PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 15 de abril de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 011

Fecha: 15-04-2020

Página: 2 de 14

Componente que reporta PECERT | EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL Nombre de la alerta Vulnerabilidades críticas en Oracle

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV

Medios de propagación Red e Internet

Código de familia H Código de Sub familia H01

Clasificación temática familia Intento de intrusión Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional advierte sobre fallas de seguridad en algunos productos de Oracle. Asimismo, especialistas en ciberseguridad consultados mencionan que la actualización de seguridad emitida por Oracle incluye correcciones para 397 vulnerabilidades, de las cuales 286 podrían ser explotadas de forma remota por los ciberdelincuentes.

Cabe indicar que Oracle ya ha publicado los correspondientes parches de seguridad para corregir las vulnerabilidades en sus productos.

2. Detalles de la alerta:

Oracle emitió un aviso de seguridad informando la actualización de parches para corregir vulnerabilidades con severidad crítica identificadas hasta abril de 2020. Dicha información se encuentra publicada en la dirección web: https://www.oracle.com/security-alerts/cpuapr2020.html.

Cabe señalar que estas actualizaciones incluyen parches para corregir vulnerabilidades con severidad alta. Así, debemos señalar que quince (15) de estas recibieron un puntaje de 8.5/10 en la escala CVSS y pueden ser explotadas de forma remota sin ser autenticados.

Ahora bien, antes de actualizar los parches de seguridad considerar lo siguiente:

Las vulnerabilidades que afectan a Oracle Database u Oracle Fusion Middleware pueden afectar a las aplicaciones de Oracle Fusión, por lo que los clientes de Oracle deben consultar los documentos de parches críticos de Oracle Fusión Applications: My Oracle Support Note 1967316.11 para obtener información sobre los parches a utilizar.

El producto Oracle Fusion Middleware debe corregir 49 vulnerabilidades que podrían ser explotadas por los ciberdelincuentes de forma remota y sin credenciales de autenticación.

Las vulnerabilidades que afectan a Oracle Solaris pueden afectar a Oracle ZFSSA, por lo que los clientes de Oracle deben consultar el documento con actualización de parches críticos de Oracle y Sun Systems Product Suite, My Oracle Support Note 2160904.12 para obtener información sobre las revisiones mínimas de parches de seguridad necesarios para resolver los problemas de Oracle ZFSSA.

Los usuarios que ejecutan Java SE con un navegador pueden descargar la última versión de http://java.com. Los usuarios de las plataformas Windows y Mac OS X también pueden usar actualizaciones automáticas para obtener la última versión.

Finalmente, referir que las actualizaciones publicadas por Oracle resuelven el total de vulnerabilidades identificadas.

3. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Actualizar los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ciberataques.

Realizar concientización constante a los usuarios sobre este tipo de amenaza.

Fuentes de información

1 Puede consultar: https://www.oracle.com/security-alerts/cpujan2019.html 2 Puede consultar: https://support.oracle.com/knowledge/Sun%20Microsystems/2160904_1.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 020

Fecha: 15-04-2020

Página: 3 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de TikTok permite a los piratas informáticos poner videos falsos en su cuenta

Tipo de ataque Suplantación Abreviatura Suplantación

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de sub familia G03 Clasificación temática familia Fraude

Descripción

1. El 15 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha detectado que expertos en seguridad cibernética Mysk Talal Haj Bakry, descubrieron una vulnerabilidad en Tik Tok que podría permitir a los ‘hackers’ publicar videos en cuentas de otros usuarios.

2. Según los especialistas, piratas cibernéticos usaron esta vulnerabilidad para subir clips con información falsa sobre el coronavirus en varias cuentas populares de dicha Tik Tok, incluido el perfil oficial de la OMS.

3. El problema de vulnerabilidad consiste en que la plataforma utiliza un protocolo HTTP sin cifrar en lugar de un HTTPS más seguro, por ello el propietario de redes públicas de WIFI, proveedores de Internet y servicio gubernamentales pueden recibir el historial de navegación de cualquier usuario de dicha red social, indicaron los expertos.

4. Tik Tok transfiere datos como videos y fotos de perfil a través de HTTP, por lo que los desarrolladores descubrieron que la red social es vulnerable a ataques de intermediarios, utilizando Content Delivery Networks, o CDN, para transferir sus datos de manera más efectiva en todo el mundo. Para mejorar el rendimiento, estos CDN transfieren los datos a través de HTTP.

