PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional

de Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información

que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 18 de mayo de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Exponen datos personales de usuarios por incorrecta configuración en Firebase ...................................... 3

Vulnerabilidad de Inyección de interfaz de usuario a Adobe Experience Manager..................................... 4

Vulnerabilidad de lectura en Exim – CVE-2020-12783 ................................................................................ 5

Grupo de piratas informáticos RATicate roban información ....................................................................... 6

Vulnerabilidad en la aplicación de mensajeria Stashcat .............................................................................. 7

Detección de malware de WordPress para sitios de WooCommerce ......................................................... 8

Supercomputadoras europeas pirateadas en misteriosos ataques cibernéticos ........................................ 9

Página web del poder judicial de Nicaragua están fuera de servicio ......................................................... 10

Nueva campaña de spyware Mandrake dirigido a dispositivos con plataforma Android .......................... 11

Phishing, a través de la red social Facebook. ............................................................................................ 15

Suplantación de identidad del banco BBVA. ............................................................................................. 17

Índice alfabético ........................................................................................................................................ 19

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 3 de 19

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Exponen datos personales de usuarios por incorrecta configuración en Firebase

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Internet

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de Intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que las configuraciones erróneas comunes en las bases de datos de Google Firebase permiten que partes no autorizadas encuentren y accedan fácilmente a los datos personales de los usuarios en miles de aplicaciones.

2. Detalles de la alerta:

Firebase es una plataforma para el desarrollo de aplicaciones web y aplicaciones móviles desarrollada por Google. Está ubicada en la nube, integrada con Google Cloud Platform, que usa un conjunto de herramientas para la creación y sincronización de proyectos que serán dotados de alta calidad, haciendo posible el crecimiento del número de usuarios y dando resultado también a la obtención de una mayor monetización.

Según expertos en ciberseguridad, hay más de 4.000 aplicaciones de Android que utilizan las bases de datos Firebase alojadas en la nube de Google están filtrando “sin saberlo” información confidencial sobre sus usuarios, incluidas sus direcciones de correo electrónico, nombres de usuario, contraseñas, números de teléfono, nombres completos, dirección, mensajes de chat y datos de ubicación.

Cabe precisar, que el 4,8 por ciento de las aplicaciones móviles que usan Google Firebase para almacenar datos de los usuarios no están protegidas adecuadamente, lo que permite a cualquiera acceder a bases de datos que contienen información personal de los usuarios, tokens de acceso y otros datos sin una contraseña o cualquier otra autenticación.

De acuerdo al análisis, el problema de fondo no está en Firebase, sino en una mala configuración de permisos por parte de los desarrolladores de la aplicación, y que permite descargar la totalidad de los datos, tan solo anexando la extensión “.json” a la URL: hxxps://ejemplo.firebase.io/.json. Es más, algunas de las analizadas tenían habilitada la escritura, permitiendo la inserción de datos o corromper la información allí almacenada, e incluso se podría difundir algún malware.

Con las aplicaciones vulnerables, la cual abarcan principalmente categorías de juegos, educación, entretenimiento y negocios, instaladas 4.22 mil millones de veces por usuarios de Android, por lo tanto, hay muchas posibilidades de que la privacidad de un usuario de Android se haya visto comprometida por al menos en una aplicación.

Asimismo, dado que Firebase es una herramienta multiplataforma, los especialistas también advirtieron que es probable que las configuraciones incorrectas también afecten a las aplicaciones web y iOS.

3. Recomendaciones:

A los desarrolladores aplicar las mejores prácticas de desarrollo seguro.

Antes de instalar aplicaciones, verificar que se han confiables y seguras.

Tener cuidado con la información que se comparte con la aplicación.

Concientizar a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 4 de 19

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de Inyección de interfaz de usuario a Adobe Experience Manager

Tipo de ataque Ataque de fuerza Bruta Abreviatura AtaqFueBru

Medios de propagación Red, correo, navegacion de internet

Código de familia A Código de sub familia A02

Clasificación temática familia Acceso no autorizado

Descripción

1. El 18 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una vulnerabilidad “CVE-2019-16468”, la empresa Adobe informó sobre la vulnerabilidad de Inyección de interfaz de usuario a Adobe Experience Manager (AEM) de gravedad moderado.

