Lima, 30 de abril de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 30 de abril de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

CONTENIDO

Campaña de smishing a clientes del Banco de Crédito del Perú (BCP) ......................................................... 3

Ransomware shade: creadores publican 750000 claves de descifrado ........................................................ 5

Venta de datos robados de las tarjetas de crédito en la darknet ................................................................. 6

Ataques de suplantación de identidad por persuasión ................................................................................. 7

Malware bancario dirigido a dispositivos móviles Android .......................................................................... 8

Vulnerabilidad en dispositivos de Cisco ........................................................................................................ 9

Aumentan los ataques de fuerza bruta por RDP .........................................................................................10

Se ha descubierto un nuevo troyano bancario “EventBot” dirigido a dispositivos Android .......................11

Phishing, a través de fanpage falsa de Facebook. .......................................................................................14

Vulnerabilidades en software samba ..........................................................................................................16

Índice alfabético ..........................................................................................................................................18

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 026

Fecha: 30-04-2020

Página: 3 de 18

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Campaña de smishing a clientes del Banco de Crédito del Perú (BCP)

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Mensajes de texto (SMS) Código de familia G Código de Sub familia G02

Clasificación temática familia Fraude

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una campaña de “smishing” que se está difundiendo a través de mensajes de texto (SMS) enviados a telefonía móvil con contenido falso que aparentemente proviene del Banco de Crédito del Perú (BCP).

Este tipo de ciberataques a los usuarios cada vez se hace más frecuente, pretendiendo aprovechar la situación en la que se encuentra nuestro País, debido a la crisis sanitaria causada por la propagación del COVID-19.

2. Detalles de la alerta:

El mensaje telefónico proviene del número celular 958582003, con un contenido de engaño mostrando el siguiente mensaje: “Usted tiene una trasferencia retenida, para activar tus operaciones y evitar el bloqueo temporal ingrese aquí: hxxps://viabcp.smsl.vip“, con el #QuedateEnCasa ViaBCP.

Si el usuario hace clic en el enlace, le redirige a la dirección web hxxps://peru.payulatam.com/blog/aprende-a-pagar-con-bcp-peru, el cual contiene un portal fraudulento, con información de la empresa financiera.

Asimismo, dentro del portal web aparece un formulario con el título ¿Quieres empezar a vender en línea? Inscríbete en PayU aquí, donde solicita que al usuario para ser suscrito tiene que ingresar información personal (nombres, apellidos y cuenta de correo electrónico). Una vez ingresado los datos, se expone a ser víctima de algún tipo de ciberdelito.

Cabe precisar, que a través de herramientas de análisis de malware se examinó a las tres (3) URL comprometidas, obteniendo los siguientes resultados:

Hxxps://viabcp.smsl.vip, de acuerdo al análisis contiene phishing.

Hxxps://bcpzonasegurabeta.vialbcpe.live/#/iniciar-sesion, de acuerdo al análisis contiene phishing.

Hxxps://peru.payulatam.com/typ/gracias-blog-subscription?submissionGuid=6724db84-8f53-4624-9add-d56dc5933797, de acuerdo al análisis contiene código malicioso.

http://www.gob.pe/



www.gob.pe

[email protected]

En resumen, estas páginas falsas están diseñadas para parecer legítimas o suplantar con precisión los sitios web conocidos, con la finalidad de engañar a los usuarios para poder obtener información personal y/o credenciales financieras. Posteriormente los ciberdelincuentes utilizaran la información robada de sus víctimas, a fin de realizar hechos delictivos como fraude informático.

3. Indicadores de compromiso:

Número de celular : 958582003

URL Comprometida : hxxps://viabcp.smsl.vip

SHA256 : b99a7aa12b73e09abac1c8b51f836755bffc15f9ce199f67980beeadd59d8ce5

10b7c025b1c1d512d9a64757847bc0dfbcff90374e85c3304f442703e67b16bf

e0ca3e3ea19613f07348afc0555439cbfaa618a34ec53fc587b9c41e0b4e8f5a

Direcciones IP : 185[.]61[.]153[.]107; 104[.]17[.]132[.]180; 104[.]17[.]136[.]180

URL Re-direccionada : hxxps://peru.payulatam.com/blog/aprende-a-pagar-con-bcp-peru

: hxxps://peru.payulatam.com/typ/gracias-blog-subscription?submissionGuid=6724db84-8f53-4624-9add-d56dc5933797

4. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Evaluar el bloqueo preventivo de los indicadores de compromisos.

