lima, 2 de junio de 2020 · 2020. 6. 3. · por yannay livneh. asimismo, el identificador asignado...
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 2 de junio de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Nueva campaña de envió de facturas falsas para propagar Troyanos .......................................................... 3
Vulnerabilidad en los productos de Cisco ..................................................................................................... 4
Vulnerabilidades de autentificación y cifrado de un software de SCADA ..................................................... 5
Lista de sitios web conocidos que escanean puertos a sus visitantes .......................................................... 6
El nuevo ataque tipo Dabangg en las CPU Intel y AMD . ............................................................................... 7
Ataque malware se hace pasar por aplicación Netflix para sistema operativo Android. ............................. 8
La falla crítica de Vmware Cloud, director permite a los hackers hacerse cargo de los servidores
corporativos ................................................................................................................................................... 9
Ataque a páginas web peruanas vinculadas a educación. ..........................................................................10
Anonymous expone 6000 casos de pederastas. .........................................................................................11
Zero-day, en servicio de Apple, permite control de dispositivos ................................................................12
Nueva campaña de correo electrónico de phishing dirigida al sector bancario africano ...........................13
Detección de ShellReset RAT en documentos maliciosos de Microsoft Word ...........................................15
Índice alfabético ..........................................................................................................................................17
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 3 de 17
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Nueva campaña de envió de facturas falsas para propagar Troyanos
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagación Internet y correo electrónico.
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa sobre una campaña de envió de facturas falsas que se está propagando en España; el ataque es a través de envió masivo de correos electrónicos adjuntando un archivo con código malicioso que aparentemente proviene de compañías eléctricas.
2. Detalles de la alerta:
En España durante las últimas semanas se ha reportado que los ciberdelincuentes han estado lanzando campañas de forma continua para tratar de infectar los equipos de cómputo. Una de las campañas que más se ha utiliza es la de correo electrónico adjuntado una factura falsa de una supuesta compañía eléctrica utilizada como señuelo para poder engañar al usuario y conseguir que este descargue y ejecute código malicioso en el sistema.
Un ejemplo de este tipo de ciberataque es que los ciberdelincuentes han estado utilizando el logo de la compañía eléctrica Naturgy, en el cual se menciona una factura pendiente de pago, y se proporciona un enlace para descargar esta supuesta factura. Sin embargo, si nos percatamos en el remitente, este no parece tener relación con la empresa.
Además, el enlace utilizado, aunque pueda parecer legítimo por usar el nombre de la empresa suplantada es solamente una distracción cuyo último propósito es redirigirnos a un enlace del servicio de alojamiento de ficheros Mediafire, donde se encuentra ubicado un archivo comprimido que supuestamente contiene la mencionada factura. El nombre de este fichero es variable, habiendo observado ejemplos como “Naturgy_Fact_010620201.zip” o “Naturgyn02062020-onlinecobro.zip”.
Si el usuario pulsa sobre el enlace proporcionado en el correo comprobará como, desde su navegador, se lo ofrece abrir o guardar el archivo en su sistema. Este fichero es detectado por las soluciones de ciberseguridad de ESET como una variante del troyano Win32/TrojanDownloader.Banload.YNB.
3. Indicadores de compromiso:
URL : hxxp://naturgyjuridico.com/naturgymaxdownloadpdf
SHA-256 : b0c7e6712ecbf97a1e3a14f19e3aed5dbd6553f21a2852565bfc5518925713db
IP : 107[.]180[.]20[.]91
4. Recomendaciones:
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evaluar el bloqueo preventivo de los indicadores de compromisos.
• Evitar abrir correos electrónicos de dudosa procedencia.
• Realizar concientización constante a los usuarios sobre este tipo de amenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 4 de 17
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad en los productos de Cisco
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una vulnerabilidad de errores de procesamiento de datos en producto Cisco, el cual fue reportado por Yannay Livneh. Asimismo, el identificador asignado a esta vulnerabilidad es el CVE-2020-10136.