2. En Adobe Experience Manager versiones 6.5, 6.4, 6.3, 6.2, 6.1 y 6.0, se encuentra una vulnerabilidad de inyección de la interfaz de usuario reflejado de secuencias de comandos en sitios cruzados calificada como moderada, una explotación con éxito podría conllevar la divulgación de información confidencial.

3. El impacto afecta parcialmente a la confidencialidad del sistema, no hay impacto en la disponibilidad del sistema ni en la integridad del sistema.

4. Se recomienda:

Que los usuarios actualicen los programas a las versiones más recientes en la página de Adobe.

Póngase en contacto con el Servicio de atención al cliente de Adobe para recibir ayuda para las versiones de AEM anteriores.

Fuentes de información https://helpx.adobe.com/es/security/products/experience-manager/apsb20-

01.html#Detallessobrelavulnerabilidad https://www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2019-16468

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 5 de 19

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de lectura en Exim – CVE-2020-12783

Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC

Medios de propagación Red, navegación de internet

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 18 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada a través de la red social de Twitter por el usuario “@Saint_Intel”, sobre la vulnerabilidad de lectura fuera de límites en Exim, esta vulnerabilidad fue reportada por Orange Tsai del equipo de seguridad de DEVCORE, esta vulnerabilidad es de severidad alta, afecta a la versión 4.93 y versiones anteriores a esta de Exim.

2. Según los expertos, esta vulnerabilidad de lectura fuera de limites permite que un atacante mediante acceso remoto obtenga información confidencial. Debido a que existe una condición limite en el autentificador SPA dentro del auths / spa.c y auths / auth-spa.c. Un atacante puede omitir la autenticación de contraseña segura del SPA/NTLM.

3. Las versiones de software vulnerables:

Exim4 (paquete Debian) 4.89-2 + deb9u1

Exim4 (paquete Debian) 4.89-2 + deb9u1 ~ bpo8 + 1.

Exim4 (paquete Debian) 4.89-2 + deb9u2.

Exim4 (paquete Debian) 4.89-2 + deb9u3.

Exim4 (paquete Debian) 4.89-2 + deb9u3 ~ bpo8 + 1.

Exim4 (paquete Debian) 4.89-2 + deb9u4.

Exim4 (paquete Debian) 4.89-2 + deb9u5.

Exim4 (paquete Debian) 4.89-2 + deb9u6.

Exim4 (paquete Debian) 4.92-8 + deb10u1.

Exim4 (paquete Debian) 4.92-8 + deb10u1 ~ bpo9 + 1.

Exim4 (paquete Debian) 4.92-8 + deb10u2.

Exim4 (paquete Debian) 4.92-8 + deb10u2 ~ bpo9 + 1.

Exim4 (paquete Debian) 4.92-8 + deb10u3.

Exim4 (paquete Debian) 4.92-8 + deb10u3 ~ bpo9 + 1.

4. Se recomienda:

Actualizar de la página oficial a la versión 4.94 de Exim.

Fuentes de información https://twitter.com/Saint_Intel/status/1262312249500327936 https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-lectura-

fuera-limites-exim

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 6 de 19

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Grupo de piratas informáticos RATicate roban información

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de sub familia C02

Clasificación temática familia Código malicioso

Descripción

1. El 18 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 18 de mayo de 2020 por Gbhackers, sobre grupo de piratas informáticos “RATicate” estos envian un tipo de malware que roba información a traves de la herramienta de administración remota.

2. Un grupo de hackers, conocido como RATicate, ha utilizado maliciosamente los instaladores de NSIS (Sistema de instalación de secuencias de comandos Nullsoft) para implementar RAT (herramientas de acceso remoto) y malware que roba información para lanzar varias oleadas de ataques contra empresas industriales esto se debe a la mortal pandemia de COVID-19, los atacantes cibernéticos están constantemente atacando a las organizaciones para saquear sus datos confidenciales para obtener beneficios monetarios.

3. Los piratas informáticos utilizan dos cadenas de infección para contaminar los sistemas de los objetivos. La campaña utiliza el instalador NSIS después de que el objetivo abre los documentos adjuntos en los correos electrónicos de phishing enviados por los atacantes con las extensiones comunes como "archivos .ZIP, .IMG, .UDF, .RTF y .XLS".