La telefonía móvil debería contar con un antivirus y estar actualizado.

No abrir correos electrónicos de dudosa procedencia.

Nunca hacer clic en enlaces que envían por aplicaciones de mensajería, redes sociales, mensajes de texto o correo electrónico.

Capacitar al personal sobre ingeniería social, phishing, smishing y spear-phishing.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 30-04-2020

Página: 5 de 18

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Ransomware shade: creadores publican 750000 claves de descifrado

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correos, Ingeniería Social

Código de familia C Código de sub familia C02 Clasificación temática familia Código Malicioso

Descripción

5. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los autores del ransomware explican que han publicado más de 750.000 claves de desencriptación, en un "esfuerzo por ayudar a las víctimas a recuperar sus datos".

6. El ransomware Shade, que existe desde hace más de cinco años, difiere de otras grandes campañas de ransomware, en el sentido que se dirige principalmente a empresas rusas y ucranianas.

7. En la disculpa oficial, los operadores revelaron que habían suspendido la distribución del ransomware a finales del año pasado. "Somos el equipo que creó un troyano conocido principalmente como shade, troldesh o encoder.858. Efectivamente, detuvimos su distribución a finales de 2019", dice la nota.

8. "Ahora tomamos la decisión de poner punto final a esta historia y publicar todas las claves de desencriptación que tenemos (más de 750 mil en total). También estamos publicando nuestro software de descifrado y, esperamos que, al tener las claves, las compañías antivirus elaboren sus propias herramientas de descifrado, más fáciles de usar". Con ello, se refieren a que el desencriptador es difícil de usar. Esta información ha sido confirmada por expertos consultados por la publicación Bleeping Computer, según la cual investigadores de Kaspersky habrían confirmado que las claves son, al menos, válidas y operativas.

9. Se recomienda:

Aprender a usar el descifrador, ya que no es sencillo

Actualizar el antivirus de Seguridad, para que la herramienta de descifrado de ransomware RakhniDecryptor para que estas claves faciliten a las víctimas recuperar sus archivos de forma gratuita.

Estar atentos sobre la próxima fecha de actualización de la herramienta de descifrado.

Fuentes de información https://blog.segu-info.com.ar/2020/04/filtrados-datos-de-empleados-de-apple.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed:+NoticiasSeguridadInformatica+(Noticias+de+Seguridad+de+la+Informaci%C3%B3n)&m=1

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 30-04-2020

Página: 6 de 18

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Venta de datos robados de las tarjetas de crédito en la darknet Tipo de ataque Mal uso y abuso de los servicios tecnológicos Abreviatura MalUsoServTec

Medios de propagación Red, navegación de internet

Código de familia K Código de Subfamilia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del informe de Group IB (empresa de Singapur con servicio de ciberseguridad) sobre la venta de datos robados de aproximadamente 400.000 mil tarjetas de crédito en las páginas web de comercio ilegal en la darknet, esta información fue publicada el 28 de abril de 2020 por la web de Información y noticias de tecnología Adslzone.

2. Según Group IB, la venta de estos elementos robados tiene un costo mayor que los precios del trámite de un DNI o Pasaporte en la darknet, la base de datos de las tarjetas se está vendiendo en Jokers Stash el mercado más grande de la darknet para la venta de datos de las tarjetas de crédito y débito robadas.

3. Asimismo, los datos recopilados por los atacantes fueron en aumento en estas ultima semanas debido a la cuarentena en diferentes países, dichos datos contienen el número de la tarjeta, la entidad bancaria, la fecha de caducidad, el número de cuenta y en ocasiones el CVV/CV2 quienes compren los datos pueden obtener fondos de esas tarjetas creando tarjetas clonadas con la información obtenida.

