PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 28 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido El troyano Qbot recopila mensajes de correo electrónico para obtener datos confidenciales. ................... 3

Las API son la próxima frontera en el ciberdelito .......................................................................................... 4

Exponen casi 235 millones de perfiles extraídos de Instagram, TikTok y Youtube ....................................... 5

Malware “Lemon Duck” dirigido a usuarios con Sistema Operativo Linux ................................................... 6

Nuevo malware para Android “Terracotta” .................................................................................................. 7

Detección de una nueva campaña del Troyano bancario Qakbot, también conocido como Qbot,

QuakBot, o Pinkslipbot, dirigido al sector gubernamental, militar y manufacturero en Estados Unidos y

Europa ........................................................................................................................................................... 8

Índice alfabético ..........................................................................................................................................10

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 146

Fecha: 28-08-2020

Página: 3 de 10

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta El troyano Qbot recopila mensajes de correo electrónico para obtener datos confidenciales.

Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación Correo electrónico, red e internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código Malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que el troyano denominado “Qbot” constantemente viene recibiendo actualizaciones para mejorar sus técnicas de ataque, los especialistas en ciberseguridad consideran que la etapa más importante del proceso de infección sigue siendo el uso de correos electrónicos maliciosos.

2. Detalles de la alerta:

A través de la búsqueda de amenazas en el ciberespacio, se ha reportado por varios expertos en ciberseguridad de las constantes actualizaciones que viene teniendo el troyano Qbot.

Si bien es cierto que él envió de Emails con contenido maliciosos no parece mostrar algo innovador, los expertos detectaron que los operadores de esta campaña eran capaces de secuestrar conversaciones de correo electrónico. Al parecer, las conversaciones pueden ser secuestradas usando “Email Collector“, un módulo recientemente añadido a Qbot.

Asimismo, dentro del contenido de los emails, hay mensajes que contienen una URL que redirige a los usuarios a un archivo comprimido de extensión Zip, dentro del cual se encuentra un archivo de Virtual Basics Script (VBS) malicioso. Los expertos detectaron cientos de URL diferentes usadas en esta campaña, la mayoría de ellas redirige a sitios de WordPress comprometidos o bien creados específicamente para estos fines.

3. Indicadores de Compromiso (IoC):

SHA-1: d5168670355c872ec98cdf0fe60f8ca563d39305

MD5: c43367ebab80194fe69258ca9be4ac68

SHA-256: 56ee803fa903ab477f939b3894af6771aebf0138abe38ae8e3c41cf96bbb0f2a

Ficheros: xseja / xsejan.dl / peasayt.exe / bsflimi.exe

4. Recomendaciones:

Evaluar el bloqueo preventivo de los indicadores de compromiso.

Mantener firmas y motores de los antivirus actualizados.

Mantener un protocolo de actualizaciones de los sistemas operativos, todas las aplicaciones y dispositivos de TI.

Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

Realizar auditorías de seguridad a las aplicaciones, Base de datos, red e infraestructura de TI.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 146

Fecha: 28-08-2020

Página: 4 de 10

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Las API son la próxima frontera en el ciberdelito Tipo de ataque Robo de información Abreviatura RobInfo Medios de propagación Red, internet, redes sociales. Código de familia K Código de subfamilia K01 Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 28 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por un hacker de Cequence Security, han detectado el aumento en el uso de la API se ha disparado y los ciberdelincuentes se aprovechan cada vez más de las fallas de seguridad de la API para cometer fraude y robar datos.

2. Las API hacen que todo sea un poco más fácil, desde el intercambio de datos hasta la conectividad del sistema y la entrega de características y funcionalidades críticas, pero también facilitan mucho a los malos actores y llevar a cabo ataques.

3. Tener un mensaje de error detallado guía al atacante a saber qué necesita cambiar para que la solicitud funcione. Las API, diseñadas para transacciones de alta velocidad con poca carga, permiten a los atacantes utilizar sistemas de alto rendimiento para descubrir cuentas válidas y luego intentar iniciar sesión y cambiar las contraseñas para su beneficio.

