lima, 24 de abril de 2020€¦ · seguridad digital n° 020 fecha: 24-04-2020 página: 5 de 14...

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 24 de abril de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 020

Fecha: 24-04-2020

Página: 2 de 14

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta VictoryGate una Potente Botnet de Minería de Criptomonedas que Compromete dispositivos Ubicados en el Perú.

Tipo de ataque Botnets Abreviatura Botnets

Medios de propagación Medios extraíbles (USB), red e internet Código de familia C Código de Sub familia C02

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional informa que los especialistas en ciberseguridad de la empresa de seguridad informática ESET han descubierto recientemente una nueva y potente red de bots (botnet) denominada VictoryGate, el cual se dedicaba a hacer minería de criptomonedas infectando dispositivos para luego usarlas como dispositivos zombis. La propagación de este tipo de Botnet es a través de medios de almacenamiento como la memoria USB.

Cabe precisar, que esta botnet está conformada por aproximadamente 35,000 dispositivos comprometidos. Los cuales, están ubicados en los países de la región de Latino América (LATAM), principalmente en Perú con un 90 % de los dispositivos afectados.

2. Detalles de la alerta:

VictoryGate, es el nombre que los especialistas en ciberseguridad de la empresa ESET dio al módulo inicial de la amenaza, que recibe y ejecuta comandos del servidor de comando y control del atacante. Además, este módulo es el encargado de la propagación de la amenaza a través de medios de almacenamiento como la memoria USB.

Cabe indicar, hasta la fecha solo se ha identificado como único vector de propagación en la memoria extraíble USB

Los impactos en los dispositivos afectados son los siguientes:

El Elevado uso de recursos del ordenador de la víctima. Debido al uso de todos los hilos disponibles del procesador para realizar criptominería. Esto se traduce en un uso sostenido del CPU del rango de 90-99%. Esto puede causar que el rendimiento del equipo disminuya notablemente, sobrecalentamiento o incluso dañarlo.

Los archivos contenidos en dispositivos USB que se conectan a un equipo infectado son escondidos en una carpeta con atributos de sistema en la raíz de la unidad extraíble. Esto significa que algunos usuarios pueden perder acceso a sus archivos originales si no remueven dicho atributo de la carpeta escondida.

El mecanismo comienza cuando la víctima recibe un pendrive que en algún momento fue conectado a un ordenador infectado. A primera vista, contiene todos los archivos originales con sus nombres e íconos correspondientes, sin embargo, los archivos originales fueron reemplazados por ejecutables de Windows. Es fácil para un usuario desprevenido pueda ejecutar uno de estos archivos conteniendo código malicioso sin percibir nada inusual.

Asimismo, cada uno de los archivos maliciosos son scripts AutoIt que VictoryGate compila “on the fly” utilizando una plantilla. Además, se les agrega metadatos aleatorios para que el hash resultante nunca sea el mismo.

Por lo tanto, la ejecución de cualquiera de los archivos por parte del usuario hará que se ejecute tanto el archivo original que se desea abrir, así como el módulo inicial de la amenaza, ambos escondidos en una carpeta oculta (marcada con atributos de sistema) en la raíz de la unidad de almacenamiento extraíble.

http://www.gob.pe/



www.gob.pe

[email protected]

Después, de a ver ejecutado el módulo inicial escondido en el pendrive, el mismo realiza una copia de sí mismo en el directorio %AppData% en el sistema de archivos del equipo de la víctima, modificando su nombre para aparentar ser un archivo de Windows legítimo como “ctfmon2.exe”. Además, crea un acceso directo, que apunta a dicha copia, en la carpeta de inicio de Windows como un mecanismo simple de establecer persistencia en el equipo de la víctima.

El módulo inicial en sí es un archivo de Lenguaje Intermedio de Microsoft (MSIL, siglas en inglés) que tiene un tamaño de aproximadamente 200MB. Contiene un array de bytes excesivamente grande, probablemente para evadir la detección de productos de seguridad que tengan un límite de tamaño de archivo para realizar el escaneo.

A su vez, esta DLL contiene otro archivo empaquetado, en este caso un script compilado AutoIt, además de las funciones RunPE para poder inyectarlo en algún proceso legítimo de Windows.

