PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 11 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Vulnerabilidades que permiten la suplantación de IP y desbordamiento de búfer en Apache Server. ....... 3

CISCO Unified Communications: 2 vulnerabilidades día cero en productos sin parche disponible. ............ 4

Peligrosa vulnerabilidad de KrØØk en WIFI afectó a más chipset de WIFI que los previamente revelados 5

Error de complemento de Facebook permite a piratas informáticos secuestrar chat de los sitios de

wordpress. ..................................................................................................................................................... 6

Nueva suplantación del sitio web de Outlook web app. ............................................................................... 7

Malware en aplicación Camera Doc Scanner. ............................................................................................... 9

Troyano “Agent Tesla” extrae contraseñas de navegadores VPN, FTP y de correo electrónico. ...............10

Vulnerabilidades en el chip Snapdragon podrían facilitar el espionaje masivo en dispositivos Android ...11

Detección del troyano Formbook ................................................................................................................12

Índice alfabético ..........................................................................................................................................14

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 3 de 14

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidades que permiten la suplantación de IP y desbordamiento de búfer en Apache Server.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red e internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de la búsqueda de amenazas en el ciberespacio, advierte que especialistas en ciberseguridad han reportado el hallazgo de cuatro vulnerabilidades en Apache Server, cuya explotación exitosa podría conducir a los ataques de falsificación de IP y desbordamiento de búfer.

2. Detalles de la alerta:

Apache server el servidor web HTTP de código abierto para plataformas Unix, Microsoft Windows, entre otras, desarrollado por Apache Foundation. Acorde al reporte, se identificó 4 vulnerabilidades, la explotación exitosa de estas fallas de seguridad podría conducir a ataques de falsificación de IP y desbordamiento de búfer.

A continuación, se detallas las vulnerabilidades identificadas:

CVE-2020-11984: Un error de límite en el módulo od_proxy_uwsgi podría conducir a la ejecución de código remoto en el sistema objetivo, generando desbordamientos de búfer y ejecución de código arbitrario en el sistema objetivo. Los ciberdelincuentes solo deben enviar solicitudes especialmente diseñadas al servidor web para desencadenar la falla, reportan los expertos del curso de seguridad en redes. Esta es una vulnerabilidad de severidad alta que recibió un puntaje de 7.7/10 según CVSS.

CVE-2020-11993: La inadecuada gestión de los recursos de la aplicación al procesar solicitudes HTTP/2 con rastreo/depuración habilitada puede resultar en ataques de denegación de servicio (DoS). Los hackers maliciosos solo deben enviar solicitudes especialmente diseñadas para completar el ataque. Esta es una vulnerabilidad de severidad media que recibió un puntaje de 6.5/10 según CVSS.

CVE-2020-9490: Esta falla existe debido a una validación insuficiente de las entradas proporcionadas por el usuario al procesar el encabezado Cache-Digest en la solicitud HTTP/2, lo que podría conducir a ataques DoS en caso de que el atacante logre activar el servidor y enviar solicitudes HTTP/2 PUSH. Esta es una vulnerabilidad de severidad media que recibió un puntaje de 6.5/10 según CVSS.

Las versiones vulnerables a estas tres fallas son: 2.4.20, 2.4.21, 2.4.22, 2.4.23, 2.4.24, 2.4.25, 2.4.26, 2.4.27, 2.4.28, 2.4.29, 2.4.32, 2.4.33, 2.4.34, 2.4.35, 2.4.36, 2.4.37, 2.4.38, 2.4.39, 2.4.40, 2.4.41, 2.4.42, 2.4.43.

CVE-2020-11985: Una validación insuficiente de la entrada proporcionada por el usuario permitiría desplegar ataques de suplantación de dirección IP. Los actores de amenazas podrían falsificar la dirección IP de un usuario, la cual se mostraría en los registros y se pasaría a los scripts PHP. Esta es una vulnerabilidad de severidad media que recibió un puntaje de 5.7/10 según CVSS.

Las siguientes versiones de Apache Sever están expuestas a esta falla: 2.4.1, 2.4.2, 2.4.3, 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2.4.12, 2.4.13, 2.4.14, 2.4.15, 2.4.16, 2.4.17, 2.4.18, 2.4.19, 2.4.20, 2.4.21, 2.4.22, 2.4.23

Cabe resaltar, los desarrolladores de Apache ya han publicado las actualizaciones de seguridad en el sitio web oficial.

3. Recomendaciones:

Actualizar los parches de seguridad en el sitio web oficial.

