PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 21 de junio de 2020

http://www.gob.pe/mailto:pecert@pcm.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Falso descifrador de Ransomware ................................................................................................................ 3

Vulnerabilidad en BT CTROMS ...................................................................................................................... 4

Chrome actualización safari .......................................................................................................................... 5

Extensiones maliciosas del navegador Chrome se emplearon en una campaña de vigilancia a gran escala,

millones de usuarios potencialmente afectados. .......................................................................................... 6

Discord modificado para robar cuentas por el nuevo malware NitroHack. .................................................. 7

Correo electrónico fraudulento con supuesta ayuda por el Covid-19 .......................................................... 8

Malware Trojan.OSX.Shlayer camuflado en instaladores de Adobe Flash Player ......................................... 9

Índice alfabético ..........................................................................................................................................11

http://www.gob.pe/mailto:pecert@pcm.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 078

Fecha: 21-06-2020

Página: 3 de 11

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Falso descifrador de Ransomware

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Redes sociales y correo electrónico.

Código de familia C Código de subfamilia C09

Clasificación temática familia Código Malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que los ciberdelincuentes están distribuyendo un descifrador falso para STOP Djvu Ransomware. En lugar de recuperar sus archivos de forma gratuita, lo que hace es infectar con otro ransomware que agrava aún más su situación.

2. Detalles de la alerta:

Los creadores del ransomware Zorab han lanzado un descifrador falso de STOP Djvu que no recupera ningún archivo de forma gratuita, sino que encripta todos los datos ya cifrados de la víctima con otro ransomware.

Cuando un usuario desesperado ingresa su información en el descifrador falso y hace clic en 'Iniciar análisis', el programa extraerá otro ejecutable llamado crab.exe y lo guardará en la carpeta% Temp%.

El archivo Crab.exe es otro ransomware llamado Zorab, que comenzará a cifrar los datos en la computadora. Al cifrar archivos, el ransomware agregará la extensión “.ZRB” al nombre del archivo.

El ransomware también creará notas de rescate llamadas “--DECRYPT - ZORAB.txt.ZRB”, en cada carpeta en la que se cifra un archivo. Esta nota contiene instrucciones sobre cómo contactar a los operadores de ransomware para obtener instrucciones de pago.

3. Indicadores de compromisos:

Hash

o 1abf41be04801cfc3478502127abc47c2d84253ab659d576e5c02cc0b716c782

Archivos asociados :

o Decryptor Djvu mlagham.exe

o %Temp%crab.exe

o --DECRYPT--ZORAB.txt.ZRB

4. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Evaluar el bloqueo preventivo de los indicadores de compromisos.

Realizar periódicamente copias de seguridad de la información.

Evitar descargar aplicaciones, programas o herramientas que no sean seguras.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/mailto:pecert@pcm.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 078

Fecha: 21-06-2020

Página: 4 de 11

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad en BT CTROMS

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 21 de junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una vulnerabilidad en BT CTROMS Terminal OS Port Portal CT-464. El identificador asignado a esta vulnerabilidad es CVE-2020-14930.

2. La vulnerabilidad en BT CTROMS Terminal OS Port Portal CT-464, que explota una omisión de autenticación en CTROMS, puede ocurrir por que la función de restablecimiento de contraseña revela el token de autenticación. Tras una solicitud getverificationcode.jsp, del componente restablecimiento de contraseña, el cual transmite un código de verificación al número de teléfono registrado de la cuenta de usuario, si no que transmite al cliente HTTP no autentificado, lo que conduce a una divulgación de información.

3. Recursos afectados:

BT CTROMS Terminal OS Port Portal CT-464

4. Se recomienda:

Instalar los parches de la página oficial del proveedor.

Fuentes de información https[:]//www.pentest.com.tr/exploits/CTROMS-Terminal-OS-Port-Portal-Password-Reset-Authentication-Bypass.html

http://www.gob.pe/mailto:pecert@pcm.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 078

Fecha: 20-06-2020

Página: 5 de 11

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Chrome actualización safari

Tipo de ataque Explotación de vulnerabilidades Abreviatura Chorme Safari

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Vulnerabilidades

Descripción

1. El 21 de junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del ataque de ransomware, que ha afectado al fabricante de bebidas con sede en Australia, Lion, este es el segundo ataque que sufre la compañía en menos de una semana. Los ciberdelincuentes responsables del ataque amenazan con duplicar la cantidad del rescate si Lion no paga en la fecha especificada, la moneda elegida para el pago del rescate es Monero.

