lima, 24 de junio de 2020 · 2020. 6. 28. · pecert │equipo de respuestas ante incidentes de...
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional
de Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información
que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 24 de junio de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Troyano GraceWire implementa captcha para evadir detección de sistemas de seguridad. ...................... 3
Google Analytics Vulnerabilidad .................................................................................................................. 4
Falla en Bitdefender permite hackear su teléfono o laptop de forma remota ............................................ 5
Atacantes comprometen a las grandes empresas con el malware Cobalt Strike. ....................................... 6
Aplicación maliciosa dentro la plataforma de play store............................................................................. 7
Cuidado con borrar el Bloc de Notas, Paint o Wordpad en Windows 10 .................................................... 8
Un "sofisticado hackeo de un agente estatal": Australia denuncia un ataque cibernético contra su
gobierno ...................................................................................................................................................... 9
Cibercriminales utilizan bots IRCflu y InterPlanetary Storm como puerta trasera en servidores SSH ....... 10
Campaña de phishing a través de email .................................................................................................... 12
Índice alfabético ........................................................................................................................................ 14
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 3 de 14
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Troyano GraceWire implementa captcha para evadir detección de sistemas de seguridad.
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación Correo electrónico
Código de familia C Código de subfamilia C01
Clasificación temática familia Código Malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre el Troyano denominado “GraceWire”, el cual según especialistas en ciberseguridad el ataque se inicia usando tácticas de phishing e ingeniería social para entregar documentos con macro infectados en documentos de Microsoft Excel.
Diversas tácticas populares se van a utilizar con el fin de manipular a los destinatarios para que la apertura de los mensajes de correo electrónico y así permitir abrir las macros. La novedad de este troyano es la validación de un formulario captcha, lo cual aún lo hace más creíble y evade la detección de algunos sistemas de seguridad.
2. Detalles de la alerta:
GraceWire es un peligroso troyano que se aprovecha de las Necurs botnet para entregar el malware a través de correos electrónicos de phishing.
Aparentemente los ataques son dirigidos por el grupo de ciberdelincuentes denominados Chimborazo, quienes están distribuyendo un documento Excel manipulado capaz de infectar a las víctimas con el troyano GraceWire.
Sin embargo, antes de descargar el archivo Excel, se le pide a la víctima que complete un formulario captcha. Esta es una característica novedosa ya que tales páginas generalmente son parte de servicios legítimos y sitios en línea. Cuando el formulario captcha se valida el documento de Microsoft Excel se cargará el cual contiene macros maliciosas. Cuando se abre el documento, se mostrará un mensaje pidiendo a los usuarios que habiliten los scripts. Si esto se hace, el troyano se descargará de un servidor remoto y se ejecutará en las computadoras locales.
Como resultado de la infección, el cual incluye múltiples capacidades peligrosas como la ejecución comandos, la recolección de datos, control remoto, la manipulación del sistema y entrega malware adicional.
3. Recomendaciones:
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Ante correos electrónicos de dudosa procedencia no abrir archivos adjuntos y tampoco pulsar sobre enlaces incluidos en el email e informar a su oficial de seguridad u responsable de TI sobre su existencia, con el propósito de reducir el riesgo de ser víctima de un ciberataque.
Realizar concientización constante a los usuarios sobre este tipo de amenaza cibernética.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 4 de 14
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Google Analytics Vulnerabilidad
Tipo de ataque Explotación de vulnerabilidades Abreviatura Analytics
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Vulnerabilidades
Descripción
1. El 24 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento sobre un nuevo incidente de hacking, delincuentes informáticos están usando los servidores de Google y Google Analytics para robar información de las tarjetas de crédito introducidas por los clientes de las tiendas online.
2. Esta semana se conoció un nuevo método para bypassear el CSP (Content Security Policy) usando la API de Google Analytics. El ataque ha estado siendo utilizado por delincuentes Magecart en decenas de sitios de compra online. Esta nueva táctica toma ventaja del hecho de que los sitios de compra online usan Google Analytics para rastrear a visitantes que estén permitiendo los dominios de Google Analytics en su configuración de CSP.
