PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 14 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Nueva campaña de phishing sobre bono de ayuda familiar ......................................................................... 3

El FBI y la NSA exponen malware utilizado por hackers estatales rusos para realizar ciberataques. ........... 4

Vulnerabilidades sin corregir en chips Qualcomm Snapdragon afectan a teléfonos Android ...................... 5

El malware actualizado Agent Tesla roba contraseñas de navegadores, VPN .............................................. 6

Nueva campaña de malware de origen ruso “Drovorub” dirigido a sistemas Linux ..................................... 7

Phishing, suplantando la identidad de la aplicación multiplataforma Spotify .............................................. 8

Índice alfabético ..........................................................................................................................................10

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 132

Fecha: 14-08-2020

Página: 3 de 10

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Nueva campaña de phishing sobre bono de ayuda familiar

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, correo electrónico y navegación en internet

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de la búsqueda de amenazas en el ciberespacio, advierte que hay un sitio web fraudulento y es difundido masivamente a través de las redes sociales, supuestamente para la obtención de un bono como ayuda a las familias debido a la pandemia ocasionada por el COVID-19, para la cual la victima tiene que ingresar sus datos personales y compartir con sus grupos de WhatsApp. Una vez realizado estas acciones los ciberdelincuentes podrían usar la información recolecta para algún tipo de delito informático.

2. Detalles de la alerta:

Se ha detectado un sitio web fraudulento en la dirección web: hxxps://quedateencas.com, supuestamente creado por el programa quédate en casa, que está otorgando bonos a todas las familias para ayudarlo a quedarse en casa, el cual está dirigido a las madres solteras, padres solteros, joven estudiante, abuelos, niños, madres extranjeras y casados.

Para la obtención del mencionado bono deberá registrarse en el siguiente enlace: hxxps://quedateencas.com/programa-registrate-aquí. Una vez que el usuario accede, deberá registrar información personal y compartir con otros contactos a través de la red social WhatsApp. Si el usuario registra sus datos, los ciberdelincuentes recolectaran la información para realizar futuros delitos informáticos.

Cabe precisar, que se viene reportando la difusión masiva de mensajes con el contenido falso, tal como se aprecia en la “figura 1” a través de las redes sociales y dispositivos móviles.

Por tal motivo, se advierte que este tipo de páginas difunde información falsa. Toda comunicación gubernamental se realiza a través de las páginas web y canales de información oficiales.

3. Indicadores de Compromiso (IoC)

Dominio fraudulento:

o hxxps://quedateencas.com hxxps://quedateencas.com/programa-registrate-aqui

IP: 216 [.]239[.]34[.]21

SHA-256: 1d3c7f045df3b837f4688e6b36cb888a08431b7511f24ebf538db35003bb373e

Título: ¡Programa #Quédate_en_casa Bonus!

4. Recomendaciones:

Evaluar el bloqueo preventivo de indicadores de compromiso.

Mantener firmas y motores de los antivirus actualizados.

Verificar la autenticidad de los sitios web antes de registrar sus datos.

No difundir y/o reenviar contenido sospechoso.

No abrir correos de dudosa procedencia y menos hacer clic en los enlaces o abrir archivos adjuntos.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 132

Fecha: 14-08-2020

Página: 4 de 10

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta El FBI y la NSA exponen malware utilizado por hackers estatales rusos para realizar ciberataques.

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 14 de Agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que el FBI y la NSA publicaron una alerta de seguridad conjunta que contiene detalles sobre una nueva cepa de malware de Linux que, según las dos agencias, fue desarrollada y desplegada en ataques del mundo real por piratas informáticos militares rusos.

2. Los piratas informáticos que trabajaban para el 85° Centro de Servicios Especiales de la Dirección de Inteligencia Principal del Estado Mayor de Rusia, unidad militar 2615, utilizan el malware, que los propios rusos llaman "Drovorub", para atacar sistemas Linux, dijeron la NSA y el FBI en su informe detallado.

3. Estos hackers rusos, también conocidos como APT28 o Fancy Bear, supuestamente piratearon el Comité Nacional Demócrata en 2016 y con frecuencia apuntan a entidades de defensa, gubernamentales y aeroespaciales. La agencia militar rusa también se conoce como GRU.

4. Si bien no revelan nada sobre las víctimas de este malware, el informe detalla que el Drovorub es un sistema multicomponente que viene con un implante, un rootkit del módulo del kernel, una herramienta de transferencia de archivos, un módulo de reenvío de puertos y un servidor de comando y control (C2).

5. La NSA y el FBI manifestaron que la información contenida en este Aviso de seguridad cibernética se divulga públicamente para ayudar a los propietarios del Sistema de Seguridad Nacional y al público a contrarrestar las capacidades del GRU, una organización que continúa amenazando a los Estados Unidos y sus aliados como parte de su comportamiento deshonesto, incluida su interferencia en las elecciones presidenciales de Estados Unidos de 2016.

6. Se recomienda:

Aplicar últimas actualizaciones de Linux.

Evitar utilizar módulos de Kernel que no son de confianza.