Cambiar periódicamente las contraseñas de los servidores utilizando contraseñas seguras.

Tener un antivirus o antimalware y estar actualizado.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 4 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta CISCO Unified Communications: 2 vulnerabilidades día cero en productos sin parche disponible.

Tipo de ataque Exploit Abreviatura Exploit Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso

Descripción

1. El 11 de Agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuación: Reportan el hallazgo de dos vulnerabilidades críticas en la familia de productos Unified Communications, desarrollados por Cisco; hasta el momento no hay parches disponibles para corregir las brechas de seguridad. A continuación se presentan breves reseñas de las vulnerabilidades reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoting System (CVSS).

2. CVE-2020-3346: La inadecuada desinfección de los datos ingresados en la interfaz de usuario web permite a los actores de amenazas desplegar ataques de solicitudes entre sitios (XSS) enviando un enlace especialmente diseñado a la víctima con la intención de ejecutar HTML arbitrario. La explotación de esta falla permitiría a los atacantes extraer información confidencial del sistema objetivo, modificar los aspectos gráficos de un sitio web atacado y realizar ataques de phishing. La vulnerabilidad recibió un puntaje de 5.6/10, por lo que se le considera una amenaza de baja seguridad.

3. CVE-2020-3532: La desinfección insuficiente de los datos proporcionados a la interfaz de administración web de los productos afectados permitiría a los hackers maliciosos desplegar ataques XSS en el contexto de un sitio web vulnerable. Los hackers sólo deben engañar a la víctima para que siga un enlace especialmente diseñado y ejecute HTML arbitrario. Esta falla recibió un puntaje de 5.6/10, por lo que su riesgo de explotación también se considera reducido, mencionan los especialistas en borrado seguro de disco duro.

4. A continuación se enlistan los productos y versiones afectadas por estas fallas:

Cisco Unified Communications Manager: 10.5(2)SU10, 11.5(1)SU8, 12.0(1)SU3, 12.5(1)SU2

Cisco Unified Communications Manager Session Management Edition: 10.5(2)SU10, 11.5(1)SU8, 12.0(1)SU3, 12.5(1)SU2

Cisco Unified Communications Manager IM & Presence Service: 10.5(2)SU4a, 11.5(1)SU8, 12.0(1), 12.5(1)SU2

Cisco Unity Connection: 10.5(2)SU10, 11.5(1)SU8, 12.0(1)SU3, 12.5(1)SU2

5. Las fallas reportadas pueden ser explotadas por atacantes remotos no autenticados; como se ha mencionado, un hacker tendría que enviar una solicitud especialmente diseñada a la aplicación afectada para completar el ataque. Por fortuna no todo son malas noticias, pues los especialistas no han detectado intentos de explotación de estas fallas.

6. Se recomienda:

Ponerse en contacto con Cisco para saber más sobre las posibles soluciones alternativas a implementar debido a que no hay parches de seguridad disponibles para corregir estas fallas.

Fuentes de información https[:]//noticiasseguridad.com/vulnerabilidades/cisco-unified-communications-2-vulnerabilidades-dia-cero-en-todos-los-productos-no-hay-parche-disponible/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 5 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Peligrosa vulnerabilidad de KrØØk en WIFI afectó a más chipset de WIFI que los previamente revelados

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 11 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 10 de agosto del 2020 por GBHackers, sobre los pequeños chips Wi-Fi de Qualcomm y MediaTek son vulnerables a las últimas variantes de la vulnerabilidad de exposición de datos KrØØk.

2. KrØØk es una vulnerabilidad bastante peligrosa, y esta vulnerabilidad ahora ha afectado a más conjuntos de chips Wi-Fi que permiten el descifrado no autorizado de parte del tráfico cifrado con WPA2. Inicialmente, se denominó "CVE-2019-15126".

3. KrØØk es una vulnerabilidad grave que se descubrió inicialmente en los chips Wi-Fi Broadcom y Cypress. Su función principal es permitir el descifrado no autorizado de algunos sistemas de red inalámbrica encriptados con WPA2. Los dispositivos defectuosos despachan estas vulnerabilidades después de una explotación exitosa y los atacantes lo hacen instándolos a aplicar los códigos de sesión todos cero para cifrar una parte de la red transferida.

4. Este tipo de errores se estaban instalando previamente en el protocolo de enlace de 4 vías, y este estado insatisfactorio ocurre en chips Broadcom y Cypress desprotegidos que siguen a un escuadrón de Wi-Fi.

