lima, 9 de mayo de 2020 · fotos de su documento de identidad, tarjeta de crédito y fotos de la...

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 9 de mayo de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Reaparece troyano Dalcs para atacar aplicaciones de 2FA y sistemas operativos Macintosh ..................... 3

Vuelve estafa que busca robar el ID de Icloud y datos financieros de los usuarios de Apple ...................... 5

Descubren fallos de seguridad en los puglin de WordPress que utilizan las plataformas de eLearning. ..... 6

Vulnerabilidad del software de Schneider Electric que afecta los PLC de infraestructura critica ................ 7

La nueva backdoors Aria body ataca por medio de correo electrónico ........................................................ 8

Vulnerabilidad en PrivateVPN y Betternet .................................................................................................... 9

Defacement a página de Venezuela ............................................................................................................10

Vulnerabilidad en cámaras de vigilancia .....................................................................................................11

Falso sitio web de alojamiento de imágenes para ocultar ataques Web Skimming ...................................12

Vulnerabilidades en software de Schneider Electric ...................................................................................15

Vulnerabilidades en Vmware VRealize Operations Manager .....................................................................17

Propagación de phishing a través de facebook. ..........................................................................................19

Índice alfabético ..........................................................................................................................................21

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 035

Fecha: 09-05-2020

Página: 3 de 21

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Reaparece troyano Dalcs para atacar aplicaciones de 2FA y sistemas operativos Macintosh

Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación Red e internet

Código de familia C Código de Sub familia C01

Clasificación temática familia Código Malicioso

Descripción

1. Resumen:

2. El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre la reaparición del troyano de acceso remoto denominado “Dalcs”, el cual viene atacando aplicaciones que tienen seguridad de dos factores o 2FA (Two Factor Authentication por sus siglas en inglés), además, tiene como objetivo comprometer equipos que cuenten con Sistemas Operativos Macintosh (Mac OS, por sus siglas en inglés).

3. Detalles de la alerta:

Dalcs es el nombre dado al troyano de ataque mediante acceso remoto, creado por el grupo de ciberdelincuentes denominado Lazarus, en la actualidad, uno de los grupos con mayor potencial de ciberataque. Conocido también, como Hidden Cobra y APT 38, lleva operativo desde 2009, y en estos once años ha llevado a cabo todo tipo de acciones de ciberdelincuencia y ciberespionaje.

El troyano en su primera aparición podía afectar a dispositivos móviles y equipos de escritorio (sistemas operativos Windows y Linux), pero ahora su objetivo son sistemas con MacOS X, es decir, ordenadores de Apple. Utiliza funciones modulares, el protocolo C2 utiliza el cifrado de doble capa TLS y RC4, el archivo de configuración utiliza el cifrado AES y admite la actualización dinámica de la instrucción C2.

Cabe precisar, que este tipo de troyano en ocasiones puede ser muy complejo para ser detectados. Los especialistas en ciberseguridad lo han denominado en la detección como Win32.Dacls y LinuxDacls.

En el caso del complemento Win32.Dacls se carga dinámicamente a través de una URL remota. Por parte de Linux.Dacls utiliza 6 módulos de complemento diferentes que incluyen ejecutar comandos, gestión de archivos, gestión de procesos, acceso a la red de prueba, agente de conexión C2, escaneo de red.

Asimismo, este troyano es multiplataforma y su protocolo C2 utiliza el cifrado de doble capa TLS y RC4, el archivo de configuración utiliza el cifrado AES y admite la actualización dinámica de la instrucción C2.

Ahora Dalcs, reaparece para atacar aplicaciones de seguridad de 2 factores ó tambien llamadas 2FA, para llegar a sus víctimas, se oculta en una aplicación destinada, supuestamente, a proporcionar los códigos necesarios para la segunda fase de la acreditación en identificaciones 2FA. Emula, por lo tanto, servicios como google Authenticator o Authy que, en conexión con las cuentas de usuario de determinados servicios, permite añadir una capa extra de seguridad para evitar los accesos no deseados a las mismas. El nombre de la aplicación utilizada es MinaOTP.

http://www.gob.pe/



www.gob.pe

[email protected]