4. Se recomienda:

• Utilizar mecanismos de seguridad al momento de hacer una compra con tarjeta de crédito vía web.

• Verificar que la página web donde se navega tenga certificado de seguridad.

Fuentes de información https://www.adslzone.net/noticias/internet/dark-web-400-000-tarjetas-robadas/

http://www.gob.pe/


https://www.adslzone.net/noticias/internet/dark-web-400-000-tarjetas-robadas/


www.gob.pe

[email protected]


Fecha: 30-04-2020

Página: 7 de 18


Nombre de la alerta Ataques de suplantación de identidad por persuasión Tipo de ataque Robo de información Abreviatura RobInfo

Medios de propagación Red, navegación de internet

Código de familia K Código de Subfamilia K01


Descripción

1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través del equipo de Inteligencia de amenazas y Grupo-IB DFIR, los ataques de pishing como la campaña de PerSwaysion, que fue detectada el 30 de abril de 2020, la cual ataca a pequeñas y medianas empresas de servicios financieros, entre otros.

2. Estos ataques realizan operaciones basado en el marco de Vue.js JavaScript, eligen servicios legítimos de intercambio de contenido basado en la nube, como Microsoft Sway, Microsoft Sharepoint y OneNote para evitar la detección de tráfico.

3. Al realizar el ingreso en el servicio se presenta otro enlace de redirección al sitio de pishing real, esperando que las victimas ingresen sus credenciales de cuenta de correo electrónico u otra información confidencial. Los atacantes descargan los datos de correo electrónico de las victimas del servidor utilizando las API de IMAP y luego se hacen pasar por sus identidades para atacar aún más a las personas que tienen comunicaciones de correo electrónico recientes con la victima actual.

4. Se recomienda:

Evitar ingresar a servicios que no sean seguros.

Fuentes de información

https://thehackernews.com/2020/04/targeted-phishing-attacks-successfully.html?m=1#click=https://t.co/iEHBz8K738 https://www.group-ib.com/blog/perswaysion

http://www.gob.pe/


https://www.group-ib.com/blog/perswaysion


www.gob.pe

[email protected]


Fecha: 30-04-2020

Página: 8 de 18


Nombre de la alerta Malware bancario dirigido a dispositivos móviles Android Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, Disco, Red, Correo, Navegación de Internet

Código de familia C Código de Subfamilia C02

Clasificación temática familia Código Malicioso

Descripción

1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada a través de la red social twitter por el usuario “@pleyades_it, sobre un nuevo tipo de malware de banca móvil llamado “EventBot”, que abusa de las funciones de accesibilidad de Android para filtrar datos confidenciales de aplicaciones financieras, leer mensajes SMS de usuarios y secuestrar códigos de autenticación de dos factores basados en SMS.

2. El malware enmascara su intención maliciosa haciéndose pasar por aplicaciones legitimas (por ejemplo, Adobe Flash, Microsoft Word) en tiendas APK falsas y otros sitios web sospechosos que, cuando están instalados solicitan amplios permisos en el dispositivo (enviar y recibir mensajes SMS, ejecutarse en segundo plano y ejecutarse después del inicio del sistema).

3. Así mismo el malware funciona como un keylogger y puede obtener el PIN de la pantalla de bloqueo y transmitir todos los datos recopilados en un formato cifrado a un servidor controlado por el atacante.

4. Se recomienda:

Descargar aplicaciones desde la tienda oficial Play Store.

Evitar la descarga de aplicaciones de fuentes no confiables.

Mantener el software actualizado y activar Google Play Protect.


https://twitter.com/pleyades_it/status/1255855271295045633 https://www.zdnet.com/article/this-new-android-mobile-malware-is-striking-banks-financial-services-across-europe/#ftag=RSSbaffb68

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 026

Fecha: 30-04-2020

Página: 9 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad en dispositivos de Cisco

Tipo de ataque Abuso de privilegios o de políticas de seguridad Abreviatura AbuPrivPolSeg

Medios de propagación Red, Internet

Código de familia K Código de sub familia K01


Descripción

1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar se detectó que los investigadores, Julien Legras y Thomas Etrillard, descubrieron una vulnerabilidad crítica denominada “CVE-2019-16011” (que permite a un atacante inyectar comandos con privilegios de superusuario - root) que afecta a los siguientes dispositivos de Cisco que ejecutan el software IOS XE SD-WAN:

Aggregation Services Routers series 1000

Integrated Services Routers (ISRs) series 1000

ISRs series 4000

Cloud Services Router 1000V Series

2. Se recomienda:

Los administradores de redes, deben actualizar sus dispositivos que utilicen el software IOS XE SD-WAN para solucionar la vulnerabilidad.

