PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 27 de enero de 2021

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Vulnerabilidad explotada ganaría privilegios de root, incluso si no está listado en el archivo sudoers. ...... 3

Malware Android Wormable ......................................................................................................................... 4

Google chrome etiqueta el proyecto nmap como malware ......................................................................... 5

Fallo en SUDO – Análisis 1 ............................................................................................................................. 6

Vulnerabilidad de desbordamiento de búfer en “Sudo” – Análisis 2 ........................................................... 7

Campaña de phishing suplanta página de Compañía de Telecomunicaciones más grande del mundo. ...... 8

Vulnerabilidad reciente de Windows explotable de forma remota .............................................................. 9

Vulnerabilidad Oracle WebLogic Server ......................................................................................................10

Phishing utiliza como señuelo informes falsos sobre la caducidad de contraseñas de Office 365 .............11

Nuevo malware de Android, distribuido a través de la aplicación WhatsApp ............................................12

Índice alfabético ..........................................................................................................................................14

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 3 de 14

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidad explotada ganaría privilegios de root, incluso si no está listado en el archivo sudoers.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV

Medios de propagación Internet y red

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de la búsqueda de amenazas en el ciberespacio, se identificó una vulnerabilidad en el programa Sudo que podría permitir a los usuarios locales obtener privilegios de root en sistemas similares a Unix sin autenticación alguna.

2. Detalles de la alerta:

El programa Sudo, es una utilidad de los sistemas operativos tipo Unix, como GNU/Linux, BSD, Mac OS X o Mac OS 11, que permite a los usuarios ejecutar programas con los privilegios de seguridad de otro usuario (normalmente el usuario root) de manera segura, convirtiéndose así temporalmente en el otro usuario durante la ejecución del programa.

A continuación, se muestra una breve descripción de la vulnerabilidades y exposiciones comunes (CVE) identificada:

• CVE-2021-3156: Sudo antes de 1.9.5p2 tiene un desbordamiento de búfer basado en Heap, lo que permite la escalada de privilegios a la raíz a través de "sudoedit -s" y un argumento de línea de comandos que termina con un solo carácter de barra invertida:

La vulnerabilidad habría sido introducida con la versión de Sudo distribuida en 2011, y está presente en las configuraciones predeterminadas de todas las versiones estables desde 1.9.0 a 1.9.5 p1, además de todas las versiones heredadas desde 1.8.2 a 1.8.31 p2.

Para poder realizar una prueba de esta vulnerabilidad, debe iniciar sesión como usuario no root y ejecutar el comando “sudoedit -s /”. Los sistemas vulnerables arrojarán un error que comienza con “sudoedit:”, en cambio los sistemas que ya han actualizado el parche de seguridad mostrarán un error que comenzará con “usage:”.

Asimismo, investigadores en ciberseguridad utilizaron varios exploits para vulnerar la falla de seguridad, en la cual consiguieron con éxito obtener privilegios de root en múltiples distribuciones de Linux, incluyendo Debian 10, Ubuntu 20.04 y Fedora 33.

3. Recomendaciones:

• Actualizar el programa Sudo a la nueva versión disponible.

• Realizar concientización constante a los usuarios sobre este tipo de amenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 4 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS GRUPO DE OPERACIONES EN EL CIBERESPACIO – FUERZA AÉREA DEL PERÚ

Nombre de la alerta Malware Android Wormable

Tipo de ataque Malware Abreviatura Malware

Medios de propagación Red, internet, whatsapp

Código de familia H Código de subfamilia H01

Clasificación temática familia Malware

Descripción

1. El 25 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que malware de Android se propaga a través de mensajes de WhatsApp a otros contactos para expandir lo que parece ser una campaña de adware. "Este malware se propaga a través del WhatsApp de la víctima respondiendo automáticamente a cualquier notificación de mensaje de WhatsApp recibido con un enlace a [una] aplicación móvil Huawei maliciosa", dijo el investigador de ESET Lukas Stefanko.

2. El enlace a la aplicación móvil de Huawei falsa, al hacer clic, redirige a los usuarios a un sitio web similar a Google Play Store. Una vez instalada, la aplicación de gusanos solicita a las víctimas que les otorguen acceso a las notificaciones, que luego se abusa para llevar a cabo el ataque de gusanos.

3. Si bien el mensaje se envía solo una vez por hora al mismo contacto, el contenido del mensaje y el enlace a la aplicación se obtienen de un servidor remoto, lo que aumenta la posibilidad de que el malware pueda usarse para distribuir otros sitios web y aplicaciones maliciosos.