2. Existe una vulnerabilidad en el software Cisco NX-OS, el cual es un software de sistema operativo de nivel de centro de datos utilizado por un conjunto de conmutadores de Cisco. La vulnerabilidad en la pila de red del software se debe a que el dispositivo afectado decapsula y procesa repentinamente IP en paquete IP que están destinado a una dirección IP configurado localmente. Un atacante remoto no autentificado podría enrutar el tráfico de la red a través de dispositivos vulnerables, lo que puede causar una denegación de servicio (DoS) en el dispositivo afectado, pérdida de información, suplantación de identidad, omisión de control de acceso en la red y otros comportamientos inesperados en la red. Por otro lado, Cisco ha lanzado actualizaciones de software para abordar esta vulnerabilidad.
3. Esta vulnerabilidad afecta a los siguientes productos de CISCO que tienen software Cisco NX-OS:
Nexus 1000 Virtual Edge para VMware vSphere.
Nexus 1000V Switch para Microsoft Hyper-V y VMware vSphere
Nexus 3000, 6000 y 7000 Series Switches
Nexus 9000 Series Switches en modo independiente NX-OS.
Nexus 5500 y 5600 Platform Switches.
UCS 6200 y 6300 Series Fabric Interconnects.
4. Se recomienda:
Actualizar con el último parche desde la página oficial del proveedor.
Deshabilitar IP-in-IP en todas las interfaces que no requieran esta función.
Fuentes de información [https://]www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-errores-procesamiento-datos-productos-cisco
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 5 de 17
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades de autentificación y cifrado de un software de SCADA Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC Medios de propagación Red, navegación de internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del
informe de los especialistas en seguridad perimetral, sobre la vulnerabilidad de autentificación y cifrado del software Open Enterprise SCADA (software empleado en entornos empresariales) que permite el despliegue de escenarios maliciosos, esta información fue publicada el 27 de mayo de 2020 por la web de Noticias de seguridad informática.
2. Los componentes afectados, podrían permitir a los actores de amenazas la ejecución de código arbitrario con privilegios elevados empleando servicios de comunicación específicos. La vulnerabilidad existe debido a la ausente autenticación faltante en funciones críticas.
3. Asimismo, la debilidad en el cifrado del software afectado podría ser explotada por actores de amenazas para obtener
las contraseñas de los usuarios de Open Enterprise SCADA.
4. Se recomienda:
Instalar las actualizaciones del Open Enterprise 3.3 Service Pack (3.3.5) para mitigar el riego de explotación.
Habilitar el principio de mínimos privilegios.
Fuentes de información [https://]noticiasseguridad.com/vulnerabilidades/emerson-openenterprise-scada-vulnerabilidades-de-autenticacion-y-cifrado-en-el-software/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 6 de 17
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Lista de sitios web conocidos que escanean puertos a sus visitantes Tipo de ataque Spyware Abreviatura Spyware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C04 Clasificación temática familia Código malicioso
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro informacion referente, a que sitios web conocidos y muy utilizados están utilizando un script de protección contra fraudes que escanea el puerto de su computadora local en busca de programas de acceso remoto. Este escaneo de puertos fue realizado por el script de protección contra fraudes ThreatMetrix de LexisNexis utilizado para detectar computadoras potencialmente pirateadas que realizan compras fraudulentas. Cuando se ejecuta, una característica de este producto usa WebSockets para escanear 14 puertos TCP diferentes en la computadora de un visitante.
2. Todos estos puertos son para programas de acceso remoto comúnmente utilizados por razones legítimas, pero también se sabe que se utilizan con fines maliciosos. Si bien todos los sitios de comercio electrónico deberían usar métodos para detectar fraudes, muchos descubrieron que era demasiado intrusivo escanear el puerto de la computadora de un visitante en busca de programas sin permiso.