Deberán corroborar que las políticas de seguridad implementadas y los permisos de los usuarios no hayan sido modificados.


https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/inyeccion-comandos-ios-xe-

sd-wan-cisco

http://www.gob.pe/


https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/inyeccion-comandos-ios-xe-sd-wan-cisco

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/inyeccion-comandos-ios-xe-sd-wan-cisco


www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Fecha: 30-04-2020

Página: 10 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Aumentan los ataques de fuerza bruta por RDP

Tipo de ataque Ataque de fuerza bruta Abreviatura AtaqFueBru

Medios de propagación Red, Correo, Navegación de Internet

Código de familia A Código de sub familia A01

Clasificación temática familia Acceso no autorizado

Descripción

3. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó en la red social denominada Twitter, al usuario con el nombre “redeszone”, quien realizó una publicación del incremento de ataques por Fuerza Bruta a RDP (protocolo de escritorio remoto), que permite a los trabajadores acceder a sus equipos de trabajo o servidores Windows desde casa, las cuales están expuestas en la red por estar mal configurado; asimismo, este tipo de ataque prueba numerosas credenciales y contraseñas, buscando combinaciones típicas y claves para recopilar información, distribuir malware y tener un control total sobre del equipo.

4. Se recomienda:

Los trabajadores remotos deben crear contraseñas robustas, para evitar la entrada de ciberdelincuentes a sus cuentas.

Conectar el RDP a través de una VPN.

Emplear un IDS (Sistemas de Detección de Intrusos) y un IPS (Sistemas de Prevención de Intrusos).


https://twitter.com/redeszone/status/1255758742060019714?s=08 https://www.bleepingcomputer.com/news/security/rdp-brute-force-attacks-are-

skyrocketing-due-to-remote-working/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 30-04-2020

Página: 11 de 18

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Se ha descubierto un nuevo troyano bancario “EventBot” dirigido a dispositivos Android Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación USB, Disco, Red, Correo, Navegación de Internet

Código de familia C Código de Sub familia C01

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Se ha tomado conocimiento que, los investigadores de Cybereason Nocturnus, han descubierto un nuevo tipo de malware móvil para dispositivos con plataforma Android llamado “EventBot”, este tipo de malware surgió a principios de marzo de 2020 y está dirigido específicamente a aplicaciones de banca financiera en los Estados Unidos y Europa, incluidos Italia, el Reino Unido, España, Suiza, Francia y Alemania, entre otros. EventBot se dirige a usuarios de más de 200 aplicaciones financieras diferentes, incluidos servicios bancarios, servicios de transferencia de dinero y billeteras de criptomonedas. Los destinatarios incluyen aplicaciones como Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase y paysafecard, entre otros.

EventBot es un troyano bancario de malware móvil que roba información financiera y puede secuestrar transacciones bancarias. Una vez que el malware se haya instalado con éxito, recopilará datos personales, contraseñas, pulsaciones de teclas, información bancaria de sus víctimas. Esta información puede brindarle al atacante acceso a cuentas bancarias personales y comerciales, datos personales y comerciales, entre otras. Igualmente, el malware aprovecha las capacidades de lectura de SMS e inyecciones web para evitar la autenticación de dos factores.

2. Detalles:

El malware EventBot a lo largo del tiempo ha evolucionado rápidamente. Se han observado cuatro versiones: 0.0.0.1, 0.0.0.2 y 0.3.0.1 y 0.4.0.1. Cada versión amplía la funcionalidad del bot y trabaja para ofuscar el malware contra el análisis. EventBot sigue siendo un trabajo en progreso. Durante un período de varias semanas desde su descubrimiento en marzo, los investigadores han observado que el malware se actualiza constantemente para incluir nuevas características maliciosas como el mejorar el esquema de encriptación que se usa para comunicarse con el servidor de comando y control (C2).