4. En todo caso, el desarrollo subraya una vez más la necesidad de apegarse a fuentes confiables para descargar aplicaciones de terceros, verificar si una aplicación fue construida por un desarrollador genuino y examinar cuidadosamente los permisos de la aplicación antes de la instalación.

5. Se recomienda:

• No abrir correos ni mensajes de dudosa procedencia.

• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).

• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.

• Evaluar el bloqueo preventivo de los indicadores de compromisos.

• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

• Revisar los controles de seguridad de los AntiSpam y SandBoxing.

• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.

Fuentes de información hxxps://blog.segu-info.com.ar/2021/01/nuevo-malware-de-android-wormable-que.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 5 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Google chrome etiqueta el proyecto nmap como malware

Tipo de ataque Malware Abreviatura GOOGLE CHROME

Medios de propagación Red, Internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Malware

Descripción

1. El 26 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, Se detectaron que, por un error de análisis, el servicio de navegación segura de Google Chrome ha etiquetado al popular proyecto Network Mapper (Nmap) como una potencial “amenaza de seguridad”. Este es un ejemplo más de la identificación errónea de herramientas legítimas, lo que dispara falsas alertas de malware, phishing, entre otros riesgos de ciberseguridad

2. Como recordará, Nmap es un escáner de código abierto para el análisis de redes ampliamente utilizada por la comunidad del hacking ético. Hace unos días, los desarrolladores de Nmap mencionaron que Chrome había etiquetado una versión anterior del software “Ncat”, bloqueando su directorio completo, mismo que incluía Nmap.

3. Días antes, Chrome también bloqueó los archivos del código fuente del proyecto, identificándolo como malware. Al respecto Gordon Lyon, desarrollador principal de Nmap, mencionó: “Google ejerce un poder tan inmenso que sus prácticas se vuelven descuidadas, especialmente porque considera nuestro sitio web como ‘peligroso’ cuando se trata de un error de la compañía”.

4. El equipo detrás de Nmap enfrentó una gran disyuntiva, pues, aunque presentar un reporte ante Google era el método obvio para resolver este problema, su implementación podía demorar mucho más tiempo del necesario, dificultando la labor de los usuarios del proyecto. Lyon concluyó que había dos soluciones alternativas: eliminar un archivo en Nmap, o bien tratar de convencer a Google de que su sistema de seguridad cometió un error. Finalmente, el desarrollador se limitó a descargar su frustración en T witter, donde un miembro del equipo de seguridad de Google se encontró con el error.

5. Se recomienda:

• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).

• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.

• Evaluar el bloqueo preventivo de los indicadores de compromisos.

• Revisar los controles de seguridad de los AntiSpam y SandBoxing.

• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.

• Visualizar los sitios web que se ingresen sean los oficiales.

Fuentes de información hxxps://noticiasseguridad.com/tecnologia/google-chrome-etiqueta-el-proyecto-nmap-como-malware/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 6 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Fallo en SUDO – Análisis 1

Tipo de ataque Explotación de vulnerabilidades Abreviatura Vulnerabilidad SUDO

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Malware

Descripción

1. El 26 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, Se detectó una vulnerabilidad en SUDO, ahora corregida, permitía a cualquier usuario local obtener privilegios de root en sistemas operativos *nix sin requerir autenticación. Sudo funciona según el principio de mínimo privilegio, en el que el programa otorga a las personas los permisos necesarios para realizar su trabajo sin comprometer la seguridad general del sistema

2. Al ejecutar comandos en un sistema operativo *nix, los usuarios sin privilegios pueden usar el comando sudo para ejecutar comandos como root, sin conocer su contraseña. Sudo también se puede configurar para permitir que los usuarios normales ejecuten comandos como cualquier otro usuario al incluir directivas especiales en el archivo de configuración de sudoers.

3. La vulnerabilidad de sudo identificada como CVE-2021-3156 (también conocida como Baron Samedit) fue descubierta por investigadores de seguridad de Qualys, quienes la revelaron el 13 de enero y se aseguraron de que los parches estuvieran disponibles antes de hacer públicos sus hallazgos. Según los investigadores, el problema es heap-based buffer overflow que puede explotar cualquier usuario local (incluidos en el archivo sudoers o no), y no se requiere que los atacantes conozcan la contraseña del usuario para aprovechar con éxito la falla.

