PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 30 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Suplantan página de un operador de telefonía móvil ................................................................................... 3

El nuevo archivo adjunto 'Red Dawn' del malware Emotet .......................................................................... 5

Los piratas informáticos de APT utilizan el complemento de software malicioso Autodesk 3ds ................. 6

El gobierno de EE.UU. advierte sobre piratas informáticos norcoreanos que atacan a bancos de todo el

mundo ........................................................................................................................................................... 7

Detección del malware Anubis, dirigido a sistemas operativos Windows .................................................... 9

Índice alfabético ..........................................................................................................................................11

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 148

Fecha: 30-08-2020

Página: 3 de 11

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Suplantan página de un operador de telefonía móvil

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Red, internet

Código de familia G Código de subfamilia G02

Clasificación temática familia fraude

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa viene circulando anuncios falsos de ofertas de sorteos.

2. Detalle de la alerta

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha podido evidenciar la operación de phishing a través de campañas de publicidad en páginas de dudosa reputación.

La página promete obtener como regalo un dispositivo Smartphone de gama alta, con el fin de que el usuario se sienta animado a completar los formularios con sus datos personales siendo utilizados posteriormente para fines de posibles estafas.

Del mismo modo para que el usuario pueda creer en la página insertan comentarios positivos como dando veracidad del ofrecimiento, siendo estos comentarios falsos.

Domain Name: stockrewardsdelivery.club Registry Domain ID: DB5B6F4D11CEE481291567C479C95B3E4-NSR Registrar WHOIS Server: Registrar URL: Updated Date: 2020-08-26T19:19:44Z Creation Date: 2020-08-15T11:19:57Z Registry Expiry Date: 2021-08-15T11:19:57Z Registrar: Porkbun

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Registrar IANA ID: 1861 Registrar Abuse Contact Email: abuse@porkbun.com Registrar Abuse Contact Phone: +1.5038508351 Domain Status: clientTransferProhibited https[:]//icann.org/epp#clientTransferProhibited Domain Status: clientDeleteProhibited https[:]//icann.org/epp#clientDeleteProhibited Registry Registrant ID: Registrant Name: Registrant Organization: Private by Design, LLC Registrant Street: Registrant Street: Registrant Street: Registrant City: Registrant State/Province: NC Registrant Postal Code: Registrant Country: US Registrant Phone: Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

3. Indicadores de Compromisos

MD5: ebec27bb2d71ac5ed99d9c46a687c0a5

MD5: 092a5670af30c1a9601a3d4539223f48

SHA256: a52cea8e74050769e58351b9abd27884af09015009c9219d3c54ac82570cff0b

SHA256: b8d7fdb3c8aa464f1ead2c838bfe6b0423d754748e85ba8848ee3e19d78e2098

SHA256: b8d7fdb3c8aa464f1ead2c838bfe6b0423d754748e85ba8848ee3e19d78e2098

SHA512: f56892e625610de9dca1f5d79522c5362cf472b2c095e2f848d98f988673591392430d858f6524d640fe7382d79b9d06f235ba34da0aaa4debe0133d37815da8

hXXps://stockrewardsdelivery[.]club

hXXps://stockrewardsdelivery[.]club/pe/claro2of/index.php?lpkey=152c984c8357444e29&uclick=hep21mhq&uclickhash=hep21mhq-hep21mhq-h9dz-e8dz-17ir-gha0-irqq-3343fd#

4. Recomendaciones.

Si recibe un mensaje de texto al celular de instituciones o personas conteniendo enlaces sospechosos solicitando información; no responda ni abra el enlace, podría ser un caso de suplantación de identidad.

Mantenerse informado mediante los canales oficiales, no a través de mensajes de correo, ni de texto (SMS).

No ingrese sus datos personales en cualquier formulario de dudosa procedencia y que no cumplan con las normas, posiblemente solo estén recopilando información personal para posteriormente sea un objetivo de ataque phishing.

Recuerde: No conteste ni abra ningún mensaje que le parezca sospechoso. Tampoco descargue ni abra archivos de fuentes desconocidos. Esos archivos pueden contener virus o software malicioso que podrían permitir a un atacante acceder a su computadora.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 148

Fecha: 30-08-2020

Página: 5 de 11

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta El nuevo archivo adjunto 'Red Dawn' del malware Emotet Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código Malicioso

Descripción

5. El 30 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que el malware botnet Emotet ha comenzado a utilizar una nueva plantilla para sus archivos adjuntos maliciosos, y ha empezado a crear campañas de spam que aparentan ser facturas, información de envío, información de COVID-19, currículums, documentos financieros o documentos escaneados, como se muestra a continuación.