Por otra parte, en el análisis se observó que los procesos vbc.exe (Compilador de Visual Basic) y csc.exe (Compilador de C#) siendo los objetivos principales de esta ciberamenaza.

En resumen, una vez ejecutado el archivo infectado, descargará varios payloads, los cuales inyectará el código malicioso en procesos legítimos de Windows. En este caso, intentará inyectar el minero XMRig en el proceso ucsvc.exe (Boot File Servicing Utility), con la finalidad de comprometer el equipo de la víctima para utilizar sus recursos en el minado de criptomonedas.

3. Indicadores de Compromisos (IoC):

Hash : 398C99FD804043863959CC34C68B0305B1131388

: a187d8be61b7ad6c328f3ee9ac66f3d2f4b48c6b

: 483a55389702cdc83223c563efb9151a704a973e

: 686eef924e6b7aadb5bcff1045b25163501670e6

Dominios de C & C:scitie.ddns[.]net; ddw.ddns[.]net; c0d3.ddns[.]net; accountantlive[.]icu

: volvo.ddns[.]net; xcod.ddns[.]net; mrxud.ddns[.]net; shittybooks[.]review

: d001.ddns[.]net; xkm.ddns[.]net; luio.ddns[.]net; hakerz123.ddns[.]net

: xcud.ddns[.]net; aut2scr.ddns[.]net; fanbmypersondrive[.]icu

: mydrivepersonpdvsa[.]icu; mydrivepersonfanb[.]icu; mycountermppd[.]xyz

: calypsoempire.ddns[.]net; mgud2xd.ddns[.]net; aut0hk.ddns[.]net; xcud.zapto[.]org

URL de los Payload: gulfup[.]me/i/00711/2czcy5xvh7br.jpeg; gulfup[.]me/i/00711/a8nr26g1zcot.jpeg

: gulfup[.]me/i/00711/6400e1i9fsj6.jpeg; gulfup[.]me/i/00711/pwgzuq5902m2.jpeg

: gulfup[.]me/i/00711/lhm3w37zuiwy.jpeg; gulfup[.]me/i/00711/3mwdm6tbgcq6.jpeg

: gulfup[.]me/i/00712/sy8rtcxlh1pu.jpeg; gulfup[.]me/i/00712/o56zgjhefny0.jpeg

: b.top4top[.]io/p_152411ncc1.jpeg; pastebin[.]com/raw/fEAuhPYh

4. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Evaluar el bloqueo preventivo de los indicadores de compromisos.

Contar con un antivirus y estar actualizado.

Pasar antivirus a todos los medios de almacenamiento extraíbles.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 24-04-2020

Página: 4 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Plataforma de video SeaChange presuntamente afectada por el ransomware Sodinokibi

Tipo de ataque Ransonware Abreviatura Ransonware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de sub familia C09 Clasificación temática familia Código malicioso.

Descripción

1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que un proveedor líder de soluciones de software de entrega de video es la última víctima del ransomware Sodinokibi, que ha publicado imágenes de datos que afirman haber sido robados de la compañía durante un ataque cibernético.

2. SeaChange, una compañía de Waltham, Massachusets con ubicaciones en Polonia y Brasil, es un proveedor de plataforma de transmisión de video local o administrado remotamente. Los clientes de SeaChange incluyen BBC, Verizon, DISH, COX, DirecTV y COX.

3. Desde el año pasado, los operadores de ransomware han lanzado sitios de fuga de datos que utilizan para publicar archivos robados a las víctimas cuando realizan un ataque de rescate.

4. Los operadores de ransomware usan esta táctica para asustar y presionar a las víctimas que no pagan para que paguen un rescate.

5. Sodinokibi publica imágenes de los datos de SeaChange, En una actualización de su sitio de fuga de datos, Sodinokibi (REvil) ha creado una nueva página de víctimas para SeaChange donde han publicado imágenes de algunos de los documentos que han robado durante un presunto ataque.

6. Estas imágenes incluyen una captura de pantalla de carpetas en un servidor al que afirman haber tenido acceso, un extracto bancario, certificados de seguro, una licencia de conducir y una carta de presentación para una propuesta de un servicio de video a pedido del Pentágono.