Fuentes de información https[:]//rpp.pe/tecnologia/mas-tecnologia/el-fbi-y-la-nsa-exponen-un-nuevo-malware-utilizado-por-hackers-estatales-rusos-para-realizar-ciberataques-noticia-1286312?ref=rpp

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 132

Fecha:14-08-2020

Página: 5 de 10

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades sin corregir en chips Qualcomm Snapdragon afectan a teléfonos Android Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 14 de Agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro la informacion que se detalla a continuacion: Se han reportado múltiples vulnerabilidades en los smartphones con procesador Snapdragon. Acorde a los reportes, la explotación de estas fallas podría poner en riesgos críticos a los usuarios. En total, los investigadores reportaron el hallazgo de al menos 40 fallas de seguridad, una de ellas considerada grave. Esta falla reside en el kit de desarrollo de software (SDK) Hexagon, presente en los procesadores Snapdragon. Las versiones afectadas son 2.0, 3.0, 3.1, 3.2, 3.3.2, 3.3.3, 3.4.1, 3.4.2, 3.4.3, 3.5.0, 3.5.1 y 3.5.2.

2. Apodada como “Aquiles”, esta falla podría estar presente en millones de dispositivos Android en todo el mundo, según los investigadores de Check Point, encargados del hallazgo, no revelaron demasiados detalles de la falla, aunque aseguran que las consecuencias de la explotación son severas, pues los actores de amenazas podrían registrar las llamadas del usuario, instalar malware de forma remota e incluso inutilizar por completo un dispositivo afectado.

3. Los fabricantes de los dispositivos afectados no cuentan con la capacidad de resolver estas fallas por sí mismos, por lo que las vulnerabilidades deben ser abordadas por los fabricantes de chips. Poco después, Qualcomm reconoció la existencia de estas fallas, anunciando que las soluciones serían lanzadas en breve. La compañía tecnológica también aseguró a los usuarios y fabricantes que no se han detectado intentos de explotación activa de estas fallas ni la existencia de algún exploit relacionado con el ataque.

4. A pesar de que las vulnerabilidades no han sido explotadas, es importante que los fabricantes y usuarios en todo el mundo estén al tanto de estas fallas, pues alrededor del 40% de los dispositivos móviles en todo el mundo cuentan con un procesador Snapdragon, incluyendo los smartphones de compañías como LG, Samsung o Xiaomi.

5. Se recomienda:

Esta es una muestra de la importancia del lanzamiento de actualizaciones de seguridad periódicas, pues la mayoría de las vulnerabilidades explotables dependen del abuso de algunas características sin corregir en los sistemas afectados.

Mantener el sistema operativo de su dispositivo siempre actualizado. Constantemente aparecen actualizaciones que tapan agujeros de versiones anteriores, por las que pudiera entrar el malware, lo mejor es actualizar el sistema siempre que sea posible.

Fuentes de información https[:]//noticiasseguridad.com/vulnerabilidades/vulnerabilidades-sin-corregir-en-los-chips-qualcomm-snapdragon-afectan-a-millones-de-telefonos-android/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 132

Fecha: 14-08-2020

Página: 6 de 10

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta El malware actualizado Agent Tesla roba contraseñas de navegadores, VPN Tipo de ataque Malware Abreviatura Malware Medios de propagación USB , correo, red, navegación de internet. Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 14 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que los investigadores de amenazas de SentinelOne, han encontrado nuevas variantes del troyano de robo de información Agent Tesla que ahora vienen con módulos dedicados a robar credenciales de aplicaciones que incluyen navegadores web popular, software VPN, así como clientes de correo electrónico y FTP.

2. Este malware es actualmente muy popular entre los estafadores de correo electrónico comercial comprometido (BEC) que lo utilizan para infectar a sus víctimas para grabar pulsaciones de teclas y tomar capturas de pantalla de máquinas comprometidas.

3. También se puede utilizar para robar los datos del contenido del portapapeles de las víctimas, para recopilar información del sistema y para eliminar los procesos de análisis de software y antimalware.

4. El malware tiene la capacidad de extraer credenciales del registro, así como archivos de configuración o de soporte relacionados.

5. Google Chrome, Chromium, Safari, Brave, FileZilla, Mozilla Firefox, Mozilla Thunderbird, OpenVPN y Outlook son solo una pequeña muestra de todas las aplicaciones a las que se dirigen las últimas variantes de Agent Tesla.

6. Las variantes actuales a menudo soltarán o recuperarán ejecutables secundarios para inyectar, o intentarán inyectar en binarios conocidos (y vulnerables) que ya están presentes en hosts específicos.

7. Se recomienda:

Contar con un buen antivirus y otras herramientas que puedan protegernos. De esta forma podremos evitar la entrada de software malicioso que ponga en riesgo el buen funcionamiento de los sistemas.

Tener los equipos correctamente actualizados.