5. En otras palabras, podrían alterar el contenido en la transmisión e intercambiar un video real en una cuenta con uno falso de su elección. Los especialistas pudieron cambiar videos reales por videos falsos de usuarios al azar en un ataque de DNS contra la Red.

6. Utilizando la vulnerabilidad Tommy Mysk y Talal Haj Bakry compartieron información errónea sobre el coronavirus y lo inyectó en la cuenta TikTok de la Organización Mundial de la Salud para que pareciera uno de los videos de la organización. El equipo logró utilizar el mismo proceso para mostrar cargas fraudulentas en otras cuentas verificadas de TikTok, como la Cruz Roja y el perfil oficial de la plataforma de video.

7. Recomendación:

Para los usuarios que emplean la herramienta, evitar la divulgación de información personal a través de las redes sociales.

Fuentes de información https://notiulti.com/la-vulnerabilidad-de-tiktok-permite-a-los-piratas-informaticos-poner-

videos-falsos-en-su-cuenta/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 020

Fecha: 15-04-2020

Página: 4 de 14

Componente que reporta CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad de escala de privilegios en OneDrive para Windows Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, páginas web

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de Intrusión

Descripción

1. El 15 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información sobre una vulnerabilidad identificada con el código (CVE-2020-0935) en OneDrive para Windows. Esta vulnerabilidad permite, a un usuario local, escalar privilegios en el sistema, debido a que la aplicación de escritorio maneja incorrectamente los enlaces simbólicos (acceso directo a una carpeta o archivo).

2. Un atacante que inicie sesión en el sistema podría ejecutar una aplicación especialmente diseñada para sobrescribir un archivo dirigido que conduce a un nivel elevado (escala de privilegios).

3. Recomendación:

Actualizar OneDrive a la última versión disponible, que corrige esta vulnerabilidad.

Fuentes de información

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0935 https://www.cybersecurity-help.cz/vdb/SB2020041436

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 020

Fecha: 15-04-2020

Página: 5 de 14

Componente que reporta CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad que afecta a la biblioteca de código abierto Windows Hello Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de Intrusión

Descripción

1. El 15 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información de la vulnerabilidad (CVE-2020-11005) publicada por NIST (Instituto Nacional del Estándares y Tecnología) el 14 de abril de 2020, que afecta a la biblioteca WindowsHello (biblioteca empleada para obtener acceso instantáneo a los dispositivos Windows 10 mediante el reconocimiento de huellas digitales o facial).

2. La explotación de la vulnerabilidad viene afectando a las versiones anteriores a la 1.0.4 de la biblioteca de WindowsHello, hace que los datos cifrados puedan descifrarse sin necesidad de autenticación.

3. La biblioteca WindowsHello es usada para cifrar texto y escribir la salida en un archivo txt, siendo esto vulnerable a un atacante, que podría descifrar el archivo txt usando el método estático NCryptDecrypt (descifrado de un bloque de datos cifrados), sin necesidad de usar la autenticación de WindowsHello nuevamente.

4. Recomendación:

Actualizar a la versión de la biblioteca de WindowsHello más reciente (1.0.4), que elimina esta vulnerabilidad.

Fuentes de información https://www.tenable.com/cve/CVE-2020-11005 https://nvd.nist.gov/vuln/detail/CVE-2020-11005

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 020 Fecha: 15-04-2020

Página: 6 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AEREA DEL PERÚ

Nombre de la alerta Spyware Pegasus usado para espiar a usuarios

Tipo de ataque Spyware Abreviatura Spyware

Medios de propagación USB, Disco, Red, Correo, Navegación de Internet

Código de familia C Código de sub familia C02

Clasificación temática familia Código Malicioso

Descripción

1. El 15 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que el CEO (Chief Executive Officer) de la Compañía NCO (compañía de ciberseguridad israelí que se ha visto involucrada en numerosos escándalos relacionados con la invasión del derecho a la privacidad de usuarios con perfil de periodistas, activistas, etc.), realizó una declaración judicial en contra de Facebook, por haber querido comprar los servicios relacionados con el spyware denominado Pegasus, para poder espiar a una parte de sus usuarios.