Adjuntos a estos correos electrónicos no deseados hay archivos adjuntos maliciosos de Word (.doc) o un enlace para descargar

6. Cuando se abren, estos archivos adjuntos pedirán al usuario que 'Habilite contenido' para que se ejecuten macros maliciosas para instalar el malware Emotet en la computadora de la víctima.

7. Emotet se considera el malware más extendido dirigido a los usuarios en la actualidad. También es particularmente dañino, ya que instalará otro malware peligroso como Trickbot y QBot en la computadora de la víctima.

8. Se recomienda:

Contar con herramientas de seguridad, la utilización de un buen antivirus puede prevenir la entrada de amenazas que pongan en riesgo nuestros equipos.

Mantener los sistemas actualizados y con los respectivos parches instalados.

Muchos tipos de ataques van a requerir la interacción del usuario, por ejemplo, de tener que hacer clic en un enlace que hemos recibido por correo electrónico o instalar un determinado software que puede ser un problema. Por ello siempre es vital tener el sentido común presente y así reducir el problema.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 148

Fecha: 30-08-2020

Página: 6 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Los piratas informáticos de APT utilizan el complemento de software malicioso Autodesk 3ds Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 30 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por especialistas en seguridad, han reportado que los piratas informáticos APT explotaron una vulnerabilidad en el software de gráficos 3D por computadora convencional Autodesk en secuencia para comenzar un nuevo ataque de ciberespionaje en los sistemas de las empresas internacionales de creación de video y arquitectura.

2. Los investigadores han detectado esta vulnerabilidad y han afirmado que un grupo de piratas informáticos desconocido se había dirigido a empresas de todo el mundo, con malware oculto dentro de complementos maliciosos de 3Ds Max.

3. El grupo lleva a cabo operaciones de espionaje utilizando un complemento mal dispuesto para el software Autodesk 3ds Max. Aquí, los grupos mercenarios de la APT han sido identificados para contribuir con su asistencia al mejor postor, expandiendo ataques sofisticados y herramientas esenciales de ciberespionaje contra sus víctimas objetivo.

4. Autodesk notificó a los usuarios sobre la variante del exploit MAXScript “PhysXPluginMfx” que puede dañar fácilmente la configuración de 3ds Max. Como puede ejecutar código malicioso y entregarlo a otros archivos MAX en un sistema Windows al colocar los archivos infectados en el software, en particular, planificando su ataque para infiltrarse en la organización y exfiltrar los datos no detectados.

5. Se recomienda lo siguiente:

Los usuarios de 3ds Max, descarguen la versión más avanzada de Security Tools para Autodesk 3ds Max 2021-2015SP1 para reconocer y eliminar el malware PhysXPluginMfx MAXScript.

Fuentes de información http[:]//gbhackers.com/apt-hackers-using-malicious-autodesk-3ds-max-software-plugin/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 148

Fecha:30-08-2020

Página: 7 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta El gobierno de EE.UU. advierte sobre piratas informáticos norcoreanos que atacan a bancos de todo el mundo

Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 30 de Agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro informacion que se detalla a continuacion: Piratas informáticos norcoreanos conocidos como BeagleBoyz han estado utilizando herramientas maliciosas de acceso remoto como parte de ataques en curso para robar millones de bancos internacionales, según un aviso conjunto emitido hoy por varias agencias del gobierno de EE. UU. El comunicado conjunto dice que el grupo de piratería BeagleBoyz de Corea del Norte ha comenzado una vez más a robar bancos a través del acceso remoto a internet desde febrero de 2020 para financiar el régimen de Corea del Norte.

2. BeatleBoys está apuntando a bancos en más de 30 países en un esquema de robo bancario en curso, intentando robar $ 2 mil millones, tal como indica el Comando Cibernético de EE. UU. La información compartida hoy por el gobierno de EE. UU. Es el resultado de información recopilada e investigada por analistas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro (Tesoro), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Cibernética de EE. UU. Comando (USCYBERCOM).

3. BeagleBoyz también apunta a los bancos internacionales víctimas en esquemas de fraude SWIFT utilizando los sistemas de bancos involuntarios, por ejemplo, robando $ 81 millones del Banco de Bangladesh durante 2016. Su actividad se superpone con otros grupos rastreados por firmas de ciberseguridad, como APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) y Stardust Chollima (CrowdStrike).