7. Cuando se realizó las preguntas a los operadores de Sodinokibi, sobre cuánto era el rescate y la cantidad de datos robados, se negaron a proporcionar más información.

8. Se recomienda:

Mantener el sistema operativo actualizado.

Utilizar dos cuentas de uso del sistema, administrador para gestionar el sistema y otra para realizar trabajos rutinarios.

Instala y mantener actualizado un antivirus.

Fuentes de información hxxps://www.bleepingcomputer.com/news/security/seachange-video-platform-allegedly-hit-by-sodinokibi-ransomware/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 24-04-2020

Página: 5 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Ataque Ransomware. Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales.

Código de familia C Código de sub familia C09

Clasificación temática familia Código malicioso.

Descripción

1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un método de ataque de Ransomware, se trata de extraer una gran cantidad de información confidencial de la víctima para luego encriptar todos los datos y amenazar con publicarla si no se realiza un pago. Para demostrar que la amenaza va en serio, el ciberdelincuente filtra una pequeña parte de la información de la víctima en la dark web.

2. Se recomienda:

No abrir correos electrónicos de usuarios desconocidos.

Hacer copias de seguridad de archivos importantes.

No descargar archivos adjuntos de usuarios de dudosa procedencia.

Mantenga siempre actualizado su software de seguridad.

Fuentes de información Comandancia de Ciberdefensa de la Marina.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 24-04-2020

Página: 6 de 14


Nombre de la alerta Control Remoto – Zero Day Tipo de ataque Explotación de vulnerabilidades conocidas. Abreviatura EVC

Medios de propagación Red, Internet.

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de intrusión.

Descripción

1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de ataques dirigidos a dispositivos iPhones y iPads a través de 2 vulnerabilidades que presentan los iOS en las versiones anteriores a 13.4.5.

2. Estas vulnerabilidades críticas se presentan en la aplicación de correo MobileMail o maild, la cual permite que los atacantes tomen control remoto de los dispositivos de Apple con un simple envío de correo a su iPhone o iPad, actualmente varias organizaciones se ven afectadas por estos ataques.

3. Aun no existen parches disponibles para estos ataques, solo la versión 13.4.5 contiene parches de seguridad para dichas vulnerabilidades. Apple está preparando un parche que será disponible en la próxima actualización de iOS.

4. Se recomienda:

Usar aplicaciones alternas como Outlook o Gmail para la gestión de correos.

Mantener los dispositivos actualizados.

Mantener los dispositivos con antivirus actualizados.


http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 020

Fecha : 24-04-2020

Página: 7 de 14


Nombre de la alerta Vulnerabilidades de día cero en software de IBM

Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha detectado 4 vulnerabilidades 0-Day sin parches, que afectan al producto de seguridad empresarial premium IBM Data Risk Manager (IDRM) de IBM, el producto ha sido diseñado para analizar los activos confidenciales de información empresarial de una organización y determinar los riesgos asociados.

2. IBM Data Risk Manager contiene tres vulnerabilidades de gravedad crítica y una de alto impacto que pueden ser explotadas por un atacante no autenticado accesible por medio de la red, y cuando se encadenan juntos, también podrían conducir a la ejecución remota de código como raíz.

Bypass de autenticación: La falla de omisión de autenticación explota un error lógico en la función de ID de sesión para restablecer la contraseña de cualquier cuenta existente, incluido el administrador.

Inyección de comandos: La falla de inyección de comandos reside en la forma en que el software de seguridad empresarial de IBM permite a los usuarios realizar escaneos de red utilizando scripts Nmap, que aparentemente pueden estar equipados con comandos maliciosos cuando son suministrados por atacantes.

Contraseña predeterminada insegura: El dispositivo virtual IDRM también tiene un usuario administrativo incorporado con nombre de usuario «a3user» y contraseña predeterminada «idrm», que, de no ser modificada, podría permitir a los atacantes remotos tomar el control total sobre los sistemas específicos.