4. Indicadores de compromiso:

Dominios : www[.]areac-agr[.]com

: thevagabondsatchel[.]com

URL : hxxp://www[.]areac-agr[.]com/cms/wp-content/uploads/2015/12/check[.]vm

: hxxp://www[.]areac-agr[.]com/cms/wp-content/uploads/2015/12/hdata[.]dat

: hxxp://www[.]areac-agr[.]com/cms/wp-content/uploads/2015/12/ldata[.]dat

: hxxp://www[.]areac-agr[.]com/cms/wp-content/uploads/2015/12/mdata[.]dat

: hxxp://www[.]areac-agr[.]com/cms/wp-content/uploads/2015/12/r[.]vm

: hxxp://www[.]areac-agr[.]com/cms/wp-content/uploads/2015/12/rdata[.]dat

: hxxp://www[.]areac-agr[.]com/cms/wp-content/uploads/2015/12/sdata[.]dat

: hxxps://thevagabondsatchel[.]com/wp-content/uploads/2019/03/wm64[.]avi

: hxxps://thevagabondsatchel[.]com/wp-content/uploads/2019/09/public[.]avi

SHA256 : d29bc522d23513cfbb5ff4542382e1b4f0df2fa6bced5fb479cd63b6f902c0eb

: ba5b781ebacac07c4b14f9430a23ca0442e294236bd8dd14d1f69c6661551db8

: d28a2ab02aeb26914c16089c1121f7fb6d45cad756b125bf18999cdf6da6e6fc

: 82d33a67c68f7c476a9ac1e960abc6a911f797446a2c24f0e13b92af1eb385b8

: b757426d95622b8fb91a38e307887e51bc945a9c681abfdc7ad918910ab087a2

: cdac934dbd8831b962718fdbaf050ebaa8b89be6c98c8cd7479a9d91939c63c6

: f9686467a99cdb3928ccf40042d3e18451a9db97ef60f098656725a9fc3d9025

IP C2 codificada: : 23[.]81[.]246[.]179

: 23[.]254[.]119[.]12

: 23[.]227[.]196[.]116

: 37[.]72[.]175[.]179

: 23[.]227[.]199[.]53

: 107[.]172[.]197[.]175

: 172[.]93[.]201[.]219

: 64[.]188[.]19[.]117

5. Se recomienda:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Evaluar el bloqueo preventivo de los indicadores de compromisos.

Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas.

Realizar periódicamente copias de seguridad de los activos de información.

Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Restringir a los usuarios para instalar y ejecutar aplicaciones de software no autorizadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.

Concientizar a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 035

Fecha: 09-05-2020

Página: 5 de 21

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vuelve estafa que busca robar el ID de Icloud y datos financieros de los usuarios de Apple

Tipo de ataque Suplantación Abreviatura Suplantación

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia G Código de sub familia G03 Clasificación temática familia Fraude Informativo

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la empresa de ciberseguridad ESET informó, sobre la vuelta a las redes de una antigua campaña donde los ciberdelicuentes a través de la ingeniería social, suplantan la página oficial de la empresa de Apple, con la finalidad de robar el ID de Icloud y los datos de la tarjeta de crédito de la víctima que caiga en este tipo de estafa.

2. Según ESET, esta estafa comienza con correo electrónico que le llega al usuario donde hace referencia a un aviso de seguridad de una supuesta compra a través del dispositivo móvil, causando intranquilidad en el usuario y al querer cancelar la supuesta compra hace clic en “cancelar”, ingresando al sitio apócrifo que simula ser la página oficial de la empresa de Apple, donde se solicita que ingrese a su cuenta de Apple ID, para que la persona ingrese iD de Apple y su contraseña, después de haber ingresado sus credenciales aparece una alerta solicitando desbloquear la cuenta, con la finalidad de robar más información de la víctima.

3. En el caso que la víctima haga clic en “desbloquear cuenta” aparecerá un formulario falso para que ingrese sus datos personales y datos de la tarjeta de crédito de la víctima; asimismo, para la verificación de la información, el ciberdelincuente solicita que se ingrese el código de seguridad de la tarjeta, para luego solicitar a la víctima que envié fotos de su documento de identidad, tarjeta de crédito y fotos de la víctima, a fin de verificar completamente la identidad, por lo que la empresa de ciberseguridad de ESET, recomienda a las personas que fueron víctimas de este tipo de engaño, modificar sus credenciales de acceso y comunicarse con su entidad financiera.

4. Se recomienda:

No ingresar a enlaces de dudosa procedencia, sin antes verificar que sea de un sitio oficial.

