PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional

de Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información

que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 09 de abril de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 2 de 20

Componente que reporta PECERT | EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidades en el software de virtualización VMWare Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV Medios de propagación Internet

Código de familia H Código de Sub familia H01 Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional (PeCERT) detectó un aviso de seguridad de VMware, con el código de identificación Id VMSA-2020-0004.1, en el cual informan sobre tres vulnerabilidades con un nivel de severidad crítica en cuatro de sus productos con el siguiente detalle: VMware Horizon Client for Windows, VMware Remote Console for Windows (VMRC for Windows), VMware Workstation Pro / Player (VMware Workstation) y VMware Fusion Pro / Fusion (Fusion). VMware ya ha publicado los parches de seguridad.

2. Detalles de la alerta:

VMWare informa en su aviso de seguridad con código de identificación Id VMSA-2020-0004.1 que cuatro de sus productos presentan vulnerabilidades graves de elevación de privilegios y del tipo use-after-free.

A continuación, se detallan las vulnerabilidades y exposiciones comunes (CVE):

CVE-2020-3947: vulnerabilidad del tipo use-after-free (uso de memoria previamente liberada) ubicada en el servicio vmnetdhcp de Windows que se usa para asignar direcciones IP a las máquinas virtuales a través del protocolo DHCP.

CVE-2020-3948: las máquinas virtuales de Linux que se ejecutan en VMware Workstation y Fusion contienen una vulnerabilidad de escalada de privilegios locales debido a un inapropiado archivo de permisos.

CVE-2019-5543: se ha descubierto que los productos para VMware Horizon Client for Windows, VMRC for Windows y VMware Workstation contienen una carpeta con permisos de escritura donde se encuentran los archivos de configuración para el servicio de arbitraje USB de VMware.

3. Solución:

La empresa ha publicado los enlaces donde se encuentran la descarga de las actualizaciones y su respectiva documentación para cada producto afectado:

Producto Descarga Documentación VMware Workstation Pro 15.5.2

https://www.vmware.com/go/downloadworkstation

https://docs.vmware.com/en/VMware-Workstation-Pro/index.html

VMware Workstation Player 15.5.2 https://www.vmware.com/go/downloadplayer

https://docs.vmware.com/en/VMware-Workstation-Player/index.html

VMware Fusion 11.5.2 https://www.vmware.com/go/downloadfusion

https://docs.vmware.com/en/VMware-Fusion/index.html

VMware Horizon Client for Windows 5.3.0

https://my.vmware.com/web/vmware/details?downloadGroup=CART20FQ4_WIN_530&productId=863

https://docs.vmware.com/en/VMware-Horizon-Client/index.html

VMware VMRC for Windows 11.0.0

https://my.vmware.com/web/vmware/details?downloadGroup=VMRC1100&productId=742

https://docs.vmware.com/en/VMware-Remote-Console/index.html

4. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Actualizar los parches de seguridad en cuanto se encuentren disponibles con el fin de evitar la exposición a ciberataques y la toma de control de los sistemas informáticos.

Realizar concientización constante a los usuarios sobre este tipo de amenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional-PECERT

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 3 de 20

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Siete vulnerabilidades críticas en Safari, permiten controlar la cámara/micrófono de IPhone. Tipo de ataque Exploits Abreviatura Exploits Medios de propagación Sitios web maliciosos

Código de familia C Código de sub familia C01 Clasificación temática familia Zero-Day

Descripción

1. El 09 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha detectado que Apple, en su programa de recompensas, pago la suma de U$S 75.000 al hacker Ryan Pickren ya que advirtieron de siete vulnerabilidades críticas que controlan cámara/micrófono de IPhone y MacBook.

2. Al visitar un sitio web, no solo sitios maliciosos sino también legítimos que también cargan anuncios maliciosos sin saberlo, el uso del navegador Safari podría haber permitido que atacantes remotos accedieran en secreto a la cámara, el micrófono o la ubicación del dispositivo y, en algunos casos, también a las contraseñas guardadas. "Si el sitio web malicioso quería acceso a la cámara, solo debía hacerse pasar por un sitio web confiable de videoconferencia como Skype o Zoom".