2. Un informe publicado por, The Sydney Morning Herald el 18 de junio, dijo que el personal de Lion fue informado de que el ataque había interrumpido su infraestructura de TI.

3. Inicialmente, REvil solicitó un rescate de 800.000 dólares, que debe ser pagado en Monero. Si Lion no envía la cantidad solicitada antes del 19 de junio, el grupo doblará el monto del rescate llevándolo hasta 1.600.000 dólares.

4. El primer ataque sufrido por el gigante australiano de las bebidas fue el 9 de junio. Desde entonces, la compañía ha proporcionado una serie de actualizaciones en su sitio web oficial, la última siendo publicada el 15 de junio.

5. Según los informes, Lion se puso en contacto con una empresa multinacional de servicios profesionales, Accenture, buscando ayuda en sus esfuerzos para recuperar su información.

6. Se recomienda:

Actualizar a la versión más reciente para mitigar los problemas de seguridad, una vez más se demuestra la gran importancia de contar siempre con las últimas versiones.

Fuentes de información https[:]//blog.segu-info.com.ar/2020/06/exigen-us16m-en-monero-empresa.html?m=1

http://www.gob.pe/mailto:pecert@pcm.gob.pehttps://blog.segu-info.com.ar/2020/06/exigen-us16m-en-monero-empresa.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 078

Fecha: 21-06-2020

Página: 6 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Extensiones maliciosas del navegador Chrome se emplearon en una campaña de vigilancia a gran escala, millones de usuarios potencialmente afectados.

Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegacion de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código Malicioso

Descripción

1. El 21 de Junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuacion: Extensiones maliciosas del navegador Chrome se usaron en una campaña de vigilancia masiva dirigida a usuarios que trabajan en los servicios financieros, petróleo y gas, medios y entretenimiento, atención médica, organizaciones gubernamentales y productos farmacéuticos. Investigadores de Awake Security descubrieron las extensiones maliciosas del navegador Chrome que compartieron sus hallazgos con Google, el gigante tecnológico eliminó más de 100 extensiones de navegador Chrome de la tienda web oficial.

2. Las extensiones maliciosas del navegador Chrome eran gratuitas, se hacían pasar por aplicaciones para alertar a los usuarios sobre sitios web cuestionables o para convertir archivos. Según Awake Security, las extensiones se descargaron 33 millones de veces y fueron parte de una campaña de vigilancia masiva que fue ayudada por el registrador de dominios de internet CommuniGal Communication Ltd. (GalComm).

3. En los últimos tres meses, los expertos identificaron 111 extensiones de Chrome maliciosas o falsas utilizando

dominios GalComm como infraestructura C2 y / o como repositorio para las extensiones. Estas extensiones maliciosas pueden recolectar tokens de credenciales almacenados en cookies o parámetros, tomar capturas de pantalla, leer el contenido del portapapeles y capturar las pulsaciones de teclas del usuario.

4. Se recomienda:

Mantener a los usuarios alertas, antes de pinchar en cualquier enlace o ejecutar una instalación cuando un sitio web así lo solicite, más allá de que lo ideal es contar con una solución de seguridad, lo más importante es aprender a navegar de manera consciente.

Evitar sitios web que ofrecen múltiples extensiones agrupadas, debido a que hay desarrolladores que usan

esta táctica para introducir algunas extensiones maliciosas en el conjunto de forma invisible.

Fuentes de información https[:]//securityaffairs.co/wordpress/105007/cyber-crime/chrome-browser-extensions-surveillance.html

http://www.gob.pe/mailto:pecert@pcm.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 078

Fecha: 21-06-2020

Página: 7 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Discord modificado para robar cuentas por el nuevo malware NitroHack. Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 21 de junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 19 de junio del 2020 por Bleepingcomputer, sobre un nuevo malware que pretende ser un truco que le brinda el servicio premium Discord Nitro de forma gratuita, pero en su lugar roba tokens de usuario guardados en varios navegadores, información de tarjeta de crédito, y luego trata de difundirlo a otros.