4. Una vez que un atacante identifica una API, catalogará los parámetros y luego intentará acceder a los datos de un administrador (escalamiento vertical de privilegios) u otro usuario (escalamiento horizontal de privilegios) para recopilar datos adicionales. A menudo, se exponen a los usuarios demasiados parámetros innecesarios.

5. Se recomienda:

Asegurarse de que la documentación de su API esté cerrada y controlada con derechos que solo permitan el acceso a usuarios válidos.

Limitar la transmisión de datos críticos y mantiene la estructura de consulta de datos desconocida.

Fuentes de información http[:]//threatpost.com/apis-next-frontier-cybercrime/158536/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 146

Fecha: 28-08-2020

Página: 5 de 10

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Exponen casi 235 millones de perfiles extraídos de Instagram, TikTok y Youtube Tipo de ataque Fuga de información Abreviatura FugaInfo Medios de propagación Red, internet, redes sociales. Código de familia K Código de subfamilia K02 Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 28 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los expertos en seguridad, han detectado una base de datos que contiene datos extraídos de casi 235 millones de usuarios de redes sociales de Instagram, TikTok y YouTube se expuso sin ninguna protección por contraseña. Contenía información del usuario, como nombres, información de contacto, imágenes y estadísticas sobre seguidores.

2. El web scraping es una técnica para recopilar datos de páginas web de forma automatizada. Si bien no es ilegal, las empresas de redes sociales prohíben esta práctica para proteger los datos del usuario. Sin embargo, muchas empresas de análisis crean grandes bases de datos de información del usuario mediante el uso de web scrapers en sitios populares. Algunas de estas empresas suelen vender información de estas bases de datos a otras empresas.

3. Los datos extraídos tenían cuatro conjuntos de datos principales con detalles de millones de usuarios de las plataformas mencionadas anteriormente. Contenía información como nombre de perfil, nombre completo, foto de perfil, edad, sexo y estadísticas de seguidores.

4. Los datos extraídos tenían cuatro conjuntos de datos principales con detalles de millones de usuarios de las plataformas mencionadas anteriormente. Contenía información como nombre de perfil, nombre completo, foto de perfil, edad, sexo y estadísticas de seguidores. Sin embargo, empresas como YouTube, Instagram y TikTok prohíben las prácticas de web scraping.

5. Se recomienda:

Evitar publicar información confidencial en las redes sociales.

Mantener seguras las bases de datos.

Fuentes de información http[:]//www.enhacke.com/2020/08/20/exponen-casi-235-millones-de-perfiles-extraidos-de-instagram-tiktok-y-youtube/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 146

Fecha: 28-08-2020

Página: 6 de 10

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Malware “Lemon Duck” dirigido a usuarios con Sistema Operativo Linux

Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso

Descripción

1. El 28 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que el malware denominado “Lemon Duck” dirigido a sistema operativo Windows, también afecta al sistema operativo Linux a través de ataques de fuerza bruta SSH y distribución de carga útil mediante la recopilación de credenciales de autenticación SSH del archivo “/.ssh/known_hosts”. La nueva variante, permite explota el error de SMBGhost en los sistemas Windows e infecta los servidores que ejecutan instancias de Redis y Hadoop. Al infectar el dispositivo, entrega una carga útil de minero XMRig Monero (XMR), el cual utiliza recursos del sistema comprometido con la finalidad de extraer criptomonedas para sus operaciones.

2. Asimismo, para propagarse e infectar dispositivos Linux, el malware utiliza un módulo de escaneo de puertos que busca sistemas Linux conectados a internet en el puerto TCP 22. Para asegurarse la existencia del malware en el equipo, este intenta aumentar la persistencia agregando un trabajo cron.

3. Por otro lado, se identificó que el SHA-256:

5bb9c71f4cc58a7f3d1f22966cdf089575a4cac573039a194220c7a51e4e1f2d donde el antivirus Kaspersky lo cataloga como HEUR: Trojan-Downloader.MSExcel.DdeExe.

4. Se recomienda:

Evitar descargar software de sitios web no oficiales.

Mantener el sistema operativo y antivirus actualizados principalmente.