Fuentes de información http[:]//www.bleepingcomputer.com/news/security/upgraded-agent-tesla-malware-steals-passwords-from-browsers-vpns/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 132

Fecha: 14-08-2020

Página: 7 de 10

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva campaña de malware de origen ruso “Drovorub” dirigido a sistemas Linux

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

La Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) han publicado un aviso de seguridad cibernética sobre un nuevo malware de origen ruso no revelado con anterioridad. La unidad militar 26165 del 85° Centro Principal de Servicios Especiales (GTsSS) de la Dirección General de Inteligencia del Estado Mayor Ruso (GRU), cuya actividad ha sido identificada por el sector privado como Fancy Bear, Strontium o APT 28, está implementando un nuevo malware no revelado para sistemas Linux, llamado “Drovorub”, como parte de sus operaciones de ciberespionaje.

2. Detalles:

Drovorub es un conjunto de herramientas de malware de Linux que consta de un implante junto con un rootkit del módulo del kernel, una herramienta de transferencia de archivos y reenvío de puertos y un servidor de comando y control (C2). Cuando se implementa en una máquina víctima, el implante Drovorub proporciona la capacidad de comunicaciones directas con la infraestructura C2 controlada por el actor; capacidades de carga y descarga de archivos; ejecución de comandos arbitrarios como "root" y reenvío de puertos del tráfico de la red a otros hosts de la red; e implementa técnicas de ocultación para evadir la detección.

El rootkit del módulo del kernel utiliza una variedad de medios para ocultarse a sí mismo y al implante en los dispositivos infectados, y persiste hasta el reinicio de una máquina infectada a menos que el arranque seguro UEFI esté habilitado en el modo “Completo”. Varias técnicas de detección complementarias identifican eficazmente la actividad del malware Drovorub. Sin embargo, el módulo Drovorub-kernel plantea un desafío para la detección a gran escala en el host porque oculta los artefactos Drovorub de las herramientas comúnmente utilizadas para la respuesta en vivo a escala. Si bien la inspección de paquetes en los límites de la red se puede utilizar para detectar Drovorub en las redes, los métodos basados en host incluyen sondeo, productos de seguridad, respuesta en vivo, análisis de memoria y análisis de medios (imagen de disco).

La suite de malware Drovorub se compone de cuatro componentes ejecutables separados: Drovorub-agent, Drovorub-client, Drovorub-server y Drovorub-kernel module. La comunicación entre los componentes se realiza a través de JSON sobre WebSockets. (Fette & Melnikov, 2011) El agente Drovorub, el cliente Drovorub y el servidor Drovorub requieren archivos de configuración y una clave pública RSA (para el agente Drovorub y el cliente Drovorub) o una clave privada (para el servidor Drovorub) para comunicación.

3. Recomendaciones:

Para evitar que un sistema sea susceptible al ocultamiento y la persistencia de Drovorub, los administradores del sistema deben actualizar a Linux Kernel 3.7 o posterior para aprovechar al máximo la aplicación de la firma del kernel. Además, se recomienda a los propietarios de sistemas que configuren los sistemas para cargar solo módulos con una firma digital válida, lo que dificulta que un actor introduzca un módulo de núcleo malicioso en el sistema.

Fuentes de información hxxps://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 132

Fecha: 14-08-2020

Página: 8 de 10

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Phishing, suplantando la identidad de la aplicación multiplataforma Spotify

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 14 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de Phishing, a través de los diferentes navegadores web, el cual vienen suplantando la identidad de la aplicación multiplataforma Spotify (servicio de música, podcasts y vídeos digitales en Streaming que te da acceso a millones de canciones y otros contenidos de artistas de todo el mundo), con la finalidad obtener información de email y contraseña de las víctimas.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

2. La URL Maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo la siguiente información:

Dominio: www.api2.spotifyforbrands.com

Talla: 71B

Sistema operativo: Windows 7 de 32 bits

Puntuación de amenaza: 50/100

País: Estado Unidos

URL: hxxps: //www.api2.spotifyforbrands.com/dashboard

Topología URL:

3. Cómo funciona el phishing:

Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.

Medios de propagación del phishing: WhatsApp, telegram, redes sociales, SMS entre otros.

Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.)

4. Referencia:

Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.

5. Algunas Recomendaciones

Verifica la información en los sitios web oficiales.

No introduzcas datos personales en páginas sospechosas.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio de redes sociales y fuente abierta

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 10 de 10

Índice alfabético

Código malicioso .................................................................................................................................................... 4, 5, 6, 7 Fraude ............................................................................................................................................................................ 3, 8 internet .......................................................................................................................................................................... 3, 6 malware ............................................................................................................................................................. 2, 4, 5, 6, 7 Malware ................................................................................................................................................................. 4, 5, 6, 7 phishing ..................................................................................................................................................................... 2, 3, 9 Phishing ................................................................................................................................................................. 2, 3, 8, 9 redes sociales ............................................................................................................................................................. 1, 3, 9 Redes sociales ................................................................................................................................................................ 3, 8 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 8 rootkit ............................................................................................................................................................................ 4, 7 servidor .......................................................................................................................................................................... 4, 7 software ......................................................................................................................................................................... 5, 6 URL ..................................................................................................................................................................................... 9 USB, disco, red, correo, navegación de internet ....................................................................................................... 4, 5, 7 Vulnerabilidades ............................................................................................................................................................ 2, 5