Evitar proporcionar información personal, financiera y llenar formularios vía web.

Evitar abrir correos electrónicos de remitentes desconocidos.

Fuentes de información https://www.welivesecurity.com/la-es/2020/05/06/phishing-apple-falsa-orden-compra/ https://www.abc.es/tecnologia/redes/abci-alertan-sobre-estafa-para-robar-dinero-y-

cuentas-apple-202005080139_noticia.html?ref=hxxps%3A%2F%2Fwww.google.com%2F

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 09-05-2020

Página: 6 de 21

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Descubren fallos de seguridad en los puglin de WordPress que utilizan las plataformas de eLearning.

Tipo de ataque Exploits Abreviatura Exploits

Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de sub familia C01


Descripción

1. El 09 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que los investigadores de seguridad de Check Point Software Technologies Ltd. han descubierto una vulnerabilidad en los plugins de WordPress más utilizados para desarrollar plataformas de formación online conocidos como LearnPress, LearnDash y LifterLMS. Este fallo de seguridad permite a cualquier persona obtener privilegios de profesor y, de esta forma, robar información personal o incluso obtener beneficios económicos.

2. Cualquiera de estos tres plugins, presentes en aproximadamente 100.000 plataformas educativas diferentes, puede transformar cualquier sitio web de WordPress en un sistema de gestión de formación completamente funcional y fácil de usar. Los tres plugins afectados por esta vulnerabilidad son:

LearnPress: es uno de los sistemas de gestión más populares del sector. Este plugin permite generar cursos y lecciones a medida con pruebas de nivel que permiten a los estudiantes ir avanzando niveles en el plan de estudios. Se utiliza en más de 21.000 escuelas y está instalado en más de 80.000 dispositivos.

LearnDash: este plugin proporciona las herramientas necesarias para suministrar contenido, comercializar cursos, recompensar a los alumnos o poner en marcha actividades. Más de 33.000 sitios web utilizan LearnDash, incluyendo muchas empresas de la lista Fortune 500, así como las Universidades de Florida, Michigan y Washington.

LifterLMS: proporciona ejemplos de cursos y test de nivel, así como certificados y una página web totalmente configurada. Más de 17.000 sitios web utilizan este plugin, incluyendo agencias de WordPress y educadores, junto con varias escuelas y diversas instituciones educativas.

3. Estas vulnerabilidades, que fueron descubiertas en un periodo de tiempo de dos semanas durante el pasado mes de marzo, permitían llevar a cabo el sueño de todo estudiante: hackear los sistemas informáticos y tomar el control de la información académica. En otras palabras, cualquier persona que aproveche este fallo de seguridad podría modificar sus notas y las del resto de los estudiantes, falsificar certificados, tener acceso a las respuestas de los exámenes e incluso hacerse con los privilegios que la plataforma concede únicamente a los profesores. Asimismo, podría robar información personal (nombre, correo electrónico, usuario y contraseña de la plataforma), o incluso desviar el dinero de los pagos realizados a estas plataformas a sus propias cuentas bancarias.

4. Se recomienda:

CheckPoint aconseja a todas aquellas instituciones académicas que cuenten con este tipo de plataformas para actualizar el software y contar con la última versión disponible.

Fuentes de información https://cybersecuritynews.es/descubren-fallos-de-seguridad-en-los-puglin-de-wordpress-que-utilizan-las-plataformas-de-elearning/.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 09-05-2020

Página: 7 de 21

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad del software de Schneider Electric que afecta los PLC de infraestructura critica Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC

Medios de propagación Red, navegación de internet

Código de familia H Código de Subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 09 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del informe realizado por los expertos de Airbus Cybersecurity (empresa de soluciones de seguridad de las tecnologías de operación), sobre la vulnerabilidad del software de Schneider Electric (compañía europea de soluciones digitales de energía y automatización) que afecta los PLC (controladores lógicos programables) de las infraestructuras críticas en todos los países, esta información fue publicada el 08 de mayo de 2020 por la web Noticias de Seguridad Informática.

2. Según Airbus Cybersecurity informaron el hallazgo de una vulnerabilidad en el software de ingeniería EcoStruxure Control Expert de Schneider Electric, Identificada como CVE-2020-7475 esta falla podría ser explotada para cargar código malicioso en los PLC Modicon M340 y M580 reemplazando uno de los archivos DLL asociados con el software, lo que podría provocar interrupciones en el servicio.

