PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 21 de julio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Vulnerabilidades en software y enrutadores CISCO SD-WAN ....................................................................... 3

Ciberataques a sistemas de agua de Israel .................................................................................................... 4

El nuevo malware de Android roba tus citas y cuentas sociales ................................................................... 5

Hacker cobra venganza de una empresa de ciberseguridad y filtra todos sus datos ................................... 6

Vulnerabilidad crítica de SAP Recon que afecta a más de 40,000 clientes ................................................... 8

Ataque tipo defacement a páginas web peruanas ........................................................................................ 9

Vulnerabilidades en servidores Apache “Tomcat” .....................................................................................10

Atacantes aprovechan herramienta “Wsreset.exe” de Windows 10 Store para eliminar archivos

arbitrariamente y evadir las soluciones de seguridad .................................................................................11

Phishing a través de red social Facebook ....................................................................................................12

Índice alfabético ..........................................................................................................................................14

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 3 de 14

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidades en software y enrutadores CISCO SD-WAN

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red e internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de Intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad han detectado tres (3) vulnerabilidades en algunos enrutadores y productos de software de Cisco. Estas fallas de seguridad podrían desencadenar escenarios como el despliegue de ataques de denegación de servicios (DoS).

2. Detalles de la alerta:

SD-WAN es un acrónimo para redes definidas por software en una red de área amplia (WAN), simplifica la gestión y el funcionamiento de una WAN al desacoplar el hardware de red de su mecanismo de control.

De acuerdo a las investigaciones de especialistas en ciberseguridad, reportan el hallazgo de tres vulnerabilidades en algunos enrutadores y productos de software de Cisco. Al parecer, la explotación exitosa de estas fallas de seguridad podría desencadenar escenarios como el despliegue de ataques de denegación de servicios (DoS).

Las vulnerabilidades identificadas se detallan a continuación:

CVE-2020-3351: Una validación incorrecta de los campos en los mensajes de interconexión SD-WAN de Cisco que están encapsulados en paquetes UDP permitiría a los hackers remotos desplegar ataques DoS enviando mensajes UDP especialmente diseñados al sistema objetivo. Esta es una falla de severidad media, por lo que recibió un puntaje en la escala CVSS de 7.5/10.

CVE-2020-3369: Esta vulnerabilidad existe debido al procesamiento inadecuado del tráfico FTP, lo que permitiría a los actores de amenazas remotos lanzar ataques DoS enviando paquetes FTP especialmente diseñados y generar daños en la memoria del sistema objetivo. La vulnerabilidad reside en el software de múltiples enrutadores Cisco. Esta es una falla de severidad media, por lo que recibió un puntaje en la escala CVSS de 7.5/10.

CVE-2020-3379: Esta falla existe debido a que la aplicación afectada no implementa restricciones de seguridad adecuadas, por lo que los actores de amenazas locales podrían ejecutar ataques de escalada de privilegios enviando solicitudes especialmente diseñadas, mencionan los especialistas en seguridad perimetral. Esta falla recibió un puntaje en la escala CVSS de 6.8/10.

Las vulnerabilidades residen en las siguientes versiones de software y enrutadores:

Enrutadores Cisco SD-WAN vEdge 100 Series

Enrutadores Cisco SD-WAN vEdge 1000 Series

Enrutadores Cisco SD-WAN vEdge 2000 Series

Enrutadores Cisco SD-WAN vEdge 5000 Series

Enrutadores Cisco SD-WAN vEdge Cloud Series

Cisco SD-WAN vBond Orchestrator; Cisco SD-WAN vManage; Cisco SD-WAN vSmart Controller

Cabe precisar, Las actualizaciones se encuentran disponibles y han sido publicados en el sitio web oficial de la empresa.