3. El navegador Safari otorga acceso a ciertos permisos como cámara, micrófono, ubicación y más por sitio web. Esto facilita que los sitios web individuales, digamos Skype, accedan a la cámara sin pedir permiso al usuario cada vez que se inicia la aplicación.

4. Se encontró que incluso las contraseñas de texto sin formato se podían robar de esta manera ya que Safari utiliza el mismo enfoque para detectar sitios web en los que se debe aplicar el llenado automático de contraseñas.

5. Recomendaciones:

Disponer que los usuarios de IOS tengan los parches para los 0-Day que presenta el navegador Safari.

Fortalecer el cifrado de herramientas de videoconferencia “Skype y Zoom” a fin de no ser víctimas de control

de cámara/micrófono.

Mantener el navegador Safari actualizado y asegurarse de que los sitios web tengan acceso solo a las configuraciones que son esenciales para que funcionen.

Fuentes de información https://blog.segu-info.com.ar/2020/04/7-vulnerabilidades-criticas-en-safari.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+NoticiasSeguridadInformatica+%28Noticias+de+Seguridad+de+la+Informaci%C3%B3n%29

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 4 de 20

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Las aplicaciones con temas de Skype ocultan una gran cantidad de malware Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, Disco, Red, Correo, Navegación de Internet

Código de familia C Código de sub familia C03 Clasificación temática familia Código malicioso

Descripción

1. El 09 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento de que la empresa Kaspersky descubrió un total de 120,000 paquetes sospechosos de malware y adware disfrazados como versiones de la aplicación de videollamadas “Skype”. Estos paquetes estarían desplegando troyanos y pueden dar a los cibedelincuentes una puerta trasera en las computadoras infectadas.

2. En los archivos sospechosos se encontraron dos familias de Adware (DealPly y DownloadSponsor). Ambas familias son instaladores que muestran anuncios o descargan módulos de adware y generalmente aparecen en los dispositivos de los usuarios una vez que se descargan de los mercados no oficiales.

3. Además, se encontró amenazas de malware disfrazadas de archivos.lnk, que son accesos directos a las aplicaciones. La mayoría de estos fueron identificados como Exploit.Win32.CVE-2010-2568, un antiguo código malicioso que podría infectar computadoras con malware adicional.

4. Recomendaciones:

Evitar descargar e instalar aplicaciones de fuentes que no sean de confianza.

No abrir archivos adjuntos sospechosos recibidos de fuentes desconocidas.

Mantener los equipos protegidos con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina; Twitter, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 5 de 20

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta INTERPOL informa sobre ataques tipo Ransomware a hospitales a nivel mundial. Tipo de ataque Ransonware Abreviatura Ransonware Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de sub familia C09 Clasificación temática familia Código malicioso

Descripción

1. El 09 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento de que la Organización Internacional de Policía Criminal (INTERPOL), ha detectado un aumento significativo en los ataques cibernéticos contra hospitales de todo el mundo que participan en respuesta a la actual pandemia mundial. Se pudo conocer un aumento significativo en el número de intentos de ataques de Ransomware contra organizaciones e infraestructuras clave involucradas en la respuesta del virus. Se ha confirmado que los hackers están atacando hospitales con la intención de negarles el acceso a los sistemas de cuidados críticos, así como explotar los recursos de salud extendidos y el posterior beneficio económico para la devolución de la información.

2. La INTERPOL ha emitido ahora una alerta de "aviso púrpura" a las fuerzas del orden público en los 194 países

miembros para apoyar la lucha global contra este esfuerzo cibercriminal.

3. Bloquear a los hospitales fuera de sus sistemas críticos no solo retrasará la rápida respuesta médica requerida, sino que podría conducir directamente a la muerte.

4. Cabe resaltar que los operadores de dos de las amenazas de ataque de ransomware más frecuentes prometieron hace menos de un mes no atacar objetivos de atención médica durante la crisis de COVID-19.

5. Recomendación:

No abrir enlaces en mensajes SMS que no haya solicitado, hay que eliminarlos directamente.

En caso de que el mensaje proceda de una entidad bancaria, tenga en cuenta que nunca lo reenviará a su

página de inicio de sesión.

