lima, 25 de mayo de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 25 de mayo de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido eBay escanea puertos de las computadoras que visitan su sitio web. ......................................................... 3

Robo de criptomonedas con extensiones de Google Chrome ...................................................................... 4

Vulnerabilidad de error de validación de entrada SQLite ............................................................................. 5

Los hackers lanzan un nuevo Jailbreak que desbloquea cada iPhone .......................................................... 6

Se observó aumento en los correos electrónicos relacionados con COVID-19 ............................................ 7

Discord Client se convirtió en un ladrón de contraseñas por malware actualizado ..................................... 8

Troyano Anarchygrabber3 ataca a usuarios de “Discord” ............................................................................ 9

Exposición de credenciales de bases de datos del Departamento de Servicios Consulares de Nepal .......10

Vulnerabilidad de día cero, en firewall Sophos ...........................................................................................11

Nueva variante del malware bancario “ZLoader” .......................................................................................12

Suplantación de entidad de la empresa de entretenimiento Netflix ..........................................................16

Malware de control remoto empaquetado en instaladores legítimos de Zoom ........................................18

Índice alfabético ..........................................................................................................................................20

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 051

Fecha: 25-05-2020

Página: 3 de 20

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta eBay escanea puertos de las computadoras que visitan su sitio web.

Tipo de ataque Escaneo de puertos Abreviatura Scanning

Medios de propagación Internet. Código de familia J Código de subfamilia J02

Clasificación temática familia Reconocimiento de información

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la plataforma eBay realiza escaneo de puertos de los visitantes a su sitio web; probablemente ejecuta dicha acción para verificar si hay computadoras comprometidas que se utilizan para realizar compras fraudulentas.

2. Detalles de la alerta:

eBay es un sitio destinado a la subasta y comercio electrónico de productos a través de internet.

Especialistas en ciberseguridad, informan que eBay escanea los puertos de los visitantes. Esto ocurre cuando los visitantes entran en la página ebay.com. En ese momento se ejecuta un script que realiza un escaneo de puerto local de los equipos de los visitantes. Tiene como objetivo detectar soporte remoto y aplicaciones de acceso remoto.

Asimismo, muchos de estos puertos que escanea están relacionados con herramientas de acceso remoto como el escritorio remoto de los sistemas operativos Windows, Computación Virtual en Red (VNC, siglas en ingles), TeamViewer y otros similares. En total realiza un escaneo de 14 puertos diferentes cuando un usuario entra a su sitio web. Para llevar a cabo este escaneo utiliza el script check.js. Ese script intenta conectarse con los puertos.

A través de las investigaciones en ciberseguridad, se ha analizado como muestra un equipo de cómputo y como resultado se ha encontrado el objetivo real del puerto 63333. El script realiza estos escaneos utilizando WebSockets para conectarse al equipo local 127.0.0.1, en el puerto especificado.

También indican que el escaneo de puertos ocurre en sistemas operativos de Windows, pero no a la hora de navegar desde Linux. Esto es así, ya que todas las herramientas que analiza son de Windows.

Cabe precisar, como el escaneo de puertos solo busca programas de acceso remoto, lo más probable es que se haga para verificar si hay computadoras comprometidas que se utilizan para realizar compras fraudulentas en eBay.

3. Recomendaciones:

Mantener el sistema operativo y navegadores actualizados.

Tener antivirus y estar actualizado.

Cambiar las contraseñas periódicamente.

Utilizar contraseñas seguras.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 25-05-2020

Página: 4 de 20

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Robo de criptomonedas con extensiones de Google Chrome

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 25 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del reporte de la empresa de seguridad Naked Security, la cual reporto veintidos (22) extensiones maliciosas del navegador web Google Chrome, que intentaban robar criptomonedas de los usuarios.

2. El investigador de seguridad especializado en criptodivisas Harry Denley de la compañía antes mencionada, descubrió 22 extensiones más de Google Chrome maliciosas. Las extensiones que descubrió se hacían pasar por firmas de criptografía conocidas como Ledger, KeepKey, MetaMask y Jaxx. Su propósito es engañar a los usuarios para que entreguen las credenciales necesarias para acceder a sus billeteras. La mayoría de las extensiones de phishing ya han sido retiradas al momento de la publicación. Según el informe, la mayoría fueron retiradas dentro de las 24 horas de que Denley las reportó.