3. Recomendaciones:

Descargar y actualizar los parches de seguridad del sitio web oficial de proveedor.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 4 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Ciberataques a sistemas de agua de Israel

Tipo de ataque Explotación de Vulnerabilidades Conocidas Abreviatura EVC

Medios de propagación Red, internet y correo

Código de familia H Código de subfamilia H01

Clasificación temática familia Vulnerabilidades

Descripción

1. El 21 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, a medida que los procesos y redes se hacen más autónomos e informatizados, también crean nuevos riesgos, generando empleo a los especialistas de seguridad, entre otros. Así lo demuestra un nuevo ataque al sistema de agua de Israel, un sistema que ya fue atacado en abril, cuando los delincuentes informáticos intentaron modificar los niveles de cloro del agua

2. Según informan ZDNET, ahora han sido dos ataques cibernéticos que han afectado las instalaciones de gestión del agua de Israel, aunque no han causado ningún daño a las organizaciones atacadas. Por un lado, se atacaron las bombas de agua agrícolas en la parte superior de Galilea, lo que podría haber generado pérdidas importantes al no ser posible regar de forma automática los enormes campos de cultivo. Por otro lado, se atacó a las bombas de agua en la provincia central de Mateh Yehuda.

3. Una de las primeras acciones realizadas ha sido la alerta de cambio de contraseñas enviada por Ciberdirección Nacional de Israel (INCD), principalmente la de los sistemas operativos y los dispositivos de control de cloro.

4. En ambos casos se consiguió solucionar el problema de forma inmediata e independiente por los locales, pero al ser una nueva oleada de ataques al sistema de agua del país, ha quedado claro que hay un acceso no autorizado en su plataforma. En el ataque de abril podría haber habido un envenenamiento leve en la población local, mientras que en esta ocasión serían más pérdidas económicas.

5. Se recomienda:

Aplicar buenas prácticas y criterios de seguridad, medidas suficientes para evitar ser víctimas de ataques ciber.

Dedicar recursos a la seguridad informática en todos los niveles, desde la gestión de contraseñas a la configuración avanzada de plataformas de cortafuegos.

Fuentes de información https://blog.segu-info.com.ar/2020/07/ciberataques-sistemas-de-agua-de-israel.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 5 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta El nuevo malware de Android roba tus citas y cuentas sociales Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso

Descripción

1. El 21 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 19 de julio de 2020 por Threat Post, sobre un nuevo troyano bancario de Android denominado BlackRock roba credenciales e información de tarjetas de crédito de una lista de 337 aplicaciones, muchas de ellas utilizadas para muchos fines no financieros.

2. Además de ser el único malware de Android basado en el código fuente de Xerxes, BlackRock también presenta otra peculiaridad: a diferencia de otros troyanos bancarios, se dirige a muchas aplicaciones de Android no financieras, con un enfoque en redes sociales, comunicación, redes y plataformas de citas.

3. BlackRock se camufla como Google Update para solicitar los privilegios del Servicio de Accesibilidad y ocultará su ícono a Cuando lo inicie una de sus víctimas.

4. Una vez que el usuario otorga el privilegio del Servicio de Accesibilidad solicitado, BlackRock comienza otorgándose permisos adicionales, Esos permisos adicionales son necesarios para que el bot funcione completamente sin tener que interactuar más con la víctima.

5. Luego, los operadores pueden controlar el malware de forma remota para lanzar ataques de superposición y emitir una multitud de comandos que incluyen registrar pulsaciones de teclas, enviar spam a las listas de contactos de las víctimas con mensajes de texto, configurar el malware como el administrador de SMS predeterminado, enviar notificaciones del sistema al servidor C2 y bloqueando a las víctimas para que no inicien o usen antivirus o software de limpieza del sistema.

6. El malware también utiliza los perfiles de trabajo de Android para controlar el dispositivo comprometido sin requerir permisos de administrador, sino que crea su propio perfil administrado con derechos de administrador.

7. Se recomienda:

No descargar archivos de sitios de dudosa reputación, mantener los programas y el sistema operativo actualizados.

