Embed Size (px)
Citation preview
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 04 de enero de 2021
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Backdoor en dispositivos Zyxel ...................................................................................................................... 4
La Vulnerabilidad del Kernel de Linux pone en peligro los servidores web .................................................. 5
Un error de Google Docs podría permitir a los piratas informáticos ver sus documentos privados ............ 6
Los piratas informáticos amplían los ataques de robo de IP COVID-19. ....................................................... 7
Aplicaciones de Google Play para Android infectadas. ................................................................................. 8
Suplantación de sitio web Three UK .............................................................................................................. 9
Nueva campaña phishing de Microsoft. ......................................................................................................10
Suplantación de red social. ..........................................................................................................................11
Aumentan los ataques y engaños relacionados a la vacuna contra el covid‑19 .........................................12
Vulnerabilidad crítica en firewalls y controladores AP de Zyxel .................................................................13
Detección de phishing en sitio web American Telephone & Telegraph......................................................14
Detección del phishing a través de envió de SMS .......................................................................................16
Phishing, suplantando la identidad de la empresa informática multinacional Microsoft ..........................18
Índice alfabético ..........................................................................................................................................20
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
1. ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 3 de 20
Componente que reporta PECERT|EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL Nombre de la alerta Falla de seguridad crítica en Zend Framework permite la ejecución de código remoto Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV Medios de propagación Internet y red Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad han revelado el hallazgo de una vulnerabilidad de deserialización en Zend Framework 3.0.0 para ejecutar código remoto en sitios PHP.
2. Detalles de la alerta:
A continuación se muestra una breve descripción de la vulnerabilidades y exposiciones comunes (CVE) identificada, además de sus respectiva clave de identificación y puntaje de acuerdo con el sistema de puntuación de vulnerabilidad común (CVSS):
a) CVE-2020-3007: Zend Framework 3.0.0 tiene una vulnerabilidad de deserialización que puede llevar a la ejecución remota de código si el contenido es controlable, relacionada con el método __destruct de la clase Zend \ Http \ Response \ Stream en Stream.php.
Asimismo, el código puede estar relacionado con Laminas Project laminas-http. Zend Framework ya no es compatible con el mantenedor. Sin embargo, no todas las vulnerabilidades de Zend Framework 3.0.0 existen en una versión de Laminas Project.
Cabe precisar, la vulnerabilidad proviene del destructor de la clase Stream, tal como se muestra en la Figura 1; en programación orientada a objetivos, los métodos de construcción y destrucción se llaman cuando se crea y destruye un nuevo objeto de clase. Cuando el objetivo cumple su propósito en el programa, el intérprete PGO llamará al destructor del objetivo y seguirá otra secuencia de comandos para liberar memoria. El experto menciona que el método unlink (), llamado por el destructor Stream, esperará un nombre de archivo como parámetro, que es del tipo de datos de la cadena. Si el objeto streamName fuese de un tipo diferente, al final de la ejecución aún se pasaría al destructor; este a su vez intentaría llamar al método __toString para obtener su valor equivalente a la cadena. Este método podría ser modificado fácilmente por el creador del objetivo.
3. Recomendaciones:
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Los administradores de sistemas verificar a detalle sus aplicaciones web para prevenir la explotación del ataque.
• Actualizar los parches de seguridad en el sitio web oficial del fabricante.
• Realizar concientización constante a los usuarios sobre este tipo de amenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 4 de 20
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Backdoor en dispositivos Zyxel
Tipo de ataque Malware Abreviatura Trick Bot Malware
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Malware
Descripción
1. El 04 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que Zyxel ha lanzado un parche para abordar una vulnerabilidad crítica en su firmware con respecto a una cuenta secreta no documentada y codificada que podría ser abusada por un atacante para iniciar sesión con privilegios administrativos y comprometer sus dispositivos de red.
2. La falla, rastreada como CVE-2020-29583 (puntuación CVSS 7.8), afecta la versión 4.60 presente en una amplia gama de dispositivos Zyxel, incluidos Unified Security Gateway (USG), USG FLEX, ATP y productos de firewall VPN. El investigador de EYE, Niels Teusink, informó la vulnerabilidad a Zyxel el 29 de noviembre, luego de lo cual la compañía lanzó un parche de firmware (ZLD V4.60 Patch1) el 18 de diciembre.