Fuentes de información Comandancia de Ciberdefensa de la Marina; Twitter, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 6 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Proveedor de VPN de origen Chino, fue comprometido. Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Rd,Internet

Código de familia H Código de sub familia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 09 de abril de 2020, se pudo detectar que una empresa de origen Chino denominada Quihoo 360, proveedora de VPN (Red Privada Virtual), fue víctima de acceso a sus servidores de VPN SSL Sangfor y fue utilizada para tener acceso a entornos empresariales y del Estado.

2. El ataque a los servidores de la empresa china fue por un grupo de ciberdelincuentes denominado “DarkHotel”, quienes comenzaron sus actividades desde hace aproximadamente un mes.

3. El modo de trabajo de los ciberdelincuentes fue aprovechar vulnerabilidades 0-day para comprometer los servidores SSL de Sangfor y una vez que se logró tener acceso, reemplazaron la aplicación legítima de Sangfor llamada “SangforUD.exe” por un ejecutable fraudulento.

4. Del mismo modo, esta aplicación creada por los ciberdelincuentes serviría como una actualización para la aplicación a través de la cual progaría el malware a todos los equipos que hagan uso de la VPN.

5. Cabe mencionar que, el objetivo de los ciberdelincuentes, fue la filtración de datos en los organismos gubernamentales para conocer sobre cómo viene afrontando el gobierno chino el COVID-19; asimismo, los ciberdelincuentes en mención, también habrían realizado un ataque a la Organización Mundial de la Salud (OMS).

6. Recomendaciones:

Establecer controles de seguridad y configuraciones personalizadas por parte de los administradores de sistemas de las empresas del Estado que cuenten con el servicio de VPN para evitar el ataque de filtración de datos.

Establecer controles de seguridad en la información almacenada en los ordenadores, así como la actualización de parches de seguridad que brindan las compañías de los sistemas operativos que tengan instalados

Fuentes de información https://www.zdnet.com/article/darkhotel-hackers-use-vpn-zero-day-to-compromise-chinese-government-agencies/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 7 de 20

Componente que reporta DIRECCION DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Malware xHelper para teléfonos inteligentes android Tipo de ataque Malware Abreviatura Malware Medios de propagación Correo y redes sociales

Código de familia C Código de sub familia C01 Clasificación temática familia Código malicioso

Descripción

1. El 09 de abril de 2020 se pudo detectar un malware denominado “xHelper”. Una vez que este ingresa al teléfono, a través de la descarga de alguna aplicación infectada y permanece ahí, incluso después de que el usuario lo elimina y restaura la configuración de fábrica. El analista de malware Igor Golovin de la empresa Kaspersky, realizó un estudio exhaustivo para determinar cómo los creadores de xHelper le proporcionaron tal capacidad de supervivencia y persistencia.

2. El malware xHelper no llega a nosotros libre como una App independiente sino que lo hace aterrizando a través

de aplicaciones de terceros, principalmente a través de App que indican a los usuarios cómo realizar instalaciones de aplicaciones desde fuera de Google Play, saltándose así los protocolos de seguridad de Google Play protect. Xhelper permanece en el teléfono de forma casi inamovible y dedica todo su tiempo a mostrar publicidad en pantalla e invita al usuario, con masivas notificaciones, a visitar la Play Store para que instalen otras Apps. Este es el principal motivo por el que se cree que el desarrollador de xHelper está ganando dinero a base de comisiones de afiliados.

3. La dificultad para erradicar xHelper está en que una vez la App infectada entra en nuestro sistema, el malware se

separa de ella pues la usa únicamente como Caballo de Troya. En nuestro móvil android, xHelper se instala como una App independiente y se auto-concede todo tipo de permisos para aferrarse al almacenamiento interno de nuestro teléfono. Tanto así que este malware no puede eliminarse por el momento ni restableciendo el teléfono, lo que equivale a un formateo completo y reinstalación del sistema operativo.

4. Recomendaciones:

Aplicar más controles de seguridad en los teléfonos móviles mediante la administración de firewall, antivirus (actualizaciones) y la instalación de los parches de seguridad del sistema operativo.

Los usuarios que tengan teléfonos inteligentes Android no deberán descargar cualquier aplicación desconocida.