Fuentes de información https://www.bleepingcomputer.com/news/security/new-android-malware-steals-your-dating-and-social-accounts/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 6 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Hacker cobra venganza de una empresa de ciberseguridad y filtra todos sus datos Tipo de ataque Stealers Abreviatura Stealers Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia Código Malicioso

Descripción

1. El 21 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuación: Se reporta que Data Viper, una empresa de seguridad informática emergente, sufrió un ciberataque que derivó en la exposición de su base de datos en línea.

2. Data Viper recolecta información expuesta en más de 8 mil incidentes de brechas de datos, incluyendo registros de alrededor de 15 mil millones de nombres de usuario, contraseñas y otros datos. Además de exponer la información en línea, el responsable del ataque afirma que la base de datos está a la venta en Dark Web. La firma recopiló datos de miles de incidentes de seguridad, incluso podría haber obtenido información de compañías que ignoran que han sido hackeadas.

3. Data Viper se identifica como una plataforma de inteligencia diseñada para proporcionar a las organizaciones la mayor colección de información privada, canales de hacking y bases de datos expuestas en línea. Acorde a especialistas del curso de hacking, firmas como esta venden acceso a colecciones de información similares con fines de investigación policial, prevención de fraude, entre otros.

4. A pesar de que esta práctica no es poco común, las cosas parecen haber salido mal para esta firma. Hace unos días, un usuario publicó un enlace en foros de hacking donde describe cómo hackeó Data Viper después de haber permanecido en las redes de la compañía por meses para finalmente extraer cientos de GB de datos privados. Además, el hacker incluyó enlaces a múltiples anuncios en el foro de hacking Empire Market donde se informa sobre la venta de cientos de millones de detalles de cuentas expuestas, almacenadas por Data Viper.

5. Si bien algunas de las bases de datos a la venta están relacionadas con incidentes anteriormente reportados, otros grupos de datos a la venta pertenecen a compañías que no han reportado incidentes, o bien ignoran que han sido hackeadas.

6. El fundador de la compañía Vinny Troia, atribuye el ataque a un intento de intimidación después de que declarara que planea revelar las identidades de los hackers responsables de incidentes de brecha de datos relevantes.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

7. Asimismo se asegura que el grupo de hackers conocido como “GnosticPlayers” o “Shiny Hunters” ha irrumpido en los sistemas de múltiples sitios web empleando métodos similares, que incluyen dirigir a los desarrolladores de estos sitios empleado ataques de relleno de credenciales para iniciar sesión en sus cuentas de GitHub.

8. Aunque técnicamente la venta de bases de datos hackeadas no se considera ilegal en U.S.A., el Departamento de Justicia (DOJ) ha emprendido múltiples labores en contra de estas prácticas. Hace unos meses las autoridades tomaron control del dominio WeLeakInfo.com, una plataforma de venta de datos extraídos en incidentes de ciberseguridad; otros sitios similares han sido eliminados.

9. Se recomienda:

Revisar el Administrador de Tareas de la pestaña “Procesos o Servicios” de tu computador para ver si aparece algun tipo de anomalia sospechosa.

Memorizar las contraseñas o empiezar a usar sistemas de passwords maestras como Keepass, Loggin Control y JPasswords, entre otros.

Asegúrar de usar protocolos de protección como el https cada vez que inicies sesión.

Enviar la información en archivos encriptados o utilizar conexiones seguras basdas en SSL, como https y otros mecanismos de copia seguras.

Fuentes de información https://noticiasseguridad.com/hacking-incidentes/hacker-cobra-venganza-de-una-empresa-de-ciberseguridad-y-filtra-todos-sus-datos/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 8 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidad crítica de SAP Recon que afecta a más de 40,000 clientes Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 21 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se han encontrado la vulnerabilidad en el RECON (abreviatura de Código remotamente explotable en NetWeaver), según los especialistas de seguridad informática y la compañía reveló la vulnerabilidad al Equipo de respuesta de seguridad de SAP.