3. Zyxel dijo que las credenciales codificadas se implementaron para entregar actualizaciones automáticas de firmware a los puntos de acceso conectados a través de FTP. Al señalar que alrededor del 10% de los 1.000 dispositivos en los Países Bajos ejecutan la versión de firmware afectada, Teusink dijo que la relativa facilidad de explotación de la falla la convierte en una vulnerabilidad crítica.
4. Se recomienda:
Para mitigar las esperar que la compañía taiwanesa aborde el problema en sus controladores de punto de acceso (AP) con un V6.10 Patch1 que se lanzará en abril de 2021. Se recomienda encarecidamente que los usuarios instalen las actualizaciones de firmware necesarias para mitigar el riesgo asociado con la falla.
Fuentes de información hxxps://blog.segu-info.com.ar/2021/01/cuenta-secreta-backdoor-encontrada-en.html?m=1
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 001
Fecha: 04- 01-2021
Página: 5 de 20
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta La Vulnerabilidad del Kernel de Linux pone en peligro los servidores web Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 29 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 28 de diciembre por “Information Security Newspaper”, quienes informan que hasta el 5% o todos los servidores web en todo el mundo podrían estar expuestos a una debilidad de seguridad del kernel de Linux. El problema también podría estar afectando a millones de usuarios del sistema operativo Android, lo que supone un riesgo crítico.
2. La explotación exitosa permitiría a los actores de amenazas implementar una variante de los llamados ataques de "capas cruzadas" dirigidos al kernel de Linux con un problema de seguridad en el Pseudo Random Number Generator (PRNG). El ataque es posible debido al algoritmo de generación de puertos de origen UDP, el algoritmo de generación de etiquetas de flujo IPv6 y el algoritmo de generación IPv4 en algunos sistemas Linux.
3. Este ataque podría conducir a escenarios de envenenamiento de la caché de DNS que afecten a los sistemas Linux. Un ataque exitoso también podría permitir a los piratas informáticos rastrear dispositivos Linux y Android vulnerables a otras variantes de ataque.
4. Existe una variante más poderosa del ataque que podría estar exponiendo los servidores Ubuntu: “Alrededor del 13,4% de los servidores web que ejecutan esta distribución tienen las condiciones necesarias para una campaña de explotación exitosa; no obstante, esta es solo mi estimación, por lo que la cantidad de servidores potencialmente expuestos podría ser mayor.
5. La debilidad de PRNG también podría permitir que los piratas informáticos malintencionados exploten el seguimiento basado en la web en dispositivos Linux y Android: "El ataque se puede usar para rastrear personas a través de redes, e incluso cuando se usa el modo de privacidad del navegador, o mientras se usa un Solución VPN.
6. Se recomienda para los usuarios de Linux reemplazar el PRNG débil con algoritmos más fuertes.
Fuentes de información hxxps://www.securitynewspaper.com/2020/12/28/linux-kernel-vulnerability-endangers-web-servers-and-android-devices/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 6 de 20
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Un error de Google Docs podría permitir a los piratas informáticos ver sus documentos privados
Tipo de ataque Robo de información Abreviatura RobInfo Medios de propagación Red, internet, redes sociales Código de familia K Código de subfamilia K01 Clasificación temática familia Uso inapropiado de recursos.
Descripción
1. El 29 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el investigador de seguridad Sreeram KL, quien ha reportado un error en la herramienta de comentarios incorporada en todos sus servicios de Google Docs, que podría ser aprovechado por un atacante para robar capturas de pantalla de documentos confidenciales de Google Docs simplemente insertándolos en un sitio web malicioso.
2. Muchos de los productos de Google, incluido Google Docs, vienen con una opción "Enviar comentarios" o "Ayudar a que los Documentos mejoren" que permite a los usuarios enviar comentarios junto con una opción para incluir una captura de pantalla, algo que se carga automáticamente para resaltar problemas específicos.