3. La tienda de extensiones de Google Chrome parece ser un área importante de atención para los ciberdelincuentes que buscan robar criptomonedas. A finales de abril, los administradores de Google cambiaron las reglas que rigen la publicación de las extensiones de Chrome en un intento de dificultar a los estafadores la difusión de código malicioso.

4. Como Cointelegraph informó a mediados de abril, Google eliminó 49 extensiones de phishing del navegador web Chrome después de los informes de actividad maliciosa. A principios de marzo, el principal productor de billeteras de criptomonedas de hardware, Ledger, advirtió a sus usuarios sobre las extensiones de phishing en la tienda. Los informes de finales de abril sugieren que Google todavía tiene que abordar el tema más amplio de las campañas de phishing que utilizan sus plataformas. Un informe sugiere que la plataforma publicitaria de la empresa, Google Ads, fue utilizada para atraer víctimas al clon de phishing de un exchange de criptomonedas. Mientras tanto, la firma de cadenas de bloques, Ripple Labs, presentó una demanda contra Youtube, buscando daños y perjuicios después de que los estafadores de criptomonedas se hicieran pasar por ellos en la plataforma.

5. Se recomienda:

Gestiona tus propias claves.

Mantén tu software actualizado.

Cifra tus claves privadas.

Usa doble autenticación.

Usa direcciones multifirma.

Fuentes de información https[:]//es.cointelegraph.com/news/22-more-crypto-stealing-google-chrome-extensions-discovered

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 25-05-2020

Página: 5 de 20

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de error de validación de entrada SQLite

Tipo de ataque Explotación de Vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 25 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada a través de la red social de Twitter por el usuario “@threatintelctr”, sobre una vulnerabilidad que tiene SQLite de desbordamiento de enteros, el identificador asignado a esta vulnerabilidad es el CVE-2020-13434.

2. SQLite, es un conjunto de sistema de gestión de base de datos relacionales incrustadas de código abierto basado en lenguaje C, el sistema tiene las características de independencia, aislamiento y multiplataforma. Esta vulnerabilidad es debido al desbordamiento de enteros dentro de la función sqlite3_str_vappendf () en printf.c. Un atacante remoto puede pasar datos específicamente diseñados a la aplicación, para desencadenar un desbordamiento de enteros y bloquear la aplicación, causando una denegación de servicio (DoS).

3. Versiones de software afectados:

SQLite:3.0.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1, 3.1.2, 3.1. 3, 3.1.3.1, 3.1.4, 3.1.5, 3.1.6, 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4, 3.2.5, 3.2.6, 3.2.7, 3.2.8, 3.3.0, 3.3.1, 3.3.2, 3.3.3, 3.3.4, 3.3.5, 3.3.6, 3.3.7, 3.3.8, 3.3.9, 3.3.10, 3.3. 11, 3.3.12, 3.3.13, 3.3.14, 3.3.15, 3.3.16, 3.3.17, 3.4.0, 3.4.1, 3.4.2, 3.5.0, 3.5.1, 3.5.2, 3.5.3, 3.5.4, 3.5.5,3.5.6, 3.5.7, 3.5.8, 3.5.9, 3.6.0, 3.6.1, 3.6.2, 3.6.3, 3.6.4, 3.6.5, 3.6.6, 3.6.6.1, 3.6. 6.2, 3.6.7, 3.6.8, 3.6.9, 3.6.10, 3.6.11, 3.6.12, 3.6.13, 3.6.14, 3.6.14.1, 3.6.14.2, 3.6.15, 3.6.16, 3.6.16.1, 3.6.17, 3.6.18, 3.6.19, 3.6.20, 3.6.21, 3.6.22, 3.6.23, 3.6.23.1, 3.7.0, 3.7.0.1, 3.7.1, 3.7. 2, 3.7.3, 3.7.4, 3.7.5, 3.7.6, 3.7.6.1, 3.7.6.2, 3.7.6.3, 3.7.7, 3.7.7.1, 3.7.8, 3.7.9, 3.7.10, 3.7.11, 3.7.12, 3.7.12.1, 3.7.13, 3.7.14, 3.7.14.1, 3.7.15, 3.7.15.1, 3.7.15.2, 3.7.16, 3.7.16.1, 3.7.16.2, 3.7. 17, 3.8.0, 3.8.0.1, 3.8.0.2, 3.8.1, 3.8.2, 3.8.3, 3.8.3.1, 3.8.4, 3.8.4.1, 3.8.4.2, 3.8.4.3, 3.8.5, 3.8.6, 3.8.6.1, 3.8.7, 3.8.7.1, 3.8.7.2, 3.8.7.3, 3.8.7.4, 3.8.8, 3.8.8.1, 3.8.8.2, 3.8.8.3, 3.8.9, 3.8. 10, 3.8.10.1, 3.8.10.2, 3.8.11, 3.8.11.1, 3.9.0, 3.9.1, 3.9.2, 3.9.3, 3.10.0, 3.10.1, 3.10.2, 3.11.0, 3.11.1, 3.12.0, 3.12.1, 3.12.2, 3.13.0, 3.14, 3.14.0, 3.14.1, 3.14.2, 3.15.0, 3.15.1, 3.15.2, 3.16.0, 3.16.1, 3.16.2, 3.17.0, 3.18.0, 3.18.1, 3.18.2, 3.19.0, 3.19.1, 3.19.2, 3.19.3, 3.20.0, 3.20.1, 3.21.0, 3.22.0, 3.23.0, 3.23.1, 3.24.0, 3.25.0, 3.25. 1, 3.25.2, 3.25.3, 3.26.0, 3.27.0, 3.27.1, 3.27.2, 3.28.0, 3.29.0, 3.30.0, 3.30.1, 3.31.0, 3.31.1, 3.32.0