2. La vulnerabilidad se debe a la falta de autenticación en un componente web de SAP NetWeaver AS para Java que permite actividades con privilegios elevados en el sistema SAP vulnerable.

3. La vulnerabilidad está presente de forma predeterminada con todas las aplicaciones de SAP que se ejecutan sobre SAP NetWeaver AS Java 7.3 y cualquier versión más reciente (hasta SAP NetWeaver 7.5).

4. La vulnerabilidad puede resultar en un compromiso total de las instalaciones vulnerables de SAP, los atacantes pueden extraer información altamente confidencial y también puede provocar la interrupción de los procesos críticos del negocio.

5. La explotación exitosa de la vulnerabilidad permite que un atacante no autenticado obtenga acceso sin restricciones de alto privilegio al sistema SAP. Los siguientes son los sistemas afectados:

SAP Enterprise Resource Planning.

SAP Product Lifecycle Management.

SAP Customer Relationship Management.

SAP Supply Chain Management.

Gestión de relaciones con proveedores de SAP.

SAP NetWeaver Business Warehouse.

SAP Business Intelligence.

Infraestructura móvil SAP NetWeaver.

SAP Enterprise Portal.

SAP Process Orchestration / Process Integration).

SAP Solution Manager.

Infraestructura de desarrollo de SAP NetWeaver.

SAP Central Process Scheduling.

SAP NetWeaver Composition Environment.

SAP Landscape Manager.

6. Se recomienda:

Aplicar parches de seguridad informática en los puntos críticos de los sistemas de información.

Verificar en la página oficial SAP One Support Launchpad los parches de los productos.

Fuentes de información http://gbhackers.com/sap-recon-vulnerabilidad

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 9 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ataque tipo defacement a páginas web peruanas

Tipo de ataque Destrucción o alteración de la información de configuración

Abreviatura DAIC

Medios de propagación Red, internet Código de familia K Código de subfamilia K02 Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 21 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de dos (2) páginas web de dominio [.gob.pe] sufrieron ataques cibernéticos de tipo Defacement. Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque.

Fecha Página atacada Hacker Referencia

17/07/2020 http://dacs.diresacallao.gob.pe Sam San3a Dirección Regional de Salud del

Callao

20/07/2020 http://dratacna.gob.pe/Fighter.txt Fighter Anas Dirección Regional de

Agricultura Tacna

2. Se recomienda:

Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).

Adquirir un certificado de seguridad para proteger el sitio web.

Contratar un escáner de seguridad para el sitio web.

Realizar copias de seguridad del sitio web con frecuencia.

Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.

Tener software actualizados.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 10 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidades en servidores Apache “Tomcat”

Tipo de ataque Denegación de Servicio Abreviatura DoS

Medios de propagación Red, correo, navegación de internet

Código de familia F Código de subfamilia F01

Clasificación temática familia Disponibilidad del Servicio

Descripción

1. El 21 de julio de 2020, se detectó dos vulnerabilidades de nivel alto en los servidores de código abierto para las tecnologías: Java Servlet, JavaServer Pages, Java Expression Language y Java WebSocket.

Asimismo, las mencionadas vulnerabilidades fueron registrados con los números de identificación CVE-2020-13934 y CVE-2020-13935, la primera vulnerabilidad se produce cuando una actualización del protocolo no es permitido al pasar de una conexión en HTTP/1.1 a una conexión con HTTP/2, siendo aprovechado por un atacante, para enviar una cantidad suficiente de solicitudes y provocar una excepción del tipo OutOfMemoryException causando una denegación de servicio; del mismo modo, la segunda vulnerabilidad se genera por el error presentando en el protocolo WebSocket generado por la validación incorrecta con Apache Tomcat, estas validaciones incorrectas podrían desencadenar bucles infinitos provocando un escenario de denegación de servicio.

