioacuten de amenazas moacuteviles para una mayor seguridad
Fuentes de informacioacuten https[]wwwwelivesecuritycomla-es20200522peligroso-troyano-bancario-dirigido-usuarios-brasil-descubierto-google-playutm_campaign=welivesecurityamputm_source=twitteramputm_medium=social
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL Ndeg 110
Fecha 23-07-2020
Paacutegina 18 de 20
Componente que reporta DIRECCIOacuteN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERUacute
Nombre de la alerta Deteccioacuten del Troyano Dacls dirigido a sistemas Windows Linux y macOS
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagacioacuten USB disco red correo navegacioacuten de internet
Coacutedigo de familia C Coacutedigo de subfamilia C01
Clasificacioacuten temaacutetica familia Coacutedigo malicioso
Descripcioacuten
1 El 23 de julio de 2020 a traveacutes del monitoreo y buacutesqueda de amenazas en el ciberespacio se detectoacute que en el sitio web RedPacket Security se informa sobre la deteccioacuten del Troyano de acceso remoto Dacls desarrollado por el grupo de hackers Lazarus y dirigido a sistemas operativos Windows Linux y macOS los actores de la amenaza han utilizado el troyano para distribuir otros tipos de ransomware
El troyano al ejecutarse realiza varias funciones como robo de informacioacuten eliminacioacuten y ejecutar archivos escanear estructuras de directorios descargar cargas uacutetiles adicionales eliminar procesos crear procesos de daemon y cargar datos incluidos resultados de escaneo y salida de ejecucioacuten de comandos
Este troyano multiplataforma Dacls y su protocolo de comando y control (C2) utilizan el cifrado de doble capa TLS y RC4 cuando se comunican con C2 asiacute como el cifrado AES para proteger los archivos de configuracioacuten
El troyano estaacute compuesto por un cargador varios complementos y un orquestador disentildeado para cargar los complementos y ejecutarlos en la memoria cada complemento presenta sus propias capacidades uacutenicas
Al ejecutarse el troyano Dacls en sistemas Win32Dacls se carga dinaacutemicamente a traveacutes de una URL remota Por parte de LinuxDacls utiliza 6 moacutedulos de complemento diferentes que incluyen ejecucioacuten de comandos gestioacuten de archivos gestioacuten de procesos acceso a la red de prueba agente de conexioacuten C2 y escaneo de red
o Imagen
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Indicadores de compromiso
o Archivos analizados
Nombre txt
Tipo Text
Tamantildeo 1212 KB (12406 bytes)
MD5 8ceccbdd19fa09de1865018d17257212
SHA-1 87066bd1e17541254d61213a5f576d2410c3728b
SHA-256
4ec5831bc41d3d0e2413ab0f82b59cd24200d14c7bcc95459052018bbbe02a13
Nombre wm64avi
Tipo Win32 DLL
Tamantildeo 166 MB (1745408 bytes)
MD5 6de65fc57a4428ad7e262e980a7f6cc7
SHA-1 db18d9286c0ffa30a57cd84959cb1e8e9c62a5fb
SHA-256 d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb
2 Algunas Recomendaciones
No abra archivos sospechosos
No siga instrucciones de desconocidos
Mantenga su antivirus actualizado
Descargar aplicaciones de fuentes confiables
Tenga presente que los ciberdelincuentes siempre estaacuten buscando estafar a los usuarios
Fuentes de informacioacuten https[]wwwredpacketsecuritycomdacls-rats-goals-are-to-steal-customer-data-and-spread-ransomware
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5
PECERT Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
wwwgobpe
pecertpcmgobpe
Paacutegina 20 de 20
Iacutendice alfabeacutetico
Coacutedigo malicioso 2 3 6 9 11 16 17 18 Correo electroacutenico 3 Destruccioacuten o alteracioacuten de la informacioacuten de configuracioacuten 10 Explotacioacuten de vulnerabilidades conocidas 5 Fraude 12 14 Intento de intrusioacuten 5 internet 5 6 malware 2 3 6 7 9 17 Malware 3 6 9 phishing 2 3 8 9 14 Phishing 3 12 14 ransomware 18 19 Red internet 8 10 Red internet redes sociales 8 redes sociales 1 8 Redes sociales 12 14 Redes sociales SMS correo electroacutenico videos de internet entre otros 12 14 servidor 4 6 7 8 17 software 10 13 15 16 17 Spyware 16 troyanos 9 Troyanos 17 URL 6 13 15 18 USB disco red correo navegacioacuten de internet 9 11 16 17 18 Uso inapropiado de recursos 8 10 Vulnerabilidad 2 5