3. En el 2017, la compañía notificó a sus clientes acerca de CVE-2017-6034, una vulnerabilidad crítica que permitía a los hackers enviar comandos de ejecución, detención, carga y descarga a un PLC mediante un ataque de repetición, todavía se podría lanzar un ataque si habría una sesión existente entre EcoStruxure Machine Expert y el PLC.

4. Se recomienda:

Descargar y actualizar los parches de configuración existentes en la página oficial de la compañía.

Tener cuidado con productos similares de otros fabricantes.

Fuentes de información https://noticiasseguridad.com/vulnerabilidades/la-vulnerabilidad-del-software-de-schneider-electric-afecta-a-los-controladores-plc-de-infraestructura-critica-en-todos-los-paises/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 09-05-2020

Página: 8 de 21


Nombre de la alerta La nueva backdoors Aria body ataca por medio de correo electrónico Tipo de ataque Backdoors Abreviatura Backdoors

Medios de propagación USB, disco, red, correo, navegaciones de internet

Código de familia C Código de Subfamilia C04

Clasificación temática familia Código malicioso

Descripción

1. El 09 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través del equipo de investigadores de Check Point, la nueva Backdoors Aria Body que ataca mediante correos electrónicos. Fue publicada el día 07 de mayo de 2020 en la página de Twitter y Bleeping Computer.

2. Este tipo de ataque consiste cuando un malware ejecuta una actividad de reconocimiento en la máquina, reuniendo datos sobre la computadora infectada, su red, versión de Windows, CPU, arquitectura e IP pública con código que descargaba para localizar y recopilar documentos específicos de sistemas y redes comprometidos.

3. El malware se puede usar para buscar archivos por nombre, lo que indica que el actor de la amenaza sabe lo que está buscando, así como robar datos de unidades extraíbles. Otras capacidades incluyen tomar capturas de pantalla y registrar pulsaciones de teclas.

4. Se recomienda:

Evitar abrir correos electrónicos de dudosa procedencia y realizar verificaciones de seguridad.

Fuentes de información https://www.bleepingcomputer.com/news/security/new-aria-body-backdoor-gets-advanced-hackers-back-in-the-spy-game/.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 09-05-2020

Página: 9 de 21


Nombre de la alerta Vulnerabilidad en PrivateVPN y Betternet Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet



Descripción

1. El 09 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 08 de mayo de 2020 por Hot For Security, sobre vulnerabilidad en PrivateVPN y Betternet que permite a los atacantes enviar actualizaciones maliciosas.

2. Una de las razones por las que las personas usan una solución VPN es mantenerse a salvo en un mundo en línea peligroso. Un buen ejemplo es cuando se conecta a una red Wi-Fi pública. Sin una VPN, los datos enviados y recibidos por un usuario podrían ser interceptados.

3. Las vulnerabilidades en las aplicaciones para PC, PrivateVPN y Betternet, pueden permitir que los piratas informáticos intercepten sus comunicaciones y obliguen a las aplicaciones a descargar una actualización falsa, lo que significa que alguien con control sobre la red, como un punto de acceso gratuito, podrían desencadenar la instalación de malware. Esto puede aplicar automáticamente la actualización falsa o enviar al usuario una notificación para actualizar la aplicación.

4. La vulnerabilidad encontrada en estas aplicaciones podría descargar ransomware, el cual podría afectar a las personas, convertirse en un bot en ataques DDoS, perder credenciales para sus cuentas bancarias y mucho más.

5. Se recomienda:

No descargar archivos mientras está conectado a una red Wi-Fi pública.

Fuentes de información https://hotforsecurity.bitdefender.com/blog/privatevpn-and-betternet-apps-vulnerability-let-attackers-send-malicious-updates-23211.html.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Fecha : 09-05-2020

Página: 10 de 21

Componente que Reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Defacement a página de Venezuela

Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb


Código de familia L Código de sub familia L01

Clasificación temática familia Vandalismo

Descripción

1. El 09 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red social denominada Twitter, el usuario identificado con el nombre “org0n”, quien realizó una publicación donde se muestra el ataque denominado defacement (ataque a un sitio web que cambia la apariencia visual de una página web), realizado a una página web de Venezuela.

2. Se recomienda:

Los administradores de red, deberán extremar medidas en cuanto a las políticas de seguridad y las configuraciones de las páginas web.