4. Los hackers usan los archivos adjuntos maliciosos ZIP, UDF e IMG en los que ocultan los instaladores NSIS maliciosos en la primera cadena de infección y para descargar los instaladores maliciosos de un servidor remoto en los sistemas de los objetivos, los piratas informáticos utilizan los documentos maliciosos XLS y RTF en la segunda cadena de infección.

5. Los atacantes utilizaron cinco tipos diferentes de familias de malware: ForeIT/Lokibot, BetaBot, Formbook, AgentTesla y Netwire

6. Se recomienda:

Verificar la fuente de información de los correos electrónicos entrantes.

Mantener los programas y el sistema operativo actualizados.

Fuentes de información https://gbhackers.com/raticate-hackers-group/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 7 de 19

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad en la aplicación de mensajeria Stashcat

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 18 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 18 de mayo de 2020 a través de la red social Twitter por el usuario “@CVEnew”, sobre una vulnerabilidad detectada en la aplicación Stashcat, empleada en los servicios de mensajería y comunicación.

2. Esta vulnerabilidad fue identificada con el codigo “CVE-2020-13129” y afecta a la versión 3.9.1 para macOS, Windows, Android, iOS.

3. El método GET se utiliza con los datos client_key y device_id en la cadena de consulta, lo que permite a los atacantes obtener información confidencial al leer los registros del servidor web.

4. Se recomienda:

Descargar siempre las aplicaciones desde los sitios oficiales (Google Play y App store).

Tener siempre actualizado el SO y el programa antivirus.

Fuentes de información https://twitter.com/CVEnew/status/1262257915085369344 https://nvd.nist.gov/vuln/detail/CVE-2020-13129

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 8 de 19

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Detección de malware de WordPress para sitios de WooCommerce

Tipo de ataque Malware Abreviatura Malware

Medios de propagación Red, Navegación de Internet

Código de familia C Código de sub familia C02

Clasificación temática familia Código de malicioso

Descripción

1. El 18 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento por investigadores de Sucuri (firma de seguridad de sitios web), sobre un malware de WordPress utilizado por ciberdelincuentes para buscar e identificar tiendas en línea de WooCommerce con muchos clientes a los que apuntar en futuros ataques de Magecart., esta información fue publicada el 15 de Mayo de 2020 por la web de Noticias Bleeping Computer.

2. WooCommerce es un complemento de WordPress de código abierto con más de 5 millones de instalaciones activas y diseñado para facilitar la ejecución de sitios de comercio electrónico que se pueden usar para "vender cualquier cosa, en cualquier lugar".

3. El malware de WordPress también desplegará tres puertas traseras en sitios web infectados, algo que puede ser muy útil si los atacantes alguna vez deciden volver y desplegar un skimmer web.

4. Se recomienda:

Actualizar el software wordPress de la página oficial.

Descargar e instalar un antimalware.

Fuentes de información https://www.bleepingcomputer.com/news/security/wordpress-malware-finds-woocommerce-sites-for-magecart-attacks/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 9 de 19

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Supercomputadoras europeas pirateadas en misteriosos ataques cibernéticos

Tipo de ataque Mal uso y abuso de los servicios tecnológicos Abreviatura MalUsoServtec

Medios de propagación Red, internet

Código de familia K Código de sub familia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 18 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 17 de mayo de 2020 por Security Affairs, sobre computadoras europeas pirateadas en misteriosos ataques cibernéticos.

2. Varias computadoras de alto rendimiento (HPC) y centros de datos utilizados para proyectos de investigación se han cerrado esta semana en toda Europa debido a incidentes de seguridad. Las supercomputadoras son sistemas extremadamente potentes basados en hardware tradicional para realizar cálculos de alta velocidad. Se utilizan principalmente para trabajos científicos y probar modelos matemáticos para fenómenos y diseños físicos complejos.

3. la organización alemana bwHPC anunció que cinco de sus supercomputadoras tuvieron que apagarse debido a una infección por cryptominer: BwUniCluster 2.0, ParaHLR II, BwForCluster BinAC y Halcón.

