lima, 22 de noviembre de 2020 - cdn
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 22 de noviembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Ataques de phishing apunta a clientes de Netflix para robar información financiera .................................. 3
Ataques de phishing apunta a clientes de Nets[.]eu para robar información financiera ............................. 4
Detección de una nueva variante de malware denominado Jupyter ........................................................... 5
Índice alfabético ............................................................................................................................................ 7
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 232
Fecha: 22-11-2020
Página: 3 de 7
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Ataques de phishing apunta a clientes de Netflix para robar información financiera
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Aplicaciones de mensajería, redes sociales, mensajes de texto
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una campaña de “phishing” que se está difundiendo a través de aplicaciones de mensajería, redes sociales y mensajes de texto con contenido falso.
2. Detalles:
Este ataque afectó a Netflix, dirección URL hxxps://www.netflix.com/. y sus clientes.
Este ataque redirige a los visitantes a contenido malicioso, el destino de re direccionamiento puede haberse desconectado, es importante eliminar la URL de re direccionamiento para que el estafador no pueda actualizarla y perjudicar.
La afectación utiliza restricciones de direcciones IP para evitar que algunos usuarios, como entidades regulatorias y empresas de hosting.
3. Indicadores de compromiso:
URL: hxxp://gcu.unitru.edu[.]pe/phocadownload/userupload/browse/
IP: [181.176[.]170.110]
URL maliciosa: hxxp://www.ctjamor.com/semaphore/css/browse/[email protected]
4. Recomendaciones:
Actualizar sus aplicaciones web, incluidos CMS, blogs, comercio electrónico y otras aplicaciones.
Buscar archivos sospechosos en todos sus directorios web, ya que los atacantes suelen dejar puertas traseras.
Eliminar cualquier archivo que no esté destinado a estar en el sitio y revertir cualquier modificación en Javascript.
Actualizar cualquier otro paquete de software y complementos que pueda estar usando a las últimas versiones, cambie todas las contraseñas de administrador relevantes y verifique si hay archivos sospechosos en la PC.
Ante correos sospechosos no abrir ficheros adjuntos y tampoco pulsar sobre enlaces incluidos.
Actualizar el sistema operativo del dispositivo móvil.
Realizar concientización constante a los usuarios sobre este tipo de amenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 232
Fecha: 22-11-2020
Página: 4 de 7
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Ataques de phishing apunta a clientes de Nets[.]eu para robar información financiera
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Aplicaciones de mensajería, redes sociales, mensajes de texto
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una campaña de “phishing” que se está difundiendo a través de aplicaciones de mensajería, redes sociales y mensajes de texto con contenido falso.
2. Detalles:
Este ataque afectó a Nets[.]eu de dirección URL [hxxp://www.nets[.]eu] y sus clientes.
Este ataque redirige a los visitantes a contenido malicioso, el destino de re direccionamiento puede haberse desconectado, es importante eliminar la URL de re direccionamiento para que el estafador no pueda actualizarla y perjudicar.
La afectación utiliza restricciones de direcciones IP para evitar que algunos usuarios, como entidades regulatorias y empresas de hosting. El ataque está restringido geográficamente y solo es visible desde Dinamarca, Finlandia, Noruega, Suecia.
3. Indicadores de compromiso:
hxxps://www.edsaasociados[.]com/wp-includes/konto/
IP: [161.132[.]18.41]
4. Recomendaciones:
Actualizar sus aplicaciones web, incluidos CMS, blogs, comercio electrónico y otras aplicaciones.
Buscar archivos sospechosos en todos sus directorios web, ya que los atacantes suelen dejar puertas traseras.
Eliminar cualquier archivo que no esté destinado a estar en el sitio y revertir cualquier modificación en Javascript.
Actualizar cualquier otro paquete de software y complementos que pueda estar usando a las últimas versiones, cambie todas las contraseñas de administrador relevantes y verifique si hay archivos sospechosos en la PC.
Ante correos sospechosos no abrir ficheros adjuntos y tampoco pulsar sobre enlaces incluidos.