3. DomainTools, una compañía de ciberseguridad especializada en inteligencia de dominio web y amenazas de DNS, dio
a conocer que cuando cuando los sitios web cargan los scripts antifraude de ThreatMetrix, cargan el script a través de un nombre de host en línea nombrado por el cliente en línea-metrix.net, asimismo se ha proporciado una lista de 387 nombres de host únicos en línea-metrix.net que tienen nombres similares. De los sitios consultados se encuentran Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree y WePay
4. Al usar el script de escaneo de puertos, se realizó de manera diferente según el sitio:
Por ejemplo, Citibank, Ameriprise y TIAA-CREF escanearon inmediatamente nuestras computadoras cuando visitaban la página principal del sitio. TD Bank, Chick-fil-A, Lendup, Equifax IQ connect, Sky, GumTree y WePay solo revisaron los visitantes que intentaron iniciar sesión. Para BeachBody.com, solo escanean los puertos al realizar el pago.
5. Según la lista de dominios que recibimos, otras compañías conocidas están utilizando el script ThreatMetrix.
Esta lista incluye Netflix, Target, Walmart, ESPN, Lloyd Bank, HSN, Telecharge, Ticketmaster, TripAdvisor, PaySafeCard y posiblemente incluso Microsoft. No se pudo activar la función de escaneo de puertos en estos sitios, pero es posible que se haya utilizado en una página no visitada.
6. Se recomienda:
Si encuentra que estos escaneos de puertos son intrusivos y un riesgo
de privacidad, puede utilizar el bloqueador de anuncios uBlock Origin
en Firefox para bloquearlos.
UBlock no puede bloquear los escaneos de puertos en el nuevo
Microsoft Edge o Google Chrome ya que la extensión no tiene los
permisos adecuados para desbloquear los registros DNS CNAME.
Fuentes de información [https://]www.bleepingcomputer.com/news/security/list-of-well-known-web-sites-that-port-scan-their-visitors/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 7 de 17
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta El nuevo ataque tipo Dabangg en las CPU Intel y AMD . Tipo de ataque Robo de información Abreviatura RobInfo Medios de propagación Red, internet, redes sociales Código de familia K Código de subfamilia K01 Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de los investigadores del Instituto Indio de Tecnología, los procesadores Intel y AMD son susceptibles a una nueva forma de ataque de canal lateral que hace que los ataques de caché basados en vaciado sean resistentes al ruido del sistema. Publicada el 30 de mayo de 2020.
2. El objetivo se basa en los ataques Flush + Reload y Flush + Flush , que han sido explotados previamente por otros investigadores para filtrar datos de las CPU de Intel. La nueva variante de Dabangg, tiene como objetivo mejorar la precisión de estos ataques incluso en un ruidoso sistema multinúcleo. También funciona a la perfección contra sistemas operativos que no son Linux, como macOS.
3. El ataque Dabangg, refina las deficiencias capturando la distribución de frecuencia del procesador en la etapa previa al ataque y utilizando un código de cálculo pesado para estabilizar la frecuencia, antes de proceder con un ataque Flush + Reload o Flush + Flush para calcular la latencia y verificar un golpe de caché.
4. La consecuencia de estos ataques de canal lateral es una forma confiable de espiar la entrada del usuario, extraer la clave privada de AES, extraer datos a través de un canal secreto entre un proceso malicioso y su víctima, y llevar a cabo una ejecución especulativa similar a Spectre para acceder a la información almacenada en caché.
5. Se recomienda:
Actualizar los componentes de configuración de seguridad en los firewalls.
Realizar monitoreo de las fallas de cache.
Fuentes de información [https://]thehackernews.com/2020/05/noise-resilient-flush-attack.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 8 de 17
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ataque malware se hace pasar por aplicación Netflix para sistema operativo Android. Tipo de ataque Malware Abreviatura Malware Medios de propagación Red, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó de un aplicativo fraudulento de nombre “netflix.apk” circula principalmente por redes sociales, invitando a los usuarios a descargar e instalarlo, que en su lugar sería una aplicación maliciosa.
2. Se analizó el citado aplicativo en la página web “Virus Total” donde es catalogado como malicioso.
3. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 9 de 17
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta La falla crítica de Vmware Cloud, director permite a los hackers hacerse cargo de los servidores corporativos
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión.