Descarga de archivos arbitrarios: La falla reside en un punto final API que permite a los usuarios autenticados descargar archivos de registro del sistema. Uno de los parámetros para este punto final sufre una falla transversal del directorio que podría permitir a los usuarios maliciosos descargar cualquier archivo del sistema.

3. Un analista probó con éxito las fallas contra IBM Data Risk Manager versión 2.0.1 a 2.0.3, que no es la última versión del software, pero cree que también funcionan por medio de 2.0.4 a la última versión 2.0.6 porque no hay mención de vulnerabilidades fijas en cualquier registro de cambios.


http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 020 Fecha : 24-04-2020

Página: 8 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Consultas no autorizadas a la página web de la “Universidad de Minho”

Tipo de ataque Consultas no autorizadas Abreviatura CNA

Medios de propagación Red, Internet

Código de familia A Código de sub familia A02

Clasificación temática familia Acceso no autorizado

Descripción

1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar en la red social “Twitter” el usuario identificado con el nombre “NullC0d3r”, quien realizó una publicación de la página web del “Departamento de Ingeniería Civil”, de la “Universidad de Minho” en Portugal, esta página web fue atacada mediante consultas no autorizadas.

2. Cabe mencionar, que la “Universidad de Minho”, deshabilitó la conexión de la página para neutralizar cualquier tipo de robo de información.

3. Se recomienda:

Los administradores de red de las diferentes entidades, deberán revisar los protocolos de seguridad, a fin de evitar ataques y/o consultas avanzadas a la página web.

Fuentes de información hxxps://twitter.com/NullC0d3r/status/1253152339453710341

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Página: 9 de 14


Nombre de la alerta Identificación de malware para dispositivos IOS

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, Disco, Red, Correo, Navegación de Internet



Descripción

1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar en la red social “Twitter” al usuario “FBussoletti”, quien realizó una publicación, dando a conocer una vulnerabilidad grave para los sistemas operativos móviles IOS, que es aprovechado por los ciberdelincuentes al conocer la dirección de correo electrónico configurada en el dispositivo móvil, envían un correo malicioso con el código adjunto, y automáticamente se ejecuta sin la interacción del usuario.

2. Se recomienda:

Los usuarios que utilicen los sistemas operativos móviles IOS y tengan descargado el aplicativo “Apple mail”, deben desinstalarlo debido a que la compañía no publica hasta la fecha un parche de seguridad.

Fuentes de información https://twitter.com/FBussoletti/status/1253626906911612930 https://www.difesaesicurezza.com/cyber/cyber-security-gravissima-vulnerabilita-in-tutti-gli-iphone/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Página: 10 de 14


Nombre de la alerta Identificación de malware para dispositivos IOS

Tipo de ataque Malware Abreviatura Malware




Descripción

1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar en la red social “Twitter”, , al usuario “INCIBE_CERT”, quien realizó una publicación, indicando la vulnerabilidad en los productos de la compañía F5 NetWorks (compañía que brinda servicios de seguridad y disponibilidad en distintas aplicaciones web desarrollados por la misma compañía).

Cuadro descriptivo de la vulnerabilidad y solución:

2. Se recomienda:

Realizar una auditoría para identificar y detectar posibles brechas de seguridad que cuenten sus distintos sistemas.

Fuentes de información https://twitter.com/incibe_cert/status/1253617174746447873 https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-big-iq-centralized-management-f5-0

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 24-04-2020

Página: 11 de 14

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Se ha descubierto dos nuevas campañas de spearphishing dirigidas al sector de petróleo y gas para distribuir el troyano “Spyware Agent Tesla”

Tipo de ataque Troyano Abreviatura Troyano


Código de familia C Código de Sub familia C01 Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Se ha tomado conocimiento que, investigadores de la compañía de seguridad informática Bitdefender, han detectado dos nuevas campañas de spearphishing (phishing personalizado) dirigido específicamente al sector de petróleo y gas.