3. Se identificó un error en la forma en que estos mensajes se pasaban a "feedback.googleusercontent.com", lo que le permitía a un atacante modificar el marco a un sitio web externo arbitrario y, a su vez, robar y secuestrar capturas de pantalla de Google Docs que eran destinado a ser subido a los servidores de Google.
4. La falla se debe a la falta de un encabezado X-Frame-Options en el dominio de Google Docs, lo que hizo posible cambiar el origen de destino del mensaje y explotar la comunicación de origen cruzado entre la página y el marco que contiene.
5. Si bien el ataque requiere alguna forma de interacción del usuario, es decir, hacer clic en el botón "Enviar comentarios", un exploit podría aprovechar fácilmente esta debilidad para capturar la URL de la captura de pantalla cargada y exfiltrarla en un sitio malicioso.
6. Esto se puede lograr incrustando un archivo de Google Docs en un iFrame en un sitio web fraudulento y secuestrando el marco emergente de comentarios para redirigir el contenido a un dominio elegido por el atacante.
7. Se recomienda lo siguiente:
• Mantener actualizados los sistemas operativos y antivirus.
• Especificar siempre un origen de destino exacto.
Fuentes de información https[:]//thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 7 de 20
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Los piratas informáticos amplían los ataques de robo de IP COVID-19. Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, correo, disco, red, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 29 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por Rob Bathurst, investigador de ciberseguridad Digitalware, quien ha reportado que los atacantes ven el espacio de la atención médica como un rico depósito de propiedad intelectual (PI) ahora más que nunca, a medida que se desarrollan investigaciones críticas de las terapias COVID-19 y Pfizer, Moderna y otras empresas de biotecnología comienzan a producir vacunas en masa.
2. El grupo de amenaza persistente avanzada (APT) busca robar la investigación de la vacuna COVID-19 de las instituciones académicas y farmacéuticas.
3. Las APT se están infiltrando en sus objetivos, los troyanos disponibles comercialmente como Emotet o Trickbot están diseñados para empresas y entornos complejos. Estas puertas traseras pueden ganar persistencia y proporcionar una plataforma de implementación para hacer más incursiones en la red de la víctima.
4. El APT29 está utilizando malware personalizado avanzado llamado "WellMess" y "WellMail" para la exfiltración de datos.
5. También es fundamental considerar las amenazas a la cadena de suministro, que incluyen aquellas contra investigadores, agencias gubernamentales, universidades, farmacéuticas, hospitales que tratan casos y empresas involucradas en la fabricación de ingredientes.
6. Se recomienda lo siguiente:
• Realizar un monitoreo constante durante las 24hrs del día.
• Capacitar a los empleados en conciencia de seguridad.
• Evitar abrir archivos adjuntos de fuentes desconocidas y nunca descargar contenido de fuentes dudosas.
Fuentes de información https[:]//threatpost.com/hackers-amp-up-covid-19-ip-theft-attacks/162634/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 8 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Aplicaciones de Google Play para Android infectadas. Tipo de ataque Stealers Abreviatura Stealers Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C08 Clasificación temática familia Código malicioso
Descripción
1. El 29 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que aplicaciones de Google Play contienen código malicioso. El control de seguridad de Google ha sido eludido por los piratas informáticos, inyectando código malicioso en las aplicaciones de Google Play Store, esto permite el robo de información personal y los datos confidenciales de los usuarios que realizan la instalación de las aplicaciones infectadas.
APLICACIONES INFECTADAS
Dancing Run – Color Ball Run Throw Master
Divide it – Cut & Slice Game Throw into Space
VPN Unblocker Free unlimited Best Anonymous Secure
Best Ultimate VPN – Fastest Secure Unlimited VPN
VPN Download: Top, Quick & Unblock Sites Disc Go!
Unlimited VPN y Power VPN Free VPN Spot Hidden Differences
Draw Color by Number Save Your Boy
Skate Board Tony Shoot
Assassin Hunter 2020 Assassin Legend
Stealing Run Shoot Master
Fly Skater 2020 Find 5 Differences
SuperVPN Free VPN Client Stacking Guys
Super VPN 2019 USA Korea VPN – Plugin for OpenVPN
Secure VPN-Fast VPN Free Wuma VPN-PRO
TapVPN Free VPN Joy Woodworker
Find Hidden Differences
2. Recomendaciones:
Mantener actualizado el sistema operativo de su móvil.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 9 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Suplantación de sitio web Three UK Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude
Descripción
1. El 31 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un sitio web fraudulento (hxxps://3-billing.live/three/) que suplanta la página de Three UK (proveedor de servicios de telecomunicaciones e internet), la cual solicita al usuario el ingreso de datos personal con la finalidad de robarles información.