2. Cabe señalar que el spyware Pegasus, hace uso de tres (03) vulnerabilidades al que los investigadores llaman “Trident”. Con el código (CVE-2016-4655, CVE-2016-4656 y CVE-2016-4657), el cual se trata de un spyware con técnicas de ofuscación, cifrado, explotación del kernel y uso de 0 - day’s avanzada. Consiste en enviar dominios falsos con los que suplantaba sitios web oficiales. Asimismo, el spyware Pegasus evita ser detectado por las medidas de seguridad perimetral del teléfono móvil inteligente mediante la ofuscación y cifrado.

3. Recomendación:

A la ciudadanía en general, no instalar programas desconocidos, no ingresar a links desconocidos que son enviados por mensajes de texto para evitar que ciberdelincuentes roben información personal y bancaria.

Fuentes de información

https://unaaldia.hispasec.com/2020/04/ceo-de-nso-facebook-quiso-usar-pegasus-para-monitorizar-a-sus-usuarios.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 020

Fecha: 15-04-2020

Página: 7 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Hackeo de la página de Beneficencia de Chiclayo

Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb

Medios de propagación Red, internet

Código de familia L Código de sub familia L01

Clasificación temática familia Vandalismo

Descripción

1. El 15 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red Social Twitter, el usuario identificado con el nombre The Lulz Ghost, realizó un defacement (ataque a un sitio web que cambia la apariencia visual de una página web) a la página web de Sociedad de la Beneficencia de Chiclayo.

2. Recomendación:

Los administradores de red de las áreas de informática, deberán extremar medidas en cuanto a las políticas de seguridad y las configuraciones de sus páginas web.

Fuentes de información https://twitter.com/LulzSecGH_/status/1246628310119059457

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA DE SEGURIDAD DIGITAL N°011 Fecha: 15-04-2020

Página: 8 de 14

Componente que reporta DIRECCION NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva campaña de Phishing por SMS suplanta sitio web del Banco de Crédito del Perú (BCP) Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Red, SMS

Código de familia G Código de Sub familia G02

Clasificación temática familia Fraude

Descripción

1. Resumen:

El equipo de Seguridad Digital DINI ha detectado una campaña de phishing en la que mediante el envío de mensajes de texto (SMS) a dispositivos móviles busca robar las credenciales de sus víctimas, a través de un sitio web falso de inicio de sesión del Banco de Crédito del Perú (BCP).

2. Detalles:

El equipo de seguridad digital detectó una campaña de phishing de envío de mensajes de texto (SMS) a dispositivos móviles de sus víctimas mediante el número móvil (+51959434498), donde se les indica que tienen ingresos no reconocidos en su cuenta bancaria, en el Banco de Crédito del Perú (BCP). En el mensaje se muestra una dirección URL (https://bit.ly/Bcp-actualizacion) que ha sido acortado para ahorrar espacio en cada publicación de plataformas de redes sociales y otros servicios, como el SMS para el envío de texto en teléfonos celulares. En este caso la dirección fraudulenta real es:

Dominios contactados:

https : // bit [.] ly/Bcp-actualizacion ----------> http: // www [.] bcpzonasegurabeta [.] vibcp [.] live http: // bcpzonasegurabeta [.] luxuryaction [.] com

Al revisar el tráfico de red y comparar las URL falsas y la original de la entidad, se puede observar que son parecidas; sin embargo, se nota los cambios realizados por el actor de amenaza al crear dominios con modificaciones a la URL original del sitio web del Banco de Crédito del Perú (BCP). En este caso no usa un protocolo seguro de transferencia de hipertexto (HTTPS) y la estructura de la dirección se ha manipulado para el engaño.

URL original: https://bcpzonasegurabeta.viabcp.com/#/iniciar-sesion

URL creadas para fraude: http: // www [.] bcpzonasegurabeta [.] vibcp [.] live

http: // bcpzonasegurabeta [.] luxuryaction [.] com

La víctima al hacer clic en la URL acortada, será redirigida a un sitio web falso (phishing) que simula ser la del BC. En ella le solicitan ingresar sus credenciales de inicio de sesión, es decir sus datos de la tarjeta de crédito y contraseña.

Página falsa: http : // www [.] bcpzonasegurabeta [.] vibcp [.] live

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página original: https://bcpzonasegurabeta.viabcp.com/#/iniciar-sesion

Luego de ingresar la información requerida, se muestra un mensaje donde indica que el número de tarjeta o clave que ha ingresado no existe y que vuelva a intentar. Al ingresar nuevamente se mostrará el mismo mensaje hasta que la página cierra la sesión, indicando que el tiempo ha finalizado. En estos pasos, el atacante ya obtuvo las credenciales de inicio de sesión de la víctima.