4. Otro sistema que supuestamente se infectó a principios de la semana pasada, es la supercomputadora ARCHER de la Universidad de Edimburgo.

5. Otros incidentes similares atacaron un clúster informático de alto rendimiento en la Facultad de Física de la Universidad Ludwig-Maximilians en Munich, Alemania, infectándolo con un malware.

6. Se especula que los actores de amenazas han explotado la vulnerabilidad CVE-2019-15666 para obtener acceso de raíz a las supercomputadoras y luego implementar un minero de criptomonedas Monero (XMR). Otros expertos especulan que los supercomputadores fueron pirateados por actores de los estados nacionales porque estaban involucrados en la investigación sobre el brote de COVID-19.

7. Se recomienda:

Elegir contraseña robusta en cuentas de sesiones de correo institucional o personal.

Tener actualizado el antivirus y utilizar cortafuegos personales para bloquear conexiones sospechosas.

Fuentes de información https://securityaffairs.co/wordpress/103358/cyber-crime/supercomputers-hacked-across-eu.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 10 de 19

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Página web del poder judicial de Nicaragua están fuera de servicio

Tipo de ataque Denegación distribuida de servicio DDoS Abreviatura DDoS

Medios de propagación Red, correo, navegación de internet

Código de familia F Código de sub familia F01

Clasificación temática familia Disponibilidad del servicio

Descripción

1. El 18 de mayo de 2020, se pudo detectar en la red Social Twitter, al usuario con el nombre “Anonymous”, (@x4Anon), quien publicó el ataque denominado “DDoS”, realizado a la página web del Poder Judicial de Nicaragua (http://poderjudicial.gob.ni).

Asimismo, el referido ataque realiza peticiones empleando diversos ordenadores o direcciones IP, dirigidas a un objetivo (usuario), esto dificulta la detección e impide que el administrador bloquee la IP.

2. Se recomienda:

Los administradores de páginas web, deben extremar medidas de contingencia, para poder actuar frente a los incidentes informáticos que podría suceder por diversos ciberdelincuentes.

Fuentes de información https://twitter.com/x4Anon/status/1261015710760947712

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 11 de 19

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva campaña de spyware Mandrake dirigido a dispositivos con plataforma Android

Tipo de ataque Spyware Abreviatura Spyware

Medios de propagación USB, disco, red, correo, navegación de internet, entre otros

Código de familia C Código de sub familia C08

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Se ha tomado conocimiento que, los investigadores de la compañía de seguridad informática Bitdefender, han publicado un informe sobre una sofisticada Plataforma de espionaje para Android que había estado activa por al menos 4 años y descubierta por ellos a principios de 2020, los investigadores han denominado a esta amenaza de malware “Mandrake”.

La campaña se dirigió principalmente a usuarios en regiones desarrolladas, como Europa, Australia, Canadá y América. Entre estos, Australia surgió como la región más afectada. Mientras que el malware no estaba dirigido a usuarios de regiones de bajos ingresos, como África, áreas de habla árabe y países pertenecientes a la antigua URSS. Específicamente, los atacantes han eximido a unos 90 países de su lista de ataques. Además, el malware también se dirigió a los usuarios de acuerdo con las tarjetas SIM.

Cuando el malware infecta un dispositivo con plataforma Android, tiene control completo del dispositivo: puede bajar el volumen del teléfono y bloquear llamadas o mensajes, robar credenciales, extraer información, para transferencias de dinero y chantaje. Puede realizar ataques de phishing cargando una página web e inyectando un código JavaScript especialmente diseñado para recuperar todos los datos de los formularios de entrada. Aunque la campaña domina todos los elementos de una plataforma de software espía profesional, se cree que este ataque está muy probablemente motivado financieramente. Esta amenaza puede vulnerar los códigos de autenticación de dos factores (2FA) que algunos bancos envían para prevenir el fraude.

2. Detalles

El malware funciona como un programa espía (spyware) inteligente dirigido a los usuarios a través de campañas de phishing y aplicaciones falsas. Los investigadores han detectado al menos dos campañas de infección importantes: entre 2016 y 2017, y luego entre 2018 y 2020. Mientras que la primera campaña involucró una cepa de malware con funcionalidades maliciosas reducidas, la segunda involucró una versión de malware más inteligente y sofisticado.

