Lima, 27 de julio de 2021

CNSD│Centro Nacional de Seguridad Digital

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la

Seguridad Digital del Estado Peruano.

El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las

empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar

la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas.

Lima, 27 de julio de 2021

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Falsos instaladores de Windows 11 infectan tu equipo con malware .......................................................... 3

Malware XLOADER roba credenciales de macOs y Windows ....................................................................... 4

Vulnerabilidades de Microsoft Windows. ..................................................................................................... 5

Múltiples vulnerabilidades en productos con sistemas de comunicación CODESYS EtherNetIP .................. 6

Múltiples vulnerabilidades en el entorno de desarrollo Oracle JDeveloper ................................................. 8

Nueva campaña de phishing suplantando al Banco Santander. ................................................................... 9

Índice alfabético ..........................................................................................................................................11

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 187

Fecha: 27-07-2021

Página: 3 de 11

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Falsos instaladores de Windows 11 infectan tu equipo con malware

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó una gran variedad de amenazas que están llegando a través de los instaladores falsos de Windows 11. Los ciberdelicuentes se están aprovechando de que los clientes están emocionados con la nueva versión del sistema operativo. La instalación de este programa malicioso viene acompañada de malware, adwware y troyanos, con la finalidad de controlar los sistemas, robar información y contraseñas.

Los atacantes están engañando a los clientes al colocar aplicaciones adicionales con la actualización "Windows 11" o están publicando malware que tiene nombres de archivo que buscan exactamente como el de una actualización. Kaspersky citó un archivo ejecutable malicioso que está realizando rondas: 86307_windows 11 make 21996.1 x64 + activator.exe., que, al ser ejecutado, parece ser un asistente de instalación normal en Windows, pero en realidad colocaba software publicitario no deseado y malware.

Existe también un segundo instalador que consiste en un acuerdo de licencia, mencionando que, si los clientes están de acuerdo, también se instalará algún programa de software patrocinado. Si los clientes aceptan el acuerdo, se instalará una serie de malware en su programa de software, comprometiendo la privacidad y seguridad de su computadora.

Kaspersky ha alertado de que son muchos los usuarios que han descargado este tipo de archivos falsos y se han infectado. Realmente estaban bajando software malicioso, con carga útil capaz de controlar el equipo o robar contraseñas. Es la vía de entrada de muchas de los principales riesgos de seguridad.

Recomendaciones:

• Evitar descargar software de dudosa procedencia.

• Instalar software de fuentes oficiales

• Mantener actualizadas las aplicaciones instaladas en su dispositivo

• Mantener activas y actualizadas las herramientas de protección, como el antivirus, antimalware, etc.

• Mantener actualizado el sistema operativo

Fuentes de información hxxps://www.bleepingcomputer.com/news/security/new-mosaicloader-malware-targets-software-pirates-via-online-ads/#.YPbN5UYJmwg.twitter

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 27-07-2021

Página: 4 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Malware XLOADER roba credenciales de macOs y Windows

Tipo de ataque Malware Abreviatura Malware

Medios de propagación Red, internet

Código de familia c Código de subfamilia C02

Clasificación temática familia Código Malicioso

Descripción

A través del monitoreo y búsqueda de amenazas en el ciberespacio el 25 de julio de 2021, se tomó conocimiento a través de la publicación realizada en la página web de “Xakep.ru”, Los expertos de Check Point hablaron sobre el nuevo malware multiplataforma XLoader, que cuesta sólo 49 dólares para "suscribirse" en la darknet. XLoader proporciona la capacidad de recopilar credenciales, puede actuar como un registrador de teclas y ejecutar archivos maliciosos.

XLoader se originó a partir de la conocida familia de malware Formbook, que atacaba principalmente a los usuarios de Windows, pero desapareció de la venta en 2018. En 2020, Formbook pasó a llamarse Xloader.

XLoader se detectó por primera vez en febrero pasado y ganó popularidad al promocionarlo como una botnet multiplataforma (Windows y macOS) sin dependencias. El vínculo entre los dos malware se estableció después de que se descubrió que el nuevo malware usaba el mismo archivo ejecutable que Formbook anteriormente. Luego, el proveedor de malware explicó que el desarrollador de Formbook realmente había contribuido mucho a la creación de XLoader. Debido a esto, el malware tiene una funcionalidad muy similar (robar credenciales, tomar capturas de pantalla, registrar teclas y ejecutar archivos maliciosos).

Los analistas de Check Point descubrieron que ahora se dirige no solo a los usuarios de Windows, sino también a los usuarios de macOS. Puede "alquilar" la versión de macOS por $ 49 al mes accediendo a un servidor proporcionado por el vendedor. Al mantener una infraestructura de administración centralizada, los autores de malware pueden controlar cómo sus clientes usan XLoader.

Recomendaciones:

• Para eliminar Xloader malware del dispositivo infectado requiere automáticamente un poderoso software antimalware, que puede encontrar y eliminar todas las amenazas ocultas y archivos relacionados al mismo tiempo, para evitar la posibilidad de que el malware regrese al sistema o dañe su PC en la eliminación proceso.