Además, se realizó una evaluación de la URL fraudulenta (www [.] bcpzonasegurabeta [.] vibcp [.] live) con el objetivo de detectar si contiene actividad maliciosa. Se detectó que la IP principal es 23. 254. 161. 6, ubicada en Seattle, Estados Unidos registrado en HOSTWINDS, EE.UU. El dominio principal es www [.] bcpzonasegurabeta [.] vibcp [.] live. Certificado TLS: emitido por la Autoridad de Certificación de cPanel, Inc. el 11 de abril de 2020. Válido por: 3 meses. Como resultado se obtuvo que la URL es 100% malicioso y ha sido identificado como ataque de suplantación de identidad (phishing) contra el Banco de Crédito del Perú (BCP). También el resultado nos indica que hay 983 páginas estructuralmente similares en diferentes IP, dominios y ASN encontrados.

En el caso de la URL http: // bcpzonasegurabeta [.] luxuryaction [.] com, el servicio VirusTotal lo detecta como actividad de phishing. El dominio fue registrado en Finlandia con la empresa CSL Computer Service Langenbach GmbH con el sitio web de adquisición de dominios https://joker.com.

3. Indicadores de compromiso (IoC):

Peticiones DNS: www [.] bcpzonasegurabeta [.] vibcp [.] live – [EEUU]; bcpzonasegurabeta [.] luxuryaction [.]com - [Finlandia].

Servidores contactados [IP]: [23. 254. 161. 6; 67. 199. 248. 10; 23. 36. 85. 183]

Objetos u artefactos maliciosos [SHA256]:

cce3196ce7ec3eee729656a02e7123de88cc40805d2dc54a1ea15c92bb150ca4 (04/15/2020 08:52:04)

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ac35200b94242b5888c9f646d517f6cd926b50548fdc258b289ddf8e838c3b55 (04/15/2020 08:20:30)

e9d4c7cb50da5a624e6c9303d92205252f860c95485ee8271933c564f6bc9236 (04/15/2020 01:36:30)

8da7e877a8646f382efbeec5e86e16a3dde63393d1a8f8ee5e24ac2523fa869e (04/15/2020 00:49:02)

bb61836c9cf53bc6cf4839a59c53951fc5469f3aea9871f1a667c70b14a752e8 (AV: positivos 4/75 – escaneado el 04/14/2020 22:33:51)

648daef874b30314788fc6c81e4472a77f329d1e49f0e0e45dac11fc59697f18 (AV positivos: 5/74 – escaneado el 04/14/2020 10:09:21)

d6acbb0350a3f3ad9bea6dbf84ed7056374e5f00385f83e6b829047fe97a845c (AV positivos: 10/74 – escaneado el 04/14/2020 09:46:50)

7862fd52eeecc8d8b86ec5040b5e44887de26b0ef09e1282c8075e13c59038c3 (AV positivos: 10/75 – escaneado el 04/14/2020 06:59:48)

2741ee9b97f3de4ea9b7671316e0b6d90403bac402eabae78635a08d6038bcb9 (04/14/2020 20:39:42)

deb84c97a841ab67e5e3e618727cb5580a08fe40d49837000940e6062497c939 (AV positivos: 29/75 – escaneado el 04/13/2020 12:02:08)

Indicadores de detección de hooking/patching:

Proceso "iexplore.exe" con el argumento de línea de comando "SCODEF:3580 CREDAT:275457 /prefetch:2, que modifica direcciones virtuales y hacen uso de módulos de las siguientes librerías dinámicas: [USP10.DLL, IEFRAME.DLL, IEFRAME.DLL, GDI32.DLL, OLEAUT32.DLL, SHLWAPI.DLL, IERTUTIL.DLL, IEFRAME.DLL, IEFRAME.DLL, SHELL32.DLL, USER32.DLL, SHLWAPI.DLL, SHELL32.DLL]

Variables de modificación del registro javascript:

o [objetos: onformdata, ver_login, max_clave, paso2, mesa, num, table_dni, num_dni; funciones: onpinterrawupdate, jQuery, var_key, contar, changekaptcha, aleatoria]