2. Asimismo, se analizó dicho enlace en la página de “Virus Total”, donde es catalogado como phishing.
3. Recomendaciones:
• Evitar ingresar a enlaces no confiables.
• Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 10 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Nueva campaña phishing de Microsoft. Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Correo electrónico. Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude
Descripción
1. El 31 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó una nueva campaña tipo phishing de Microsoft a través de correos electrónicos con asunto “Extremity Alert” con un enlace que redirige a la página fraudulenta de Microsoft con URL “hxxps://compassoproducaodigital.com.br/.well-known/OfficeV4/authorize_client_id”, con la finalidad de recopilar las credenciales de inicio de sesión de los usuarios.
2. Asimismo, se analizó dicho enlace en la página de “Virus Total”, donde es catalogado como phishing.
3. Se recomienda:
• Verificar el remitente del correo.
• Evitar ingresar a enlaces no confiables.
• Evitar brindar información personal.
• Aplicar actualizaciones de contraseña de Microsoft.
• Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 11 de 20
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Suplantación de red social. Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso
Descripción
1. El 3 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un sitio web fraudulento (hxxps://follow-service-your-account-pages.my.id/) que suplanta la página de recuperación de contraseña de Facebook, el cual solicita al usuario la “confirmación de su cuenta para evitar el bloqueo” con la finalidad de obtener las credenciales del usuario y robar información.
2. Asimismo, se analizó dicho enlace en el sitio web “Virus Total”, donde es catalogado como phishing.
3. Recomendaciones:
• Evitar ingresar a enlaces de dudosa procedencia.
• Evitar ingresar datos personales.
• Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 12 de 20
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Aumentan los ataques y engaños relacionados a la vacuna contra el covid‑19
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Departamento del Tesoro de los Estados Unidos ha emitido una advertencia sobre el aumento de los ataques de ransomware, fraude y otros delitos informáticos que están intentando aprovechar el tema sobre el lanzamiento de las vacunas contra el COVID-19. Indicaron que los cibercriminales están intentando sacar provecho sobre el lanzamiento de la vacuna, incluso engañan a sus víctimas con la falsa promesa de ayudarlas para que puedan vacunarse.
2. Resumen:
La Red de Ejecución contra Delitos Financieros (FinCEN) emitió un comunicado donde alerta a las instituciones financieras sobre el potencial peligro de fraudes y ataques de ransomware que están intentando aprovechar el tema sobre las vacunas para el COVID-19 y su distribución. La advertencia expresa que “los cibercriminales, incluyendo los operadores de ransomware, continuarán explotando la pandemia de COVID-19 y los esfuerzos oficiales relacionados con el desarrollo, distribución y administración de vacunas.
FinCEN urge a los bancos y a las instituciones financieras a estar atentos a posibles ataques de ransomware que apunten a las operaciones relacionadas con la distribución de la vacuna, así como también a la cadena de suministros requerida para su manufactura.
En los últimos meses, compañías farmacéuticas, investigadores y organizaciones involucradas con el almacenamiento y transporte de la vacuna fueron atacados por múltiples grupos de ciberespionaje. Esto incluye una campaña del grupo Lazarus en la cual distribuía un malware que los investigadores de ESET vincularon a este grupo.
La alerta de FinCEN también hace referencia al engaño mediante el cual prometen la venta de vacunas no aprobadas y comercializadas de forma ilegal o la venta de falsas versiones de vacunas aprobadas. “Los cibercriminales ya están ofreciendo, por una comisión, proveerles a las potenciales víctimas las vacunas antes de lo permitido por el plan de distribución oficial”, dijo la agencia.
Otras agencias, como el FBI y la Comisión Federal de Comercio de los Estados Unidos (FTC), así como la Interpol y Europol, han alertado sobre varios fraudes relativos a la vacuna y las ofertas de vacunas que circulan en la dark web.