• Asimismo, ofrece otras herramientas importantes para la limpieza del navegador, borrar archivos basura, protección de la privacidad, buscador de archivos duplicados y refuerzo de velocidad del sistema.

Fuentes de información hxxps://xakep.ru/2021/07/23/xloader/

http://www.gob.pe/


https://research.checkpoint.com/2021/top-prevalent-malware-with-a-thousand-campaigns-migrates-to-macos/


www.gob.pe

[email protected]


Fecha: 27-07-2021

Página: 5 de 11

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Vulnerabilidades de Microsoft Windows.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Correo electrónico, redes sociales, entre otros.

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

El 26 de julio de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la empresa Microsoft Windows detectó vulnerabilidades en múltiples productos. El atacante podría aprovechar estas vulnerabilidades para elevar privilegios sin autorización. Los sistemas afectados son los siguientes:

• Windows 10 versión 20H2 para sistemas ARM64

• Windows 10 versión 20H2 para sistemas de 32 bits

• Windows 10 versión 20H2 para sistemas x64

• Windows Server versión 2004 (instalación Server Core)

• Windows 10 versión 2004 para sistemas x64

• Windows 10 versión 2004 para sistemas ARM64

• Windows 10 versión 2004 para sistemas de 32 bits

• Windows 10 versión 21H1 para sistemas de 32 bits

• Windows 10 versión 21H1 para sistemas ARM64

• Windows 10 versión 21H1 para sistemas x64




• Windows Server 2019 (instalación Server Core)

• Windows Server 2019




Recomendaciones:

• Mantener el conocimiento de las últimas amenazas y zonas vulnerables de la organización.

• Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 187

Fecha: 27-07-2021

Página: 6 de 11

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Múltiples vulnerabilidades en productos con sistemas de comunicación CODESYS EtherNetIP





Descripción

Resumen:

Investigadores de Codesys han reportado múltiples vulnerabilidades de severidad ALTA de tipo deserialización de datos que no son de confianza que afecta a los productos CODESYS EtherNetIP. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto tener acceso de lectura de archivos o hash de contraseñas, establecer una condición de denegación de servicio (DoS) o manipular archivos.

Detalles:

La vulnerabilidad registrada como CVE-2021-21868 se debe a una validación de entrada insegura al procesar datos serializados en la funcionalidad ObjectManager.plugin Project.get_MissingTypes (). Un atacante remoto podría pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino.

La vulnerabilidad registrada como CVE-2021-21863 se debe a una validación de entrada insegura al procesar datos serializados en la funcionalidad ComponentModel Profile.FromFile (). Un atacante remoto podría pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino

La vulnerabilidad registrada como CVE-2021-21865 se debe a una validación de entrada insegura al procesar datos serializados en la funcionalidad PackageManagement.plugin ExtensionMethods.Clone (). Un atacante remoto podría pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino.

La vulnerabilidad registrada como CVE-2021-21866 se debe a una validación de entrada insegura al procesar datos serializados en la funcionalidad ObjectManager.plugin ProfileInformation.ProfileData. Un atacante remoto podría pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino.

La vulnerabilidad registrada como CVE-2021-21867 se debe a una validación de entrada insegura al procesar datos serializados en la funcionalidad ObjectManager.plugin ObjectStream.ProfileByteArray. Un atacante remoto podría pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino.

La vulnerabilidad registrada como CVE-2021-21864 se debe a una validación de entrada insegura al procesar datos serializados en la funcionalidad ComponentModel ComponentManager.StartupCultureSettings. Un atacante remoto podría pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino.

La vulnerabilidad registrada como CVE-2021-21869 se debe a una validación de entrada insegura al procesar datos serializados en la funcionalidad Engine.plugin ProfileInformation ProfileData. Un atacante remoto podría pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino.

http://www.gob.pe/


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21868








www.gob.pe

[email protected]

Producto afectado:

Sistema de desarrollo CODESYS: 3.5.16.0, 3.5.17.0

Solución:

• Para el producto CODESYS EtherNetIP, actualizar a la versión V4.1.0.0.

• Para el resto de los productos, actualizar el software, según corresponda, a la versión V3.5.17.10 u otra superior, o a la versión V4.2.0.0.

Fuentes de información hxxps://talosintelligence.com/vulnerability_reports/TALOS-2021-1304 hxxps://www.cybersecurity-help.cz/vdb/SB2021072702

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 27-07-2021

Página: 8 de 11

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Múltiples vulnerabilidades en el entorno de desarrollo Oracle JDeveloper





Descripción

Resumen:

Los investigadores de diversas compañías de seguridad informática han reportado múltiples vulnerabilidades de severidad ALTA que afecta al entorno de desarrollo Oracle JDeveloper. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto obtener acceso a información confidencial, generar un ataque de denegación de servicio (DoS) y abusar de las funcionalidades implementadas en los equipos afectados.

Detalles:

Oracle JDeveloper es un entorno de desarrollo para implementar software basado en múltiples lenguajes de programación.