4. Asimismo utilizaban una amplia gama de técnicas para obtener acceso a los sistemas de sus víctimas, incluido el spearphishing y los abrevaderos, así como la ingeniería social en ataques de phishing temáticos de solicitudes de empleo a partir de 2018 hasta principios de 2020. También pueden haber contratado los servicios de grupos de piratería criminal, como TA505, para el acceso inicial a instituciones financieras específicas, lanzando el ataque final contra los sistemas de los bancos víctimas meses después en algunos casos.

5. Además de la alerta técnica conjunta, US Cyber Command también publicó tres informes de análisis de malware sobre el esquema de retiro de efectivo de cajeros automáticos del gobierno de Corea del Norte con información sobre ECCENTRICBANDWAGON , VIVACIOUSGIFT y FASTCASH para malware de Windows. El Tesoro de EE. UU. Sancionó a tres grupos de piratas informáticos patrocinados por la RPDC (Lazarus, Bluenoroff y Andariel) en septiembre de 2019.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

6. Se recomienda lo siguiente:

Contar con herramientas de seguridad, la utilización de un buen antivirus puede prevenir la entrada de amenazas que pongan en riesgo nuestros equipos.

Mantener los sistemas actualizados y con los respectivos parches instalados.

Muchos tipos de ataques van a requerir la interacción del usuario, por ejemplo, de tener que hacer clic en un enlace que hemos recibido por correo electrónico o instalar un determinado software que puede ser un problema. Por ello siempre es vital tener el sentido común presente y así reducir el problema.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/us-govt-warns-of-north-korean-hackers-targeting-banks-worldwide/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 148

Fecha: 30-08-2020

Página: 9 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del malware Anubis, dirigido a sistemas operativos Windows

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 30 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio “Ticbeat”, se informa sobre la detección del malware Anubis, dirigido a sistemas operativos Windows, el cual tiene como finalidad robar grandes cantidades de datos, incluida información del sistema infectado, credenciales, detalles de tarjetas de crédito y carteras de criptomonedas como Bitcoin y Electrum.

2. Detalles:

El malware Anubis se distribuye a través de campañas maliciosas de URL de descarga conocidas y servidores de comando y control (C2).

Al ejecutarse Anubis utiliza el código bifurcado del troyano llamado Loki.

Imagen.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: ASteal.exe

Tipo: Win32 EXE

Tamaño: 260.00 KB (266240 bytes)

MD5: b73e3725ddcddbbf83db1610c162a950

SHA-1: 5862e19e3a31f88dd7d69f7247b0aeab872f8efa

SHA-256: c2ca3c7810fbd2eb4933299433a0e58ffe0707700c780fe420b2c258e32ebe18

Nombre: Anubis Stealer.exe

Tipo: Win32 EXE

Tamaño: 259.00 KB (265216 bytes)

MD5: 9664ef2d82e819afa20e5411e0855027

SHA-1: 79cfd4b95b2de5fdbdbfe4663e04f58a4f76b9de

SHA-256: 895b3b6890d192de8bc3744ce0757edb909351081744403663a9c3b04e409125

3. Algunas Recomendaciones:

Actualizar el software antivirus y los archivos asociados.

Buscar señales existentes de los IoC indicados en su entorno.

Bloquear o configurar la detección para todos los IoC basados en URL e IP.

Mantener las aplicaciones y los sistemas operativos en ejecución al nivel de parche publicado actual.

No pinchar o descargar archivos adjuntos y enlaces de correos electrónicos dudosos.

Fuentes de información https[:]//www.ticbeat.com/seguridad/microsoft-detecta-a-anubis-un-nuevo-malware-para-windows/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 11 de 11

Índice alfabético

botnet ................................................................................................................................................................................ 5 Código malicioso ............................................................................................................................................................ 7, 9 Explotación de vulnerabilidades conocidas ....................................................................................................................... 6 Intento de intrusión ........................................................................................................................................................... 6 internet .............................................................................................................................................................................. 7 malware ....................................................................................................................................................... 2, 5, 6, 7, 9, 10 Malware ..................................................................................................................................................................... 5, 7, 9 phishing ..................................................................................................................................................................... 3, 4, 7 Phishing ............................................................................................................................................................................. 3 Red, internet .................................................................................................................................................................. 3, 6 redes sociales ..................................................................................................................................................................... 1 servidores .......................................................................................................................................................................... 9 software ....................................................................................................................................................... 2, 4, 5, 6, 8, 10 URL ........................................................................................................................................................................... 3, 9, 10 USB, disco, red, correo, navegación de internet ....................................................................................................... 5, 7, 9