Algunas de estas actividades malintencionadas toman la forma de ataques de phishing que apuntan al público general. Utilizando el correo electrónico, mensajes y llamados, los estafadores intentan engañar a la gente para que divulguen sus datos personales haciéndoles creer que están evaluando su elegibilidad para la vacuna, agregándolos a falsas listas de espera con la esperanza de que puedan dárselas de antemano.
3. Recomendaciones:
• Consultar siempre las fuentes oficiales para obtener información actualizada sobre el plan de vacunación y verificar con el proveedor de salud de su confianza para más seguridad.
• Evitar hacer clic en enlaces o descargar archivos que llegan en correos inesperados o mensajes de fuentes desconocidas.
• Implementar el doble factor de autenticación en las cuentas importantes e instalar una solución de seguridad multicapa con protección antiphishing.
• Mantener activa y actualizada las herramientas de protección, como el antivirus, antimalware, etc.
Fuentes de información hxxps://www.welivesecurity.com/la-es/2021/01/04/advierten-enganos-relacionados-vacuna-covid-19/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 13 de 20
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Vulnerabilidad crítica en firewalls y controladores AP de Zyxel
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
4. Resumen:
Investigadores de la empresa Zyxel, han publicado un parche que corrige una vulnerabilidad de severidad CRÍTICA en su firmware con respecto a una cuenta secreta no documentada y codificada que podría ser utilizada por un atacante para iniciar sesión con privilegios administrativos y comprometer sus dispositivos de red. Esta vulnerabilidad afecta a la versión 4.60 en los dispositivos Zyxel, incluidos Unified Security Gateway (USG), USG FLEX, ATP y productos de firewall VPN.
5. Detalles:
La empresa indicó que se identificó una vulnerabilidad de credencial codificada en la cuenta de usuario "zyfwp" en algunos firewalls Zyxel y controladores AP. La cuenta fue diseñada para entregar actualizaciones automáticas de firmware a los puntos de acceso conectados a través de FTP.
La versión de firmware 4.60 de los dispositivos Zyxel USG contiene una cuenta no documentada (zyfwp) con una contraseña que no se puede cambiar. La contraseña para esta cuenta se puede encontrar en texto sin cifrar en el firmware. Esta cuenta puede ser utilizada por alguien para iniciar sesión en el servidor ssh o en la interfaz web con privilegios de administrador.
Zyxel señaló que alrededor del 10% de los 1000 dispositivos en los Países Bajos ejecutan la versión de firmware afectada, y que la relativa facilidad de explotación de la falla la convierte en una vulnerabilidad crítica. Lo cual el atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del dispositivo.
Un ciberdelincuente podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico. También podría interceptar el tráfico o crear cuentas VPN para obtener acceso a la red detrás del dispositivo. Combinado con una vulnerabilidad como Zerologon, podría ser grave sobre todo para las pequeñas y medianas empresas.
El investigador de EYE, Niels Teusink, informó la vulnerabilidad a Zyxel el 29 de noviembre, luego de lo cual la compañía lanzó un parche de firmware (ZLD V4.60 Patch1).
Además, la compañía taiwanesa abordará el problema en sus controladores de punto de acceso (AP) con un parche de seguridad (V6.10 Patch1) que se lanzará en el mes de abril de 2021.
CVE-2020-29583
6. Productos afectados:
Cortafuegos
• Serie ATP con firmware ZLD V4.60 Serie USG con firmware ZLD V4.60
• Serie USG FLEX con firmware ZLD V4.60 Serie VPN con firmware ZLD V4.60
Controladores AP
• NXC2500 con firmware V6.00 a V6.10 NXC5500 con firmware V6.00 a V6.10
7. Solución:
Zyxel recomienda actualizar sus dispositivos Zyxel, incluidos Unified Security Gateway (USG), USG FLEX, ATP y productos de firewall VPN a la versión ZLD V4.60 Patch1 que corrige esta vulnerabilidad.