Descripción
1. El 02 de junio de 2020, mediante la búsqueda y monitoreo en el ciberespacio, se identificó una nueva vulnerabilidad en la plataforma VMware's Cloud Director que podría permitir que un atacante obtenga acceso a información confidencial, controle nubes privadas dentro de una infraestructura completa, enviar tráfico malicioso a Cloud Director, lo que lleva a la ejecución de código arbitrario.
2. Esta vulnerabilidad CVE-2020-3956, está clasificado 8.8 de 10 en la escala de gravedad de vulnerabilidad CVSS v.3, por lo que es una vulnerabilidad crítica. La vulnerabilidad afecta a VMware Cloud Director versiones 10.0.x antes de 10.0.0.2, 9.7.0.x antes de 9.7.0.5, 9.5.0.x antes de 9.5.0.6 y 9.1.0.x antes de 9.1.0.4.
3. Explotando esta vulnerabilidad permite:
Ver el contenido de la base de datos del sistema interno, incluidos hash de contraseña de los clientes asignados a esta infraestructura.
Modificar la base de datos del sistema para acceder a máquinas virtuales extranjeras (VM) asignadas a diferentes organizaciones dentro de Cloud Director.
Escalar los privilegios de "Administrador de la organización" a "Administrador del sistema" con acceso a todas las cuentas en la nube simplemente cambiando la contraseña a través de una consulta SQL.
Modificar la página de inicio de sesión del Director de la nube, permitiendo que el atacante capture las contraseñas de otro cliente en texto plano, incluidas las cuentas de administrador del sistema.
Leer otros datos confidenciales relacionados con los clientes, como nombres completos, direcciones de correo electrónico o direcciones IP.
4. Se recomienda:
No abrir correos de usuarios desconocidos o que no hayas solicitado.
No contestar en ningún caso a estos correos.
Revisar los enlaces antes de hacer clic.
Desconfiar de los ficheros adjuntos.
Actualizar el sistema operativo y el antivirus.
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 10 de 17
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ataque a páginas web peruanas vinculadas a educación.
Tipo de ataque Destrucción o alteración de la información de configuración
Abreviatura DAIC
Medios de propagación Red, internet Código de familia K Código de subfamilia K02 Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó diversos ataques de tipo defacement a páginas web de dominio edu.pe y otras ligadas a la educación. Cabe resaltar que el día 22 de mayo del presente año, se alertó que instituciones educativas a nivel nacional venían siendo afectadas por este tipo de ataque, y que los ciberdelincuentes se están aprovechando del bajo nivel de seguridad de los sitios web para realizar sus delitos.
2. A continuación, una relación de las páginas afectadas:
Fecha Páginas atacadas Hacker Referencia
01/06/2020 http://revista.inaigem.gob.pe/public/site/images/adminj/kingskrupellos.gif KingSkrupellos
INSTITUTO NACIONAL DE INVESTIGACIÓN EN
GLACIARES Y ECOSISTEMAS DE
MONTAÑA
01/06/2020 http://revista.agn.gob.pe/ojs/public/site/images/adminj/kingskrupellos.gif KingSkrupellos ARCHIVO GENERAL DE
LA NACIÓN
01/06/2020 http://revistas.urp.edu.pe/public/site/images/adminx/kingskrupellos.gif KingSkrupellos UNIVERSIDAD
RICARDO PALMA
01/06/2020 http://revistas.unheval.edu.pe/public/site/images/adminx/kingskrupellos.gif KingSkrupellos UNIVERSIDAD
HERMILIO VALDIZÁN
01/06/2020 http://revistas.usil.edu.pe/public/site/images/adminj/kingskrupellos.gif KingSkrupellos UNIVERSIDAD SAN
IGNACIO DE LOYOLA
01/06/2020 https://apuntesuniversitarios.upeu.edu.pe/public/site/images/adminj/kingskrupellos.gif KingSkrupellos UNIVERSIDAD
PERUANA UNIÓN
01/06/2020 http://revistas.upagu.edu.pe/public/site/images/adminj/kingskrupellos.gif KingSkrupellos UNIVERSIDAD
PRIVADA ANTONIO GUILLERMO URRELO
01/06/2020 http://revistas.uigv.edu.pe/public/site/images/adminos/kingskrupellos.gif KingSkrupellos UNIVERSIDAD INCA GARCILASO DE LA
VEGA
01/06/2020 http://journal.upao.edu.pe/public/site/images/adminos/kingskrupellos.gif KingSkrupellos UNIVERSIDAD
PRIVADA ANTENOR ORREGO
01/06/2020 http://revistas.unfv.edu.pe/public/site/images/adminos/kingskrupellos.gif KingSkrupellos UNIVERSIDAD
NACIONAL FEDERICO VILLAREAL
01/06/2020 www.hco.edu.pe/olala.htm Family Attack
Cyber
COLEGIO HANS CHRISTIAN OERSTED
3. Se recomienda:
Al observarse un incremento masivo de ataques a diversas instituciones educativas públicas y privadas de educación a nivel nacional, se recomienda a todas las instituciones que cuenten con un sitio web con protocolo HTTP, se pongan en contacto con las empresas de seguridad donde alojan su sitio web (Hosting)con la finalidad de implementar certificados y medidas de seguridad para una mayor protección.