Fuentes de información https://unaaldia.hispasec.com/2020/04/xhelper-el-malware-de-android-que-se-reinstala-despues-de-restablecer-los-datos-de-fabrica.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA DE SEGURIDAD DIGITAL N°005 Fecha: 09-04-2020

Página: 8 de 20

Componente que reporta DIRECCION NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva campaña falsa de publicidad maliciosa clona el sitio web de la empresa de software anti-malware Malwarebytes Inc. para diseminar malware

Tipo de ataque Portal fraudulento Abreviatura PortalFrau Medios de propagación Red

Código de familia G Código de Sub familia G03 Clasificación temática familia Fraude

Descripción

1. Resumen:

Se ha tomado conocimiento de que un actor de amenaza ha creado un sitio web falso al pretender usar el sitio de la empresa Malwarebytes Inc., con el objetivo de propagar malware a través del conocido exploit kit o kit de explotación denominado “Fallout EK”. La compañía de software anti-malware, Malwarebytes Inc., reportó una campaña de falsa publicidad maliciosa que utilizó el contenido del sitio web oficial mediante la copia fraudulenta (copycat) de la plantilla robada con un dominio similar: "malwarebytes-free [.] com" para distribuir el malware Raccoon stealer, un programa malicioso de tipo troyano que trata de obtener datos sensibles como contraseñas y números de tarjetas de crédito de los dispositivos infectados. Este falso dominio fue registrado el 29 de marzo a través del registro de nombres de dominio: REG.RU LLC, el cual estaba alojado en Rusia con la IP 173.192.139 [.] 27.

Los investigadores de Malwarebytes han examinado el código fuente del sitio web falso y confirmaron que se robó la plantilla del sitio con código malicioso añadido. Los actores de amenaza inyectaron un fragmento de código JavaScript para verificar el tipo de navegador utilizado, si resulta ser Internet Explorer se redirige a los visitantes a una URL maliciosa que aloja el kit de explotación Fallout EK.

2. Detalles:

Malwarebytes Inc., indicó que su plantilla robada incluye código malicioso, un fragmento de código escrito en JavaScript que comprueba qué tipo de navegador se está ejecutando, en caso sea Internet Explorer, se redirige a una dirección URL maliciosa del kit de explotación “Fallout EK”. El sitio web falso "malwarebytes-free [.] com" se utiliza activamente como vector de ataque en una falsa campaña de publicidad maliciosa para infectar a las víctimas con el malware Raccoon stealer, como se aprecia en la siguiente imagen [ RacoonStealer C2 [URI] ]:

Fallout EK es uno de los kits de explotación más recientes que aún permanece activo en el ciberespacio. Permite lanzar el malware Raccoon stealer para comprometer los equipos de sus víctimas a través de la explotación del navegador Internet Explorer. El actor de la amenaza detrás de esta campaña puede estar vinculado a otros que Malwarebytes también ha estado rastreando durante algunos meses. Se han usado antes plantillas similares falsas que actúan como vectores de infección. Estas tácticas de imitación han sido utilizadas por estafadores y otros criminales cibernéticos para engañar a sus víctimas en línea y fuera de línea.

Un infostealer es un tipo de malware que se centra en recopilar información confidencial y condicional del sistema comprometido. Si bien esta información a menudo está relacionada con las credenciales del usuario, también se sabe que buscan información financiera y personal.

3. Indicadores de Compromiso (IoC)

Sitio web falso de Malwarebytes Malwarebytes-free [.] com; IP: 31.31.198 [.] 161

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Fallout EK IP: 134.209.86 [.] 129

Raccoon Stealer 78a90f2efa2fdd54e3e1ed54ee9a18f1b91d4ad9faedabd50ec3a8bb7aa5e330 IP: 34.89.159 [.] 33

4. Imagen:

5. Recomendaciones:

Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones.

Mantener un protocolo para la detección, contención y gestión de malware1. Asimismo, gestionar continuamente la actualización de los parches2 de seguridad, firmware y software.

Desarrollar un plan de respuesta3 ante el posible incidente, al considerar como contención las medidas para restringir el acceso y ejecución del malware descritas en los IoC.

Concienciar4 constantemente a los usuarios en temas relacionados a seguridad digital.

Habilitar los registros de auditorías5 y realizar el monitoreo continuo6 para detectar y alertar sobre eventos que son anómalos en la red.