5. Además de los chips Wi-Fi Broadcom y Cypress, han encontrado las nuevas variantes de KrØØk en los chips Wi-Fi de otras marcas populares como Qualcomm y MediaTek. Los chips de estas marcas se utilizaron en muchos lugares, como vehículos, sistemas de viaje, relojes, computadoras portátiles, teléfonos inteligentes, enrutadores y muchos otros dispositivos.

6. Esta nueva vulnerabilidad se denominó, CVE-2020-3702, que se desencadena por desprendimiento y comienza con una divulgación no deseada de datos mediante el envío de datos no cifrados en lugar de datos cifrados; funcionó como la vulnerabilidad KrØØk.

7. Esta vulnerabilidad incluía el enrutador ASUS RT-AC52U y el kit de expansión Microsoft Azure Sphere. Este kit utiliza el microcontrolador MT3620, que se utilizan específicamente en el hogar inteligente, aclaraciones comerciales e industriales.

8. Se recomienda:

Utilizar los parches de seguridad correspondentes para evitar dichas vulnerabilidades.

Fuentes de información https[:]//gbhackers.com/wi-fi-krook-vulnerability-affected-more-wi-fi-chipset/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 6 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Error de complemento de Facebook permite a piratas informáticos secuestrar chat de los sitios de wordpress.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 11 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el equipo de inteligencia de amenazas de wordfence, han encontrado un error de alta gravedad encontrado en el complemento de chat oficial de Facebook para sitios web de wordpress con más de 80,000 instalaciones activas podría permitir a los atacantes interceptar los mensajes enviados por los visitantes al propietario de los sitios vulnerables.

2. El complemento de chat de Facebook permite a los propietarios de sitios web de wordpress insertar una ventana emergente de chat para comunicarse con los visitantes en tiempo real a través de la plataforma de mensajería de Facebook para páginas de Facebook.

3. El complemento también viene con soporte para transcripciones de chat y facilita la configuración de respuestas automáticas y preguntas frecuentes fuera del horario laboral para proporcionar a los visitantes información útil mientras el propietario del sitio no puede responder.

4. Los atacantes también podrían usar su acceso a los chats de sitios comprometidos para arruinar la reputación de los sitios a través de la interacción tóxica con sus visitantes o para causar pérdida de ingresos al "dirigir el tráfico al negocio de la competencia".

5. Los sitios de wordpress con ventanas emergentes activas de Messenger chat aún están expuestos a ataques diseñados para explotar esta falla como parte de futuras campañas de piratería.

6. Se recomienda:

Actualizar su complemento a la versión 1.6 lo antes posible para bloquear los ataques diseñados para secuestrar el chat de sus sitios como parte de los esquemas de ingeniería social.

fuentes de información http[:]//www.bleepingcomputer.com/news/security/facebook-plugin-bug-lets-hackers-hijack-wordpress-sites-chat/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 7 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Nueva suplantación del sitio web de Outlook web app.

Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 11 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó la nueva suplantación del sitio web malicioso de Outlook Web App mediante el enlace https[:]//52701052628036813140x.us-south.cf.appdomain.cloud/, donde solicita al usuario iniciar sesión, con la finalidad de robar las credenciales de su cuenta de usuario.

2. Por otro lado, se verifico el enlace en la página de Virus Total, donde es catalogado como phishing. Asimismo, el Antivirus Kasperky lo cataloga como HEUR:Trojan.Script.Generic.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

3. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 9 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Malware en aplicación Camera Doc Scanner.

Tipo de ataque Malware Abreviatura Tipo de ataque Medios de propagación Red, navegación de internet Código de familia C Código de subfamilia Código de familia Clasificación temática familia Código malicioso.

Descripción

1. El 11 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó una aplicación maliciosa llamada “Camera Doc Scanner” que se encuentra en una tienda de aplicaciones digitales, mediante el enlace: https[:]//play.google.com/store/apps/details?id=com.camcameradoc.scanner

2. Por otro lado, se analizó la aplicación en la página web “Virus Total” donde es catalogado como maliciosa.

3. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 10 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Troyano “Agent Tesla” extrae contraseñas de navegadores VPN, FTP y de correo electrónico.

Tipo de ataque Troyano Abreviatura Troyano

Medios de propagación USB, disco, red, correo, navegación de interne

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 11 de agosto del 2020, se detectó una nueva variante del troyano “Agent Tesla” capaz de robar claves de acceso de servicios y plataformas muy variados como de servicios de VPN, servidores FTP y correos electrónicos.

Teniendo en cuenta el tiempo en línea del troyano en mención, los ciberdelincuentes han mejorado sus técnicas usando el troyano para poder comprometer datos personales de muchos usuarios.