Fuentes de información ▪ hxxps://www.zyxel.com/support/CVE-2020-29583.shtml ▪ hxxps://thehackernews.com/2021/01/secret-backdoor-account-found-in.html ▪ hxxp://ftp.zyxel.com/USG40/firmware/USG40_4.60(AALA.1)C0_2.pdf
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 001
Fecha: 04-01-2021
Página: 14 de 20
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de phishing en sitio web American Telephone & Telegraph.
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia GO2
Clasificación temática familia Fraude
Descripción
1. Resumen:
• A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de phishing, a través de los diferentes navegadores web, suplantando la identidad de la empresa “American Telephone & Telegraph” (compañía de telecomunicaciones más grande del mundo, el mayor proveedor de servicios 4G,4.5G y 5G) la cual nos solicita registrarnos con un correo electrónico y una contraseña, con la finalidad de robar información confidencial.
• Asimismo, la URL maliciosa con dominio “hxxps://atntmn.weebly.com/” viene siendo distribuidas a través de redes sociales y plataformas digitales tales como WhatsApp, Telegram, etc.
• Imagen del sitio web malicioso
• Imagen del sitio web oficial
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
2. Indicadores de compromiso (IoC)
o URL: hxxps://atntmn.weebly.com/
o Dirección IP del servicio: 199.34.228.54
o Servidor: Apache
o codificación de transferencia: chunked
o Body SHA-256: cbb4ddc24cb1b44145931dc3b651a52b70f77402737c616cb300bf0b89ae44ff
o Tamaño: 346.24 KB
3. Topología del localizador de recursos uniforme (URL)
4. Cómo funciona el Phishing:
• Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.
• Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.)
5. Recomendaciones.
• Evitar ingresar a sitios haciendo clic en direcciones o enlaces que se reciban por mail.
• No descargar archivos de procedencia dudosa o de personas que no conoce. Hacerlo, puede incentivar la instalación de virus, troyanos, etc. que luego son utilizados para sustraer sus datos personales y privados.
• Prestar especial atención a las URL que aparece en la barra de estado para asegurar que la dirección del sitio sea la correcta.
Fuentes de información Análisis propios de fuentes abiertas y redes sociales
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 001
Fecha: 03-01-2021
Página: 16 de 20
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del phishing a través de envió de SMS
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Genbeta”, se informa sobre la detección de una nueva estafa de envió de SMS a dispositivos móviles, con el asunto :”Tu envió está en camino”, dirigido a cualquier persona o personal de identidades financieras que, al ser ejecutado infecta el dispositivo, al comienzo es un simple SMS, luego al ingresar al link enviado en el SMS, te redirecciona a descargar un archivo APK malicioso, el cual no sería una APK de correos sino se trataría de una aplicación que se hará con el control de toda la agenda de contactos y de los SMS que se recibe, con la finalidad de robar información confidencial.
2. Detalles del Phishing.
• Es una aplicación que se hará con el control de nuestra agenda de contactos y de los SMS que recibimos, pudiendo abrirlos, leerlos e incluso enviarlos, sin pedirnos permisos para ello, algo inusual. La aplicación, por supuesto tiene acceso a Internet, y también puede realizar llamadas.
• Utiliza todos los datos para tratar de sacar dinero de alguna cuenta o información relevante como contraseñas, los atacantes se hacen con toda la lista de los contactos, a los que pueden enviar el SMS para ver si pican en el anzuelo.
• Una vez instalada, el sistema no permite revocar los permisos que el malware se auto-concede, y se convierte en la aplicación predeterminada de mensajes, algo que tampoco hemos podido modificar más tarde en un terminal Huawei.
• Imagen de Phishing.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
• Indicadores de compromiso.
o Archivos analizados: MD5 b4dd13a1f8454faf28792aae64e9b841 SHA-1 4b74f825423c9971ebc863b0907dc7575729f947 SHA-256 8255de148462c17857c6c552a88a491939e3ed4f5b2dfe0a1fd5e720ec3de1ce
3. Recomendaciones:
• No acceder a los enlaces que porque generalmente puede tratarse de un código malicioso
• Evitar responder mensajes que le soliciten información personal o financiera para participar en sorteos, ofertas laborales, ofertas comerciales o peticiones de ayuda humanitaria.
• Concienciar constantemente a los usuarios en temas relacionados a seguridad de la información.