4. Se recomienda:

Instalar la actualización más reciente en el sitio web del proveedor.

Fuentes de información https[:]//twitter.com/threatintelctr/status/1264866604455727110 https[:]//www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2020-13434

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 051

Fecha: 25-05-2020

Página: 6 de 20

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Los hackers lanzan un nuevo Jailbreak que desbloquea cada iPhone

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC




Descripción

1. El 25 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 24 de mayo de 2020 a través de la red social Twitter por el usuario “@RaymondTecIT”, sobre una nueva herramienta de "Jailbreak" que desbloquea todos los iPhone, incluso los modelos más recientes.

2. El Jailbreak, lanzado por el equipo de Unc0ver, es compatible con todos los iPhones que ejecutan iOS 11 y superior, incluido hasta iOS 13.5.

3. Los hackers hacen esto al encontrar una vulnerabilidad previamente no revelada en iOS que rompe algunas de las muchas restricciones que Apple establece para evitar el acceso al software subyacente.

4. Los hackers dicen que romper esas restricciones les permite personalizar sus iPhones más de lo que lo harían los usuarios de Android.

5. Se recomienda:

No emplear la nueva herramienta de “Jailbreak”, ya que puede exponer los dispositivos a otras vulnerabilidades.

Tener siempre actualizado el SO y el programa antivirus.

Fuentes de información https[:]//twitter.com/RaymondTecIT/status/1264553446923022336 https[:]//raymondtec.com/2020/05/hackers-release-a-new-jailbreak-that-unlocks-every-

iphone/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 25-05-2020

Página: 7 de 20

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Se observó aumento en los correos electrónicos relacionados con COVID-19 Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso Descripción

1. El 25 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 22 de mayo de 2020 por Security Affairs, sobre un aumento en los correos electrónicos de correo spam relacionados con COVID-19 que contienen GuLoader.

2. A principios de marzo del presente año, los expertos de “MalwareHunterTeam” descubrieron una campaña con el tema COVID-19 que distribuía el malware “GuLoader” para entregar el troyano que roba información FormBook. La campaña utilizaba correos electrónicos que pretenden ser enviados por miembros de la Organización Mundial de la Salud (OMS).

3. Los malos actores continúan usando señuelos COVID-19 en campañas de malspam. En la campaña monitoreada por Vipre Labs, los atacantes usaron muestras de correo electrónico no deseado que contienen GuLoader. El GuLoader es un RAT (Software diseñado para permitir el acceso remoto o el control de un sistema) popular que apareció en el panorama de amenazas en 2019 y que estuvo involucrado en otras campañas de COVID-19, comprimido en un archivo .rar / .iso.

4. GuLoader generalmente se emplea en campañas de spam utilizando pagos de facturas, transferencias electrónicas o señuelos COVID. En la última campaña, el descargador utiliza servicios de alojamiento en la nube para mantener cifrada la carga útil.