Es preciso señalar, que los ciberdelincuentes insertan el troyano en correos electrónicos para poder registrar las pulsaciones del teclado de la víctima, realizar capturas de pantalla para extraer credenciales, extraer información que se encuentra almacenado en el portapapeles y recopilar información del proceso de análisis de antivirus y antimalware.

2. Se recomienda:

Actualizar sus equipos informáticos, tener software de antivirus licenciados o, de ser necesario, formatear los equipos informáticos con el fin de evitar ser víctima del troyano antes mencionado.

Fuentes de información https[:]//www.redeszone.net/noticias/seguridad/variante-agent-tesla-robo-contrasenas/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 11 de 14

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Vulnerabilidades en el chip Snapdragon podrían facilitar el espionaje masivo en dispositivos Android

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

Los investigadores de la compañía Check Point software Technologies han detectado 400 fallas en el procesador de señal digital de Qualcomm, conocido como Hexagon DSP, que está presente en todos los sistemas en chip Snapdragon. Los investigadores estiman que más de mil millones de dispositivos Android tienen un chip Snapdragon y, por lo tanto, son vulnerables. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto comprometer completamente los dispositivos vulnerables y realizar actividades de espionaje, generar una condición de denegación de servicio (DoS) y ejecutar código malicioso.

2. Detalles:

La compañía Qualcomm, con sede en San Diego, fabrica chips que se utilizan en más del 40% de los teléfonos inteligentes, incluidos los dispositivos enviados por Samsung, Google, LG, OnePlus, Xiaomi y otros.

Check Point ha denominado a las fallas de seguridad "Aquiles" porque las fallas en el pequeño chip pueden representar un peligro enorme. El proveedor de tecnología indicó que está reteniendo todos los detalles de las fallas hasta que se generen los parches.

Los investigadores de Check Point han indicado que las fallas están encapsuladas a través de seis designaciones de vulnerabilidad separadas. "Revelamos estos hallazgos con Qualcomm, quien los reconoció, notificó a los proveedores de dispositivos relevantes y les asignó los siguientes CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE -2020-11208 y CVE-2020-11209".

La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto comprometer completamente los dispositivos vulnerables y realizar actividades de espionaje, generar una condición de denegación de servicio (DoS) y ejecutar código malicioso.

Espionaje: no se requiere la interacción del usuario, el atacante puede exfiltrar datos del dispositivo, incluidas fotos, videos, grabación de llamadas, datos de micrófonos en tiempo real, GPS y datos de ubicación, entre otros.

Denegación de servicio: un atacante podría dejar un teléfono sin responder, evitando que un usuario recupere los datos que almacena o los use de otra manera.

Código malicioso: los atacantes podrían aprovechar las fallas para ejecutar malware en el dispositivo.

Slava Makkaveev, investigadora de seguridad de Check Point, describió la investigación de la compañía en una presentación titulada "Pwn2Own Qualcomm computa DSP para diversión y ganancias" el viernes en el evento virtual DEF CON 2020. En su presentación, demostró cómo se podrían aprovechar las fallas para ejecutar código arbitrario en dispositivos vulnerables. Makkaveev dijo que la investigación demostró "cómo una aplicación de Android puede eludir la firma de Qualcomm y ejecutar código privilegiado en el DSP y qué otros problemas de seguridad pueden ocasionar" (video).

Qualcomm ofrece a algunos fabricantes de equipos originales y proveedores de software de terceros acceso a un kit de desarrollo de software Hexagon que les permite programar el DSP con un código firmado por Qualcomm. El SDK parece ser la fuente de los problemas.

3. Recomendación:

La empresa pide a los usuarios finales a actualizar sus dispositivos a medida que los parches estén disponibles y solo a instalar aplicaciones desde ubicaciones confiables como Google Play Store.

Fuentes de información hxxps://www.databreachtoday.com/snapdragon-chip-flaws-could-facilitate-mass-android-spying-a-14802

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 129

Fecha: 11-08-2020

Página: 12 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del troyano Formbook

Tipo de ataque Troyano Abreviatura Troyano

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. El 11 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ANY RUN”, se informa sobre la detección del troyano del Formbook, el cual se distribuye a través de campañas de correo electrónico que utilizan archivos adjuntos maliciosos con extensiones PDF, DOC, EXE, ZIP, RAR, ACE e ISO y es utilizado por los actores de la amenaza para robar información confidencial de las máquinas infectadas. Además, FormBook al ser ejecutado realiza instrucciones desde un servidor de comando y control que incluye iniciar nuevos procesos y reiniciar la PC de la víctima, también es capaz de grabar el módulo ntdll.dll de Windows en la memoria y llamarlo directamente, lo que hace que la supervisión de API y el enganche en modo de usuario sean casi insuficientes.