Fuentes de información Comandancia de Ciberdefensa de la Marina.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE
SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 11 de 17
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Anonymous expone 6000 casos de pederastas.
Tipo de ataque Fuga de información Abreviatura FugaInfo
Medios de propagación Red, internet, redes sociales
Código de familia K Código de subfamilia K02
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas, se detectó a través de la red social “twitter”, al usuario denominado “Anonymous Hispano” (@anonopshispano), quien publicó información de seis mil (6000) casos de pederastas por parte de distintos miembros del clero religioso.
2. Del mismo modo, el usuario identificado como “Fushi” (@RobiboOli), habría publicado capturas de pantallas donde se mencionan casos de pederastas por parte del clero religioso.
3. Se recomienda:
Personal encargado de administrar base de datos, deben actualizar sus medidas de seguridad para prevenir la fuga de información.
Fuentes de información [https://]twitter.com/anonopshispano/status/1267594397874610178 [https://]twitter.com/RobiboOli/status/1267397641442168834
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 12 de 17
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Zero-day, en servicio de Apple, permite control de dispositivos
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas, se detectó que el programador Bhavuk Jain (@bhavukjain1), descubrió un fallo de seguridad de autenticación de Apple, el cual permite tomar el control de las cuentas de los servicios y aplicaciones web que lo adquieren, el fallo de seguridad permite al ciberdelincuente iniciar sesión en sitios web y aplicaciones web.
2. Cabe mencionar que, el servicio de Apple funciona de forma similar a OAuth 2.0, el cual usa dos formas de autenticar al usuario: usando JWB (Jason Web Token) o mediante un código servido por Apple que será usado para generar posteriormente un token JWT.
3. Del mismo modo, Apple permite a los usuarios enviar información sobre su correo electrónicos registrado en el dispositivo. Tras el inicio de sesión exitoso, Apple genera un token JWT que contiene ese correo que será usado por una aplicación de terceros. Cabe mencionar que, un token JWT básico, contiene información codificada sobre la fecha de caducidad del token y sobre la identidad del usuario que se autentica.
4. Se muestra a continuación, el aspecto de un token:
5. Se recomienda:
Los usuarios que tengan a disposición y a uso los dispositivos de la compañía Apple, deberán extremar medidas preventivas, ya que esta vulnerabilidad aún no ha sido parchada y/o actualizada por la compañía.
Fuentes de información [https://]unaaldia.hispasec.com/2020/06/zero-day-en-el-servicio-de-autenticacion-de-
apple-es-posible-tomar-el-control-de-las-cuentas-que-lo-implementen.html [https://]bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 13 de 17
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nueva campaña de correo electrónico de phishing dirigida al sector bancario africano
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude financiero
Descripción
4. Resumen:
El Centro de Defensa contra el phishing de Cofense (PDC) ha descubierto una campaña de correo electrónico de phishing dirigida a cinco instituciones financieras africanas diferentes con el objetivo de robar las credenciales de inicio de sesión, números de cuenta, PIN y números de teléfonos celulares de sus clientes. En esta campaña los ciberdelincuentes se hacían pasar por autoridades del servicio de archivos electrónicos del Servicio de Ingresos de Sudáfrica (SARS).
