Lima, 12 de agosto de 2020...Nombre de la alerta Campaña de malware por correo electrónico que...
8
Transcript of Lima, 12 de agosto de 2020...Nombre de la alerta Campaña de malware por correo electrónico que...
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 12 de agosto de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Campaña de malware por correo electrónico que suplanta al BBVA ........................................................... 3
Nueva variante del troyano “Agent Tesla” incluye nuevas funcionalidades para el robo de credenciales .. 4
Detección del troyano bancario IcedID ......................................................................................................... 5
Índice alfabético ............................................................................................................................................ 7
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 130
Fecha: 12-08-2020
Página: 3 de 7
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Campaña de malware por correo electrónico que suplanta al BBVA
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Correo electrónico
Código de familia G Código de subfamilia G01
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de la búsqueda de amenazas en el ciberespacio, advierte de una nueva campaña de envió masivo de correos electrónicos fraudulentos que suplanta al banco BBVA, en la cual adjunta un archivo comprimido conteniendo el malware. Su ejecución permitiría comprometer la seguridad del equipo y facilitaría al ciberdelincuente el robo de información.
2. Detalles de la alerta:
Se ha detectado una campaña masiva de envío de correos electrónicos fraudulentos que trata de suplantar a la entidad BBVA, con la finalidad de descargar el archivo adjunto que en su interior contiene el malware.
En la campaña identificada, el correo tiene como asunto: “Cuenta bloqueada (números aleatorios)”. En el cuerpo del mensaje se indica al usuario que su cuenta ha sido bloqueada al detectarse una supuesta actividad inusual desde la misma y se pide al usuario que realice una prueba para desbloquearla (Figura 1). Al hacer clic sobre el enlace contenido en el correo, se descarga el archivo comprimido con el nombre visualizar.zip (Figura 2) el cual contiene el malware.
Cabe resaltar, el correo electrónico detectado distribuye un tipo de malware que ha sido identificado como Trojan Downloader, se trata de un troyano que está diseñado para descargar e instalar el software malicioso en el equipo. También realizar cambios en la configuración del dispositivo para permitir el acceso al mismo por parte de los ciberdelincuentes.
Figura 1 Correo fraudulento que suplanta al BBVA Figura 2 Archivo adjunto conteniendo el malware
3. Recomendaciones:
No abrir correos electrónicos de usuarios desconocidos o que no se haya solicitado.
Revisar los enlaces antes de hacer clic, aunque sean de contactos conocidos.
No descargar archivos de usuarios desconocidos o de dudosa procedencia.
Tener un antivirus o antimalware activo y estar actualizado.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 130
Fecha: 12-08-2020
Página: 4 de 7
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nueva variante del troyano “Agent Tesla” incluye nuevas funcionalidades para el robo de credenciales
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El investigador de SentinelOne, Jim Walter, ha reportado una nueva variante del troyano de robo de información “Agent Tesla”, que incluye nuevos módulos dedicados a obtener las credenciales de aplicaciones de los navegadores web comercial, VPN, correo electrónico y clientes FTP.
2. Detalles:
Agent Tesla es, en esencia, un keylogger y un ladrón de información. Descubierto por primera vez a finales de 2014, ha tenido un crecimiento constante en el uso del malware Tesla durante los últimos años. Como muchas otras amenazas, el mecanismo de entrega principal del malware Tesla es el correo electrónico (mensajes de phishing). En los últimos meses, se ha observado que los atacantes propagan el troyano Tesla a través de mensajes con temas de COVID.
Los actores detrás de las campañas de Tesla también han utilizado documentos de Office maliciosos para facilitar la entrega en la primera etapa. Se han aprovechado documentos especialmente diseñados, que aprovechan las vulnerabilidades de Office como CVE-2017-11882 y CVE-2017-8570, incluso en las campañas actuales.
La nueva variante de Agent Tesla ahora puede recopilar datos de configuración y credenciales de varios clientes VPN comunes, clientes FTP y de correo electrónico y navegadores web. El malware tiene la capacidad de extraer credenciales del registro, así como archivos de configuración o de soporte relacionados. La persistencia generalmente se logra mediante la entrada de la clave del registro o una tarea programada. Los datos recolectados por Tesla se transmiten al servidor de comando y control (C2) a través de SMTP o FTP. El método de transferencia está determinado por la configuración interna del malware, que también incluye las credenciales (FTP o SMTP) para el C2 del atacante. Las variantes actuales a menudo soltarán o recuperarán ejecutables secundarios para inyectar, o intentarán inyectar en binarios conocidos (y vulnerables) que ya están presentes en los hosts de destino.
En este momento, Agent Tesla es uno de los malware más utilizados en ataques dirigidos tanto a empresas como a usuarios domésticos, como lo muestra una lista de las 10 principales cepas de malware analizadas en la plataforma interactiva de análisis de malware “Any.Run”.
Los investigadores de Bitdefender han informado que los ciberdelincuentes atacaron a entidades de los sectores de la industria del gas y el petróleo en campañas de spearphishing altamente selectivas que infectaron a los objetivos con cargas útiles de Agent Tesla.