• Bloquear los indicadores de compromisos (IOC) mostrados.
• No abra documentos adjuntos de remitentes desconocido.
Fuentes de información hxxps://www.genbeta.com/seguridad/correos-tu-envio-esta-camino-esta-estafa-instala-correos-apk-malware-se-hace-control-tu-movil-android-desinstalar
PERMISOS QUE AUTOMATICAMENTE SE
AUTOCONCEDE
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 001
Fecha: 02-01-2021
Página: 18 de 20
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Phishing, suplantando la identidad de la empresa informática multinacional Microsoft
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de Phishing, a través de los diferentes navegadores web, el cual vienen suplantando la identidad de la empresa informática multinacional Microsoft (compañía dedicada al desarrollo, fabricación, otorgamiento de licencias y producción de software y hardware electrónico), con la finalidad obtener información confidencial de las víctimas como dirección de correo electrónico, contraseñas, etc.
2. Imágenes: Comparación entre sitio web fraudulento y sitio oficial de Microsoft.
Sitio web oficial Sitio web fraudulento
1 2
Para iniciar sesion solicita ingresar la dirección de un correo electrónico, número telefónico o skype.
Tiene la opción de crear otra cuenta.
Tiene la opción siguiente.
Solicita información como correo electrónico, numero o Skype.
No tiene la opcion de crear una cuenta.
Tiene la opción de próximo.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. La URL Maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo la siguiente información:
• Dominio:office365-outlook-onedrive-document-sharedonline2.glitch.me
• Talla: 92B
• Sistema operativo: Windows 7 de 32 bits
• Puntuación de amenaza: 50/100
• País: Estado Unidos
• URL: hxxps://office365-outlook-onedrive-document-sharedonline2.glitch.me/
• Topología URL:
4. Cómo funciona el Phishing:
• Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.
• Medios de propagación del Phishing: WhatsApp, telegram, redes sociales, SMS entre otros.
• Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.)
5. Referencia:
Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.
6. Recomendaciones
• Verifica la información en los sitios web oficiales.
• No introduzcas datos personales en páginas sospechosas.
• Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.
Fuentes de información Análisis propio de redes sociales y fuente abierta
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 20 de 20
Índice alfabético
Bot ..................................................................................................................................................................................... 4 Código malicioso ................................................................................................................................................ 7, 8, 11, 12 Correo electrónico ..................................................................................................................................................... 10, 12 Correo electrónico, redes sociales, entre otros .............................................................................................................. 12 Explotación de vulnerabilidades conocidas ................................................................................................................. 5, 13 Fraude ........................................................................................................................................................ 9, 10, 14, 16, 18 hxxp ................................................................................................................................................................................. 13 Intento de intrusión ..................................................................................................................................................... 5, 13 internet .......................................................................................................................................................................... 7, 9 malware ........................................................................................................................................................... 7, 12, 16, 17 Malware ......................................................................................................................................................................... 4, 7 phishing ............................................................................................................................................... 9, 10, 11, 12, 14, 16 Phishing ................................................................................................................................... 9, 10, 11, 14, 15, 16, 18, 19 ransomware ..................................................................................................................................................................... 12 Ransomware .................................................................................................................................................................... 12 Red, internet ........................................................................................................................................................ 4, 5, 6, 13 Red, internet, redes sociales ............................................................................................................................................. 6 redes sociales ................................................................................................................................................... 1, 14, 15, 19 Redes sociales ............................................................................................................................................ 9, 11, 14, 16, 18 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................... 9, 14, 16, 18 Robo de información ......................................................................................................................................................... 6 servidor ............................................................................................................................................................................ 13 servidores ...................................................................................................................................................................... 5, 6 software ........................................................................................................................................................... 9, 10, 11, 18 Stealers .............................................................................................................................................................................. 8 Suplantación ................................................................................................................................................................ 9, 11 troyanos ....................................................................................................................................................................... 7, 15 URL ............................................................................................................................................................. 6, 10, 14, 15, 19 USB, disco, red, correo, navegación de internet ............................................................................................................... 8 Uso inapropiado de recursos ............................................................................................................................................. 6 Vulnerabilidad.............................................................................................................................................................. 5, 13