Evitar abrir correos de remitentes desconocidos.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 146

Fecha: 28-08-2020

Página: 7 de 10

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nuevo malware para Android “Terracotta”

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

El equipo de Investigación e Inteligencia de Amenazas de White Ops Satori, ha descubierto una nueva botnet para Android que han llamado “Terracotta”. En esta campaña los operadores del malware han estado defraudando a los usuarios a través de la descarga de una aplicación maliciosa.

El malware Terracotta ofrece a los usuarios de Android productos gratuitos a cambio de descargar la aplicación, incluidos zapatos, cupones y entradas para conciertos, que los usuarios nunca recibieron. Una vez que se instaló la aplicación y se activó el malware, el malware utilizó el dispositivo para generar impresiones publicitarias no humanas que pretendían ser anuncios que se mostraban en aplicaciones legítimas de Android.

2. Detalles:

En una sola semana de junio de 2020, la operación de fraude publicitario del malware fue responsable de más de 2 mil millones de solicitudes de ofertas fraudulentas, tuvo más de 65,000 dispositivos participantes involuntarios y falsificó más de 5,000 aplicaciones. El malware ofrece a los usuarios de Android productos gratuitos a cambio de la descarga de la aplicación. Los productos ofrecidos nunca son recibidos por la víctima.

El malware, una vez activado, generará impresiones de clics publicitarios no humanos. La aplicación está escrita usando React Native, que simplemente genera un formulario que la víctima debe completar para recibir los bienes prometidos. Esta parte del malware no contiene funciones maliciosas.

Las funciones maliciosas están ocultas dentro de los permisos.WAKE_LOCK y los permisos.FOREGROUND_SERVICE. Estas configuraciones de permisos están configuradas para que el malware de fraude publicitario se ejecute continuamente. Dentro del código hay una funcionalidad antianálisis oculta.

El código, al conectarlo, se analizará algorítmicamente y el seguimiento de la pila cambiará, lo que hará que la salida sea incorrecta. La mayor parte del código de la aplicación es un código benigno; sin embargo, algunos módulos están muy ofuscados. Es en estos módulos donde se maneja la comunicación con el servidor de Comando y Control (C2).

Esto se hace mediante el uso de firebase y su capacidad de mensajería. Esta plataforma permite la mensajería push, lo que, a su vez, permite actualizar la aplicación sin tener que avisar continuamente al C2 para estas actualizaciones. Una vez configurado el malware, los investigadores encontraron un módulo de bucleador utilizado para realizar cargas de fraude publicitario.

Además de este módulo, el malware contiene otros 8 módulos que se utilizan en la presentación de anuncios, gestión de servicios, notificaciones push, gestión de videos y otros. Finalmente, un módulo llamado Webview Management es responsable de la presentación del tráfico fraudulento.

3. Recomendaciones:

Contar con una solución de inteligencia de amenazas que permita a las organizaciones mitigar riesgos y daños adicionales al identificar rápidamente los datos robados y rastrear la fuente de la infracción, mientras que los sistemas especializados de detección de amenazas permiten descubrir intrusiones no deseadas, anomalías de tráfico dentro de la red corporativa e intentos de obtener acceso no autorizado a cualquier dato.

Instalar y actualizar el software antivirus o antimalware en todos los hosts.

Utilizar la autenticación de dos factores con contraseñas seguras.

Mantener las computadoras, dispositivos y aplicaciones parcheados y actualizados.

Fuentes de información

hxxps://www.whiteops.com/blog/terracotta-android-malware-a-technical-study hxxps://f.hubspotusercontent30.net/hubfs/3400937/Appendix%20A%20TERRACOTTA.pdf hxxps://www.whiteops.com/blog/the-shoe-is-a-lie-how-an-android-botnet-defrauded-

advertisers-and-consumers

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 146

Fecha: 28-08-2020

Página: 8 de 10

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección de una nueva campaña del Troyano bancario Qakbot, también conocido como Qbot, QuakBot, o Pinkslipbot, dirigido al sector gubernamental, militar y manufacturero en Estados Unidos y Europa

Tipo de ataque Troyano Abreviatura Troyano

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. El 28 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio “Masterhacks Blog”, se informa sobre la detección de una nueva campaña del Troyano bancario Qakbot, también conocido como Qbot, QuakBot, o Pinkslipbot, dirigido a sectores gubernamentales, militares y manufacturero en Estados Unidos y Europa, el cual se distribuye a través de campañas de correos electrónicos de phishing que contiene un archivo ZIP adjunto o un enlace a un archivo ZIP que incluye un Visual Basic Script (VBS) malicioso, con la finalidad de obtener información de contraseñas bancarias, cookies del navegador e inyectar código JavaScript en los sitios web de banca y realizar transacciones bancarias desde la dirección IP de la víctima.