4. El desbordamiento de búfer que permite a cualquier usuario local obtener privilegios de root se activa cuando sudo elimina incorrectamente las barras diagonales inversas en los argumentos. "Normalmente, sudo escapa de los caracteres especiales cuando se ejecuta un comando a través de una shell (sudo -s o sudo -i). Sin embargo, también era posible ejecutar sudoedit con los indicadores -s o -i, en cuyo caso no se había realizado ningún escape, haciendo posible un desbordamiento de búfer".

5. Se recomienda:

• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).

• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet.

• Evaluar el bloqueo preventivo de los indicadores de compromisos.

• Revisar los controles de seguridad de los AntiSpam y SandBoxing.

• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.

• Visualizar los sitios web que se ingresen sean los oficiales.

Fuentes de información hxxps://blog.segu-info.com.ar/2021/01/fallo-en-sudo-permitia-elevacion-de.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 7 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidad de desbordamiento de búfer en “Sudo” – Análisis 2 Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 27 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada por el equipo de investigación de “Qualys”, quienes informan sobre una vulnerabilidad de desbordamiento de búfer en sudo, una utilidad disponible en los principales sistemas operativos basados en Unix y Linux.

2. La explotación exitosa de esta vulnerabilidad permite que cualquier usuario sin privilegios obtenga privilegios de root en el host vulnerable. Los investigadores de seguridad de “Qualys” han podido verificar de forma independiente la vulnerabilidad y desarrollar múltiples variantes de exploit y obtener privilegios de root completos en Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) y Fedora 33 (Sudo 1.9.2).

3. La vulnerabilidad ha sido identificada con el código “CVE-2021-3156”.

4. Desde el punto de vista de un atacante, este desbordamiento de búfer es ideal debido a las siguientes razones:

• El atacante controla el tamaño del búfer “user_args” que puede desbordarse (el tamaño de nuestros argumentos de línea de comandos concatenados, en las líneas 852-854)

• El atacante controla de forma independiente el tamaño y el contenido del desbordamiento en sí (nuestro último argumento de línea de comandos es seguido convenientemente por nuestras primeras variables de entorno, que no se incluyen en el cálculo de tamaño en las líneas 852-853);

• El atacante puede incluso escribir bytes nulos en el búfer que se desbordó (cada argumento de línea de comando o variable de entorno que termine con una sola barra invertida escribe un byte nulo en "user_args", en las líneas 866-868).

5. Se recomienda a los usuarios que apliquen parches para esta vulnerabilidad de inmediato.

• Los clientes de “Qualys” pueden buscar en la base de conocimiento de vulnerabilidades CVE-2021-3156 para identificar todos los QID y activos vulnerables a esta vulnerabilidad.

• Si no es un cliente, comience su prueba gratuita de Qualys VMDR para obtener acceso completo a los QID (detecciones) para CVE-2021-3156, de modo que pueda identificar sus activos vulnerables.

Fuentes de información hxxps[:]//www.hackplayers.com/2021/01/publican-los-detalles-de-una.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 8 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Campaña de phishing suplanta página de Compañía de Telecomunicaciones más grande del mundo.

Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso

Descripción

1. El 26 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un sitio web fraudulento (hxxps://noticecustomermail.weebly.com/) que suplanta la página de la Compañía de Telecomunicaciones más grande del mundo AT & T, con la finalidad de obtener las credenciales del usuario y robar información.

2. Asimismo, se analizó dicho enlace en el sitio web “Virus Total”, donde es catalogado como phishing.

3. Recomendaciones:

• Evitar ingresar a enlaces de dudosa procedencia.

• Evitar ingresar datos personales.

• Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 9 de 14

Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO – FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad reciente de Windows explotable de forma remota

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, Internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Se ha reportado una vulnerabilidad reciente de Windows explotable de forma remota, esta vulnerabilidad permite a un atacante retransmitir sesiones de autenticación NTLM a una máquina atacada y utilizar una interfaz MSRPC de cola de impresión para ejecutar código de forma remota en la máquina atacada.

Los ataques de retransmisión NTLM son un tipo de ataques man-in-the-middle (MitM) que normalmente permiten a los atacantes con acceso a una red interceptar el tráfico de autenticación legítimo entre un cliente y un servidor y retransmitir estas solicitudes de autenticación validadas para acceder a los servicios de red.

Específicamente, los investigadores descubrieron que IRemoteWinspool, una interfaz RPC para la gestión remota de la cola de impresión, podría aprovecharse para ejecutar una serie de operaciones RPC y escribir archivos arbitrarios en una máquina de destino utilizando una sesión NTLM interceptada.