De acuerdo a los investigadores, el troyano EventBot, se hace pasar por una aplicación legítima de Android, como Adobe Flash o Microsoft Word para Android, que abusa de las funciones de accesibilidad incorporadas de Android para obtener un acceso profundo al sistema operativo del dispositivo.

Una vez instalada, ya sea por un usuario desprevenido o por una persona maliciosa con acceso al teléfono de la víctima, la aplicación falsa infectada por EventBot extrae silenciosamente las contraseñas de más de 200 aplicaciones bancarias y de criptomonedas, incluidas PayPal, Coinbase, CapitalOne y HSBC, e intercepta y códigos de mensajes de texto de autenticación de dos factores. Con la contraseña de una víctima y el código de dos factores, los atacantes pueden ingresar a cuentas bancarias, aplicaciones y billeteras, y robar los fondos de una víctima.

Una vez que EventBot está instalado en la máquina de destino, enumera todas las aplicaciones en la máquina de destino y las envía al C2. También consulta la información del dispositivo como sistema operativo, modelo, etc., y la envía al C2.

En la versión inicial de EventBot, los datos que se filtran se cifran con Base64 y RC4. En versiones posteriores, se agrega otra capa de cifrado usando el cifrado Curve25519. Todas las versiones más recientes de EventBot contienen una biblioteca ChaCha20 que puede mejorar el rendimiento en comparación con otros algoritmos como RC4 y AES. Esto implica que los autores están trabajando activamente para optimizar EventBot con el tiempo.

http://www.gob.pe/


https://en.wikipedia.org/wiki/Salsa20#ChaCha_variant


www.gob.pe

[email protected]

Asimismo, EventBot tiene la capacidad de analizar mensajes SMS utilizando la versión SDK del dispositivo de destino para analizarlos correctamente y de acuerdo con la configuración del bot, si se configura una inyección web para una aplicación determinada, se ejecutará.

El malware registra silenciosamente cada pulsación de las teclas, y puede leer notificaciones de otras aplicaciones instaladas, dando a los atacantes una ventana de lo que está sucediendo en el dispositivo de una víctima.

EventBot abusa de los servicios de accesibilidad de dispositivos Android para la mayoría de su actividad. Las funciones de accesibilidad generalmente se usan para ayudar a los usuarios con discapacidades al darle al dispositivo la capacidad de escribir en campos de entrada, generar permisos automáticamente, realizar gestos para el usuario, etc. Sin embargo, cuando se usan de manera maliciosa, las funciones de accesibilidad se pueden usar para explotar servicios legítimos con fines maliciosos, como con EventBot. EventBot utiliza múltiples métodos para explotar eventos de accesibilidad para webinjects y otros fines de robo de información.

Los investigadores indicaron que no saben quién está detrás de la campaña, su investigación sugiere que el malware es completamente nuevo y su código parece haber sido escrito desde cero.