• La vulnerabilidad registrada como CVE-2019-12415 se debe a una validación insuficiente de la entrada XML proporcionada por el usuario cuando se utiliza la herramienta XSSFExportToXml para convertir documentos de Microsoft Excel proporcionados por el usuario. Un atacante remoto podría pasar un código XML especialmente diseñado a la aplicación afectada y leer archivos del sistema de archivos local o de los recursos de la red interna en el sistema o iniciar solicitudes a sistemas externos. La explotación exitosa de la vulnerabilidad puede permitir que un atacante vea el contenido de un archivo arbitrario en el servidor o realice un escaneo de red de la infraestructura interna y externa.

• La vulnerabilidad registrada como CVE-2019-12402 se debe a que el algoritmo de codificación del nombre de archivo podría entrar en un bucle infinito cuando se enfrenta a entradas especialmente diseñadas. Un atacante remoto podría elegir los nombres de archivo dentro de un archivo creado por “Compress” y causar una condición de DoS en el sistema de destino.

• La vulnerabilidad registrada como CVE-2020-10683 se debe a que “dom4j” permite por defecto DTDs (definición de tipo de documento XML o SGML) externas y Entidades Externas. Un atacante remoto podría abusar de esta funcionalidad y realizar un ataque XXE contra una aplicación que usa la configuración predeterminada de “dom4j”.

Productos afectados:

Oracle JDeveloper: 12.2.1.4.0

Solución:

Oracle recomienda actualizar su producto afectado a la última versión disponible

Fuentes de información hxxps://www.oracle.com/security-alerts/cpujul2021.html hxxps://www.cybersecurity-help.cz/vdb/SB2021072747

http://www.gob.pe/





https://www.oracle.com/security-alerts/cpujul2021.html


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 27-07-2021

Página: 9 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Nueva campaña de phishing suplantando al Banco Santander.

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre oros.

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de phishing suplantando la identidad financiera del Banco Santander, con el objetivo robar los datos personales y bancarios de los usuarios.

• Procesos del ataque phishing:

Imagen 1. Sitio web falso, que suplanta al Banco Santander,

solicita al usuario, ingresar el código de identificación y la

clave de acceso.

Imagen 2. Después de introducir las credenciales de acceso y

pulsar en «Entrar», dirige a una página en la que se solicita al

usuario su firma electrónica.

Imagen 3. Al introducir la firma y pulsar en «Aceptar», se

solicita el código de mensaje SMS.

Imagen 4. Una vez que phishing capturó los datos

proporcionados por el usuario, es redirigido a la página web

oficial del Banco Santander, aludiendo un aparente error.

http://www.gob.pe/



www.gob.pe

[email protected]

La URL Maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo la siguiente información:

• URL Malicioso: hxxps[:]//www[.]tafsseel[.]com/public/star/trek/particulares[.]php?logon=set&

• Dominio: www[.]tafsseel[.]com

• Código: 200

• Longitud: 6,62 KB

• SHA-256: b58005f56e41e6e5b2f5f7306e1087f2649984e22b7dfdab030e3ebda1fc2146

• Lista negra | Dirección IP: 172[.]67[.]177[.]249

Cómo funciona el phishing:

• Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.

• Medios de propagación del phishing: WhatsApp, telegram, redes sociales, SMS entre otros.

• Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público o privado, entidad financiera, servicio técnico, etc.)

Referencia:

Técnica o tipo de ataque en el que alguien suplanta a una entidad de un servicio, mediante un correo electrónico o mensaje instantáneo para conseguir las credenciales o información de la tarjeta de crédito de un usuario. Ese correo con mensaje suele tener un enlace o fichero que contiene un sitio web que suplanta al legítimo y que usan para engañarlo.

Recomendaciones:

• No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.

• En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.

• Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.

• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.

Fuentes de información Análisis propio de redes sociales y fuente abierta.

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 11 de 11

Índice alfabético

botnet ................................................................................................................................................................................ 4 Código malicioso ................................................................................................................................................................ 3 Correo electrónico ............................................................................................................................................................. 5 Correo electrónico, redes sociales, entre otros ................................................................................................................ 5 Explotación de vulnerabilidades conocidas ............................................................................................................... 5, 6, 8 Fraude ................................................................................................................................................................................ 9 Intento de intrusión ................................................................................................................................................... 5, 6, 8 internet .............................................................................................................................................................................. 9 malware ......................................................................................................................................................................... 3, 4 Malware ......................................................................................................................................................................... 3, 4 phishing ....................................................................................................................................................................... 9, 10 Phishing.............................................................................................................................................................................. 9 Red, internet .............................................................................................................................................................. 4, 6, 8 redes sociales ............................................................................................................................................................... 1, 10 Redes sociales .................................................................................................................................................................... 9 servidor .......................................................................................................................................................................... 4, 8 software ............................................................................................................................................................. 3, 4, 5, 7, 8 troyanos ............................................................................................................................................................................. 3 URL ................................................................................................................................................................................... 10 USB, disco, red, correo, navegación de internet ............................................................................................................... 3 Vulnerabilidades ................................................................................................................................................................ 5

http://www.gob.pe/


Lima, 27 de julio de 2021

Documents

Transcript of Lima, 27 de julio de 2021