PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 8 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Sitio web fraudulento sobre bono de ayuda familiar .................................................................................... 3

Detección del malware Evelnum ................................................................................................................... 4

Índice alfabético ............................................................................................................................................ 6

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 126

Fecha: 8-08-2020

Página: 3 de 6

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Sitio web fraudulento sobre bono de ayuda familiar

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, correo electrónico y navegación en internet

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de busca de amenazas en el ciberespacio, advierte que hay un sitio web fraudulento, supuestamente para la obtención de un bono como ayuda familiar, para la cual la victima tiene que ingresar sus datos personales y compartir el enlace a 9 amigos o grupos de WhatsApp. Una vez realizado estas acciones los ciberdelincuentes podrían usar la información recolecta para algún tipo de delito informático.

2. Detalles de la alerta:

Se ha detectado un sitio web fraudulento (Figura 1) con la dirección web: hxxps://gobiernoperuanothelp.blogspot.com/?V, supuestamente sobre un Bono de Ayuda Familiar, en la cual tiene como objetivo recolectar información de posibles víctimas. Asimismo, como parte del proceso se tiene que seguir 5 pasos para la obtención del beneficio.

El sitio web fraudulento contiene 5 pasos que a continuación se detalla:

a) solicita ingresar nombre y teléfono de contacto b) solicita la confirmación de los datos ingresados c) La víctima deberá difundir ayuda, para lo cual te pide que reenvíes el

enlace con la supuesta ayuda a 9 amigos o grupos de WhatsApp. Al presionar el botón de envió, genera un enlace con la siguiente instrucción: whatsapp://send?text=Mi nombre es xxxxxx, acabo de hacer la solicitud para ayuda, y me aprobaron 1500 soles.%0A%0ATe lo estoy mandando a ti para que tambien puedas obtener los beneficios.%0A%0ASolicitalo aqui: hxxp://gobiernoperuanothelp.blogspot.com/?V

d) En la verificación, indica a la víctima “te pediremos un CÓDIGO el cual vas a obtener luego de instalar una aplicación GRATIS que te mostraremos.”

e) Por último, se tiene que registrar la dirección domiciliaria.

3. Indicadores de Compromiso (IoC)

Dominio fraudulento: hxxps://gobiernoperuanothelp.blogspot.com/?V

IP: 74 [.]125 [.]124 [.]132

SHA-256: 696365c27f2703b13739ac58f074f9b082e8fe6b35226c0582d312c03e870da

Título: Martin ayuda al pueblo

4. Recomendaciones:

Evaluar el bloqueo preventivo de indicadores de compromiso.

Mantener firmas y motores de los antivirus actualizados.

Verificar la autenticidad del sitio web antes de registrar sus datos.

No difundir y/o reenviar contenido sospechoso.

No abrir correos de dudosa procedencia y menos hacer clic en los enlaces o abrir archivos adjuntos.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

Figura 1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 126

Fecha: 8-08-2020

Página: 4 de 6

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del malware Evelnum

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 08 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Welivesecurity, se informa sobre la detección del malware Evelnum, dirigido a compañías de tecnología financiera como empresas que ofrecen plataformas y herramientas para el comercio en línea, la cual se distribuye a través de correos electrónicos de spearphishing que contienen un enlace a un archivo ZIP alojado en Google Drive. Ese archivo contiene varios archivos LNK también conocido como acceso directo que extraen y ejecutan un componente JavaScript malicioso, mientras muestran un documento señuelo, que tienen extensiones dobles para intentar engañar al usuario que pinche sobre el archivo enviado, pensando que son documentos o imágenes benignas en Windows, las extensiones están ocultas de forma predeterminada.

El objetivo principal del grupo Evilnum es espiar a sus objetivos y obtener información financiera tanto de las empresas bancarias seleccionadas como de sus clientes como:

o Hojas de cálculo y documentos con listas de clientes, inversiones y operaciones comerciales

o Presentaciones internas

o Licencias de software y credenciales para el comercio de software / plataformas

o Cookies e información de sesión de navegadores

o Credenciales de correo electrónico

o Información de la tarjeta de crédito del cliente y comprobante de domicilio

o Datos personales como documentos de identidad, fecha de nacimiento, dirección domiciliaria entre otros

o Imagen:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: ServiceHud.exe

Tipo: Win32 EXE

Tamaño: 6.00 KB (6144 bytes)

MD5: 7783211ed125bbe31cf50b47e9e96fbb

SHA-1: b6b9c5effdd14e2920183b313c56e5068c57a709

SHA-256: 622070f03ea5a66037c38715ecce1ca6351148ab56ce6423fdafc13b383a4878

Nombre: XVI32 - XVI32.EXE

Tipo: Win32 DLL

Tamaño: 386.31 KB (395584 bytes)

MD5: 7cfeb19c792c78c791367c89f74bc8ab

SHA-1: 7d9037377dc2a2e3fc1985983942d1e9f986aa42

SHA-256: 1be727ebce44e5c669b2b08ad06e9d99c02490f8bb7f59dda81050947d99b77a

2. Algunas Recomendaciones: No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 6 de 6

Índice alfabético

Código malicioso ................................................................................................................................................................ 4 Fraude ................................................................................................................................................................................ 3 hxxp ................................................................................................................................................................................... 3 internet .............................................................................................................................................................................. 3 malware ............................................................................................................................................................................. 4 Malware ............................................................................................................................................................................. 4 Phishing ............................................................................................................................................................................. 3 redes sociales ..................................................................................................................................................................... 1 Redes sociales .................................................................................................................................................................... 3 software ............................................................................................................................................................................. 4 USB, disco, red, correo, navegación de internet ............................................................................................................... 4