3. Una nueva investigación de Amir Shaked de las empresas de seguridad web Sansec y PerimeterX muestra que usando CSP para prevenir los ataques de robo de tarjetas de crédito es inútil en sitios que también hacen uso de Google Analytics ya que los actores pueden usarlo para exfiltrar los datos recolectados a su propia cuenta.
4. Los atacantes solo tienen que hacer uso de su Tag ID para que sus scripts sean capaces de abusar de Google Analytics para enviar la información recolectada como las credenciales, los datos de la tarjeta de crédito y mucho más.
5. Reconocer y bloquear los scripts que se aprovechan de este fallo de seguridad requiere una solución de visibilidad avanzada que puedan detectar el acceso y exfiltración de los datos sensibles de los usuarios.
6. Se recomienda:
Para mitigar los problemas de seguridad, se recomienda actualizar a la versión más reciente, una vez más se demuestra la gran importancia de contar siempre con las últimas versiones. Es vital que tengamos actualizados los equipos con los parches de seguridad disponibles. En muchas ocasiones pueden surgir vulnerabilidades que son aprovechadas por piratas informáticos para llevar a cabo sus ataques. Es vital que tengamos siempre las últimas actualizaciones y corrijamos así esos problemas.
Fuentes de información https[:]//blog.segu-info.com.ar/2020/06/utilizan-google-analytics-para-robar.html?m=1
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 5 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Falla en Bitdefender permite hackear su teléfono o laptop de forma remota Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet
Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 24 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de especialistas en análisis de vulnerabilidades una vulnerabilidad de ejecución remota de código (RCE) en el componente para navegador web Safepay, de BitDefender, que pondría en riesgo a miles de usuarios.
2. La vulnerabilidad, identificada como “CVE-2020-8102”, se encuentra en las versiones de BitDefender Total Security 2020 anteriores a v24.0.20.116, permite que una página web externa especialmente diseñada ejecute comandos remotos dentro del proceso de Safepay Utility.
3. Un experto en análisis de vulnerabilidades y desarrollador de AdBlock Plus Wladimir Palant, detalló la forma en que descubrió la vulnerabilidad en la forma en que Bitdefender protege a los usuarios de los certificados no válidos. Como parte de la solución para la seguridad general del sistema, BitDefender actúa como un proxy Man-in-the-Middle (MitM) para inspeccionar conexiones HTTPS seguras.
4. Cuando se les presenta un certificado SSL no válido o caducado, la mayoría de los navegadores pasan la opción al usuario de aceptar el certificado con una advertencia o bien de abandonar el sitio web. BitDefender ofrece una experiencia de navegación similar a sus usuarios y proporciona una versión personalizada de dicha página web.
5. Si un usuario elige ignorar las advertencias de HSTS y permanecer en el sitio web bajo su propio riesgo, eso generalmente no es un problema. El problema es que la URL en sí misma dentro de la barra de direcciones del navegador web permanece constante. Esto engaña a la aplicación para compartir tokens de seguridad entre esa página (potencialmente maliciosa) y cualquier otro sitio web alojado en el mismo servidor y que se ejecute dentro del entorno de navegación virtual Safepay de BitDefender.
6. Se recomienda lo siguiente:
Estar pendiente de las actualizaciones de Bitdefender en su página oficial.
Fuentes de información https[:]//noticiasseguridad.com/vulnerabilidades/falla-en-bitdefender-permite-hackear-su-telefono-o-laptop-de-forma-remota/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 6 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Atacantes comprometen a las grandes empresas con el malware Cobalt Strike. Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02 Clasificación temática familia Código Malicioso
Descripción
1. El 24 de Junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró la informacion que se detalla a continuacion: Ciberdelincuentes detrás de los recientes ataques de ransomware Sodinokibi ahora están subiendo su apuesta y escaneando las redes de sus víctimas en busca de tarjetas de crédito o software de punto de venta (PoS). Los investigadores de Symantec creen que esta es una nueva táctica diseñada para permitir a los atacantes obtener el mayor provecho de sus pagos de rescate y datos de tarjetas de crédito.
2. El compromiso del software PoS, que comúnmente se instala en terminales de tarjetas de crédito en tiendas minoristas o restaurantes, es un favorito cibercriminal para desviar información de tarjetas de crédito de clientes desconocidos. En esta campaña, los investigadores encontraron que el ransomware Sodinokibi detectaba sistemas PoS en las redes comprometidas de tres compañías "grandes" no identificadas en los sectores de servicios, alimentos y atención médica.