2. Recomendaciones:

Actualización de los últimos parches de seguridad de Microsoft Windows.

Que los especialistas activen el modo de cumplimiento en el servidor de impresión, una configuración que, según dice, estará habilitada en todos los dispositivos Windows de forma predeterminada a partir del 8 de junio de 2021.

Fuentes de información hxxps://thehackernews.com

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 10 de 14

Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO – FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad Oracle WebLogic Server

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Se tomó conocimiento de una vulnerabilidad clasificada como crítica en Oracle WebLogic Server 10.3.6.0.0/12.1.3.0.0/12.2.1.3.0/12.2.1.4.0/14.1.1.0.0 (Application Server Software). Una función desconocida del componente Console es afectada por esta vulnerabilidad. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

La vulnerabilidad fue publicada el 2021-01-20 con identificación Oracle Critical Patch Update Advisory - January 2021 (confirmado). El advisory puede ser descargado de oracle.com. La vulnerabilidad es identificada como CVE-2021-2109. Resulta fácil de explotar. El ataque se puede hacer desde la red. La explotación necesita de una verificación múltiple de la autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.

2. El producto afectado es Oracle WebLogic Server

3. Recomendaciones:

Realizar la actualización a la última versión de WebLogic, del parche critico CVE-2021-2109, así como parches adicionales publicados.

Fuentes de información hxxps://www.oracle.com

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 11 de 14

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Phishing utiliza como señuelo informes falsos sobre la caducidad de contraseñas de Office 365

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Resumen:

Investigadores de Trend Micro han descubierto una nueva campaña activa de phishing que utiliza como señuelo informes falsos sobre la caducidad de contraseñas de Office 365. Esta campaña tiene como objetivo comprometer información confidencial, realizar transacciones comerciales de correo electrónico (BEC) y otros ataques de ingeniería social a las cuentas de correo electrónico de altos ejecutivos y funcionarios. Asimismo, esta campaña está dirigida a organizaciones del sector financiero, gubernamental, manufacturero, inmobiliario y tecnológico en Japón, Estados Unidos, Reino Unido, Canadá, Australia y países europeos.

2. Detalles:

Según los expertos, los atacantes que apuntaban a posibles víctimas con correos electrónicos que contenían informes falsos de caducidad de contraseñas de Office 365 como señuelos. Solicitan a los destinatarios que hagan clic en el enlace incrustado en el correo electrónico si desean continuar usando la misma contraseña; elegir la opción "Mantener contraseña" lleva al usuario a la página de phishing.

Los atacantes reutilizan la infraestructura comprometida y las credenciales de las cuentas de las víctimas para alojar páginas de phishing y obtener más víctimas. El kit, que está disponible para la venta, puede validar los detalles y la precisión de las credenciales una vez que la víctima interactúa con el enlace integrado. Este kit de phishing se utilizó en ataques similares que se aprovechaba de páginas de inicio de sesión de Microsoft falsas.

Los correos electrónicos de phishing de esta campaña se enviaron mediante un servidor privado virtual (VPS) de FireVPS, una empresa que ofrece a los clientes varios planes de protocolo de escritorio remoto (RDP) de Windows.

El kit de phishing, que parece ser la evolución de kits de herramientas similares, también incluye una lista extensa de rangos de direcciones IP y nombres de dominio, con el objetivo de bloquear el acceso a empresas de seguridad y grandes proveedores de la nube, probablemente en un intento de evadir la detección.

Los desarrolladores del kit de phishing publicitan sobre la creación en sitios de redes sociales y se dedican a la venta de credenciales robadas. Trend Micro también vinculó los sitios utilizados en esta campaña con otros ataques de phishing, incluido uno dirigido exclusivamente a directores ejecutivos, presidentes y fundadores de empresas en los Estados Unidos. Otra campaña se centró en directores y gerentes de Canadá, Israel, Hungría, los Países Bajos, el Reino Unido y los Estados Unidos.

Los investigadores indican que han encontrado más de 300 URL comprometidas únicas y 70 direcciones de correo electrónico de ocho sitios web comprometidos, incluidos 40 correos electrónicos legítimos de directores ejecutivos, propietarios y fundadores de empresas, entre otros objetivos de empleados empresariales.