3. Recomendaciones:
Contar con herramientas de seguridad. Tener instalado antivirus para prevenir la entrada de malware. Será necesario tener por tanto software de seguridad que nos permita realizar análisis y evitar este tipo de amenazas.
Mantener protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos. Será vital tener siempre los últimos parches y actualizaciones instalados.
Descargar solo de fuentes oficiales.
Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
No descargar o abrir archivos adjuntos que recibamos en nuestro e-mail. Tampoco acceder a posibles links fraudulentos que puedan poner en riesgo nuestros sistemas. Estos enlaces fraudulentos pueden llegar también a través de las redes sociales o incluso aplicaciones de mensajería instantánea como puede ser WhatsApp.
Fuentes de información hxxps://labs.sentinelone.com/agent-tesla-old-rat-uses-new-tricks-to-stay-on-top/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 130
Fecha: 12-08-2020
Página: 5 de 7
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del troyano bancario IcedID
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 12 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ANY RUN”, se informa sobre la detección del Troyano bancario IcedID, también conocido como BokBot, dirigido a bancos en América del Norte y algunas organizaciones bancarias del Reino Unido, el cual tiene como finalidad robar las credenciales de cuentas bancarias de las víctimas, proveedores de tarjetas de pago, proveedores de servicios móviles, nóminas, correo web y sitios de comercio electrónico.
El troyano bancario IcedID, se distribuye a través de campañas de phishing, adjuntado con archivos maliciosos de Microsoft Office, que al ser ejecutado solicitan a las víctimas que habiliten macros y una vez hecho, activan la descarga del ejecutable en la máquina objetivo y a su vez es ejecutada por cmd.exe. Después de que la carga útil comienza a ejecutarse, se inyecta en el proceso svchost.exe, luego realiza actividades maliciosas como el robo de datos personales, el establecimiento de conexión con el servidor comando y control (C2), la creación de tareas programadas y más.
Dominios y direcciones IP utilizados por los actores de la amenaza para la ejecución de Wshrat.
Dominios IP Dominios IP
majul[.]com 64[.]227[.]103[.]18 thuocnam[.]tk 89[.]163[.]253[.]225
smtp[.]siqanalytical[.]com 67[.]205[.]166[.]105 ldrfoxtrot[.]casa 89[.]105[.]198[.]107
soldkorean[.]top 206[.]189[.]164[.]25 loadproto[.]co 134[.]122[.]98[.]82
isns[.]net 159[.]89[.]174[.]73 trythisshop[.]club 91[.]132[.]139[.]206
booking[.]msg[.]bluhotels[.]com 45[.]66[.]250[.]228 funnymemos[.]shop 185[.]147[.]14[.]238
booking[.]msg[.]bluhotels[.]com 161[.]35[.]148[.]20 buytheone[.]best 167[.]172[.]49[.]82
nothingtodo[.]co 45[.]66[.]250[.]229 shopoholics[.]best 37[.]72[.]175[.]199
elx01[.]knas[.]systems 185[.]246[.]116[.]239 shoppingroup[.]pw 67[.]43[.]224[.]156
krupskaya[.]com 157[.]245[.]184[.]123 loaderoverlord[.]casa 128[.]199[.]57[.]93
m-onetrading-jp[.]com 45[.]153[.]242[.]26 ldrplutos[.]casa 139[.]59[.]90[.]194
Imagen del proceso de infección del Troyano Wshrat:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: pedll
Tipo: Win32 DLL
Tamaño: 379.00 KB (388096 bytes)
MD5: 4de4b2ab2b7bfb1ff13eae143ddea2dd
SHA-1: 7d8a5a87cf6a4401f8cd8dcd4ab3bccdbbbb1196
SHA-256: 2d50a390d2dc0af303ccd045e4c4a65304f05e69dc43370d79beee54e2f156b2
Nombre: happy.dll
Tipo: Win32 DLL
Tamaño: 208.50 KB (213506 bytes)
MD5: 487cdcaa16a8ebe4ab73b306c6f23484
SHA-1: 2d872295540c0941b79b16582766decf1d2a77de
SHA-256: d01e2855e1ec680ec524223de287fcdae55b6e5bcf6fd75b29323291ed3f38b9
2. Algunas Recomendaciones: No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//any.run/malware-trends/icedid
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 7 de 7
Índice alfabético
Código malicioso ............................................................................................................................................................ 4, 5 Correo electrónico ............................................................................................................................................................. 3 Fraude ................................................................................................................................................................................ 3 malware ..................................................................................................................................................................... 3, 4, 6 phishing ......................................................................................................................................................................... 4, 5 Phishing ............................................................................................................................................................................. 3 redes sociales ................................................................................................................................................................. 1, 4 servidor .......................................................................................................................................................................... 4, 5 software ......................................................................................................................................................................... 3, 4 USB, disco, red, correo, navegación de internet ........................................................................................................... 4, 5