3. Antes de entregar el ransomware Sodinokibi, los atacantes primero comprometieron a las empresas con el
malware Cobalt Strike. Como parte de esta campaña, los investigadores encontraron ocho organizaciones con el malware Cobalt Strike en sus sistemas. Los atacantes no ejecutarían el ransomware en todas estas empresas: solo tres de las ocho víctimas de Cobalt Strike fueron infectadas adicionalmente por el ransomware Sodinokibi. Los ataques de Cobalt Strike generalmente comienzan explotando dispositivos de red vulnerables o lanzando ataques de fuerza bruta en servidores de Protocolo de escritorio remoto (RDP). Los investigadores creen que estas tácticas de infección iniciales también se utilizaron en esta campaña más reciente.
4. Se recomienda lo siguiente:
Los actores que usan Sodinokibi son sofisticados y hábiles no mostrando la disminucion de sus actividades, dirigiendose a grandes organizaciones corporativas, las empresas deben ser conscientes de la amenaza que representa este tipo de actividad adoptando todas las medidas de ciberseguridad.
Fuentes de información https[:]//threatpost.com/sodinokibi-ransomware-now-scans-networks-for-pos-systems/156855/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 7 de 14
Componente que reporta COMANDANCIA DE CIBERDEFENSA – MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Aplicación maliciosa dentro la plataforma de play store Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso
Descripción
1. El 24 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que ciberdelincuentes siguen aprovechándose del confinamiento social generado por la pandemia Covid-19 (Coronavirus), mediante una aplicación maliciosa de juegos que se encuentra en una tienda de aplicaciones digitales, mediante el enlace: hxxps://play.google.com/store/apps/details?id=org.coolgames.box, cuya finalidad es robar información personal alojada en los dispositivos móviles.
2. Por otro lado, se analizó la aplicación en la página web “Virus Total” donde es catalogado como maliciosa.
3. Recomendaciones:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes desconocidos o no solicitados.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE
SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 8 de 14
Componente que reporta DIRECCIÓN DE INTELIGENCIA – FUERZA AÉREA DEL PERÚ
Nombre de la alerta Cuidado con borrar el Bloc de Notas, Paint o Wordpad en Windows 10
Tipo de ataque Mal uso y abuso de los servicios tecnológicos
Abreviatura MalUsoServtec
Medios de propagación Red, Internet
Código de familia K Código de subfamilia K01
Clasificación temática familia Código malicioso
Descripción
1. El 24 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que
Windows 10 May 2020 Update es la nueva versión del sistema operativo, versión que, desde hace unas semanas, está llegando a todos los usuarios como una actualización gratuita con interesantes cambios y novedades. Microsoft ha convertido sus aplicaciones base, como Bloc de Notas, Paint y Wordpad en características opcionales, esto significa que, aunque vienen por defecto en el sistema operativo, los usuarios pueden desinstalar estos programas fácilmente y sin problemas.
2. Cabe resaltar, que una vez borrados los programas y reiniciado el ordenador, estas aplicaciones ya no estarán
disponibles en nuestro Windows, asimismo, Windows no sabrá cómo abrir los tipos de archivo que abría con dichos programas. Por ejemplo, los RTF de WordPad o los TXT del Bloc de Notas, si intentamos volver a instalar estos programas de Microsoft debemos saber que no va a ser posible.
3. Recomendaciones
Windows 10 no nos permite volver a habilitar estas características opcionales en Windows. Por lo tanto, si hemos decidido borrar estos programas lo único que podemos hacer es instalar programas alternativos para abrir estos tipos de archivos como Notepad++ o Word para poder volver a abrir los documentos.