Actualizar el sistema operativo del dispositivo móvil.
Realizar concientización constante a los usuarios sobre este tipo de amenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 232
Fecha: 22-11-2020
Página: 5 de 7
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de una nueva variante de malware denominado Jupyter
Tipo de ataque Malware Abreviatura Malware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “excelsior.com”, se informa sobre la detección de una nueva variante de Malware denominado Jupyter, basado en .NET, que al ser ejecutado infecta el dispositivo de la víctima y se actualiza de forma periódica para crear puertas traseras en el sistema objetivo, el cual tiene como finalidad robar datos confidenciales de los navegadores web Chromium, Mozilla Firefox y Google Chrome, cookies, credenciales, certificados, información de autocompletar.
2. Detalles del Malware Jupyter:
La propagación se da a través de una descarga de un instalador ejecutable Inno Setup, en un archivo ZIP que se hace pasar por software legítimo.
El instalador aprovecha la técnica de vaciado de procesos para inyectar en la memoria de un proceso un cargador .NET, que actúa como cliente para el servidor de comando y control.
El cliente luego descarga la siguiente etapa, un comando de PowerShell que ejecuta el módulo .NET de Jupyter en memoria.
Todas estas capacidades del Malware (el cliente C2, descarga y ejecución de malware, scripts y comandos de PowerShell y la técnica de vaciado de procesos) habilitan las funciones de puerta trasera extendidas.
Los instaladores que inician la cadena de ataque se hacen pasar por documentos de Microsoft Word y usan los siguientes nombres:
o The-Electoral-Process-Worksheet-Key.exe.
o Conceptos-matemáticos-Precálculo-con-Aplicaciones-Soluciones.exe.
o Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe.
o Muestra-carta-para-documento-de-viaje-de-emergencia.
Imagen. Proceso de infección del Malware Chaes.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. Indicadores de compromiso (IoC).
Archivos analizados:
o Nombre: direct-cpu-clock-access o Tipo: Win32 EXE o Tamaño: 5.31 MB (5570304 bytes) o MD5: 63c9ace2fb8d1cb7eccf4e861d0e4e45 o SHA-1: 59488aa15eeb47cd0b024c8a117db82f1bc17a80 o SHA-256: a1a9137dea275aa805e5640f6450366dbf6e10be066e5c12c34904e45e469c4c
o Nombre: assembly o Tipo: Win32 EXE o Tamaño: 116.00 KB (118784 bytes) o MD5: d30aa0149240031aafd4f57566cefb8d o SHA-1: ea2b5b7bcc0efde95ef1daf91dcb1aa55e3458a9 o SHA-256: 33d7f3bb788ea4bf9fffba9e528ec62ad38f02d03e63f78e427238f90a9ac75d
4. Algunas Recomendaciones
Descargar aplicaciones de fuentes confiables.
Mantener el sistema operativo actualizado.
No acceder clic o pinchar en enlaces de dudosa procedencia.
Los programas instalados deben actualizarse y activarse con herramientas y/o funciones proporcionadas por sus desarrolladores oficiales.
Fuentes de información hxxps://www.excelsior.com.mx/hacker/alertan-por-jupyter-el-nuevo-malware-que-se-roba-tus-contrasenas/1417507
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 7 de 7
Índice alfabético
Código malicioso ................................................................................................................................................................ 5 Correo electrónico ............................................................................................................................................................. 5 Correo electrónico, redes sociales, entre otros ................................................................................................................ 5 Fraude ............................................................................................................................................................................ 3, 4 hxxp ............................................................................................................................................................................... 3, 4 malware ......................................................................................................................................................................... 5, 6 Malware ............................................................................................................................................................................. 5 phishing ......................................................................................................................................................................... 3, 4 Phishing ......................................................................................................................................................................... 3, 4 redes sociales ......................................................................................................................................................... 1, 3, 4, 5 servidor .............................................................................................................................................................................. 5 software ..................................................................................................................................................................... 3, 4, 5 URL ................................................................................................................................................................................. 3, 4