2. Se encontró un nuevo malware llamado NitroHack que modifica el cliente Windows para convertirlo en un troyano que roba cuentas. Este malware se distribuye en Discord a los amigos de los usuarios infectados a través de mensajes DM que lo promueven como una forma de obtener el servicio premium Discord Nitro de forma gratuita.

3. Si un usuario descarga el archivo promocionado y lo inicia, NitroHack modificará el archivo % AppData% \\ Discord \ 0.0.306 \ modules \ discord_voice \ index.js y agregará código malicioso en la parte inferior. También intentará alterar el mismo archivo JavaScript en los clientes Discord Canary y Discord Public Test Build.

4. Al modificar el cliente, el malware se vuelve persistente y enviará los tokens de usuario de la víctima al canal Discord del atacante cada vez que inicie el cliente Discord. Usando estas fichas de usuario robadas, el actor de la amenaza puede iniciar sesión en Discord como la víctima.

5. Para robar estos tokens, NitroHack copiará las bases de datos del navegador para Chrome, Discord, Opera, Brave, Yandex Browser, Vivaldi y Chromium y los escaneará en busca de tokens Discord. Cuando termine, la lista de tokens encontrados se publicará en un canal de Discord bajo el control del atacante.

6. Para intentar robar tarjetas de crédito, el malware intentará conectarse a la hxxps://discordapp.com/api/v6/users/@me/billing/payment-source URL e intentará tomar la información de pago guardada. Luego, el malware tomará una lista de todos los amigos de Discord de la víctima y les enviará un DM que contiene un enlace al malware disfrazado como el truco para el servicio Discord Nitro.

7. Este malware se vuelve bastante efectivo para construir rápidamente una amplia base de víctimas mediante la persistencia, la propagación automática y el robo de credenciales.

8. Se recomienda:

Desinstalar el cliente Discord y volver a configurar nuevamente para eliminar el malware NitroHack.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/discord-modified-to-steal-accounts-by-new-nitrohack-malware/

http://www.gob.pe/mailto:pecert@pcm.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 078

Fecha: 21-06-2020

Página: 8 de 11

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Correo electrónico fraudulento con supuesta ayuda por el Covid-19 Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 21 de junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que ciberdelincuentes siguen aprovechándose del confinamiento social generado por la pandemia Covid-19 (Coronavirus), mediante una campaña de tipo phishing a gran escala y que se iniciaría el día de hoy en la India y probablemente en diversas partes del mundo. Se espera que el ID de correo electrónico falsificado que podría utilizarse para el correo electrónico de phishing sea ncov2019@gov.in, pero cabe resaltar que, los atacantes utilizan las direcciones de correo electrónico de cualquier otra organización para sus ataques de phishing.

2. Así mismo, se identificó que un posible asunto del correo fraudulento sería "KIT DE PRUEBA GRATUITO COVID-19" y que su contenido sería un falso apoyo de las autoridades locales a cargo de distribuir iniciativas de apoyo COVID-19 financiadas por el gobierno, para así convencer y dirigir a los destinatarios hacia sitios web de phishing. Es conocido que al descargar los archivos maliciosos tendrá por finalidad apoderarse de la información personal y financiera.

3. Se recomienda:

Evitar ingresar a enlaces desconocidos o de dudosa procedencia.

Evitar descargar y abrir archivos de fuentes no confiables.

Desconfiar de correos no solicitados.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, CERT-India, Osint.

http://www.gob.pe/mailto:pecert@pcm.gob.pemailto:ncov2019@gov.in

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 078

Fecha: 21-06-2020

Página: 9 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Malware Trojan.OSX.Shlayer camuflado en instaladores de Adobe Flash Player

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

4. El 20 de junio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web hispasec.com, se informa sobre la detección de una variante del Malware Trojan.OSX.Shlayer, el cual viene camuflado en instaladores de Adobe Flash Player y que utiliza los resultados de búsqueda de Google para su propagación.

Una vez descargado y ejecutado en la máquina de la víctima, el malware muestra un instalador de Adobe Flash Player fraudulento que da instrucciones al usuario sobre cómo instalarlo. Si la víctima sigue las instrucciones, un script en «bash» volcará la carga maliciosa en la máquina. Además, para evitar la detección, se ocultarán todos los ficheros generados en este proceso. Todos menos el instalador de Flash Player firmado por Adobe, de manera que evita las sospechas a la víctima.