Modificación del registro del sistema operativo:

o "PSFactoryBuffer" (Path: "HKCU\CLSID\{057EEE47-2572-4AA1-88D7-60CE2149E33C}")

o "Cor MIME Filter, CorFltr, CorFltr 1" (Path: "HKCU\CLSID\{1E66F26B-79EE-11D2-8710-00C04F79ED0D}\SERVER")

o "NetworkListManager" (Path: "HKCR\SOFTWARE\CLASSES\CLSID\{DCB00C01-570F-4A9B-8D69-199FDBA5723B}")

o "Network List Manager" (Path: "HKCU\CLSID\{A47979D2-C419-11D9-A5B4-001185AD2B89}\TREATAS")

o "Security Manager" (Path: "HKCU\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\TREATAS")

o "WinInetBroker Class" (Path: "HKCU\CLSID\{C39EE728-D419-4BD4-A3EF-EDA059DBD935}\TREATAS")

o "MSAA AccPropServices" (Path: "HKCU\CLSID\{B5F8350B-0548-48B1-A6EE-88BD00B4A5E7}\TREATAS")

o "Task Bar Communication" (Path: "HKCU\CLSID\{56FDF344-FD6D-11D0-958A-006097C9A090}\TREATAS")

o "Internet Explorer(Ver 1.0)" (Path: "HKCU\CLSID\{0002DF01-0000-0000-C000-000000000046}\TREATAS")

o "WebBrowserHandler Proxy" (Path: "HKCU\CLSID\{3CB169B3-17D9-4E47-8B93-2878998F69A2}\TREATAS")

o "PSDispatch" (Path: "HKCU\CLSID\{00020420-0000-0000-C000-000000000046}\TREATAS")

o "Computer" (Path: "HKCU\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\SHELLFOLDER")

o "Memory Mapped Cache Mgr" (Path: "HKCU\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\TREATAS")

o "UsersFiles" (Path: "HKCU\CLSID\{59031A47-3F72-44A7-89C5-5595FE6B30EE}\SHELLFOLDER")

o "Shockwave Flash Object" (Path: "HKCU\CLSID\{D27CDB6E-AE6D-11CF-96B8-444553540000}\INPROCSERVER32")

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

o "Property System Both Class Factory" (Path: "HKCU\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\TREATAS")

o "Office Document Cache Handler" (Path: "HKCR\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{B4F3A835-0E21-4959-BA22-42B3008E02FF}\INPROCSERVER32")

o "Microsoft HTML Resource Pluggable Protocol" (Path: "HKCU\WOW6432NODE\CLSID\{3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}\TREATAS")

o "HTML Document" (Path: "HKCU\WOW6432NODE\CLSID\{25336920-03F9-11CF-8FD0-00AA00686F13}\TREATAS")

o "Microsoft HTML About Pluggable Protocol" (Path: "HKCU\WOW6432NODE\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\TREATAS")

4. Recomendaciones:

Mantener un protocolo para la detección y gestión de los malwares3 y de protección en la navegación Web4.

Desarrollar un plan de respuesta5 ante la posible materialización del incidente considerando la contención las medidas para restringir el acceso y ejecución del malware descritas en los IoC.

Concientizar6 constantemente a los usuarios en temas relacionados a seguridad digital, específicamente sobre las consideraciones para la verificación de la autenticidad y confiabilidad de los sitios web previo acceso y descarga.

Habilitar los registros de auditorías7 y realizar el monitoreo continuo8 para detectar y alertar sobre eventos que son anómalos en la red.

Fuentes de información Equipo de Seguridad Digital DINI

3 Ver el estándar internacional CIS Controls versión 7, específicamente el control “8 – Malware Defense” 4 Ver el estándar internacional CIS Controls versión 7, específicamente el control “7 – Email and Web Browser Protections” 5 Ver el estándar internacional NIST 800-53 rev. 5, específicamente el control “IR-8 Incident Response Plan” 6 Ver el estándar internacional NIST 800-53 rev. 5, específicamente el control “AT-2 Awareness Training” 7 Ver el estándar internacional CIS Controls versión 7, específicamente el control “6 – Maintenance, Monitoring and Analysis of Audit logs” 8 Ver el estándar internacional NIST 800-53 rev. 5, específicamente el control “AU-3 Monitoring for Information Disclosure”

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 011

Fecha: 15-04-2020

Página: 12 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Páginas Web falsas de Bancos, tiendas online y casas de apuestas. Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de Subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 15 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes, aprovechando la situación actual de la pandemia coronavirus COVID-19, han diseñado páginas web fraudulentas suplantando la identidad de los bancos de España como Caixabank, Santander, tiendas online, sitios de apuesta online, entre otros, con la finalidad del robo de datos personales.