3. Indicadores de compromiso (IoC):

SHA256: EventBot

1cfce7df49ce5dc37d655d80481a3a6637d2e7daff09ceede9d8165fae0fce5f

05782e267bd62de78a3db22b1a83ddd3c72cbef95f5a5bc9defdd42a4f5786ec

199859a2929af5431df4a4760f93c83472dc21ea0b9e33d9e45439052de44ab3

6cbb2040ab1f8244fc1bbfdb2af0452ff2bb4fef738011e82af38aac4b7255e5

43d08b8c16d1d26872206c99c93785cac75c983eaae8c8030e5b0ce9defe1755

f4dd5da58965893bd7011aa02aa41d7fae835789c71ad97df2dc77f85e357abc

41cf4ca70cf52b6682303a629193da78ab00701da6aed5650b72015c056920da

URL: EventBot C2

hxxp://themoil[.]site/gate_cb8a5aea1ab302f0_c

hxxp://pub.douglasshome[.]com/gate_cb8a5aea1ab302f0_c

hxxp://ora.carlaarrabitoarchitetto[.]com/gate_cb8a5aea1ab302f0

hxxp://ora.carlaarrabitoarchitetto[.]com/gate_cb8a5aea1ab302f0_b

hxxp://marta.martatovaglieri.it/gate_cb8a5aea1ab302f0_c

hxxp://free.timberlinetraders[.]com/gate_cb8a5aea1ab302f0_c

hxxp://ora.studiolegalebasili[.]com/gate_cb8a5aea1ab302f

hxxp://ora.studiolegalebasili[.]com/gate_cb8a5aea1ab302f0_c

hxxp://ora.studiolegalebasili[.]com/gate_cb8a5aea1ab302f0_b

hxxp://ora.blindsidefantasy[.]com/gate_cb8a5aea1ab302f0_c

hxxp://rxc.rxcoordinator[.]com/gate_cb8a5aea1ab302f0_c

hxxp://pub.welcometothepub[.]com/gate_cb8a5aea1ab302f0_c

hxxp://ora.carlaarrabitoarchitetto[.]com/gate_cb8a5aea1ab302f0_c

themoil[.]site ora.carlaarrabitoarchitetto[.]com

ora.studiolegalebasili[.]com rxc.rxcoordinator[.]com

Ora.blindsidefantasy[.]com Pub.welcometothepub[.]com

marta.martatovaglieri[.]it

IP: EventBot C2

185.158.249[.]141 185.158.248[.]102

50.63.202[.]81 185.158.248[.]102

31.214.157[.]6 208.91.197[.]91

http://www.gob.pe/



www.gob.pe

[email protected]

4. Imágenes:

Aplicaciones dirigidas por EventBot.

Cybereason Mobile detecta EventBot y proporciona al usuario acciones inmediatas

5. Recomendaciones:

Mantener su dispositivo móvil actualizado con las últimas actualizaciones de software de fuentes legítimas.

Mantener Google Play Protect activado.

No descargar aplicaciones móviles de fuentes no oficiales o no autorizadas. La mayoría de las aplicaciones legítimas de Android están disponibles en Google Play Store.

Siempre aplicar el pensamiento crítico y considere si debe otorgar a cierta aplicación los permisos que solicita.

Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo.

Utilizar soluciones de detección de amenazas móviles para una mayor seguridad.


1. https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born 2. https://techcrunch.com/2020/04/29/eventbot-android-malware-banking/ 3. https://www.cybereason.com/hubfs/EVENTBOT%20IOCs.pdf 4. Equipo de Seguridad Digital DINI

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 30-04-2020

Página: 14 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Phishing, a través de fanpage falsa de Facebook. Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de Subfamilia G02

Clasificación temática familia Fraude

Descripción

6. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en la red social Facebook, se ha creado una Fanpage denominada Barcelona.live, suplantando la identidad del futbolista argentino Lionel Andrés Messi Cuccittini, conocido como “Leo Messi”.

7. La mencionada Fanpage falsa, realizo una publicación mencionando que el futbolista elegirá al azar a personas de Facebook, quienes recibirán dinero en efectivo (en dólares) como regalo.

8. Los usuarios al hacer clic en me gusta, reciben un mensaje a través de Messenger de Facebook, donde le indica que compartan la publicación en 10 grupos de Facebook y de esa manera hacer acreedor del regalo (dinero en efectivo).

Imágenes:

o Fanpage Falsa

http://www.gob.pe/



www.gob.pe

[email protected]

Análisis de la Fanpage:

o Creada el 27 NOV19

o Nombre: Barcelona.live

o Administradores: 02

o Ubicación de los Administradores: Indonesia

o Seguidores: 315.

Se puede apreciar al final de los pasos a seguir, para ser ganador de dinero en efectivo, se presenta páginas donde se solicitan información como:

o Dirección de correo electrónico

o Contraseña.

o Nombres y Apellidos

o Número de Tarjeta MasterCard

o Fecha de caducidad

o Numero de CVV2 (Es una medida de seguridad que se requiere para toda transacción)

Las URL utilizadas en esta estafa, no fueron detectadas como phishing o malicioso, en los diferentes motores de análisis de malware.