5. Este descargador de malware utiliza servicios de alojamiento en la nube como Microsoft OneDrive o Google Drive para mantener su carga cifrada. Además, GuLoader se usa para descargar troyanos de acceso remoto (RAT) o archivos que permiten a los atacantes controlar, monitorear o robar información en la máquina infectada.

6. El malware implementa técnicas anti-análisis, como un anti-depurador. Para lograr la persistencia, GuLoader crea una carpeta en la que coloca una copia de sí mismo y modifica una clave de registro, el cargador implementa el proceso de vaciado y utiliza los procesos secundarios para descargar, descifrar y mapear la carga útil en la memoria.

7. A principios de marzo del presente año, los expertos de “MalwareHunterTeam” descubrieron una campaña con el tema COVID-19 que distribuía el malware “GuLoader” para entregar el troyano que roba información FormBook. La campaña utilizaba correos electrónicos que pretenden ser enviados por miembros de la Organización Mundial de la Salud (OMS).

8. Se recomienda:

No se debe confiar en los enlaces y archivos adjuntos que se presentan en correos electrónicos irrelevantes, especialmente si dichos correos electrónicos se envían desde direcciones desconocidas y sospechosas.

Si hay una razón para pensar que un correo electrónico no es confiable, entonces la mejor opción es simplemente ignorarlo y dejar su contenido sin abrir.

El software debe descargarse de los sitios web oficiales y a través de enlaces de descarga directa. Descargadores de terceros, instaladores, páginas no oficiales y otros canales, no se deben utilizar herramientas.

Una forma más de mantener seguros los sistemas operativos es escanearlos en busca de virus y otras amenazas regularmente. Estos escaneos deben realizarse con un antivirus o software anti-spyware de buena reputación.

Evitar software ilegal y pirata, ya que puede contener malware.

Fuentes de información https[:]//securityaffairs.co/wordpress/103683/malware/covid-19-related-malspam-guloader.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 25-05-2020

Página: 8 de 20

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Discord Client se convirtió en un ladrón de contraseñas por malware actualizado Tipo de ataque Malware Abreviatura Malware Medios de propagación Usb, disco, red, correo, navegación de internet. Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso. Descripción

1. El 25 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través del equipo de investigadores de Kaspersky, Discord Client, sistema de mensajería, se convirtió en un ladrón de contraseñas por malware actualizado. Fue publicada el día 24 de mayo de 2020 en la página de internet, MuySeguridad.

2. El malware AnarchyGrabber3, y con esta nueva variante, un atacante también puede robar la contraseña de texto plano de una víctima y ordenar a un cliente infectado que propague malware a los amigos de una víctima en Discord.

3. Al robar contraseñas de texto sin formato, los atacantes pueden usarlas en ataques de relleno de credenciales para comprometer las cuentas de la víctima en otros sitios.

4. Cuando se instala, AnarchyGrabber3 modificará el archivo % AppData% \ Discord \ [versión] \ modules \ discord_desktop_core \ index.js del cliente Discord para cargar otros archivos JavaScript agregados por el malware.

5. Se recomienda:

Evitar compartir información de datos de usuario en página web que no sean oficiales.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/discord-client-turned-into-a-password-stealer-by-updated-malware/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 25-05-2020

Página: 9 de 20

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Troyano Anarchygrabber3 ataca a usuarios de “Discord”

Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. El 25 de mayo de 2020, se detectó un troyano denominado “ANARCHYGRABBER3”, el cual ataca a los usuarios de la plataforma de mensajería “Discord” en su versión de escritorio. Es una aplicación de mensajería (voz, video y texto) diseñada para comunidades de videojuegos y hoy en día básicamente para criptoaficionados en donde entablan comunicación con sus semejantes y encontrar recompensas, también utilizado para almacenar criptomonedas recibidas en los servidores donde se encuentran. Es por esa razón que los ciberdelincuentes se han ideado una nueva manera de arrebatarle sus monedas a estos usuarios mediante una nueva técnica de ataque.