Realizar pruebas de vulnerabilidades7 para tomar conocimiento situacional de estas dentro de la organización e intercambiar información8 con fuentes especializadas para conocer las últimas amenazas en el entorno digital.

Fuentes de información

1. https://blog.malwarebytes.com/exploits-and-vulnerabilities/2020/04/copycat-criminals-abuse-malwarebytes-brand-in-malvertising-campaign/

2. https://blog.malwarebytes.com/threat-analysis/2019/01/improved-fallout-ek-comes-back-after-short-hiatus/

3. Equipo de Seguridad Digital DINI

1 Revisar el estándar internacional CIS Controls versión 7, específicamente el control “8 – Malware Defense”

2 Revisar el estándar internacional CIS Controls versión 7, específicamente el control “3 – Continuous Vulnerability Management”

3 Revisar el estándar internacional NIST 800-53 rev. 5, específicamente el control “IR-8 Incident Response Plan”

4 Revisar el estándar internacional NIST 800-53 rev. 5, específicamente el control “AT-2 Awareness Training”

5 Revisar el estándar internacional CIS Controls versión 7, específicamente el control “6 – Maintenance, Monitoring and Analysis of Audit logs”

6 Revisar el estándar internacional NIST 800-53 rev. 5, específicamente el control “AU-3 Monitoring for Information Disclosure”

7 Revisar el estándar internacional NIST 800-53 rev. 5, específicamente el control “CA-8 Penetration Testing”

8 Revisar el estándar internacional NIST 800-53 rev. 5, específicamente el control “PM-16 Threat Awareness Program”

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 10 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Amenazas Web Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, Disco, Red, Correo, Navegación de Internet

Código de familia C Código de Subfamilia C3 Clasificación temática familia Código Malicioso

Descripción

1. El 09 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que Kaspersky (compañía de seguridad informática) advierte que, del 31 de marzo al 8 de abril, en Perú los ciberdelincuentes vienen utilizando una serie Malware (Troyano) con la finalidad de llevar a cabo ataques a diferentes sitios Web (Amenazas Web). Estos son los Troyano identificados durante la semana en mención:

2. Las amenazas web o amenazas online son programas de malware que pueden atacarte cuando se utiliza Internet. Estas amenazas basadas en el navegador incluyen una gama de programas de software malicioso diseñados para infectar los ordenadores de las víctimas.

La herramienta principal que se encuentra detrás de estas infecciones del navegador es el paquete de exploits que proporciona a los cibercriminales una ruta para infectar ordenadores que no tienen un producto de seguridad instalado, y que contienen un sistema operativo o una aplicación de uso habitual vulnerable debido a que el usuario no ha aplicado las actualizaciones más recientes, o el proveedor de software debe publicar un parche nuevo.

3. Los programas de software maliciosos, más activos implicados en las amenazas web, incluyen los siguientes tipos de amenazas online:

Sitios web maliciosos

Scripts maliciosos

Scripts y archivos PE ejecutables

Trojan-Downloaders

Programas de adware

4. Los Malware (troyanos) identificados fueron analizados en las diferentes plataformas virtuales de las compañías de seguridad digital, teniendo como resultado lo siguiente:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

5. Recomendaciones:

Establece contraseñas seguras.

No utilices la misma contraseña para todas las cuentas y cámbiala con regularidad.

Activa la verificación en dos pasos.

Configura las opciones de seguridad.

Opera en equipos y redes propios.

Cierra sesión.

Activa un antivirus de confianza.

Utiliza sistemas operativos originales y actualízalos.

Descarga solo en sitios oficiales.

Desconfía siempre.

Fuentes de información https://cybermap.kaspersky.com/es/stats#country=4&type=null&period=w https://www.nextibs.com/diez-tips-sencillos-para-evitar-ataques-ciberneticos/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Al hacer clic en la opcion WhatsApp, se presenta la pregunta ¿ya tienes Netflix?, al

hacer clic en NO,

Te pregunta si eres mayor o menor de edad, al hacer clic en mayor de edad, te sale

¡FELICIDADES!

Como obtener 3 mese gratis

envia el mensaje a 20 amigos/Grupos de WhatsApp.