5. Detalles:
Los investigadores de Cofense han identificado una campaña de phishing dirigida a clientes de instituciones bancarias sudafricanas para robar credenciales, números de cuenta, PIN y más. El correo electrónico de suplantación de identidad parece provenir del servicio de archivos electrónicos del Servicio de Ingresos de Sudáfrica (SARS) y afirma hacer referencia a un depósito de devolución de impuestos de R12,560.5 (Rands sudafricanos), aproximadamente USD700, que se ha realizado a la cuenta del usuario. Los destinatarios deben seleccionar e iniciar sesión en su institución desde uno de los cinco bancos listados para completar el proceso de reembolso.
Cada una de las imágenes incrustadas en el correo electrónico corresponde a un banco diferente. Al hacer clic en cualquiera de estos, se llevará al usuario a un portal de inicio de sesión falso que corresponde al banco seleccionado. Los bancos falsificados incluyen ABSA, Capitec, First National Bank (FNB), Nedbank y Standard Bank, todos con sede en Sudáfrica. Los sitios similares se encuentran en 81 [.] 0 [.] 226 [.] 156 y están alojados por el proveedor de alojamiento checo Nethost.
Todos los sitios web falsificados se crearon utilizando Webnode, un servicio de creación de sitios web conocido por sus características amigables de arrastrar y soltar. A pesar de esta facilidad de uso, los adversarios han mantenido las cosas bastante simples, ya que todos los sitios son formas básicas con pocas o ninguna imagen. Los sitios solicitan una variedad de información personal, incluidos números de cuenta, contraseñas, PIN e incluso números de teléfono celular.
Los ciberdelincuentes pueden acceder a todas las entradas directamente desde el propio formulario. También pueden recibir notificaciones a una dirección de correo electrónico de su elección cada vez que se realiza un envío. La cuenta de Gmail utilizada para enviar el correo electrónico de phishing también puede ser donde se notifica a los adversarios de todas y cada una de las nuevas víctimas. Webnode también permite la exportación de datos de envío de formularios en formatos xml y csv.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Webnode, por lo tanto, es una manera óptima de almacenar y recuperar datos de usuario robados. No hay necesidad de infraestructura adicional, ni comprometer a terceros. Como en el caso del portal Standard Bank, el riesgo de descubrimiento y posterior cierre de sitios falsificados significa que los adversarios pueden perder el acceso a cualquier información no recuperada. Sin embargo, este riesgo parece compensarse con la facilidad con la que se pueden crear sitios falsificados de reemplazo.
6. Indicadores de Compromiso (IoC):
URL maliciosas:
hxxps: // absa9 [.] webnode [.] com
hxxps: // capitec-za [.] webnode [.] com
hxxps: // first-national-bnk [.] webnode [.] com
hxxps: // nedbank-za0 [.] webnode [.] com
hxxps: // standardbnk [.] webnode [.] com
IP asociadas:
81 [.] 0 [.] 226 [.] 156
7. Imágenes:
8. Recomendaciones:
Contar con herramientas de seguridad. Se debe tener instalado un buen antivirus para prevenir la entrada de malware que pueda poner en riesgo nuestro sistema. Será necesario tener por tanto software de seguridad que nos permita realizar análisis y evitar amenazas.
No descargar o abrir archivos adjuntos que recibamos en nuestro e-mail. Tampoco acceder a posibles links fraudulentos que puedan poner en riesgo nuestros sistemas. Estos enlaces fraudulentos pueden llegar también a través de las redes sociales o incluso aplicaciones de mensajería instantánea como puede ser WhatsApp.
El software instalado debe actualizarse a través de herramientas y/o funciones implementadas proporcionadas por desarrolladores oficiales. Lo mismo se aplica a la activación de software con licencia.
Aplicar los últimos parches y actualizaciones de software del sistema operativo y de terceros.