Los investigadores indicaron que el malware disponible en Google Play Store oculta al menos 7 aplicaciones, cada una con una amplia base de usuarios. Todas ellas son aplicaciones independientes, totalmente funcionales y que atienden a una amplia gama de grupos de aplicaciones: finanzas, automóviles y vehículos, video juegos, editores, arte y diseño y productividad. Estas aplicaciones usadas como cuentagotas son: OfficeScanner, Abfix, Currency XE Converter, SnapTune Vid, CoinCast, Horoskope y Car News, todo de desarrolladores supuestamente diferentes.

Los autores de malware siempre han intentado eludir la seguridad de Google Play y ganar presencia en el mercado. A su vez, esto les da la plataforma de distribución perfecta. Una vez que han logrado publicar una aplicación maliciosa, a menudo se basan en comentarios falsos y descargas para disparar su aplicación a la sección de tendencias de Play.

Pero aquí se ha visto algo diferente, los desarrolladores de malware usan el marketing real y prestan atención a las críticas negativas y entregan soluciones para los problemas específicos de los usuarios.

Además de las respuestas y soluciones rápidas, los cuentagotas también están libres de publicidad. Todo esto se hace para persuadir al usuario de descargar y conservar las aplicaciones. Incluso han invertido recursos en publicidad y presencia en internet.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

También han establecido un respaldo en línea legítimo de estas aplicaciones con sitios web y páginas en redes sociales. Al llegar al dispositivo objetivo, el malware solía ejecutarse en un proceso de tres etapas. La tercera etapa solo se ejecutaría si los atacantes encontraban a un objetivo notable para atacar.

Cuando se ejecuta el malware, Mandrake se ejecuta sigilosamente en el dispositivo de la víctima, extrae los datos confidenciales, y por medio de numerosas funcionalidades se hace cargo del dispositivo de destino. Éstas incluyen:

Extraer mensajes SMS.

Enviar SMS a números específicos.

Recupera la lista de contactos.

Hace llamadas telefónicas.

Recupera la lista de aplicaciones.

Instala / desinstala aplicaciones.

Recupera todos los datos de la cuenta.

Recupera detalles del dispositivo y la red Grabación de pantalla.

Ejecuta el rastreo GPS.

Ejecuta el inicio de restablecimiento de fábrica para borrar el malware y no dejar huellas

Durante su campaña operativa de 4 años, Mandrake utilizó nombres de dominio fijos, así como un algoritmo de generación de Dominio (DGA). Aunque los investigadores no han visto ningún dominio DGA registrado, indicaron que los actores de amenazas tampoco necesitaban uno. Algunos de los dominios o IP utilizados están asociados con actividades maliciosas pasadas.

El malware mandrake, para establecer un punto de apoyo en el dispositivo de la víctima y evitar la detección, ha dividido sus funcionalidades en tres componentes, cada uno con un rol y complejidad diferente.

Cuentagotas:

o Aplicaciones limpias encontradas en Google Play

o Descarga e instala el cargador

Cargador:

o Componente malicioso con capacidades de exfiltración que intenta ocultarse. Una versión despojada del núcleo.

o Descargará el componente principal y lo cargará dinámicamente

Core:

o Componente principal del malware.

o Contiene capacidades avanzadas de exfiltración y mecanismos de persistencia.

Todo el código malicioso, independientemente del tipo de componente que sea, proviene de la misma base de código. Podemos considerar el núcleo como tener todas las funcionalidades y cada una de las otras como versiones despojadas de ella. Todos los componentes se comunican con el CnC a través de una biblioteca nativa personalizada y los componentes también pueden comunicarse con uno y otro.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Los investigadores indicaron que Mandrake permaneció en gran medida sin ser detectado durante años debido a su orientación precisa a los usuarios. La campaña se dirigió principalmente a usuarios en Europa, Australia, Canadá y América. Entre estos, Australia surgió como la región más afectada. Además, el malware también se dirigió a los usuarios de acuerdo a las tarjetas SIM. El malware también evita la ejecución en dispositivos sin tarjetas SIM o con SIM emitidas por operadores específicos. En particular, no funcionará con operadores de Verizon o China Mobile Communications Corporation (CMCC), entre otros.