Fuentes de información https[:]//twitter.com/softzone/status/1273934146994405376?s=08
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE
SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 9 de 14
Componente que reporta DIRECCIÓN DE INTELIGENCIA – FUERZA AÉREA DEL PERÚ
Nombre de la alerta Un "sofisticado hackeo de un agente estatal": Australia denuncia un ataque cibernético contra su gobierno
Tipo de ataque Fuga de Información Abreviatura FugaInfo
Medios de propagación Red, Internet, Redes sociales
Código de familia K Código de subfamilia K02
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 24 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar
que el primer ministro de Australia, Scott Morrison, denunció este viernes que su gobierno y sus instituciones están siendo blanco de un "hackeo" por parte de un "agente estatal"; estos ciberataques son generalizados y han afectado al gobierno, así como a proveedores de servicios esenciales y empresas australianas; sin embargo, el ministro señalo que este tipo de actividad maliciosa no solo afecta a Australia, sino a otros territorios alrededor del mundo.
2. Recomendaciones
Los usuarios deberán extremar medidas para evitar la fuga de información de sus equipos, teniendo actualizados los parches de seguridad, antivirus y entre otros programas para minimizar riesgos.
Fuentes de información https[:]//twitter.com/0fjrm0/status/1273872892225257479?s=08
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 10 de 14
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Cibercriminales utilizan bots IRCflu y InterPlanetary Storm como puerta trasera en servidores SSH
Tipo de ataque Botnets Abreviatura Intrusión
Medios de propagación IRC, USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
Los investigadores de Bitdefender han encontrado recientemente un número creciente de robots dirigidos a SSH escritos en Golang. Tradicionalmente, el malware se escribe en C, C ++ y Perl. Los atacantes están creando malware o bots desde cero, usando un lenguaje de programación diferente, como es el caso de Golang. Personalizar el código y las botnets existentes es mucho más fácil, incluso cuando se trata de expandir sus capacidades con nuevas funciones.
2. Detalles:
Los atacantes han estado utilizando un bot IRC legítimo de código abierto (IRCflu) como puerta trasera (backdoor) en servidores SSH comprometidos. IRCflu no se había utilizado anteriormente de esta manera antes, lo que sugiere que los cibercriminales están diversificando sus métodos de ataque mediante el uso de herramientas legítimas para evadir los radares de las soluciones de seguridad.
El proyecto de código abierto para el bot IRCflu indicó que “entre sus características avanzadas se encuentra un servidor CAT que le permite reenviar mensajes entrantes desde un socket TCP directamente a un canal IRC, y un servidor HTTP integrado listo para procesar llamadas entrantes JSON-API”.
Los investigadores de Bitdefender encontraron una versión personalizada del bot IRCflu cuando algunos de sus honeypots fueron forzados a usar SSH bruteforcing, plantando esta puerta trasera en particular.
Los investigadores han correlacionado estos ataques con una campaña de escaneo masivo dirigida a servidores SSH que tienen credenciales débiles, así como con otros ataques a los honeypots que compartieron el mismo servidor de comando y control (C2), pero usaron un bot IRC común escrito en Perl. Quizás estos actores esperan obtener una ventaja sobre su competencia mediante el uso de un cliente IRC menos común, lo que podría tener menores posibilidades de ser marcado como sospechoso.
El segundo bot de IoT observado, conocido como InterPlanetary Storm, fue visto por primera vez apuntando a máquinas Windows en junio de 2019. Escrito también en Golang, InterPlanetary Storm es una botnet P2P que los actores de amenazas habían utilizado para ejecutar código PowerShell en víctimas comprometidas. Sin embargo, además de comprometer a las víctimas a través de SSH, también han apuntado a Android, usando ADB como un vector de ataque.
Los investigadores de Bitdefender encontraron una nueva campaña en la que los actores de amenazas parecen estar utilizando la misma técnica de fuerza bruta observada con IRCflu para comprometer los servidores SSH y soltar el bot InterPlanetary Storm. Curiosamente, los sistemas infectados están configurados para actuar como proxies socks5, potencialmente para alquilar el acceso a la botnet.
A diferencia de las muestras conocidas anteriormente, estas nuevas variantes parecen apuntar a múltiples arquitecturas de Android y Linux, como Darwin, lo que sugiere que sus desarrolladores han ampliado su enfoque más allá de las máquinas Windows al sistema operativo de código abierto tipo Unix conocido como Darwin.