2. Algunas páginas fraudulentas:

BANCOS:

(Página Falsa) (Sitio Web Oficial)

IP: 103.224.182.249 / 199.59.242.153

Ubicación: EE. UU

Fecha de Creación: 04/04/20

Servidor: 723.ns1.above.com

IP: 103.224.182.249 / 185.53.179.29

Ubicación: ALEMANIA

Fecha de Creación: 01/04/20

Servidor: 723.ns1.above.com

TIENDAS ONLINE:

IP: 103.224.182.249 / 199.59.242.153

Ubicación: EE. UU

Fecha de Creación: 04/04/20

Servidor: 723.ns1.above.com

ww38.bancoantander.es https://www.bancosantander.es/

ww38.caixabamk.es https://www.caixabank.es/

ww25.mediaarkt.es https://www.mediamarkt.es/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

APUESTAS ONLINE:

IP: 103.224.182.249 / 185.53.179.29

Ubicación: ALEMANIA

Fecha de Creación: 01/04/20

Servidor: 723.ns1.above.com

REFRENCIA. - Las páginas web en mención han sido creadas entre el 01 y 04 ABR20, como se indica en los detalles de IP, además todas la IP son direccionada por la IP (PRINCIPAL) 103.224.182.249.

3. Información de IP (PRINCIPAL) 103.224.182.249

SERVIDOR lb-182-249.above.com

CONTINENTE OCEANIA

PAÍS AUSTRALIA

ISP Trellian Pty. Limited

LATITUD -33.494

LONGITUD 143.21

4. Además de las páginas web antes mencionadas, se han detectado otras páginas parecidas:

simp3.es js.pp.caiabank.es

caixaank.es aixabank.es

caiabank.es caixabamk.es

bankua.es cixabank.es

bancoantander.es www.caiabank.es

ber365.es caxabank.es

elcorteingls.es caixbank.es

caixaban.es mediaarkt.es

5. Recomendaciones:

No abras correos de remitentes que no conoces.

Verifique la URL del sitio web (que este bien escrita)

Visita páginas oficiales para realizar operaciones online.

No introducir datos personales en páginas web que no sean oficiales.

Siempre debes pensar que los ciberdelincuentes harán hasta lo imposible para obtener información personal (contraseñas, datos de cuenta bancarias, entre otras informaciones).

Fuentes de información https://pastebin.com https://urlscan.io/result/e9c577ca-48e9-4acd-84e7-f70dc0ecb177

ww38.ber365.es https://www.bet365.es

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 011

Fecha: 15-04-2020

Página: 14 de 14

Componente que reporta AREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ

Nombre de la alerta Smishing – Banco de Crédito del Perú. Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Aplicaciones de mensajería, redes sociales, mensajes de texto

Código de familia G Código de Sub familia G02

Clasificación temática familia Fraude

Descripción

1. Comportamiento

El Área de Operaciones de ASBANC advierte sobre una campaña de smishing que se está difundiendo desde el número de celular 920 902 946, que contiene el enlace https://cutt.ly/_BCP, y redirige a una página web fraudulenta del Banco Crédito del Perú https://bcpzonasegura.lbetaviabcp.com/iniciar-sesion.

2. Indicadores de compromiso

URL de alojamiento : https://bcpzonasegura.lbetaviabcp.com/iniciar-sesion

IP : 63.250.47.186

Dominio : lbetaviabcp.com

Localización: : Orangeburg - Estados Unidos

URL de redirección : https://cutt.ly/_BCP

Nro de celular : 920 902 946

3. Imágenes

4. Recomendaciones:

Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).

Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.

Mantener actualizados los sistemas operativos de los equipos utilizados (servidores, computadoras, celulares).

Realizar concientización constante a los usuarios sobre:

o Ataques cibernéticos.

o Esquemas de Ingeniería social.

o Aprenda a reconocer las características de los portales de su entidad.

Considerar la conveniencia de utilizar enlaces a direcciones URL en los mensajes SMS enviados a sus clientes.

Fuentes de información Área de Operaciones de ASBANC