En la primera de estas campañas, el hacker suplantaba la identidad de la empresa petrolera estatal egipcia “ENPPI” (Engineering for Petroleum and Process Industries) para entrar en contacto con compañías de Malasia, Estados Unidos, Irán, Sudáfrica, Omán y Turquía. En una segunda campaña, se suplantaba la identidad de una compañía naviera para dirigirse solo a compañías navieras con sede en Filipinas. En ambos casos, los mensajes hacían referencia a un proyecto real que contenían archivos adjuntos maliciosos que al abrirlos instalaban el troyano “Spyware Agent Tesla”, el malware recopilará información confidencial y diferentes tipos de credenciales de sus víctimas, para luego enviarlos a su servidor de Comando y Control (C2).

El spearphishing es una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Aunque su objetivo a menudo es robar datos para fines maliciosos, los cibercriminales también pueden tratar de instalar malware en la computadora de la víctima.

2. Detalles:

El troyano Spyware Agent Tesla existe desde 2014, ha sufrido desde entonces constantes mejoras y actualizaciones. Se comercializa bajo la modalidad de malware como servicio (MaaS). Algunas de sus capacidades más conocidas y populares incluyen técnicas de evasión de sigilo, persistencia y seguridad que finalmente le permiten extraer credenciales, copiar datos del portapapeles, realizar capturas de pantalla, captura de formularios y funciones de registro de teclas, e incluso recopilar credenciales para una variedad de aplicaciones instaladas.

Según Bitdefender, la carga útil del malware en sí no es tan sofisticada como la utilizada en ataques más avanzados y dirigidos, pero sí suficiente para averiguar el posicionamiento de distintos actores del sector con respecto a la situación del mismo a través del robo de credenciales y datos. También puede realizar capturas de pantalla y tiene la capacidad de registrar las pulsaciones del teclado.

El correo electrónico de spearphishing imita a la compañía petrolera estatal egipcia ENPPI y solicita al destinatario a presentar una oferta por equipos y materiales como parte de un proyecto (Rosetta Sharing Facilities Project) en nombre de una conocida empresa de gas (Burullus).

La construcción de los mensajes y la jerga utilizada muestra que los atacantes tienen una comprensión clara del perfil de su víctima y usan un lenguaje e información relevante para parecer creíbles y engañar a la víctima para que abra los archivos adjuntos maliciosos.

Los dos archivos maliciosos adjuntos en el correo electrónico con formato .ZIP contienen el mismo ejecutable (B632FACEC1D71B03593F358F579C8D2F):

BURULLUS "EPC FUNCIONA PARA PROYECTO DE INSTALACIONES DE COMPARTIMIENTO DE ROSETTA.exe

PROYECTO WEIR OIL & GAS NO 4621-422-298-01-20.exe

Al final, el ejecutable descargará la carga maliciosa “Spyware Agent Tesla” (aa651c58050cddb948901eb277b49af2), que recopilará información confidencial y diferentes tipos de credenciales y los enviará de vuelta al servidor de comando y control (C2) smtp [:] // smtp.yandex.com:587.

Bitdefender afirma que estos ataques han ido aumentando desde el último trimestre de 2019 y han llegado a su punto álgido el pasado mes de febrero. Para ellos, está claro que “los ciberdelincuentes son oportunistas”, y aprovechan los temas de actualidad para diseñar y ejecutar sus campañas, como es la presente crisis del petróleo agravada por la pandemia del COVID-19.

Estas campañas parecen entregar el troyano Spyware Agent Tesla, y más allá del sector de petróleo y gas, también apuntan a otras verticales de energía que han sido etiquetadas como críticas durante esta pandemia de Coronavirus.

http://www.gob.pe/



www.gob.pe

[email protected]

1. Indicadores de compromiso (IoC):

Campaña ENPPI

Hashes:

o 0f67d58cb68cf3c5f95308f2542df6ff2e9444dc3efe9dd99dc24ab0f48a4756

o bcb75af86d50b3dec7c1d603f2a7b9ba06eb0ce0cdf3a310b71a2c8e6c4aca29

Nombres de archivo:

o BURULLUS "EPC FUNCIONA PARA PROYECTO DE INSTALACIONES DE COMPARTIMIENTO DE ROSETTA.exe

o PROYECTO WEIR OIL & GAS NO 4621-422-298-01-20.exe

Servidores C2:

o Smtp [:] //smtp.yandex.com

Campaña Química / Petrolero

Hashes:

o c25df2651a747220690ee62f23e4246ce37765ec5d1ef624f156af3f0f14041b

o 315f9a2dd00607c135498821f573414c80e52619f2faa8e2715162d318939f35

o 689e10eed6804131422d026781776edeaec42d42a35b65512d70acbc3631946b

o 9b915d2e5f70b859d8c2eafc94bd593d3e53255444a5b4b651dfb9c2523d83d7

Nombres de archivo:

o MT_Sinar Maluku V.04.exe

o vSVBfSw.exe.orig

o Servidores de C&C:

o smtp [:] //mail.besco.com.sa

o smtp [:] //mail.shivanilocks.com

o smtp [:] //mail.waman.in

3. Recomendaciones:

Comprobar y analizar la dirección de correo del remitente. Se debe proteger contra los mensajes en los que el nombre del remitente es un nombre en su directorio de contactos, pero el correo electrónico no es del dominio o alias de dominio de su empresa.

Verificar la fuente de información de tus correos entrantes.

Mantener los equipos protegidos con un buen antivirus que bloquee este tipo de ataques. Además, siempre se debe tener actualizado el sistema operativo y navegadores web.

Se debe proteger contra documentos que contienen scripts maliciosos que pueden dañar sus dispositivos.

Se debe proteger contra los tipos de archivos adjuntos que son poco comunes o resulten sospechosos para su dominio.

Se debe de escanear las imágenes vinculadas e identifique enlaces detrás de URL acortadas.

Se debe de verificar la integridad de las URL antes de proporcionar credenciales de inicio de sesión o hacer clic en un enlace; las URL falsas generalmente imitan las URL reales e incluyen palabras o dominios adicionales.

Se debe de evitar y reportar los correos electrónicos de phishing y spearphishing.

Fuentes de información 1. https://labs.bitdefender.com/2020/04/oil-&-gas-spearphishing-campaigns-drop-agent-

tesla-spyware-in-advance-of-historic-opec+-deal/

2. Equipo de Seguridad Digital DINI

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 24-04-2020

Página: 13 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Oferta Falsa de empleos, a través de red social Facebook Tipo de ataque Malware Abreviatura Malware


Código de familia C Código de Subfamilia C03


Descripción

1. El 24 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, a través de la red social Facebook, en la Fanpage Trabajos para venezolanos en el Perú, se ha realizado una publicación donde se viene suplantando la identidad de la cadena de tiendas “Tottus”, en la cual se ofrece diferentes tipos de trabajo como: meseros, cajeros, promotores, jefe de sección, entre otros empleos, los interesados tienen que ingresar al link:

hxxp://bit.ly/Trabajos-en-Tottus (acortados de URL)

hxxps://notitrabajos.com/trabajos-en-la-empresa-tottus-peru (URL destino)

o Imágenes de la Publicación:

En la página que se accede con la URL, hay un icono “ingresa aquí”, la cual te direcciona a:

hxxps://www.computrabajo.com.pe/tottus/empleos.

4 5

1 2 3

http://www.gob.pe/



www.gob.pe

[email protected]

2. Las URL utilizadas en esta oferta de trabajo, fueron sometidas al análisis de malware, obteniendo en siguiente resultado:

URL: hxxp://bit.ly/Trabajos-en-Tottus

o IP. 67.199.248.11

o Dominio: bit.ly

o ISP: Google-Prívate-cloud

o Longitud: -97,822

o Latitud: 37,751

Topología de la IP.

Referencia:

o Malware. - Se llama malware, del inglés malicioso software, programa malicioso, programa maligno, badware, código maligno, software maligno, software dañino o software malintencionado a cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.

3. Algunas recomendaciones

Verifica la página que ofertan por redes sociales.

Desconfía de las URL que usan acortadores.

Verifica la información en las páginas oficiales.

Visita páginas oficiales de las entidades que ofrecen trabajo.

Piensa siempre que los ciberdelincuentes, quieren obtener información personal.

Fuentes de información

http://www.gob.pe/


lima, 24 de abril de 2020€¦ · seguridad digital n° 020 fecha: 24-04-2020 página: 5 de 14...

Documents