Considere bloquear y/o configurar la detección de todas las IoC basadas en URL e IP.
Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
Fuentes de información [hxxps://]cofense.com/phishers-cast-wider-net-african-banking-sector
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 059
Fecha: 02-06-2020
Página: 15 de 17
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de ShellReset RAT en documentos maliciosos de Microsoft Word
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 02 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web zscaler, se informa que, desde febrero hasta mayo de 2020 se ha detectado al Malware ShellReset RAT (Troyano de acceso remoto (RAT) basado en .NET que tiene la capacidad de ejecutar código remoto, recopilar información del sistema, capturar capturas de pantalla y filtrar datos), en documentos maliciosos de Microsoft Word basados en macros alojados en sitios registrados de nivel superior de. space y. xyz.
2. Algunos de los temas utilizados en estos ataques por el actor de la amenaza están relacionados con eventos importantes que originalmente estaban programados para llevarse a cabo en Londres a principios de este año, incluida la 5G Expo y Futurebuild.
3. La primera instancia del documento relacionado con esta campaña se encontró el 24 de febrero de 2020. Estaba alojado en la URL: hxxps: //documentsharing.space/files/5G%20Expo.doc? ClientEmail =
Imágenes:
figura 1: Este documento muestra el tema 5G Expo 2020 después de habilitar las macros.
Análisis:
o MD5: 93f913f3b9e0ef3f5cedd196eae3f2ae
o Nombre de Archivo: 5G Expo.doc
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Figura 2: El 19 de mayo de 2020, se encontró un documento malicioso de Word basado en macro alojado en la URL: hxxps: // misrmarket [.] Xyz / files / Get% 20Stared.doc? ClientEmail =
Análisis: o MD5: 7bebf686b6e1d3fa537e8a0c2e5a4bdc o Nombre de archivo: Obtenga% 20Stared.doc
o Metadatos de Archivo: Tamaño: 202,38 KB Hash: 9abdbdc6dbe67c171b32ab8ac952acefd8ad364b9ff32fa5f75172b7dfe24a19 SHA1: df2135e7ebc3d65acceb3d67c2f3c5e54974144d Virustotal: 34/62 detecciones:
4. Algunas Recomendaciones
Verifica los documentos que descargues.
Visita los sitios web oficiales.
Actualiza el Antivirus.
Fuentes de información [https://]www.zscaler.com/blogs/research/shellreset-rat-spread-through-macro-based-documents-using-applocker-bypass
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 17 de 17
Índice alfabético
Código malicioso .................................................................................................................................................. 3, 6, 8, 15 Destrucción o alteración de la información de configuración ........................................................................................ 10 Explotación de vulnerabilidades conocidas ............................................................................................................. 4, 9, 12 Fraude .............................................................................................................................................................................. 13 hxxp ................................................................................................................................................................................... 3 Intento de intrusión ............................................................................................................................................. 4, 5, 9, 12 internet .............................................................................................................................................................................. 5 malware ................................................................................................................................................................... 2, 8, 14 Malware ....................................................................................................................................................................... 8, 15 phishing ....................................................................................................................................................................... 2, 13 Phishing ........................................................................................................................................................................... 13 puerto ................................................................................................................................................................................ 6 Red, internet ............................................................................................................................................ 4, 7, 9, 10, 11, 12 Red, internet, redes sociales ....................................................................................................................................... 7, 11 redes sociales ........................................................................................................................................................... 1, 8, 14 Robo de información ......................................................................................................................................................... 7 servidores ...................................................................................................................................................................... 2, 9 software ........................................................................................................................................................... 2, 4, 5, 8, 14 Spyware ............................................................................................................................................................................. 6 Troyanos ........................................................................................................................................................................ 2, 3 URL ................................................................................................................................................................... 3, 14, 15, 16 USB, disco, red, correo, navegación de internet ................................................................................................... 6, 13, 15 Uso inapropiado de recursos ................................................................................................................................. 7, 10, 11 Vulnerabilidad................................................................................................................................................................ 2, 4 Vulnerabilidades ............................................................................................................................................................ 2, 5