Fuentes de información https://twitter.com/org0n/status/1258936468833275904 http://www.maderasdelorinoco.gob.ve

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Fecha : 09-05-2020

Página: 11 de 21

Componente que Reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad en cámaras de vigilancia

Tipo de ataque Exploits Abreviatura Exploits

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de sub familia C03


Descripción

1. El 09 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red Social denominada Twitter, el usuario identificado con el nombre “org0n”, q se pudo detectar que, investigadores de la compañía Firedome Labs, identificaron múltiples vulnerabilidades de día cero, presentes en las cámaras IP de la compañía “Yale”, los mismos que estaría en el firmware de la cámara con modelo “Yale WIPC-301W”, teniendo la posibilidad de poder realizar inyección de código remoto en el servidor web local.

2. Asimismo, después de realizar un escaneo por internet, se pudo detectar que muchas compañías usan el mismo firmware, por lo que son susceptibles al ataque. Del mismo modo, aproximadamente cuarenta y cinco mil (45.000) dispositivos usan la versión vulnerable en todo el mundo.

3. Si bien es cierto, la vulnerabilidad se detectó solo en cámaras que estén conectadas a internet, por lo que se estima que también haya dispositivos de una red interna en diversas compañías.

4. Se recomienda:

Los usuarios, que hagan uso cámaras web de la marca mencionada, párrafos arriba, deberá de buscar en la página oficial los parches de actualización, ya que la compañía públicos los parches de seguridad.

Fuentes de información

https://twitter.com/HackHispano/status/1258832419467264005 https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-dia-cero-para-espiar-

camaras-ip-de-yale/ hxxps://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-dia-cero-para-espiar-camaras-ip-de-yale/.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 09-05-2020

Página: 12 de 21

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Falso sitio web de alojamiento de imágenes para ocultar ataques Web Skimming

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet, entre otros

Código de familia C Código de Sub familia C03

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Se ha tomado conocimiento que, los investigadores de la empresa de software malwarebytes Corporation, han descubierto que un grupo de ciberdelincuentes habían creado un sitio web de alojamiento de iconos falsos para ocultar el código malicioso destinado a robar información bancaria y personal de tiendas online de sitios web pirateados. La operación es a lo que los investigadores de seguridad se refieren en estos días como un ataque web skimming o un ataque Magecart.

Web skimming o formjacking consiste en robar información de pago directamente desde el navegador. La forma habitual de funcionamiento consiste en inyectar código de JavaScript malicioso que actúa como web skimming para el compromiso de sitios web.

Malwarebytes señaló que descubrió a este grupo mientras investigaba una serie de extraños ataques, donde lo único modificado en los sitios pirateados era el favicon. Un favicon es un pequeño icono que se utiliza para identificar un sitio web en las pestañas de un navegador, en un listado de favoritos, o en cualquier otra parte que requiera una identificación pequeña.

2. Detalles:

Los investigadores indicaron que al revisar los registros de los rastreadores, detectaron solicitudes a un dominio llamado myicons [.] Net que aloja varios íconos y, en particular, favicons. Varios sitios de comercio electrónico estaban cargando un favicon Magento de este dominio.

Malwarebytes observo que el dominio myicons [.] Net se registró hace unos días y estaba alojado en un servidor (83.166.244 [.] 76) que anteriormente se habia identificado como malicioso. La compañía de seguridad web Sucuri, en una publicación, reveló cómo este host formaba parte de una campaña de descremado web utilizando nombres de dominio basados en el tiempo.

http://www.gob.pe/



www.gob.pe

[email protected]

Además, se descubrio que la persona que registró myicons [.] Net robó todo el contenido de un sitio legítimo alojado en iconarchive.com; y lo hicieron de la manera más simple: cargándolo como un iframe:

<iframe src = "hxxp://www.iconarchive.com/" width = "100%"

height = "1015px" frameborder = "0" align = "left">

Además, los investigadores indicaron que sospechaban que el archivo favicon.png era malicioso y tal vez usaba estenografía para ocultar el código JavaScript. Pero éste no era el caso. La imagen estaba formateada correctamente, sin código adicional dentro.

El truco, según malwarebytes, fue que el sitio web MyIcons.net sirvió un archivo favicon legítimo para todas las páginas de un sitio web, excepto en las páginas que contenían formularios de pago.