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 12 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Mensajes falso sobre 500 GB gratis. Tipo de ataque Adware Abreviatura Adware Medios de propagación Enlaces de internet

Código de familia C Código de Subfamilia C07 Clasificación temática familia Código malicioso

Descripción

1. El 09 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que a través de la mensajería instantánea WhatsApp, se viene propagando una oferta de 500 GB de internet gratis, valida por 90 días, con la finalidad de ayudar a la población a quedarse en casa, para lo cual los usuarios deberán ingresar a la URL: https://xmasth.me/Activar-4G.

2. Análisis de la URL: https://xmasth.me/Activar-4G.

Al ingresar a la URL en mención, nos muestra la siguiente página.

Como se aprecia, la página nos ofrece una supuesta oferta de la empresa Netflix, que está otorgando suscripción gratuita por tres meses, solo debemos responder a una encuesta de 3 preguntas, lo cual no tiene ninguna relación con el aviso.

Proceso de la Encuesta:

Como se puede apreciar, la URL y el aviso de oferta no indica que entidad es

la que promete 500GB de regalo, por lo que se trataría de una estafa.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

3. ¿De qué se trataría esta estafa?

Se trata de una campaña de ingeniería social que comienza con mensaje de WhatsApp que promete hasta 500GB de datos de Internet gratis “por motivo de COVID-19”. Para obtener el falso premio, el usuario debe acceder a un enlace y completar una encuesta bastante fácil, pero advierte de un “número limitado de paquetes de Internet” Este contenido es falso ya que al ingresar a la página nos muestra una oferta de Netflix para suscripción gratis de 03 meses, la supuesta oferta luego obliga al usuario a compartirla en un mensaje a 20 contactos o grupos para obtener el falso beneficio.

Finalidad de la estafa: al terminar la encuesta y seguir los pasos finales, se instalará, en el dispositivo de la víctima, el programa adware, el cual muestra publicidad no deseada, con el fin de generar lucro a los ciberdelincuentes.

4. ¿Qué es un programa adware?

Es un software publicitario que automáticamente muestra u ofrece publicidad no deseada o engañosa, ya sea incrustada en una página web mediante gráficos, carteles, ventanas flotantes, o durante la instalación de algún programa al usuario, con el fin de generar lucro a sus autores.

5. ¿Cómo reconocer si tiene el Programa ADWARE en su dispositivo?

Aparecen anuncios en lugares en los que no deberían.

La página de inicio de su navegador ha cambiado misteriosamente sin su permiso.

Algunos de los sitios web que visita con frecuencia no se muestran correctamente.

Los enlaces les redirigen a sitios web diferentes de los que deberían.

Su explorador web va muy lento.

Han aparecido en su explorador nuevas barras de herramientas, extensiones o plugins.

Su Mac instala de forma automática aplicaciones de software no deseadas.

Su explorador se bloquea.

6. Recomendaciones:

No descargue programas de páginas dudosas.

No participe en encuestas para ganar supuestos premios.

Ponga atención en la URL, puede deducir que es una estafa.

Verifique los sorteos o regalos en las páginas oficiales de las empresas.

Siempre tenga en cuenta que los ciberdelincuentes harán lo posible para robar sus datos o infectar su dispositivo.

Desconfía siempre.

Fuentes de información https://xmasro.me/Movies/?w=redirect# https://losvirus.es/adware

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 14 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Mensaje Falso del BCP Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Enlaces de internet

Código de familia G Código de Subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 09 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que a través de mensajes de texto (SMS), se viene propagando un mensaje suplantando la identidad del Banco de Crédito del Perú, en el cual se indica a los usuarios que su transferencia de AFP ha sido realizada con éxito, para verificar deberá ingresar a la siguiente URL. https://via-bcp.net/AFP

2. Proceso de la URL:

Al ingresar a la URL mencionada en el aviso, esta te redirige a una página distinta al sitio oficial del BCP.

(Página Falsa) (Página Oficial del BCP)

3. Esto se trataría de un Smishing (variante de Phishing) es un fraude común en Internet que consiste en el envío de SMS que simulan ser de empresas importantes como bancos, financieras, negocios donde se realizan pagos y compras en línea, etc. Estos SMS incluyen supuestas promociones o beneficios en nombre de una empresa, con el fin de cometer delitos como robo de identidad, extracción de dinero, entre otros.