Cabe indicar, que la vulnerabilidad CVE-2020-13934 afecta los servidores Apache Tomcat en las versiones 10.0.0-M1 a 10.0.0-M6, 9.0.0.M5 a 9.0.36 y 8.5.1 a 8.5.56; mientras que la vulnerabilidad CVE-2020-13935 afecta a las versiones 10.0.0-M1 a 10.0.0-M6, 9.0.0.M1 a 9.0.36, 8.5.0 a 8.5.56 y 7.0.27 a 7.0.104.

2. Se recomienda:

Los usuarios y administradores de los sistemas, deberán aplicar los parches de seguridad publicados por el propio fabricante que se encuentran disponibles en el siguiente enlace:

https://archive.apache.org/dist/tomcat/, a fin de evitar la exposición a ataques externos.

Fuentes de información https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/10376-ccn-cert-av-65-20-vulnerabilidades-en-apache-tomcat.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 11 de 14

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Atacantes aprovechan herramienta “Wsreset.exe” de Windows 10 Store para eliminar archivos arbitrariamente y evadir las soluciones de seguridad

Tipo de ataque Borrado de Información Abreviatura BorrInfo

Medios de propagación Red, internet

Código de familia I Código de subfamilia I01

Clasificación temática familia Modificación de Recurso no Autorizado

Descripción

1. Resumen:

El investigador Daniel Gebert ha descubierto recientemente una técnica que explota Windows 10 Microsoft Store llamada “wsreset.exe” para eliminar archivos arbitrarios, esta puede ser usada para evadir la protección del antivirus que posee la computadora sin ser detectado. Wsreset.exe es una herramienta que restablece la Tienda Windows sin cambiar la configuración de la cuenta o eliminar las aplicaciones instaladas.

2. Detalles:

Los atacantes están aprovechando wsreset.exe para eliminar archivos de forma arbitraria. Esto se debe a que wsreset.exe se ejecuta con privilegios elevados, ya que se encarga de ver la configuración de Windows, esta vulnerabilidad permite a los atacantes eliminar archivos, aunque no tengas los privilegios.

Al crear archivos temporales de caché y cookies, la Tienda Windows almacena estos archivos en los siguientes directorios:

%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCache

%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbwe\AC\INetCookies

Después de analizar a wsreset, el investigador detectó que la herramienta elimina los archivos presentes en estas carpetas, restableciendo la cache y las cookies para la aplicación de la Tienda Windows.

La técnica de explotación se basa en el concepto de "unión de carpetas" mediante enlaces simbólicos, estos son usados para indicar un acceso a un directorio o fichero que se encuentra en un lugar distinto. Si un atacante puede crear un enlace que señale desde esta ruta \InetCookies a un directorio destino elegido por el atacante, el directorio destino será el que se elimine cuando se ejecute wsreset. Esto se debe a que se ejecuta con privilegios elevados de forma predeterminada.

Para comenzar, el atacante primero elimina la carpeta \INetCookies. Los usuarios con privilegios limitados pueden eliminar la carpeta, por lo que no representa una dificultad para los atacantes. Después de esto se crea un enlace simbólico haciendo que la ubicación \INetCookies apunte a una carpeta o archivo que el atacante desea eliminar. Para crear el enlace simbólico se puede usar el comando mklink seguido del parámetro /J desde cmd o usar el comando new-item en PoweShell.

Esto puede ser aprovechado por los atacantes para eliminar archivos de software de antivirus, dejándolos inhabilitados y en consecuencia desprotegido a la computadora de la víctima.

3. Recomendación:

Limitar el uso de CMD y Power Shell a usuarios administradores autorizados.

Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

Restringir la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No agregar usuarios al grupo de administradores locales a menos que sea necesario.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información hxxps://www.bleepingcomputer.com/news/security/windows-10-store-wsreset-tool-lets-

attackers-bypass-antivirus/ hxxp://daniels-it-blog.blogspot.com/2020/07/arbitrary-file-delete-via-wsresetexe.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 108

Fecha: 21-07-2020

Página: 12 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Phishing a través de red social Facebook

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 21 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes viene creando fanpage fraudulenta en la red social Facebook, en la cual ofrecen regalar dinero en efectivo como apoyo a la pandemia del COVID-19, suplantando la identidad de personajes Políticos y del deporte de EE: UU, con la finalidad de que la víctima confié que es un Fanpage oficial y sigan las instrucciones que se les pide en el proceso de la estafa.

Se ha podido detectar la Fanpage Pengecer zam zam @VinceMcmahonn, suplantando la identidad de Vince McMahon (promotor de lucha libre profesional estadounidense).

Para mayor gancho, en la foto de la publicación, se observa al promotor de lucha libre al lado del presidente de EE.U. Donald Trump.

Asimismo, se observa fotografías de dinero en efectivos, supuestamente que serán repartidos entre los ganadores.

En el proceso de la Estafa se le pide a la víctima, compartir la publicación, a fin de que esta estafa se propague en Facebook.

Luego a través de Messenger de facebook, le envían a la víctima mensajes, en la cual le hacen saber que ha sido seleccionado como ganador de uno de los premios, debiendo registrarse en el link que se le brinda.

Imágenes del proceso de la Estafa:

La fanpage no tiene el Check azul, el cual

indica autenticidad de la cuenta.

Nivel de respuesta

“ALTO”, al parecer los

ciberdelincuentes están

utilizando bots para

interactuar con las

víctimas.

Solicitan ingresar

email y contraseña

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Fotografía de enganche que utilizan los ciberdelincuentes, donde se aprecia al promotor de lucha libre Vince McMahon al lado del presidente de EE. UU. Donald Trump, mostrando una maleta con dinero en efectivo, el cual supuestamente será repartido entre los ganadores.

Indicadores de Compromiso: hxxp://moneymov[.]esy[.]es/signup.php?sub=NJALUK_SANGU

Dirección IP: 153[.]92[.]6[.]136

2. Algunas Recomendaciones:

Verificar la autenticidad de la Página (con el Check azul).

No siga instrucciones.

No acceda a URL desconocidas.

Visitas sitios web oficiales.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información Análisis propio de redes sociales y fuentes abiertas

Dominios resueltos en la IP

Archivos que se comunican con la IP

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 14 de 14

Índice alfabético

Borrado de Información .................................................................................................................................................. 11 bot ...................................................................................................................................................................................... 5 Código malicioso ................................................................................................................................................................ 5 Destrucción o alteración de la información de configuración .......................................................................................... 9 Explotación de vulnerabilidades conocidas ................................................................................................................... 3, 8 Fraude .............................................................................................................................................................................. 12 hxxp ........................................................................................................................................................................... 11, 13 Intento de intrusión ........................................................................................................................................................... 8 internet .............................................................................................................................................................................. 3 malware ......................................................................................................................................................................... 2, 5 Malware ............................................................................................................................................................................. 5 Phishing ....................................................................................................................................................................... 2, 12 Red, correo, navegación de internet ............................................................................................................................... 10 Red, internet ........................................................................................................................................................ 4, 8, 9, 11 redes sociales ........................................................................................................................................................... 1, 5, 13 Redes sociales .................................................................................................................................................................. 12 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................................... 12 servidor .............................................................................................................................................................................. 5 servidores .................................................................................................................................................................... 2, 10 software ........................................................................................................................................................... 2, 3, 5, 9, 11 Stealers .............................................................................................................................................................................. 6 troyanos ............................................................................................................................................................................. 5 URL ................................................................................................................................................................................... 13 USB, disco, red, correo, navegación de internet ........................................................................................................... 5, 6 Uso inapropiado de recursos ............................................................................................................................................. 9 Vulnerabilidad................................................................................................................................................................ 2, 8 Vulnerabilidades .................................................................................................................................................. 2, 3, 4, 10