2. Detalles:

Al ejecutarse el troyano FormBook obtiene las siguientes capacidades.

o Registra pulsaciones de teclas.

o Supervisión del portapapeles.

o Captura de solicitudes de red y formularios HTTP, HTTPS, SPDY y HTTP2.

o Captura de contraseñas del navegador y cliente de correo electrónico.

o Captura de capturas de pantalla.

o Actualización de bots.

o Descarga y ejecución de archivos.

o Eliminación de bots.

o Lanzamiento de comandos a través de ShellExecute.

o Borrar cookies del navegador.

o Reinicie el sistema.

o Apague el sistema.

o Descargue y descomprima el archivo ZIP.

o crea archivos en el directorio del usuario e inicia CMD.EXE para configurar la persistencia.

Dominios y direcciones IP utilizados por los actores de la amenaza para la ejecución de Wshrat.

Dominios IP Dominios IP

www[.]evil[.]com 50[.]116[.]94[.]41 sibautomation[.]com 164[.]132[.]235[.}17

evil[.]com 66[.]96[.]146[.]129 tracking[.]reactful[.]com 198[.]54[.]116[.]227

parkingcrew[.]net 185[.]53[.]179[.]29 visitante[.]reactful[.]com 195[.]201[.]179[.]80

fast[.]wistia[.]com 74{.]220[.]219[.]171 lipis[.]github[.]io 35[.]242[.]251[.]130

www[.]metricstream[.]com 213[.]186[.]33[.]5 cloudcdn[.]dopa[.]com 23[.]227[.]38[.]32

wheelio-a62f3[.]firebaseapp[.]com

143{.]204{.]101[.]42 d16ump1qrhkgcz[.]cloudfront[.]net 18[.]213[.]250[.]117

wpad[.]utopia[.]net 74[.]220[.]199[.]6 static[.]nationwide[.]com 92[.]53[.]96[.]162

courteney-cox[.]net 151[.]101[.]65[.]195 info[.]sendio[.]com 198[.]54[.]117[.]197

legal[.]thomsonreuters[.]com 199[.]59[.]242[.]153 marvel-b1-cdn.bc0a[.]com 208[.]91[.]197[.]27

estilate[.]com 95[.]211[.]75[.]26 ws[.]audioeye[.]com 81[.]171[.]22[.]7

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: Process Explorer

Tipo: Win32 EXE

Tamaño: 1.86 MB (1947762 bytes)

MD5: b30459d88f2e3146e248763643ff86ef

SHA-1: 2f4dcaa98127b36c72eeaab5f1e7b013413c8d87

SHA-256: 25f6c5158e721c17e99b7948f083978dc74f1d10e9a500000a7ff476e75eeac6

Nombre: &startupname&.exe

Tipo: Win32 EXE

Tamaño: 553.50 KB (566784 bytes)

MD5: ed5ff25257d74b36a35c3a171dd754cc

SHA-1: 238a3737b3458e3ad2dcef135e9086f6be65811b

SHA-256: a8534e310ee42756cfc01caf1eeddc8f4bca6e7e7f36de1a90f5c6ccc480e90a

3. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//any.run/malware-trends/formbook

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 14 de 14

Índice alfabético

Código malicioso .......................................................................................................................................... 4, 9, 10, 11, 12 Explotación de vulnerabilidades conocidas ......................................................................................................... 3, 5, 6, 11 Fraude ................................................................................................................................................................................ 7 Intento de intrusión ............................................................................................................................................. 3, 5, 6, 11 internet .......................................................................................................................................................................... 3, 9 malware ..................................................................................................................................................................... 11, 13 Malware ......................................................................................................................................................................... 2, 9 phishing ......................................................................................................................................................................... 4, 7 Phishing ............................................................................................................................................................................. 7 Red, internet ............................................................................................................................................................ 5, 6, 11 redes sociales ..................................................................................................................................................................... 1 Redes sociales .................................................................................................................................................................... 7 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 7 servidor ........................................................................................................................................................................ 3, 12 servidores .................................................................................................................................................................... 3, 10 software ............................................................................................................................................................. 8, 9, 10, 11 USB, disco, red, correo, navegación de internet ......................................................................................................... 4, 12 Vulnerabilidades ...................................................................................................................................................... 2, 3, 11