En estas páginas, el sitio web MyIcons.net cambiaba en secreto el favicon con un archivo JavaScript malicioso que creaba un formulario de pago falso y robaba los detalles de la tarjeta de usuario. Además del código JavaScript, contiene HTML que se inyectará en la página de pago de las tiendas comprometidas. La idea es mezclarse para que los compradores no noten nada sospechoso. Si bien los skimmers web se centran principalmente en los datos de la tarjeta de crédito, generalmente también recopilan información personal adicional sobre las víctimas, como nombre, dirección, número de teléfono y correo electrónico.

Los datos se codifican y luego se envían a los ciberdelincuentes. Para los skimmers del lado del cliente, el dominio de exfiltración podría ser otro sitio pirateado o un sitio malicioso registrado estrictamente para este propósito.

3. Indicadores de compromiso

Skimmer URL, dominio, IP y SHA256

myicons [.] net / d / favicon.png

myicons [.] net

83[.]166[.]244 [.]76

825886fc00bef43b3b7552338617697c4e0bab666812c333afdce36536be3b8e

Dominio de exfiltración e IP

psas [.] pw

83[.]166[.242 [.]105

http://www.gob.pe/



www.gob.pe

[email protected]

El grupo detrás de esta operación hizo grandes esfuerzos para ocultar su código malicioso; sin embargo, los intrusivos trucos de robo de tarjetas raramente pasan desapercibidos y casi siempre se descubren.

Sin embargo, el esfuerzo para construir un portal de alojamiento de iconos falso es algo que no se había visto antes en otras operaciones de descremado web, aunque otros tipos de grupos de delitos informáticos han hecho cosas similares.

4. Imágenes:

5. Se recomienda:

Tener el software actualizado con la última versión disponible.

Las credenciales de acceso a los e-commerce y entidades bancarias online deben ser robustas y habilitar el doble factor de autenticación.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática y de la importancia de usar una contraseña segura.

Segmentar la red: ubicar el servidor propio en una zona desmilitarizada o DMZ.

Eliminar los datos de navegación, borrar la caché y las cookies o acceder de modo incógnito para que ninguno de los datos que se introduzcan queden almacenados en los dispositivos.

No abrir archivos adjuntos de correo electrónico ni ejecutar un programa si no se está totalmente seguro de la fuente, lo que incluye todos los archivos descargados de sitios web o programas punto a punto (P2P).

Contar con herramientas de seguridad. Se debe tener instalado un buen antivirus para prevenir la entrada de malware que pueda poner en riesgo nuestro sistema. Será necesario tener por tanto software de seguridad que nos permita realizar análisis y evitar este tipo de amenazas.

Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Fuentes de información

hxxps://blog.malwarebytes.com/threat-analysis/2020/05/credit-card-skimmer-masquerades-as-favicon/

hxxps://www.zdnet.com/article/hackers-hide-web-skimmer-behind-a-websites-favicon/?&web_view=true

hxxps://blog.sucuri.net/2020/04/web-skimmer-with-a-domain-name-generator.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 09-05-2020

Página: 15 de 21

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Vulnerabilidades en software de Schneider Electric

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC




Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web Hispace (Compañía de Seguridad Informática), informa sobre una vulnerabilidad existente en el software de ingeniería EcoStruxure Control Expert de Schneider Electric.

2. Esta falla podría ser explotada para cargar código malicioso en los PLC Modicon M340 y M580 reemplazando uno de los archivos DLL asociados con el software, lo que podría provocar interrupciones en el servicio

La vulnerabilidad permite la captura y reproducción de paquetes en el PLC. Por ejemplo, un atacante podría reproducir un paquete con el comando ‘Detener’ enviado al PLC para detener el PLC en cualquier momento”, explica el experto. “Aunque esta falla fue corregida en 2017, el ataque aún podía ser desplegado si el hacker contaba con acceso a una sesión existente.

o La vulnerabilidad en mención, se le asignó el código: CVE- 2020-7475, la cual se detalla:

Código CVE-2020-7475

Detalle

Neutralización inadecuada de elementos especiales en la salida utilizada por un componente aguas abajo ('Inyección'), DLL reflectante, la vulnerabilidad existe en EcoStruxure Control Expert (todas las versiones anteriores a 14.1 Hot Fix), Unity Pro (todas las versiones), Modicon M340 (todas las versiones anteriores a V3.20), Modicon M580 (todas las versiones anteriores a V3.10), que, si se explota, podría permitir a los atacantes transferir códigos maliciosos al controlador.