Los investigadores no han podido detectar quienes son los actores de esta amenaza y cuál sería su verdadera motivación al atacar a las víctimas. No obstante, el malware todavía está activo con un alto potencial de infección.

3. Indicadores de compromiso (IoC):

Mandrake APK MD5:

01f54e3f381fa74ea6202a0eede3336c 769c2f941deb6ebce0ea67d4445ae686

097ba092ecb90bfe3de50ee0d296e079 79780744c5366fa31c5473d57341d6b5

0ba9a201cb420f67d2411c16e72551ff 7c36d69856ad51b9644e4de02e7ef12b

0c33df55396c7302e825e4cdf9d71963 7d3d1aed89bcbf3a6283c7afd5fffe68

102fa3c42f49e76739330c207eb74764 854fe13515a5e16f725ad581bc42a3ca

130678c900e987dc864656675719947a 85eb7327fd01a993aee0e5d830cb04f1

134a27b776651dbe4aeec86067e715c0 86958a2fde23133447f8e5a05d7219d7

139f0b8de9e5829177e7faf5ce626f10 89c35d03187db85247bb2602eceeb186

1437bd4e45ea57cb68599554a2c9ad6d 9b37458884e0d031ed779f1e666a8aee

1767056dca77c780fbdc8396387756a6 9e09467a00daa9c8b0e2293165f6237c

17e431ead516a6308b6a8c94a2e0932d a33b07b15d76dd2fc74a065260341b56

1c1f6aaeb8759ce0323603d4d278838d ad4f00bb107a5e83cde80f34fcc083f3

1c2d6b31ba319c0eac60058da0ad7bf1 adec9bbd315ffcaf4867bc5b4f6a71c3

2225f2be8c32f2a5b5cefe418098e4d4 b2ffb1f6a756e3baddf2151032392d8b

238f1ca8731b923195c78e8685fbc996 b6b80f05de5d4394deeb8a6fe33fba97

2533667dc05ed5961ebeb0287d1354c0 bffba259b7430d5324c6509b3f92c0a3

28e8166a7603d293b515f2ca3d16d5cc c87c13d18c560830fa048483cfc1470f

2c1074b092fad0a1c26ee7790501acf1 cd3cb091edd1b143650a5bf17115cf79

2d8f3f410f5dfd9850e7240e7a671684 d1c6524bc9bafdaab159a2402b9e5056

2ddb55736a6696f3f66b10c2fffbacde d9a111725120da98c2fa4624dffc0372

31c8fe0d84cda9c2f1fcf906b4825a29 da643fca4cc765b2734754b70499af66

31dbda64ab6dc67fcf43dd8172c068d7 db77f622dd20d4540d4260c966f0ea16

3c3520eebbe93ab132e01f69a17fff37 dc30977eb044d461d75b4073df965504

480084bff2bbe50d8282e54433a1477e dcab3899303a486569a01678b4e9aefd

50653e594d8019f72303978ea0e448fa dcc510fbaedaa53713bf7524b6f4449f

59da03ef4c7b6c32e341c1a2ce6c26e9 dd5868cf6eaa2fcf966fd308e89aaba5

62939e26abdf183888eb7c7a83a5d76f e25f9a9e1176b51ac495198c20e0b6c1

67d5a90767150d0da9cb8c7d7c5d59cd e72a988e51a3d5e48c14838f2a3a9c94

6e42fef0aaf514a840a83443be12c28a f73029781509f958d722b9aa76e4567e

73403d4e492cc9ef2b849fc74b47a27f fe42978bc27e90427e3759ade882d293

761ce5e1ad67b5ea59d643969fa46f1d ff967badd3681b332af5d0e8b20db2c3

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Mandrake dominios:

androidfirmware.ca

androidfirmware.cc

androidfirmware.ir

androidfirmware.top

androidfrimware.com

android-soft.top

livingstream.mobi

nfmmlrkagflemt.top

rendfiles.top

xjkbhysexthnpl.top

4. Recomendaciones:

Utilizar un firewall. La instalación de un firewall constituye una defensa eficaz contra estos ataques.

Ajustar la configuración de seguridad del navegador. Todos los navegadores cuentan con un sistema que permite filtrar, de alguna manera, aquella información que estás dispuesto a aceptar de un sitio web.