3. Indicadores de Compromiso (IoC):
IRCflu
SHA1
o c979b74150642985c67756998e3eda1dbcddd92d 5e4607eeac2648977a34696d262c352d39572f27
o 9d43843ec98c67059020772cc5b2e8a7eb9bad0c 615444a26a057ebc3288f75f7ef78a3ff78fbaf4
o 6de5e6a3dc676985d819f2c2ac62d46fa5dc5d2f 267c05d6410e8ab03b188b218426952905f6b9d4
o 80e7ab516de2e3f47852d71b5c7a0c306ea6b5a5 3731c18fb084ebc95bfec29ae4bbae2c6ecbd7fd
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Dominios
o hxxp: // 193 [.] 56.28 [.] 120 / linux-386-ircflu hxxp: // 193 [.] 56.28 [.] 120 / linux-amd64-ircflu
o hxxp: // 193 [.] 56.28 [.] 120 / linux-arm-ircflu hxxp: // 193 [.] 56.28 [.] 120 / linux-mips64-ircflu
o hxxp: // 193 [.] 56.28 [.] 120 / linux-mips64le-ircflu hxxp: // 193 [.] 56.28 [.] 120 / linux-mips-ircflu
o hxxp: // 193 [.] 56.28 [.] 120 / linux-mipsle-ircflu hxxp: // 193 [.] 56.28 [.] 120 / linux-ppc64 -ircflu
o hxxp: // 193 [.] 56.28 [.] 120 / linux-ppc64le-ircflu hxxp: // 193 [.] 56.28 [.] 120 / linux-s390x-ircflu
InterPlanetary Storm
SHA1
o 007dd1362ca43d06b0ca633aa6099493063df7ca 0296faedf44c3c376794b09fa59ead1512712a68
o 05be2d82e8a98da991699f88bda9d1160525c957 086ce30530db7a1b72b9b0b270cd4a1dcc2fa9e6
o 161dd2e5634e9f5f85632500ea701886ce49a155 1c62dfc839e694fd6517dfd736ee8d312ca0ff21
o 2a1e03b568b4e86f36083adf249966aaca610550 3be8947a898d0539666c98c00b53ebe84c006fcf
o 3ccdbd4044623f9639277baa9f3dbec42c66fcf0 3dc474b7f4779e4dce565d7c863e0a01fd17a059
o 56534152c27b991b2bf54635027d11cd8287d227 5a0f8d0607e20aea0157a5572039ff255c0ae88b
o 5d1aa62b6c67b5678a3697153afbcdf45932f4af 6278fa0cf6c5c1f98f242702ea95ce38a40b79cf
o 70a010d97e9d4cc64aff0daeefcd2ca44d22b7f4 7afac23e95b4f83769f7ff7df462988d997b964a
o 7fdec673db4fdf3391995cc6adc3895794f8ff02 88aa38f5c03ffdf7f6c3770f6349fbbc86bd9ab4
o 92b02a4987b360a50f96f86ef3b78a8df2a4d1a8 9454754c054fa94715121062a553d9aac3331065
o 98b540cfb43f1cbfc9ab558bbf55ca8806942d87 9d51af0e3602702d5096d108aea2fff620031cd2
o a79933eb5fd08745c2742dff4b852d57d4b681e4 b47c25a3e34efb40023eeeaddcefa2ead2a71ba8
o baf322bc7a837cd37b0cd132221b8ef2cbfda4f3 bfd425f2af8ab662cc28ad53ca0bd5f0e44f0600
o c9a570eef414a2511955d704643455ddbfe5d930 cae869da63ceb8997e140f14fa2ffccec55ac8a6
o d282272b1eec3aab3956e690e56582792109e822 d331447e55a99692b196147750132770daf28e5b
o d39a2f63dc953c0c1c67cd7a9bec3c5aab9d3628 d6674f5563f07a4ef2db7e37967cffe78b98e85e
4. Recomendaciones:
Asegúrese de que el software antivirus y los archivos asociados estén actualizados.
Busque signos existentes de las IoC indicadas en su entorno.
Considere bloquear y / o configurar la detección de todas las URL e IoC basadas en IP.
Mantenga las aplicaciones y los sistemas operativos en ejecución en el nivel de parche lanzado actual.