Vectores AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H

Nivel CRÍTICO

Riesgo

9.8

http://www.gob.pe/



www.gob.pe

[email protected]

o Además de esta falla, los expertos informaron sobre el hallazgo de CVE-2020-7489, una vulnerabilidad prácticamente idéntica y que recibió el mismo puntaje del CVSS.


Detalle

La neutralización inadecuada de elementos especiales en la salida utilizada por una vulnerabilidad de componente aguas abajo ('inyección') existe en el software de programación EcoStruxure Machine Expert - Basic o SoMachine Basic (versiones en notificación de seguridad). El resultado de esta vulnerabilidad, la sustitución de DLL, podría permitir la transferencia de código malicioso al controlador


Nivel

CRÍTICO

Riesgo

La explotación de CVE-2020-7489 requiere acceso al entorno que aloja el software SoMachine y el PLC objetivo. “Para explotar esta vulnerabilidad, los actores de amenazas necesitarían realizar la inyección usando el mismo contexto de usuario que un usuario local autorizado para ejecutar el software”.

3. Se recomienda:

Realizar las actualizaciones de los productos.

Fuentes de información hxxps://noticiasseguridad.com/vulnerabilidades/la-vulnerabilidad-del-software-de-schneider-electric.

9.8

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 09-05-2020

Página: 17 de 21


Nombre de la alerta Vulnerabilidades en Vmware VRealize Operations Manager

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC




Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web de VMware, se informa sobre dos vulnerabilidades en Salt (proyecto de código abierto de SaltStack), que se ha determinado afectan al producto VMware vRealize Operations Manager, las cuales consisten en omisión de autenticación y de recorrido de directorio.

2. Estas vulnerabilidades han sido asignadas con los códigos: CVE-2020-11651 y CVE-2020-11652.

Detalle del Aviso:

ID de Aviso VMSA-2020-0009

Severidad Consultiva Crítico

Rango 7.5- 10.0

Sinopsis

VMware vRealize Operations Manager aborda las vulnerabilidades de omisión de autenticación y de recorrido de directorio (CVE-2020-11651, CVE-2020-11652)

Fecha del Asunto 2020-05-08

CVE(s) CVE-2020-1651, CVE-2020-11652

Producto Afectado VMware vRealize Operations Manager

CVE-2020-11651: (Bypass de autenticación), puede permitir que un actor malicioso con acceso a la red al puerto 4505 o 4506 en el ARC tome el control del ARC y de cualquier máquina virtual en la que el ARC haya desplegado un agente Telegraf.

CVE-2020-11652: (Recorrido de directorio), puede permitir que un actor malicioso con acceso a la red al puerto 4505 o 4506 en el ARC acceda a la totalidad del sistema de archivos ARC.

http://www.gob.pe/



www.gob.pe

[email protected]

Análisis de las Vulnerabilidades:


Detalle

Se descubrió un problema en SaltStack Salt antes de 2019.2.4 y 3000 antes de 3000.2. La clase ClearFuncs del proceso maestro de sal no valida correctamente las llamadas a métodos. Esto permite que un usuario remoto acceda a algunos métodos sin autenticación. Estos métodos se pueden usar para recuperar tokens de usuario del maestro de sal y / o ejecutar comandos arbitrarios en minions de sal.


Nivel

CRÍTICO

Riesgo


Detalle

Se descubrió un problema en SaltStack Salt antes de 2019.2.4 y 3000 antes de 3000.2. La clase ClearFuncs del proceso salt-master permite el acceso a algunos métodos que desinfectan las rutas de forma incorrecta. Estos métodos permiten el acceso arbitrario al directorio de usuarios autenticados.

Vectores V: N / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H

Nivel

Medio

Riesgo

Otros Productos Afectados:

Producto Versión Se Ejecuta Identificador Gravedad Versión

Fija Soluciones

Alternativas

vROps 8.1.0 Dispositivo virtual

CVE-2020-11651, CVE-2020-11652

10,0 Crítico Actualizaciones Pendientes

vROps 8.0.x Dispositivo virtual

CVE-2020-11651, CVE-2020-11652

10,0 Crítico Actualizaciones Pendientes

3. Se recomienda:

Soluciones Alternativas en https://kb.vmware.com/s/article/79031.