Cuando el Malware ya está implantado en el sistema, los atacantes tienen la capacidad de descargar Malware adicional o ejecutar campañas de adware desde sus servidores de control y comando.

Como mecanismo de propagación, los atacantes han usado técnicas de SEO que colocan los enlaces de descarga maliciosos en los primeros resultados de búsqueda. Para ello utilizan los títulos exactos de vídeos de YouTube populares para colocar sus enlaces entre los primeros resultados. La víctima que visite estos enlaces llegará a través de numerosas redirecciones a la descarga del software malicioso.

Para saltar las protecciones incluidas en el sistema, muchos atacantes utilizan cuentas de desarrollador de Apple (propias o robadas) para poder firmar su software. Sin embargo, los desarrolladores de esta nueva variante utilizan ingeniería social para que sea el usuario el que desactive la protección instalando la aplicación con el botón derecho.

Imágenes:

o Indicadores de Compromiso:

flashInstaller.dmg d49ee2850277170d6dc7ef5f218b0697683ffd7cc66bd1a55867c4d4de2ab2fb 97ef25ad5ffaf69a74f8678665179b917007c51b5b69d968ffd9edbfdf986ba0

1 2

http://www.gob.pe/mailto:pecert@pcm.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Archivo Analizado:

flashInstaller.dmg Tipo de Archivo: Imagen de disco de Macintosh Tamaño: 260.01 KB (266246 bytes) Ultimo Envió: 12-06-2020 MD5:c87784c532b5fd113354bb83d80dd5ec SHA-1:291e7ae52dfc17c8d73ab36bd615c1dacd9f2851

flashInstaller

86561207a7ebeb29771666bdc6469d81f9fc9f57eedda4f813ca3047b8162cfb 2c2c611965f7b9c8e3524a77da9b2ebedf1b7705e6276140cffe2c848bff9113

Archivo Analizado:

Nombre: flashInstaller Tipo: Shell script (ejecutable) Tamaño: 119.53 KB (122403 bytes)

flashInstaller.zip 3cd3f207a0f2ba512a768ce5ea939c1aed812f6c8f185c1838bfc98ffd9b006e bdbfefab84527b868eb073ece6eff6f5b83dc8d9ed33fe0a824ffee3b9f47b6e

5. Algunas Recomendaciones:

No abras correos electrónicos desconocidos.

No ejecutes archivos adjuntos.

Verifica el email remitente en el buscador de google

Mantenga sus herramientas de protección actualizadas.

Si algún sitio web te produce desconfianza, no introduzcas contraseñas ni datos bancarios por muy buena que parezca la oferta.

Fuentes de información https[:]//unaaldia.hispasec.com/2020/06/nueva-familia-de-malware-para-macos-utiliza-los-resultados-de-busquedas-en-google-para-su-propagacion.html

http://www.gob.pe/mailto:pecert@pcm.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 11 de 11

Índice alfabético

adware ............................................................................................................................................................................... 9 Código malicioso ............................................................................................................................................................ 7, 9 Correo electrónico ......................................................................................................................................................... 2, 8 exploits .............................................................................................................................................................................. 4 Explotación de vulnerabilidades conocidas ....................................................................................................................... 4 Fraude ................................................................................................................................................................................ 8 Intento de intrusión ........................................................................................................................................................... 4 internet .......................................................................................................................................................................... 6, 7 malware ............................................................................................................................................................... 2, 7, 9, 10 Malware ................................................................................................................................................................. 2, 6, 7, 9 phishing ............................................................................................................................................................................. 8 Phishing ............................................................................................................................................................................. 8 ransomware ................................................................................................................................................................... 3, 5 Ransomware .................................................................................................................................................................. 2, 3 Red, internet .................................................................................................................................................................. 4, 5 redes sociales ..................................................................................................................................................................... 1 Redes sociales ................................................................................................................................................................ 3, 8 servidores .......................................................................................................................................................................... 9 software ......................................................................................................................................................................... 8, 9 URL ..................................................................................................................................................................................... 7 USB, disco, red, correo, navegación de internet ............................................................................................................... 9 Vulnerabilidad................................................................................................................................................................ 2, 4 Vulnerabilidades ................................................................................................................................................................ 5

http://www.gob.pe/mailto:pecert@pcm.gob.pe