El troyano realiza el robo de contraseñas de los perfiles de Discord, desactiva el 2FA y a su vez se propaga mediante mensajes directos a la lista de amigos con ofertas llamativas (juegos, pagos gratis, software Premium gratis o incluso criptomonedas gratis). Esta infección se inicia una vez que el troyano ingresa al sistema de la víctima, sobrescribe el archivo JavaScript index.js en la ruta del cliente Discord y hace el llamado automático a la máquina del atacante, que puede ingresar a la cuenta y sacar todas las monedas. AnarchyGrabber es un troyano que comúnmente se propaga de forma gratuita en foros de hackers y en videos de YouTube que explican cómo robar tokens de usuario de Discord.

2. Se recomienda:

Evitar descargar archivos de enlaces o páginas desconocidas.

Evitar abrir correos de remitentes desconocidos.

Mantener softwares actualizados.

Fuentes de información Comandancia de Ciberdefensa, Osint.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 24-05-2020

Página: 10 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Exposición de credenciales de bases de datos del Departamento de Servicios Consulares de Nepal

Tipo de ataque Fuga de Información Abreviatura FugaInfo

Medios de propagación Red, internet, Redes Sociales

Código de familia K Código de subfamilia K02

Clasificación temática familia Uso Inapropiado de Recursos

Descripción

1. El 25 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó en la red Social denominada Twitter, al usuario identificado con el nombre “GH057_5P3C7P6”, (@gh0575p3c706), quien publicó las credenciales de acceso a la base de datos del Departamento de Servicios Consulares de Nepal.

2. Asimismo, publicó una fotografía donde muestra la base de datos de la institución, poniendo a disposición de los ciberdelincuentes el acceso de la información almacenada en sus servidores.

3. Se recomienda:

Los administradores de bases de datos de las páginas web, deben extremar las medidas de prevención frente a peticiones de SQL que puedan tener como consecuencia la filtración de información sensible como credenciales.

Fuentes de información https[:]//twitter.com/gh0575p3c706/status/1264156817027932160

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 25-05-2020

Página: 11 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA – FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad de día cero, en firewall Sophos

Tipo de ataque Explotación de Vulnerabilidades conocidas Abreviatura EVC




Descripción

1. El 25 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó en la red Social denominada Twitter, al usuario identificado con el nombre “hackplayers”, (@hackplayers), quien publicó donde se muestra una vulnerabilidad de día cero, que afecta al firewall de la compañía británica de software y hardware de seguridad “Sophos”.

2. Asimismo, los ciberdelincuentes aprovecharon la vulnerabilidad y realizaron el ataque inyección SQL de día cero, que permite la ejecución remota de código en los firewalls de Sophos XG, donde lograron instalar varios archivos binarios y scripts que el firewall Sophos denomina troyano “Asnarok”.

3. Cabe mencionar que, dentro de los datos extraídos se encuentra la licencia del firewall, número de serie, lista de direcciones de correo, dirección principal de los administradores, nombres de usuarios, tipo de cifrado de la información y usuarios que cuentan con permiso para usar la VPN.

4. Se recomienda:

Los administradores de servidores deberán extremar medidas en gestionar políticas de seguridad que pueda minimizar riesgos en cuanto a peticiones de SQL que pueda afectar los dispositivos en sus organizaciones.

Fuentes de información https[:]//twitter.com/hackplayers/status/1264730437848649730 https[:]//blog.underc0de.org/intentan-usar-el-firewall-de-sophos-para-atacar-

windows/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 25-05-2020

Página: 12 de 20

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva variante del malware bancario “ZLoader”

Tipo de ataque Malware Abreviatura Malware

Medios de propagación Correo electrónico, redes sociales, entre otros



Descripción

1. Resumen:

Se ha tomado conocimiento que los investigadores de la firma de seguridad Proofpoint han detectado una nueva versión del malware bancario “ZLoader”, que parece estar en desarrollo activo y que está siendo distribuido a través de campañas de correo electrónico. Los señuelos de correo electrónico fraudulentos utilizados, incluyen una variedad de temas, incluidos consejos de prevención de estafas, COVID-19, pruebas COVID-19 y facturas. Los investigadores han visto más de 100 campañas que contienen ZLoader, dirigidas a residentes de EE.UU., Canadá, Alemania, Polonia y Australia desde principio del año.