4. Así como el Phishing, el Smishing pretende redirigir al usuario a un sitio web fraudulento intentando obtener su información personal, robar sus datos personales y bancarios o infectar su dispositivo con algún virus.

5. Del análisis de las URL falsas, se obtuvo lo siguiente:

URL https://via-bcp.net/AFP : malware detectado

Se puede apreciar que el aviso no incluye imagen del

BCP, además las letras BCP están separadas y la URL

oficial del BCP es: https://www.viabcp.com/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

URL: https://zonasegura.home-viabcp.com/bcp

Compañía de Seguridad Informática Resultado

Avira (no cloud) Phishing

Emsisoft Phishing

Google Safebrowsing Phishing

Sophos AV Malicioso

Netcraft Malicioso

CRDF Malicioso

6. Conceptos:

Malware. - Hace referencia a cualquier tipo de software malicioso que trata de infectar un ordenador o un dispositivo móvil. Los hackers utilizan el malware con múltiples finalidades tales como: extraer información personal o contraseñas, robar dinero o evitar que los propietarios accedan a su dispositivo. Puede protegerse contra el malware mediante el uso de software.

Phishing. - Es un término informático que denomina a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar.

7. Recomendaciones:

No haga clic en enlaces que reciba en su teléfono, a menos que conozca a la persona que los envía. Incluso si recibe un mensaje de un amigo con un enlace, trate de corroborar que es seguro con el remitente antes de hacer clic en él.

Nunca instale aplicaciones provenientes de mensajes de texto. Use siempre la página oficial (App Store, Google Play u otras) de descarga de aplicaciones antes de instalar la suya. Estas cuentan con rigurosos procesos de aprobación para filtrar cualquier malware y otras amenazas conocidas.

Nunca revele información personal ni financiera. Si es posible, bloquee el número sospechoso.

No permita que le presionen para que responda a un mensaje o llamada. Las organizaciones legítimas siempre le darán tiempo para reaccionar.

Fuentes de información ttps://www.pandasecurity.com/spain/mediacenter/consejos/10-consejos-para-evitar-ataques-de-phishing/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 16 de 20

Componente que reporta DIVISION DE INVESTIGACION DE ALTA TECNOLOGIA DE LA POLICIA NACIONAL DEL PERU

Nombre de la alerta Modalidad robo de información tipo phishing mediante mensaje SMS Tipo de ataque Robo de información Abreviatura Robinfo Medios de propagación Mensaje de texto (SMS)

Código de familia K Código de Subfamilia K01 Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 09 de abril de 2020, a través de la patrulla virtual se logró detectar una campaña de mensajes de texto (SMS) sobre una alerta del Banco BCP, donde se informa a la posible victima que su transferencia de AFP ha sido realizado con éxito, para verificar su saldo y movimientos deberán de ingresar al link “https://via-bcp.net/AFP”.

https://via-bcp.net/AFP

Al ingresar al Link, se puede apreciar una página web falsa del Banco BCP, donde solicita el ingreso del número de tarjeta y clave de internet; acción que permitirá a los ciberdelincuentes acceder a la cuenta bancaria de la víctima y lograr realizar las transferencias bancarias indebidas.

Se realizó el análisis de la URL con la herramienta online Virus Total, observando que los antivirus no reconocen como página falsa o maliciosa.

El dominio fue adquirido el 07 de abril de 2020 y esta alojado en la empresa DOMAIN_NET-VRSN.

2. Como acciones de prevención a fin de evitar víctimas, se reportó la URL a las empresas DOMAIN_NET-VRSN y a Google Inc., con la finalidad de ser bloqueado como página web maliciosa.

3. Recomendaciones:

Evitar hacer clic en enlaces contenidos en los mensajes de WhatsApp ya que no provienen de los bancos.

Ninguna página web de bancos requiere que el usuario actualice sus datos personales.

Mantener los equipos protegidos con el software actualizado.