Protección contra spyware. Existe una amplia oferta de soluciones de seguridad que cuentan con protección antispyware y antimalware que permiten tanto la prevención como la eliminación de estas amenazas.

Descarga solo desde sitios oficiales y fíjate detenidamente en el logotipo de la app. Solo se debe descargar aplicaciones o apps de sitios web de confianza y de sitios de manera seguros. Se debe de consultar las valoraciones y opiniones de otros usuarios y utilizarlas como guía antes de descargar una app. Si hay comentarios negativos, es importante revisar las razones e investigar sus causas.

Se debe revisar los permisos y datos que solicita la app. Si pide más de los necesarios es recomendable descartar la app y buscar otra ya que podríamos estar dando acceso a datos, como fotografías o contactos confidenciales.

Se debe mantener actualizado permanentemente los dispositivos y aplicaciones. Se trata de algo esencial para proteger el equipo y los datos personales.

Fuentes de información

hxxps://www.bitdefender.com/files/News/CaseStudies/study/329/Bitdefender-PR-Whitepaper-Mandrake-creat4464-en-EN-interactive.pdf

hxxps://latesthackingnews.com/2020/05/17/mandrake-malware-is-secretly-spying-on-android-users-for-several-years/

hxxps://www.muyseguridad.net/2020/05/18/mandrake-compleja-amenaza-android/ hxxps://www.altonivel.com.mx/tecnologia/9200-como-evitar-un-software-espia/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 15 de 19

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Phishing, a través de la red social Facebook.

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de sub familia G02

Clasificación temática familia Fraude

Descripción

1. El 18 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de Phishing, a través de la red social Facebook, con la finalidad de obtener información confidencial de forma fraudulenta, ofreciendo trabajos desde casa (comentar publicaciones) a las personas interesadas en generar ganancias vía online sin realizar alguna inversión, teniendo como requisito ingresar al enlace: hxxps://influencersearn.com/, registrándose con su nombre, correo electrónico y número telefónico.

Imágenes del de proceso de la estafa.

4 3

1 2

5 6

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

2. Por otro lado, se analizó el citado enlace en la plataforma de “Virus Total” donde es catalogado como Phishing:

hxxps://influencersearn.com/

o IP: 93.157.62.56

o Dominio: NFOrce Entertainment BV

o ISP: NFOrce Entertainment BV

o País: Rusia

o Topología de IP.

hxxps://influencersearn.com/

o Topología de URL.

Referencia:

El Phishing, es un método que los ciberdelincuentes utilizan para engañar y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros

3. Algunas Recomendaciones

Verifica si la información publicada o compartida proviene de un sitio oficial.

No introduzcas datos personales en páginas sospechosas.

Preguntar a otros usuarios, sobre lo ofertado.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio de redes sociales y fuente abierta

Archivos que se

comunican con la IP

en un entorno

seguro

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 044

Fecha: 18-05-2020

Página: 17 de 19

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Suplantación de identidad del banco BBVA.

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de sub familia C03

Clasificación temática familia Código malicioso

Descripción

1. El 18 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web de ciberseguridad del banco BBVA, informó sobre una alerta de seguridad, indicando que un malware viene infectando a los dispositivos móviles Android y que tiene como función cambiar la pantalla del acceso a la aplicación legitima del banco BBVA, con el objetivo de engañar a los usuarios logrando tener acceso a información confidencial de forma fraudulenta como contraseñas, tarjeta de crédito, información personal.

CAPTURA DE PANTALLA DE LA

APLICACIÓN BBVA FALAZ.

Advertencia: Cuando intentes

acceder a tu cuenta a través de la

aplicación del banco BBVA y

observas que inicialmente

aparece la pantalla legitima del

banco BBVA, pero en seguida se

produce un cambio de pantalla

automático igual como se

muestra en la imagen (01)

mantente alerta y no introduzcas

ningún dato personal.