Fuentes de información https://www.vmware.com/security/advisories/VMSA-2020-0009.html.

9.8

6.5

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 09-05-2020

Página: 19 de 21


Nombre de la alerta Propagación de phishing a través de facebook.

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de Subfamilia

Clasificación temática familia Fraude

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes vienen aprovechando la connotación que vive el mundo a consecuencia del coronavirus (COVID19) llevando a cabo una campaña de phishing a través de la red social Facebook con la finalidad de ofrecer trabajo llenando una encuesta online prometiendo generar dinero sin inversión desde 0.50 dólares hasta 1 dólar por cada encuesta realizada, teniendo como requisito ingresar al enlace hxxps://fans.link/Leo20416cVEncust registrándose con su correo electrónico.

PUBLICACIÓN DE FACEBOOK

Al ingresar dicha

URL nos solicita

información

personal y correo

electrónico.

DETALLES DE PUBLICACIÓN

http://www.gob.pe/



www.gob.pe

[email protected]

2. Para esta publicación se utilizó la siguientes URL.

hxxps://fans.link/Leo20416cVEncust

3. Análisis del localizador uniforme de recursos (URL) siendo detectada como Sospechoso.

Nombre de dominio: Fans.link

Dirección IP: 47[.]88[.]192[.]20

Algoritmo Hash: 7cd6eb7b698a6da2d6a32525bb0d4f4531c72fd0695d03ab0baa3aa00756c384

4. Análisis del contenido de dicha URL sospechosa siendo detectada como phishing.

5. Cómo funciona el phishing:

Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que se pide información personal.

Medios de propagación del phishing: WhatsApp, redes sociales, SMS.

Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.)

6. Referencia:

Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.

7. Se recomienda:

Verifica la fuente de información antes de ingresar tus datos personales.

Ingresa tus datos confidenciales únicamente en sitios webs seguros que empiezan por HTTPS:// y aparece en el navegador un pequeño candado cerrado.

Desconfía de textos mal redactados con faltas de ortografía.

Fuentes de información Análisis propio en redes sociales y fuentes abiertas.

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 21 de 21

Índice alfabético

backdoors ...................................................................................................................................................................... 2, 8 Backdoors .......................................................................................................................................................................... 8 bot ...................................................................................................................................................................................... 9 Código malicioso .......................................................................................................................................................... 8, 12 Correo electrónico ............................................................................................................................................................. 5 Correo electrónico, redes sociales, entre otros ................................................................................................................ 5 DDoS .................................................................................................................................................................................. 9 Exploits......................................................................................................................................................................... 6, 11 Explotación de vulnerabilidades conocidas ........................................................................................................... 9, 15, 17 Fraude .......................................................................................................................................................................... 5, 19 hxxp ............................................................................................................................................................................. 4, 13 Intento de intrusión ........................................................................................................................................... 7, 9, 15, 17 internet ................................................................................................................................................................ 3, 7, 8, 11 malware ................................................................................................................................................................... 8, 9, 14 Malware ........................................................................................................................................................................... 12 Modificación del sitio web ............................................................................................................................................... 10 phishing ............................................................................................................................................................. 2, 5, 19, 20 Phishing...................................................................................................................................................................... 19, 20 puerto .............................................................................................................................................................................. 17 ransomware ....................................................................................................................................................................... 9 Red, internet .................................................................................................................................................... 9, 10, 15, 17 redes sociales ............................................................................................................................................................... 1, 20 Redes sociales .................................................................................................................................................................. 19 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................................... 19 servidor ................................................................................................................................................................ 11, 12, 14 software ......................................................................................................................................... 2, 4, 6, 7, 12, 14, 15, 16 Suplantación ...................................................................................................................................................................... 5 Troyanos ............................................................................................................................................................................ 3 URL ..................................................................................................................................................................... 3, 4, 13, 20 USB, disco, red, correo, navegación de internet ................................................................................................... 6, 11, 12 Vandalismo ...................................................................................................................................................................... 10 Vulnerabilidad ...................................................................................................................................................... 2, 7, 9, 11 Vulnerabilidades .............................................................................................................................................. 2, 15, 17, 18

http://www.gob.pe/


lima, 9 de mayo de 2020 · fotos de su documento de identidad, tarjeta de crédito y fotos de la...

Documents