Fuentes de información hxxps://labs.bitdefender.com/2020/06/ssh-targeting-golang-bots-becoming-the-new-norm/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 081
Fecha: 24-06-2020
Página: 12 de 14
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Campaña de phishing a través de email
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. El 23 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, a través del envío de correo electrónicos, los ciberdelincuentes viene llevando a cabo una campaña de Phishing, con el cuento de una Donación por parte del Sr. CHRISTIAN DESMARAIS, quien supuestamente se encuentra enfermo y quiere compartir su fortuna.
El email es enviado supuestamente por la persona Sr. CHRISTIAN DESMARAIS, quien le informa a la víctima que ha sido beneficiada del regalo de 500.000 Euros, para lo cual la víctima tiene que responder el email con la palabra “SI”, con la finalidad de proseguir con el proceso de fraude.
Imágenes del contenido del mensaje:
Como se puede apreciar el texto muestra errores de
escritura y ortografía, además no tiene una forma
adecuada
1
3 2
Fotografía de la supuesta
persona CHRISTIAN
DESMARAIS
Archivo PDF Adjunto al Email, con
vista previa
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de Compromiso:
o Dirección Email: christian[.]desmarais99@hotmail[.]com
Al analizar el Email tenemos:
tgc1@embarqmail[.]com Al analizar el Email tenemos:
206[.]152[.]134[.]66 Reportado anteriormente en fuentes de análisis de Phishing con temática del COVID-19.
Archivo PDF:
Nombre: AZOLAVIDA20.pdf Tamaño: 41.84 KB (42845 bytes) Tipo: PDF Creado: 11/12/2019 MD5: 400cf2907ec2f0ffe801912255943d11 SHA-1: 932cfc7150f0fe4d2ad53a5c9520d269ae9e54d7 SHA-256: c009bf5bfd1c44378c7b80bc3635aa8da04c15cb4a0d3
Referencia: o Phishing: Es un término informático que denomina a un conjunto de técnicas que persiguen el engaño a
una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realiza.
2. Algunas Recomendaciones:
No abra Email de remitentes desconocidos.
No aceptes donaciones u oferta por internet.
No siga instrucciones que le envían a través de Email.
Mantenga su antivirus actualizado.
Tenga cuidado con los archivos adjuntos y enlaces en correos electrónicos.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información Análisis propio de redes sociales y fuente abierta
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 14 de 14
Índice alfabético
bot ................................................................................................................................................................................. 10 botnet........................................................................................................................................................................ 3, 10 botnets .......................................................................................................................................................................... 10 Botnets .......................................................................................................................................................................... 10 Código malicioso ................................................................................................................................................... 7, 8, 10 Correo electrónico ........................................................................................................................................................... 3 Explotación de vulnerabilidades conocidas ..................................................................................................................... 5 Fraude ........................................................................................................................................................................... 12 fuerza bruta ............................................................................................................................................................... 6, 10 Fuga de Información........................................................................................................................................................ 9 hxxp ............................................................................................................................................................................... 10 Intento de intrusión ........................................................................................................................................................ 5 internet ......................................................................................................................................................................... 12 IoT ................................................................................................................................................................................. 10 IRC, USB, disco, red, correo, navegación de internet .................................................................................................... 10 Mal uso y abuso de los servicios tecnológicos ................................................................................................................. 8 malware ............................................................................................................................................................ 2, 3, 6, 10 Malware ...................................................................................................................................................................... 6, 7 phishing ................................................................................................................................................................. 2, 3, 12 Phishing ......................................................................................................................................................................... 12 ransomware .................................................................................................................................................................... 6 Red, internet ............................................................................................................................................................... 4, 5 redes sociales ............................................................................................................................................................ 1, 13 Redes sociales ........................................................................................................................................................... 9, 12 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ..................................................................... 12 servidor ................................................................................................................................................................. 3, 5, 10 servidores .......................................................................................................................................................... 2, 4, 6, 10 software ................................................................................................................................................................ 6, 7, 10 URL ............................................................................................................................................................................ 5, 10 USB, disco, red, correo, navegación de internet ......................................................................................................... 6, 7 Uso inapropiado de recursos ........................................................................................................................................... 9 Vulnerabilidad ............................................................................................................................................................. 2, 4 Vulnerabilidades .............................................................................................................................................................. 4