Se puede apreciar un cuadro

blanco pequeño tamaño en la

esquina superior derecha, a la

altura del logo de BBVA. Esta

figura puede advertirte de que no

se trata de la pantalla oficial, ya

que en esta aparecen siempre

tres líneas horizontales.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

2. Los ciberdelincuentes utilizan la técnica de ingeniería social para poder interactuar con la víctima y lograr su objetivo engañar y manipular al usuario. El origen puede ser un Phishing o correo malicioso en el que incluyen un enlace para solicitar la descarga de alguna aplicación. También puede realizarse a través de un SMS o de aplicaciones fraudulentas que esconden este virus.

Recomendaciones para evitar la instalación de software malicioso.

o Descarga siempre las aplicaciones desde los mercados oficiales (Google Play y App store) y revisa detenidamente los permisos que solicitan.

o No descargues ninguna aplicación a través de enlaces incluidos en correos electrónicos, SMS o mensajes de WhatsApp.

Recomendaciones si detectas posible infección de malware.

o Desinfectar el dispositivo con un programa antimalware.

o No reinstalar la copia de seguridad por si estuviera infectada.

o Reportarlo al banco a través de Línea BBVA o llamando al teléfono 91 224 94 26.

3. Asimismo, se detectó una campaña de Phishing dirigido a clientes del banco BBVA con el objetivo de obtener información confidencial y datos de sus tarjetas de crédito mediante un correo electrónico siendo el remitente del correo fraudulento chti@dib.de y teniendo como asunto la siguiente descripción:

“Estimado cliente, su tarjeta de crédito ha sido utilizada ilegalmente por la dirección IP 84.127.25 Hemos determinado que alguien puede usar su tarjeta sin su permiso. Haga clic en el botón a continuación y siga el procedimiento indicado para actualizar su tarjeta de crédito. Nota: Si no se completa dentro de las 24 horas, estaremos obligados a suspender su tarjeta indefinidamente ya que puede ser utilizado para fraude”

4. En caso de que recibas este correo fraudulento, no pulses en el enlace ni introduzcas ningún tipo de información. Recuerda que BBVA nunca te solicitará datos bancarios a través de correo electrónico o SMS.

5. Algunas Recomendaciones:

Actualice su Antivirus.

No abra ni descargue archivos sospechosos.

Mantenga su sistema operativo actualizado.

Fuentes de información

https://www.bbva.es/en/finanzas-vistazo/ciberseguridad/ultima-hora/alerta-de-malware-en-dispositivos-android-que-suplanta-la-app-de-bbva.html

https://www.bbva.es/en/finanzas-vistazo/ciberseguridad/ultima-hora/phishing-dirigido-a-clientes-particulares-de-bbva.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 19 de 19

Índice alfabético Acceso no autorizado ...................................................................................................................................................... 4 Código malicioso ................................................................................................................................................. 6, 11, 17 DDoS .............................................................................................................................................................................. 10 Denegación distribuida de servicio DDoS ...................................................................................................................... 10 Disponibilidad del servicio ............................................................................................................................................. 10 Explotación de vulnerabilidades conocidas ................................................................................................................. 3, 7 Fraude ........................................................................................................................................................................... 15 Intento de intrusión .................................................................................................................................................... 5, 7 internet ................................................................................................................................................................. 4, 5, 11 Mal uso y abuso de los servicios tecnológicos ................................................................................................................. 9 malware ................................................................................................................................... 2, 3, 6, 8, 9, 11, 14, 17, 18 Malware ................................................................................................................................................................ 6, 8, 17 phishing ............................................................................................................................................................... 6, 11, 18 Phishing ............................................................................................................................................................... 2, 15, 17 Red, correo, navegación de internet ............................................................................................................................. 10 Red, internet ............................................................................................................................................................... 7, 9 redes sociales ...................................................................................................................................................... 1, 11, 16 Redes sociales ............................................................................................................................................................... 15 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ..................................................................... 15 servidor ....................................................................................................................................................................... 6, 7 software .................................................................................................................................................... 5, 8, 11, 14, 17 spyware ..................................................................................................................................................................... 2, 11 Spyware ......................................................................................................................................................................... 11 Suplantación .............................................................................................................................................................. 2, 17 URL ............................................................................................................................................................................ 3, 15 USB, disco, red, correo, navegación de internet ................................................................................................. 6, 11, 17 Uso inapropiado de recursos ........................................................................................................................................... 9 Vulnerabilidad ..................................................................................................................................................... 2, 4, 5, 7