La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la Seguridad Digital del Estado Peruano.
El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las áreas técnicas de entidades y empresas.
Lima, 8 de agosto de 2021
Contenido
Malware en servidores IIS que afecta a sitios web de comercio electrónico ... 3
Pegasus: software espía para celulares con SO ANDROID O IOS ... 4
Detección de Malware en la APK de “Blood Pressure Recorder 2.6” para Android. ... 5
Índice alfabético ... 7
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 199
Fecha: 08-08-2021 Página: 3 de 7 Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
ARMADAS
Nombre de la alerta Malware en servidores IIS que afecta a sitios web de comercio electrónico
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
El 08 de agosto de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una publicación, sobre el malware en servidores IIS que afecta a sitios web de comercio electrónico.
El malware fue descubierto por los investigadores de ESET. El troyano que denominaron IIStealer, es detectado por ESET Security Solution como Win 64 / Bad IIS. El malware se implementa como una extensión del servicio de Información de Internet (ISS), Microsoft Web Server Software, una vez que es parte del servidor, IIStealer es capaz de acceder a toda la comunicación de red que fluye a través del servidor y robar datos que sean de interés para los actores de amenazas, por ejemplo, los datos de pago de transacciones que se realizan en sitios web de comercio electrónico.
IIStealer funciona interceptando el tráfico normal entre el servidor comprometido y sus clientes, dirigiendo las solicitudes HTTP POST realizadas a una ruta URI particular. incremento. /checkout/checkout.aspx también /checkout/Payment.aspx .Cada vez que un visitante legítimo del sitio web envía una solicitud a estas páginas de pago, IIStealer registra el cuerpo de la solicitud HTTP en un archivo de registro. Asimismo, no interfiere con las respuestas HTTP generadas por componentes legítimos del sitio web.
Estas funciones permiten a IIStealer robar datos de tarjetas de crédito introducidas en sitios web de comercio electrónico que no utilizan pasarelas de pago de terceros. Asimismo, ESET indico tener en cuenta que SSL / TLS y los canales de comunicación cifrados no protegen estas transacciones contra IIStealer, ya que el malware puede acceder a todos los datos procesados por el servidor, ya que el servidor procesa la información de su tarjeta de crédito sin cifrar.
Se recomienda:
• Mantener actualizado el sistema operativo, antivirus y las aplicaciones.
• No abrir enlaces o archivos adjuntos de remitentes desconocidos.
• No utilizar cuentas con privilegios de administrador.
• Realizar copias de seguridad periódicas de todos tus archivos.
• Concientizar al personal en ciberseguridad.
• Navega en forma inteligente.
Fuentes de información hxxps://www.welivesecurity.com/la-es/2021/08/06/iistealer-malware-servidores-iis-afecta- sitios-web-comercio-electronico/
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 199
Fecha: 08-08-2021 Página: 4 de 7 Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Pegasus: software espía para celulares con SO ANDROID O IOS
Tipo de ataque Spyware Abreviatura Spyware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C04
Clasificación temática familia Código malicioso
Descripción Fecha del evento:
A través del monitoreo y búsqueda de amenazas en el ciberespacio el 08 de agosto de 2021, se tomó conocimiento a través de la publicación realizada en la página web “soydemac” el descubrimiento y análisis de un spyware identificado como software espía “Pegasus”
Antecedentes:
• Se ha detectado inicialmente este spyware a principios de este mes de agosto a las mujeres periodistas de Al- Jazeera que tenían fotos privadas filtradas como resultado del spyware Pegasus.
• Dicho spyware se encuentra instalado en su mayoría en políticos, empresarios y otros de su interés.
Detalles:
• Es un spyware creado por el grupo NSO basado en vulnerabilidades de día cero para recopilar datos de teléfonos inteligentes sin el consentimiento del usuario.
• Dicho grupo lo vende a empresas estatales de diferentes países para poder espiar a sus ciudadanos.
Recomendación:
• Realizar el escaneo con programas confiables de malware instalados en los celulares
• Realizar lo antes dicho periódicamente.
Fuentes de información hxxps://www.soydemac.com/imazing-para-mac-detecta-si-tu-iphone-tiene-pegasus- instalado/
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 199
Fecha: 08-08-2021 Página: 5 de 7 Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de Malware en la APK de “Blood Pressure Recorder 2.6” para Android.
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet.
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los actores de amenazas vienen distribuyendo una APK denominada “Blood Pressure Recorder 2.6” que incita a las víctimas concederle permisos especiales en el menú de accesibilidad de Android, para descargar y ejecutar el Malware conocido como “Joker”; con el objetivo controlar los dispositivos móviles.
• Funciones gratuitas que ofrece la APK:
o Permite rastrear el nivel de azúcar en sangre y el pulso todos los días.
o Registra los datos y verifica las estadísticas en la piel.
o Tiene un medidor de glucosa en sangre.
o Estadísticas de revisión gráfica y notificaciones programables para registrar mediciones.
• Detalles:
o Versión: 2.6
o Tamaño del archivo: 3.04 MB o Requiere: Android 5.0+
o Nombre del paquete: com.sentivetiy.bloodrecordor o Desarrollador: William M Miller
o Actualizado: 14 de junio de 2021 o Precio: Gratis
o Calificación de 3.40 estrellas - basado en 25 opiniones
De las acciones de Ciberseguridad, se realizó un análisis del archivo APK en cuestión, a fin de determinar el grado de confianza y la detección de algún Malware que pudiera poner en riesgo a los dispositivos Android, teniendo como resultado lo siguiente:
• Análisis: com.sentivetiy.bloodrecordor_26_apktada.com (1) .apk
• VirusTotal
o Archivos comprometidos:
- MD5: 5964e66e2f4082a83570f2872f511ea3
- SHA-1: aa359a7bfda34324cef190a9e665819018d0fcb5
- SHA-256: 83e3b60f804d8d8cb2e5926d0ce7381d025aba2f53b3ec7395732fca01d4f9df - Tipo de archivo: Android
- Tamaño: 3,04 MB (3182834 bytes)
o Tipología:
Algunas Recomendaciones:
• Sustenta las descargas a través de Play Store para minimizar riesgos.
• Verifica la información de la app visitando el sitio web de los desarrolladores.
• Analiza los permisos que otorgas para la aplicación.
• Evitar las aplicaciones milagrosas y los clones.
• No abra archivos sospechosos.
• Actualiza el sistema de tu dispositivo constantemente.
Fuentes de información Análisis propio de redes sociales y fuente abierta.
Observación: Se detecta que el archivo APK contiene Malware uno de ellos conocido como
“Joker” que está diseñado para robar mensajes SMS, lista de contactos e información del
dispositivo, además de suscribir de manera oculta a usuarios en servicios de pago.
Página: 7 de 7