ZLoader, es una variante del malware bancario Zeus. Es un malware bancario típico que hace uso de webinjects para robar credenciales y otra información privada de usuarios de instituciones financieras específicas. El malware también puede robar contraseñas y cookies almacenadas en los navegadores web de las víctimas. Con la información robada en la mano, el malware puede usar el cliente VNC (Virtual Network Computing) que descarga para permitir que los actores de amenazas se conecten al sistema de la víctima y realicen transacciones financieras ilícitas desde el dispositivo legítimo del usuario bancario.

2. Detalles:

ZLoader, es una variante del malware bancario Zeus. Zeus es un troyano sofisticado y altamente efectivo que tuvo su apogeo a principios de la década de 2010. En 2011, el código fuente de Zeus se filtró, lo que condujo a múltiples variantes nuevas que generaron el original. Esta nueva variante de ZLoader está en desarrollo activo y se ha visto 25 versiones lanzadas desde que se vio la primera versión 1.0.2.0, en diciembre de 2019. En mayo de 2020, esta nueva variante está en la versión 1.2.24.0.

ZLoader emplea varios mecanismos de anti-análisis para que sea más difícil de detectar e invertir en ingeniería. Estos incluyen código basura, ofuscación constante, hashing de la función API (Interfaz de Programación de Aplicaciones) de Windows, cadenas encriptadas y listas negras de Comando y Control (C&C). El siguiente mecanismo anti-análisis es el cifrado de cadenas. La mayoría de las cadenas importantes de ZLoader están encriptadas usando XOR y una cadena codificada (por ejemplo, "7Gl5et # 0GoTI5VV94").

La última medida anti-análisis que mencionaremos no está integrada en el cliente de malware, sino que se implementa en el servidor de C&C. Si bien varía según la campaña, se ha observado una lista negra agresiva de sandboxes y sistemas de análisis de malware y un bloqueo significativo basado en la geografía de la dirección IP de origen de conexión.

ZLoader utiliza una estructura de datos conocida como "BaseConfig" para almacenar su configuración inicial. Utiliza una clave RC4 codificada en sus comunicaciones con su C&C.

ZLoader utiliza solicitudes HTTP (S) POST para C&C. Los datos POST se cifran en dos capas. La primera capa es RC4 usando la clave de BaseConfig. La segunda capa es un cifrado basado en XOR típico en las variantes de Zeus conocidas como "Visual Encrypt".

Los datos de texto sin formato se estructuran utilizando una estructura de datos tradicional de Zeus conocida como "BinStorage". BinStorage consta de un encabezado y un número variable de elementos de datos. Los datos de respuesta se cifran de manera similar a las solicitudes. Una vez descifrado, también suele utilizar la estructura BinStorage.

A partir de la versión 1.1.22.0 (marzo de 2020), se agregó un algoritmo de generación de dominio de respaldo (DGA). Si ZLoader no puede conectarse a los C&C desde BaseConfig o DynamicConfig, generará 32 dominios ".com" para

http://www.gob.pe/



www.gob.pe

[email protected]

probar. El DGA utiliza la clave BaseConfig RC4 para cifrar la fecha actual como semilla inicial. Esta semilla se usa con un algoritmo de hashing básico para generar 20 letras minúsculas.

Dominios de ejemplo generados por DGA a partir del 8 de abril de 2020

En estas campañas de ZLoader, los mensajes contenían archivos adjuntos en PDF que utilizaban la marca de varias compañías de software de facturación.

PDF utilizado en la campaña del 6 de diciembre de 2019

Los archivos PDF contenían una URL maliciosa que enlazaban con un documento de Microsoft Word. El documento utilizó una macro maliciosa para descargar y ejecutar la versión ZLoader "1.0.2.0". Cada una de las descargas fue filtrada por Keitaro TDS (Traffic Distribution System) para dificultar el análisis automatizado.

Documento utilizado en la campaña del 6 de diciembre de 2019

El 30 de marzo de 2020, se observó una campaña de correo electrónico que utilizó múltiples señuelos que "advierten" al usuario de varias estafas de COVID-19.

Correo electrónico utilizado en la campaña del 30 de marzo de 2020

Estos correos electrónicos contenían URL que enlazaban a una página de destino que presenta un desafío CAPTCHA antes de enlazar a la descarga de un documento de Microsoft Word. El documento contenía macros que, si estaban habilitadas, descargarían la versión del malware ZLoader "1.1.21.0".

http://www.gob.pe/



www.gob.pe

[email protected]

CAPTCHA utilizado en la campaña del 30 de marzo de 2020

Documento utilizado en la campaña del 30 de marzo de 2020

El 4 de abril de 2020, también se observó una campaña de correo electrónico que contenía un mensaje sobre un familiar, colega o vecino que contrajo COVID-19, y supuestamente proporcionó información sobre dónde hacerse la prueba.