Fuentes de información Equipo de CiberPatrullaje - DIVINDAT

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 17 de 20

Componente que reporta DIVISION DE INVESTIGACION DE ALTA TECNOLOGIA DE LA POLICIA NACIONAL DEL PERU

Nombre de la alerta Campaña obtención de información mediante engaño (enfermedad terminal). Tipo de ataque Robo de información - engaño Abreviatura Robinfo Medios de propagación Red social facebook y whatsapp

Código de familia K Código de Subfamilia K01 Clasificación temática familia Mal uso y abuso de los servicios tecnológicoS

Descripción

1. El 09 de abril de 2020, a través de patrulla virtual, se pudo advertir que el usuario de Facebook “Julietta Laurot” la cual usa como foto de perfil a una mujer, inicia una conversación privada con su posible víctima, a quien le señala que sufre de cáncer cerebral, y que está considerando hacer una donación de 350,000 euros, a fin de hacer un homenaje a su esposo fallecido. Además informa que no tiene herederos quienes puedan gozar su fortuna, luego convence a su víctima a continuar la conversación en WhatsApp.

2. En la aplicación WhatsApp el ciberdelincuente, informa a su víctima que ella es italiana y tiene 70 años de edad. A continuación, pide a la víctima que le cuente sobre él y a qué se dedica, información que sirve para continuar el engaño. Al entrar en confianza con la víctima el perpetrador le informa que debe de contactarse con su abogado y seguir las indicaciones, para esto facilita el número de WhatsApp del supuesto abogado.

3. El supuesto abogado quien se hace llamar “Frederic”, pide a la víctima que siga sus indicaciones a fin de que logre ser beneficiado. En este acto, la victima hace entrega de toda su información personal como: nombres, apellidos, dirección domiciliaria, ocupación, número de celular, estado civil, número de cuenta bancaria y fotografías del DNI.

4. Se puede advertir que el número de WhatsApp “+22964820697” usado por “Julietta Laurot” pertenece al país de Benín - País en África Occidental, y para crear la cuenta de Facebook se usó la direcciones de correo electrónico “juliettalaurot@gmail.com”. El número “+24104334193” usado por el supuesto abogado “Frederic” pertenece al país de India y usa la dirección de correo electrónico “fredericchhum3@gmail.com”.

5. Como acciones de prevención a fin de evitar víctimas, se reportó a la empresa Facebook Inc la cuenta “Julietta Laurot”, los número de WhatsApp “+22964820697” y “+24104334193” a fin de que sean bloqueados y eliminados, como también a Google Inc. para el bloqueo de las cuentas de correo.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

6. Recomendaciones:

No aceptar solicitudes de amistad de desconocidos.

No respondas, ni siquiera por curiosidad, ningún mensaje (por ningún medio de comunicación) de alguien que desea donar grandes sumas de dinero.

No proporciones ninguna información personal ni financiera a alguien que no conozcas.

Reportar las cuentas de Facebook falso a fin de evitar víctimas.

Mantener los equipos protegidos con el software actualizado.

Fuentes de información Equipo de CiberPatrullaje - DIVINDAT

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 005

Fecha: 09-04-2020

Página: 19 de 20

Componente que reporta ASOCIACIÓN DE BANCOS DEL PERÚ – ÁREA DE OPERACIONES

Nombre de la alerta Smishing – BBVA Perú Tipo de ataque Phishing Abreviatura Phishing Medios de propagación SMS

Código de familia G Código de Sub familia G02 Clasificación temática familia Fraude

Descripción

1. Comportamiento

El área de Operaciones de ASBANC advierte sobre una campaña de smishing que se está difundiendo desde el número de celular +51 968 503 984 con el enlace bit.ly/bbvacontinental-alertas, que redirige a una página web fraudulenta https://bbvape-alertas.xyz/bdntux_pe_web/bdntux_pe_web.

2. Indicadores de compromiso

URL de alojamiento : https://bbvape-alertas.xyz/bdntux_pe_web/bdntux_pe_web

IP : 104.219.248.113

Dominio : bbvape-alertas.xyz

Localización : Los Ángeles - Estados Unidos

URL de redirección : bit.ly/bbvacontinental-alertas

Nro de celular : +51 968 503 984

3. Imágenes

7. Recomendaciones

Actualizar permanentemente sus sistemas operativos.

Tener una solución de antivirus en todos los dispositivos finales.

Bloquear las URL desde sus plataformas de seguridad.

Realizar concientización constante a los usuarios sobre ataques de ingeniería social.

Fuentes de información Área de Operaciones de ASBANC