Las direcciones de correo electrónico de los directores ejecutivos de Estados Unidos son claramente el principal objetivo de esta campaña y de otras que utilizan el mismo kit de phishing. Dichos correos electrónicos permiten a los atacantes realizar más suplantación de identidad, comprometer información confidencial y realizar transacciones comerciales de correo electrónico (BEC) y otros ataques de ingeniería social.

3. Recomendaciones:

• No descargar ningún archivo adjunto y analizarlo previamente con el antivirus.

• Revisar que el enlace coincide con la dirección a la que apunta.

• Nunca utilizar la cuenta de correo electrónico principal para registrarnos en ofertas o promociones por Internet.

Fuentes de información hxxps://www.trendmicro.com/en_us/research/21/a/fake-office-365-used-for-phishing-attacks-on-c-suite-targets.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 27-01-2021

Página: 12 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Nuevo malware de Android, distribuido a través de la aplicación WhatsApp

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “The Hacker News”, se informa sobre la detección de un nuevo Malware de Android, distribuido a través de la aplicación de mensajería instantánea WhatsApp, el cual se trata de una URL o enlace malicioso, que incita a las víctimas a descargar una aplicación móvil denominada Huawei3572.apk, desde un sitio web fraudulento de Play Store. El malware tiene como finalidad robar datos y leer notificaciones de la víctima.

2. Detalles del Malware:

• El Malware puede propagarse a través de SMS, correos electrónicos, redes sociales, canales o grupos de chat.

• Al hacer clic en el enlace malicioso redirige a un sitio web fraudulento de la tienda de aplicaciones “Google Play Store”, el cual incita a las víctimas que descarguen la aplicación móvil de Huawei falsa llamada Huawei3572.apk y que será beneficiado con un teléfono móvil.

• Una vez que se completa el proceso de instalación, la aplicación solicita una serie de permisos, incluido el acceso a notificaciones, que en combinación con la función de respuesta directa de Android se utiliza para lograr la capacidad de trabajo y robar datos confidenciales.

• Además de solicitar permisos para leer notificaciones, la aplicación también solicita acceso intrusivo para ejecutarse en segundo plano y para dibujar sobre otras aplicaciones, lo que significa que la aplicación puede superponerse en cualquier otra aplicación que se ejecuta en el dispositivo con su propia ventana, las cuales puede ser utilizados por los ciberdelincuentes para robar credenciales e información sensible de la víctima.

• Imagen.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

3. Indicadores de compromiso (IoC).

• La URL maliciosa fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo el siguiente resultado:

o URL: hxxp://play.google.store.apps.details.settings.pw/play?=1

o Dominio: play.google.store.apps.details.settings.pw

o IP: 198[.]54.115[.]237

• IP: 198[.]54.115[.]237 (registrado como lista negra)

4. Algunas Recomendaciones

• Mantener actualizado su software antivirus y antimalware.

• Actualizar constantemente sus dispositivos para evitar que falten parches o correcciones de errores.

• No hacer clic, ni descargar archivos adjuntos de correo electrónico de remitentes desconocidos.

• Usar contraseñas seguras o de doble autenticación.

• Verificar que la conexión a internet sea segura y encriptada.

Fuentes de información hxxps://thehackernews.com/2021/01/beware-new-wormable-android-malware.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 14 de 14

Índice alfabético

adware ............................................................................................................................................................................... 4 Código malicioso .......................................................................................................................................................... 8, 12 exploits .............................................................................................................................................................................. 3 Explotación de vulnerabilidades conocidas ......................................................................................................... 3, 7, 9, 10 Fraude .............................................................................................................................................................................. 11 hxxp ................................................................................................................................................................................. 13 Intento de intrusión ............................................................................................................................................. 3, 7, 9, 10 internet ................................................................................................................................................................ 4, 5, 6, 13 malware ............................................................................................................................................................. 4, 5, 12, 13 Malware ............................................................................................................................................................... 4, 5, 6, 12 phishing ................................................................................................................................................................... 5, 8, 11 Phishing ....................................................................................................................................................................... 8, 11 Red, internet ........................................................................................................................................................ 4, 6, 7, 10 redes sociales ......................................................................................................................................................... 1, 11, 12 Redes sociales .............................................................................................................................................................. 8, 11 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................................... 11 servidor .................................................................................................................................................................... 4, 9, 11 software ................................................................................................................................................................... 5, 8, 13 URL ....................................................................................................................................................................... 11, 12, 13 USB, disco, red, correo, navegación de internet ............................................................................................................. 12 Vulnerabilidad.................................................................................................................................................. 3, 6, 7, 9, 10