Correo electrónico utilizado en la campaña del 4 de abril de 2020

Los correos electrónicos contenían hojas de Excel protegidas con contraseña. La hoja utilizó macros de Excel 4.0 para descargar y ejecutar la versión de ZLoader "1.1.22.0".

Hoja de cálculo utilizada en la campaña del 4 de abril de 2020

El malware Zloader utiliza webinjects para robar credenciales, contraseñas y tiendas de cookies en navegadores web y otra información confidencial de clientes de bancos e instituciones financieras, según Proofpoint. El malware luego

http://www.gob.pe/



www.gob.pe

[email protected]

permite a los piratas informáticos conectarse al sistema infectado a través de un cliente de Virtual Network Computing, para que puedan realizar transacciones fraudulentas desde el dispositivo del usuario.

3. Indicadores de Compromiso (IoC):

URL:

hxxp: // marzo262020 \ .best / post.php

hxxp: // marzo262020 \ .club / post.php

hxxp: // marzo262020 \ .com / post.php

hxxp: // marzo262020 \ .live / post.php

hxxp: // marzo262020 \ .network / post.php

hxxp: // marzo262020 \ .online / post.php

hxxp: // marzo262020 \ .site / post.php

hxxp: // marzo262020 \ .store / post.php

hxxp: // marzo262020 \ .tech / post.php

hxxps: // 105711 \ .com / docs.php

hxxps: // 209711 \ .com / process.php

hxxps: // 106311 \ .com / comegetsome.php

hxxps: // 124331 \ .com / success.php

hxxps: // brihutyk \ .xyz / abbyupdater.php

hxxps: // asdmark \ .org / ph4xUMChrXId6.php

hxxps: // todiks \ .xyz / milagrecf.php

hxxps: // vfgthujbxd \ .xyz / milagrecf.php

SHA-256:

6348bded936831629494c1d820fe8e3dbe3fb4d9f96940bbb4ca0c1872bef0ad

4725e0e2e358e06da19de9802b4c345f1a5ab572dd688c78adf317ce8be85be6

f1bdd2bcbaf40bb99224fa293edc1581fd124da63c035657918877901d79bed8

fe10daf5e3de07d400ca37b6b151eb252b71d013312e2958d1281da6626813d9

ea190ef11b88e830fa8835ff9d22dcab77a3356d3b1cb7b9f9b56e8cd7deb8c0

bfe470b390f20e3e189179fc1372d6e66d04d7676fa07d2a356b71362cd03e53

b4e0478cf85035852a664984f8639e98bee3b54d6530ef22d46874b14ad0e748

4. Recomendaciones:

No descargar archivos de sitios de dudosa reputación.

Mantener los programas y el sistema operativo actualizados.

No confiar en correos electrónicos con programas o archivos ejecutables adjuntos.

Cuando recibes archivos adjuntos, presta especial atención a su extensión.

Evitar el software ilegal y pirata, ya que puede contener malware.

Contar con un software antivirus con capacidad proactiva de detección.

En caso de recibir archivos o enlaces no esperados en programas de mensajería, pregunta si la persona lo ha enviado, ya que su sistema puede estar infectado y propagando malware.

Tener cuidado cuando se descarga archivos de redes P2P ya que nada asegura que lo que se descarga sea lo que dice ser.

Evitar usar el usuario “Administrador” para el uso general del sistema, ya que no suele ser necesario.

Prestar mucha atención cuando se navega por internet y evitar descargar de archivos de origen dudoso o que ofrecen soluciones de seguridad falsas.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información hxxps://www.proofpoint.com/us/blog/threat-insight/zloader-loads-again-new-zloader-variant-returns

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 25-05-2020

Página: 16 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Suplantación de entidad de la empresa de entretenimiento Netflix

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 24 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes vienen llevando a cabo una campaña de Phishing, suplantando la identidad de la empresa de entretenimiento de series, documentales y películas “Netflix”, a través de la plataforma de mensajería Telegram, ofreciendo cuentas de Netflix sin fecha de caducidad y a bajo costo, teniendo como requisito ingresar al enlace hxxp://neflix.com/browse.