2. Detalles:

Los correos electrónicos de phishing enviados a las organizaciones objetivo, toman la forma de señuelos COVID-19, recordatorios de pago de impuestos o reclutamiento de trabajo, no solo incluyen el contenido malicioso, sino que también se insertan con hilos de correo electrónico archivados entre las dos partes para prestar un aire de credibilidad.

Qbot se carga en la memoria explorer.exe en ejecución desde un ejecutable introducido mediante phishing, un cuentagotas de exploits o un archivo compartido abierto.

Qbot se copia a sí mismo en la ubicación predeterminada de la carpeta de la aplicación, como se define en la clave de registro% APPDATA%.

Qbot crea una copia de sí mismo en la clave de registro específica HKCU, software, Microsoft, Windows, CurrentVersion, Run para que se ejecute cuando el sistema se reinicie.

Qbot suelta un archivo .dat con un registro de la información del sistema y el nombre de la botnet.

Qbot ejecuta su copia de la carpeta% APPDATA% y, para cubrir sus huellas, reemplaza el archivo originalmente infectado por uno legítimo.

Qbot crea una instancia de explorer.exe y se inyecta en ella. Luego, los atacantes usan el proceso explorer.exe, para actualizar el troyano desde su servidor externo de comando y control.

Imagen del proceso de infección del troyano bancario Qakbot.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: pedll

Tipo: Win32 DLL

Tamaño: 183.00 KB (187392 bytes)

MD5: bffd5c5cfa39f5a345d73bff962da865

SHA-1: a7590802758d96817ce9bcdd33fb6ac487dee30d

SHA-256: 262c2ed8c6338fe9544edd36bc4f0e0051d24b0ae3a28faf5d9430f2452dee22

Nombre: uuuiy.exe

Tipo: Win32 EXE

Tamaño: 216.00 KB (221184 bytes)

MD5: 08189afa8487bbb7097c20f9c960d87c

SHA-1: 821382088ab6eec932b493c42254f70504db483c

SHA-256: 123f9e602adf274ccd49b7cd1eb082df4a3eb0fa6551f5782334b3c0064cfdc9

3. Algunas recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//blogs.masterhacks.net/noticias/hacking-y-ciberdelitos/el-troyano-bancario-qakbot-regresa-con-caracteristicas-mas-peligrosas/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 10 de 10

Índice alfabético

botnet ............................................................................................................................................................................ 7, 8 Código malicioso ........................................................................................................................................................ 6, 7, 8 Correo electrónico ............................................................................................................................................................. 3 exploits .............................................................................................................................................................................. 8 fuerza bruta ....................................................................................................................................................................... 6 internet .......................................................................................................................................................................... 3, 6 malware ..................................................................................................................................................................... 2, 6, 7 Malware ..................................................................................................................................................................... 2, 6, 7 phishing ............................................................................................................................................................................. 8 puerto ................................................................................................................................................................................ 6 Red, internet .................................................................................................................................................................. 4, 5 Red, internet, redes sociales ......................................................................................................................................... 4, 5 redes sociales ................................................................................................................................................................. 1, 5 Robo de información ......................................................................................................................................................... 4 servidor .......................................................................................................................................................................... 7, 8 servidores .......................................................................................................................................................................... 6 software ..................................................................................................................................................................... 6, 7, 8 Troyanos ............................................................................................................................................................................ 3 URL ..................................................................................................................................................................................... 3 USB, disco, red, correo, navegación de internet ....................................................................................................... 6, 7, 8 Uso inapropiado de recursos ......................................................................................................................................... 4, 5