La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la
Seguridad Digital del Estado Peruano.
El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las
empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar
la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas.
Contenido
Malware LemonDuck apunta a PC con Windows ... 3
APT hackers distribuido Android de Troya a través del portal sirio de gobierno electrónico... 4
Suplantación de identidad en DHL ... 5
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 184
Fecha: 24-07-2021
Página: 3 de 00
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
ARMADAS
Nombre de la alerta Malware LemonDuck apunta a PC con Windows
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó una nueva campaña del malware altamente sofisticado de minería de criptomonedas denominado LemonDuck, dirigido a los sistemas operativos de Windows y Linux. Actualmente los actores de amenazas lo utilizan para apuntar a empresas con vulnerabilidades antiguas y sin parches en su sistema, con la finalidad de robar credenciales clave de PC con Windows y Linux, la eliminación de controles de seguridad para que los administradores del sistema se vuelvan impotentes y la difusión a través de correos electrónicos (phishing).
El malware LemonDuck utiliza una amplia gama de mecanismos de propagación como correos electrónicos de phishing, exploits, dispositivos USB, fuerza bruta, entre otros. Así como también demostró que puede aprovechar rápidamente las noticias, los eventos o el lanzamiento de nuevos exploits para ejecutar campañas efectivas, todo esto para permitir una mayor ejecución remota de código (puertas traseras) y así dejar las computadoras expuestas a ser infectadas con ransomware y syware.
Este malware se aprovecha de los sistemas obsoletos ya que son uno de los mayores instrumentos a través de los cuales se propagan estos ataques, es imperativo que tanto los usuarios como los administradores de TI apliquen actualizaciones rápidas e inmediatas, que parchean muchas vulnerabilidades en los sistemas que de otro modo pueden estar expuestos a amenazas graves.
Microsoft también revela que, si bien los atacantes inicialmente se habían centrado principalmente en China, India, ahora se está centrando en países como EE. UU., Rusia, China, Alemania y el Reino Unido que están siendo atacadas, y las principales empresas objetivo se encuentran en los sectores de fabricación e IoT. La amenaza se ve agravada por la infraestructura en evolución del malware, que agrava aún más la amenaza y la dificultad de lidiar con tales incidentes para la comunidad de seguridad cibernética.
Recomendaciones:
• Evitar abrir correos electrónicos de dudosa procedencia • Instalar parches de actualización en los sistemas operativos • Mantener actualizado el navegador web
• Mantener activas y actualizadas las herramientas de protección, como el antivirus, antimalware, etc. • Mantener actualizado el sistema operativo
Fuentes de información hxxps://english.press24.in/2021/07/25/crypto-mining-malware-lemonduck-targets-windows-pcs-india-on-hitlist-too/
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 184
Fecha: 24-07-2021
Página: 4 de 00
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta APT hackers distribuido Android de Troya a través del portal sirio de gobierno electrónico
Tipo de ataque Malware Abreviatura Malware
Medios de propagación Red, internet.
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso.
Descripción
El 24 de julio de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomo conocimiento de la información publicada por “The Hackers News”, dando a conocer que un actor de amenaza persistente avanzada (APT) ha sido rastreado en una nueva campaña que implementa malware para Android a través del Portal Web de Gobierno Electrónico sirio, lo que indica un arsenal actualizado diseñado para comprometer a las víctimas.
StrongPity,también llamado Promethium por Microsoft, se cree que ha estado activo desde 2012 y normalmente se ha centrado en objetivos en Turquía y Siria. En junio de 2020, el actor de amenazas de espionaje estuvo conectado a una ola de actividades que apostaban por ataques de abrevaderos y manipulaban a instaladores, que abusaban de la popularidad de aplicaciones legítimas, para infectar objetivos con malware. PROMETHIUM es un grupo de actividad que ha estado activo ya en 2012. El grupo utiliza principalmente Truvasys, un malware de primera etapa que ha estado en circulación durante varios años. Truvasys ha estado involucrado en varias campañas de ataque, donde se ha hecho pasar por una de las utilidades informáticas comunes del servidor, incluyendo WinUtils, TrueCrypt, WinRAR o SanDisk.
El malware, que se hace pasar por la aplicación siria para Android e-Gov, se creó en mayo de 2021, con el archivo de manifiesto de la aplicación ("AndroidManifest.xml") modificado para solicitar explícitamente permisos adicionales en el teléfono, incluida la capacidad de leer contactos, escribir en almacenamiento externo, mantener el dispositivo despierto, acceder a información sobre redes celulares y Wi-Fi, ubicación precisa e incluso permitir que la aplicación se inicie tan pronto como el sistema haya terminado de arrancar.
Se recomienda:
• Se recomienda a los usuarios estos usuarios no habilitar la instalación de las aplicaciones de "fuentes desconocidas" en sus dispositivos.
• Mantener el Sistema Operativo actualizado, no debemos olvidar que los ciberdelincuentes que se dedican a crear programas maliciosos están continuamente mejorando sus herramientas.
• Utiliza un navegador actualizado, Los navegadores (Chrome, Safari, Internet Explorer...) también nos van a proteger advirtiéndonos de páginas o descargas poco seguras. Por lo tanto, conviene actualizarlos cuando reciban una nueva versión.
• Evitar las descargas poco seguras, Siempre que sea posible descargar los programas que utilices en tu ordenador de la página web oficial de fabricante y no descargues archivos de páginas dudosas.
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 184
Fecha: 24-07-2021
Página: 5 de 00
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Suplantación de identidad en DHL
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de phishing, que suplanta la identidad de DHL (Empresa especializada en los servicios de mensajería, paquetería y transporte nacional e internacional), con el objetivo de robar información personal y financiera de los usuarios que utilizan el servicio de paquetería DHL.
Detalles del proceso de phishing
La URL sospechosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo como resultado que NO SE ENCUENTRA REPORTADA COMO PHISHING.
• URL Malicioso:
• Dominio: dhlvonpacket[.]net • Servidor: nginx
• SHA-256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
Detalles técnicos de los dominios del sitio web oficial y la plataforma web sospechosa de la empresa de paquetería DHL
Apreciación de la información:
• La presente campaña de phishing permite a los actores de amenazas obtener información los usuarios que utilizan el servicio de paquetería DHL, empresa de logística líder en el mundo, la cual cuenta más de 400 000 trabajadores en más de 220 países.
• La propagación del sitio web fraudulento se realiza mediante envió masivos de email, adjuntando enlaces de sitios web fraudulentos con la finalidad de obtener información sensible de las víctimas; asimismo, a través de las aplicaciones de mensajería instantánea entre ellos WhatsApp, Telegram, Messenger, etc. y mensajes de textos SMS.
Algunas Recomendaciones:
• Verificar detalladamente las URL de los sitios web • No abrir o descargar archivos sospechosos. • No siga instrucciones de desconocidos. • Mantenga su antivirus actualizado.
• Descargar aplicaciones de fuentes confiables.
• Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
• Realizar las actualizaciones correspondientes desde fuentes originales.
Fuentes de información
Página: 7 de 00