Referencia:

o La página falsa que suplanta la identidad del futbolista Leonel Messi, es característico de un phishing, el cual tiene la finalidad de engañar al usuario a que piensen que es una página oficial y de esa manera ingresen sus datos personales y bancarios.

9. Algunas Recomendaciones

No ingreses tus datos en páginas sospechosas.

Verifica el Check azul en las Fanpage.

Verifica las publicaciones de la Fanpage, para que determines si una Fanpage falsa.

No sigas Fanpage que te ofrecen sorteo o regalos por el COVID-19

Siempre ten presente que los ciberdelincuentes están tratando de obtener información personal.

Fuentes de información Análisis propio de redes sociales y fuentes abiertas

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 30-04-2020

Página: 16 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Vulnerabilidades en software samba

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, Internet Código de familia H Código de Subfamilia H01

Clasificación temática familia Intento de Intrusión

Descripción

1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Incibe-Cert, se informa sobre dos vulnerabilidades de importancia “Alta y Media”, en el software Samba (Permite la interconexión de redes Microsoft Windows®, Linux, UNIX y otros sistemas operativos juntos, permitiendo el acceso a archivos basados en Windows y compartir impresoras).

2. Se ha detectado dos vulnerabilidades, una de criticidad alta y otra media, que afectan a múltiples versiones de Samba. Un atacante remoto, no autenticado, podría utilizar memoria previamente liberada (use-after-free) u ocasionar un SIGSEGV en el servidor.

Recursos Afectados:

o Todas las versiones de Samba, desde la versión 4.0.0 en adelante;

o Todas las versiones de Samba, desde la versión 4.10.0 en adelante.

3. Detalles:

La vulnerabilidad de severidad alta se debe a una búsqueda LDAP, no autenticada, mediante un filtro profundamente anidado, esto puede agotar los recursos de la pila de memoria del servidor LDAP y ocasionar un SIGSEGV. Se ha reservado el identificador CVE-2020-10704 para esta vulnerabilidad.

A la vulnerabilidad de severidad media, del tipo uso de memoria previamente liberada (user-after-free), se le ha reservado el identificador CVE-2020-10700.

4. Análisis de las Vulnerabilidades:

CVE-2020-10704

o Vectores: AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: N/A:H

Puntaje Base Nivel de Riesgo

7.5

http://www.gob.pe/



www.gob.pe

[email protected]

CVE-2020-10700.

o Vectores: AV: N / AC: H / PR: N / UI: R / S: U / C: N / I: N / A: H

Detalles de la Vulnerabilidades:

CVE-2020-10704 CVE-2020-10700

Vectores de Acceso Red

Vectores de Acceso

Red

Complejidad de Acceso

Bajo Complejidad de

Acceso Bajo

Privilegios Requeridos

Ninguno Privilegios

Requeridos Ninguno

Interacción del Usuario

No Interacción del

Usuario Si

Alcance Sin Alterar

Alcance Sin Alterar

Impacto de Confidencialidad

Ninguno Impacto de

Confidencialidad Ninguno

Impacto de Integridad

Ninguno Impacto de Integridad

Ninguno

Impacto de Disponibilidad

Alta Impacto de

Disponibilidad Alta

5. Algunas Recomendaciones:

Actualizar a las versiones 4.10.15, 4.11.8 o 4.12.2.

Fuentes de información https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades

5.3

Puntaje Base Nivel de Riesgo

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 18 de 18

Índice alfabético

Abuso de privilegios o de políticas de seguridad, 9

Ataque de fuerza bruta, 10

Explotación de vulnerabilidades conocidas, 16

hxxp, 12

Mal uso y abuso de los servicios tecnológicos, 6

Malware, 8

Phishing, 3, 14, 15

Ransomware, 5

Redes sociales, 14

Redes sociales, SMS, correo electrónico, videos de internet, entre otros, 14

Robo de información, 7

Troyanos, 11

Vulnerabilidad, 9

Vulnerabilidades, 16, 17

http://www.gob.pe/


Lima, 30 de abril de 2020

Documents

Transcript of Lima, 30 de abril de 2020