Imágenes del de proceso de la estafa.

1 2

3 4

5 6

7 8

http://www.gob.pe/



www.gob.pe

[email protected]

2. La URL maliciosa fue analizada con la plataforma de virustotal, el cual es catalogada como phishing:

hxxp://neflix.com/browse

o IP: 34.252.74.1

Topología de IP.

o neflix.com

Topología de URL.

3. Cómo funciona el phishing:

Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.

Medios de propagación del phishing: WhatsApp, telegram, redes sociales, SMS entre otros.

Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.)

4. Referencia:

Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.

5. Algunas Recomendaciones

Verifica la información en los sitios web oficiales de la empresa.

No introduzcas datos personales en páginas sospechosas.

Preguntar a otros usuarios, sobre lo ofertado.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio en redes sociales y fuentes abiertas

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 25-05-2020

Página: 18 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Malware de control remoto empaquetado en instaladores legítimos de Zoom

Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación USB, disco, red, correo, navegación de internet



Descripción

1. El 25 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes vienen aprovechando la connotación que vive el mundo a consecuencia del coronavirus (COVID-19), con la finalidad de llevar a cabo una campaña de phishing, suplantando un sitio web de juegos online, habiendo creado el dominio csgo500.org, con la finalidad de robar las credenciales de los usuarios e intentar vender cuentas o artículos en el juego para obtener ganancias.

Dominio: csgo500.org

o Creado: 10-03-20

o Actualizado: 10-05-20

Sitio Web Oficial Sitio Web Falso (phishing)

Antes de acceder al sitio web

fraudulento, se solicita configurar

el servidor nginx.com

http://www.gob.pe/



www.gob.pe

[email protected]

Detección de Lista Negra: csgo500.org

Dominio relacionado:

o Csgo500.one

o Análisis de IP hallado: 37.18.88.77

2. Referencia:

Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y

conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social

y números de cuentas bancarias, entre otros.

3. Algunas Recomendaciones

Verifica la información en los sitios web oficiales de la empresa.

No introduzcas datos personales en páginas sospechosas.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio de redes sociales y fuente abierta

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 20 de 20

Índice alfabético

Código malicioso ............................................................................................................................................ 7, 8, 9, 12, 18 Correo electrónico ............................................................................................................................................... 12, 13, 14 Correo electrónico, redes sociales, entre otros .............................................................................................................. 12 Explotación de vulnerabilidades conocidas ....................................................................................................................... 6 Fraude .......................................................................................................................................................................... 4, 16 Fuga de Información ........................................................................................................................................................ 10 hxxp ..................................................................................................................................................................... 15, 16, 17 Intento de intrusión ................................................................................................................................................. 5, 6, 11 internet .................................................................................................................................................................... 3, 8, 15 malware ............................................................................................................................................. 2, 7, 8, 12, 13, 14, 15 Malware ......................................................................................................................................................... 2, 7, 8, 12, 18 phishing ................................................................................................................................................................. 4, 17, 18 Phishing ........................................................................................................................................................... 4, 16, 17, 19 puerto ................................................................................................................................................................................ 3 Reconocimiento de información ....................................................................................................................................... 3 Red, internet ...................................................................................................................................................... 5, 6, 10, 11 redes sociales ......................................................................................................................................................... 1, 17, 19 Redes sociales .............................................................................................................................................................. 4, 16 Redes sociales, SMS, correo electrónico, videos de internet, entre otros .................................................................. 4, 16 servidor ............................................................................................................................................................................ 12 servidores .............................................................................................................................................................. 9, 10, 11 software ........................................................................................................................................... 4, 5, 6, 7, 9, 11, 13, 15 spyware ............................................................................................................................................................................. 7 Suplantación ................................................................................................................................................................ 2, 16 troyanos ............................................................................................................................................................................. 7 Troyanos ...................................................................................................................................................................... 9, 18 URL ....................................................................................................................................................................... 13, 15, 17 USB, disco, red, correo, navegación de internet ..................................................................................................... 7, 9, 18 Vulnerabilidad.......................................................................................................................................................... 2, 5, 11 Vulnerabilidades .......................................................................................................................................................... 5, 11

http://www.gob.pe/


lima, 25 de mayo de 2020

Documents