PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 8 de agosto de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Sitio web fraudulento sobre bono de ayuda familiar .................................................................................... 3
Detección del malware Evelnum ................................................................................................................... 4
Índice alfabético ............................................................................................................................................ 6
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 126
Fecha: 8-08-2020
Página: 3 de 6
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Sitio web fraudulento sobre bono de ayuda familiar
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, correo electrónico y navegación en internet
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de busca de amenazas en el ciberespacio, advierte que hay un sitio web fraudulento, supuestamente para la obtención de un bono como ayuda familiar, para la cual la victima tiene que ingresar sus datos personales y compartir el enlace a 9 amigos o grupos de WhatsApp. Una vez realizado estas acciones los ciberdelincuentes podrían usar la información recolecta para algún tipo de delito informático.
2. Detalles de la alerta:
Se ha detectado un sitio web fraudulento (Figura 1) con la dirección web: hxxps://gobiernoperuanothelp.blogspot.com/?V, supuestamente sobre un Bono de Ayuda Familiar, en la cual tiene como objetivo recolectar información de posibles víctimas. Asimismo, como parte del proceso se tiene que seguir 5 pasos para la obtención del beneficio.
El sitio web fraudulento contiene 5 pasos que a continuación se detalla:
a) solicita ingresar nombre y teléfono de contacto b) solicita la confirmación de los datos ingresados c) La víctima deberá difundir ayuda, para lo cual te pide que reenvíes el
enlace con la supuesta ayuda a 9 amigos o grupos de WhatsApp. Al presionar el botón de envió, genera un enlace con la siguiente instrucción: whatsapp://send?text=Mi nombre es xxxxxx, acabo de hacer la solicitud para ayuda, y me aprobaron 1500 soles.%0A%0ATe lo estoy mandando a ti para que tambien puedas obtener los beneficios.%0A%0ASolicitalo aqui: hxxp://gobiernoperuanothelp.blogspot.com/?V
d) En la verificación, indica a la víctima “te pediremos un CÓDIGO el cual vas a obtener luego de instalar una aplicación GRATIS que te mostraremos.”
e) Por último, se tiene que registrar la dirección domiciliaria.
3. Indicadores de Compromiso (IoC)
Dominio fraudulento: hxxps://gobiernoperuanothelp.blogspot.com/?V
IP: 74 [.]125 [.]124 [.]132
SHA-256: 696365c27f2703b13739ac58f074f9b082e8fe6b35226c0582d312c03e870da
Título: Martin ayuda al pueblo
4. Recomendaciones:
Evaluar el bloqueo preventivo de indicadores de compromiso.
Mantener firmas y motores de los antivirus actualizados.
Verificar la autenticidad del sitio web antes de registrar sus datos.
No difundir y/o reenviar contenido sospechoso.
No abrir correos de dudosa procedencia y menos hacer clic en los enlaces o abrir archivos adjuntos.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
Figura 1
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 126
Fecha: 8-08-2020
Página: 4 de 6
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del malware Evelnum
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 08 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Welivesecurity, se informa sobre la detección del malware Evelnum, dirigido a compañías de tecnología financiera como empresas que ofrecen plataformas y herramientas para el comercio en línea, la cual se distribuye a través de correos electrónicos de spearphishing que contienen un enlace a un archivo ZIP alojado en Google Drive. Ese archivo contiene varios archivos LNK también conocido como acceso directo que extraen y ejecutan un componente JavaScript malicioso, mientras muestran un documento señuelo, que tienen extensiones dobles para intentar engañar al usuario que pinche sobre el archivo enviado, pensando que son documentos o imágenes benignas en Windows, las extensiones están ocultas de forma predeterminada.
El objetivo principal del grupo Evilnum es espiar a sus objetivos y obtener información financiera tanto de las empresas bancarias seleccionadas como de sus clientes como:
o Hojas de cálculo y documentos con listas de clientes, inversiones y operaciones comerciales
o Presentaciones internas
o Licencias de software y credenciales para el comercio de software / plataformas
o Cookies e información de sesión de navegadores
o Credenciales de correo electrónico
o Información de la tarjeta de crédito del cliente y comprobante de domicilio
o Datos personales como documentos de identidad, fecha de nacimiento, dirección domiciliaria entre otros
o Imagen:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: ServiceHud.exe
Tipo: Win32 EXE
Tamaño: 6.00 KB (6144 bytes)
MD5: 7783211ed125bbe31cf50b47e9e96fbb
SHA-1: b6b9c5effdd14e2920183b313c56e5068c57a709
SHA-256: 622070f03ea5a66037c38715ecce1ca6351148ab56ce6423fdafc13b383a4878
Nombre: XVI32 - XVI32.EXE
Tipo: Win32 DLL
Tamaño: 386.31 KB (395584 bytes)
MD5: 7cfeb19c792c78c791367c89f74bc8ab
SHA-1: 7d9037377dc2a2e3fc1985983942d1e9f986aa42
SHA-256: 1be727ebce44e5c669b2b08ad06e9d99c02490f8bb7f59dda81050947d99b77a
2. Algunas Recomendaciones: No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 6 de 6
Índice alfabético
Código malicioso ................................................................................................................................................................ 4 Fraude ................................................................................................................................................................................ 3 hxxp ................................................................................................................................................................................... 3 internet .............................................................................................................................................................................. 3 malware ............................................................................................................................................................................. 4 Malware ............................................................................................................................................................................. 4 Phishing ............................................................................................................................................................................. 3 redes sociales ..................................................................................................................................................................... 1 Redes sociales .................................................................................................................................................................... 3 software ............................................................................................................................................................................. 4 USB, disco, red, correo, navegación de internet ............................................................................................................... 4