La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y el Centro Nacional de Seguridad Digital de la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la Seguridad Digital del Estado Peruano.
El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las áreas técnicas de entidades y empresas.
N° 212-2022-CNSD
Lima, 06 de agosto de 2022
Contenido
Un número creciente de ataques de malware que aprovechan las utilidades oscuras 'C2-as-a-Service' ... 4
Hack Group APT31 ataca el complejo ruso de combustible, energía y los medios ... 5
Nuevos hashes maliciosos... 6
Detección de sitio web fraudulento del Banco Interbank ... 8
Índice alfabético ... 10
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 212
Fecha: 06-08-2022 Página 04 de 10 Componente que reporta CENTRO DE CIBERDEFENSA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Un número creciente de ataques de malware que aprovechan las utilidades oscuras 'C2-as-a-Service'
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Subfamilia C02
Clasificación temática familia Código Malicioso
Descripción FECHA DEL EVENTO:
A través del monitoreo y búsqueda de amenazas en el ciberespacio del día 05 de agosto del 2022, se tomó conocimiento a través de la publicación realizada en la página web de “THEHACKERNEWS”, sobre un servicio naciente llamado Dark Utilities ya ha atraído a 3000 usuarios por su capacidad para proporcionar servicios de comando y control (C2) con el objetivo de requisar sistemas comprometidos.
DETALLES:
Se comercializa como un medio para habilitar el acceso remoto, la ejecución de comandos, los ataques distribuidos de denegación de servicio (DDoS) y las operaciones de minería de criptomonedas en los sistemas infectados. Dark Utilities, que surgió a principios de 2022, se anuncia como un
"C2-as-a-Service" (C2aaS), que ofrece acceso a la infraestructura alojada en clearnet, así como a la red TOR y las cargas útiles asociadas con soporte para Windows, Linux, e implementaciones basadas en Python por solo 9,99.
A los usuarios autenticados en la plataforma se les presenta un tablero que hace posible generar nuevas cargas útiles adaptadas a un sistema operativo específico que luego se puede implementar y ejecutar en los hosts de las víctimas.
Además, a los usuarios se les proporciona un panel administrativo para ejecutar comandos en las máquinas bajo su control al establecer un canal C2 activo, otorgando
efectivamente al atacante acceso total a los sistemas. La idea es permitir que los actores de amenazas apunten a múltiples arquitecturas sin requerir esfuerzos de desarrollo significativos. También extiende a sus clientes soporte y asistencia técnica a través de Discord y Telegram.
Para agregar combustible al fuego, los artefactos de malware se alojan dentro de la solución descentralizada del Sistema de archivos interplanetarios (IPFS), lo que los hace resistentes a la moderación de contenido o la intervención de las fuerzas del orden de una manera similar al "alojamiento a prueba de balas". IPFS está siendo abusado actualmente por una variedad de actores de amenazas que lo utilizan para alojar contenidos maliciosos como parte de campañas de phishing y distribución de malware.
Las plataformas como Dark Utilities reducen la barrera de entrada para los ciberdelincuentes que ingresan al panorama de amenazas al permitirles lanzar ataques rápidamente dirigidos a una variedad de sistemas operativos", también ofrecen múltiples métodos que se pueden usar para monetizar aún más el acceso obtenido a los sistemas en entornos corporativos y podrían conducir a una mayor implementación de malware en el entorno una vez que se haya obtenido el acceso inicial.
RECOMENDACIONES:
Verificar los dominios y los sitios web que visitas, algunos delincuentes solo modifican una letra para que las víctimas no noten el fraude.
Revisar la dirección del remitente de los correos que recibes. Recuerda verificar si anteriormente has recibido correos de la misma dirección.
Mantener actualizado el sistema operativo y máquinas virtuales.
Evitar hacer clic en anuncios emergentes ya que suelen conducir a la descarga del software malicioso.
Fuentes de información https://thehackernews.com/2022/08/a-growing-number-of-malware- attacks.html
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 212
Fecha: 06-08-2022 Página 05 de 10 Componente que reporta CENTRO DE CIBERDEFENSA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Hack Group APT31 ataca el complejo ruso de combustible, energía y los medios
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Subfamilia C02
Clasificación temática familia Código Malicioso
Descripción ANTECEDENTES
- El 05 de agosto del 2022, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que los especialistas de Positive Technologies detectaron un ataque a varias organizaciones rusas (compañías de medios y energía) utilizando un documento malicioso. Un análisis del malware utilizado mostró que el grupo chino APT31 está detrás de estos ataques.
DETALLES
- Se registraron fragmentos de código idénticos que reciben información sobre los adaptadores de red y recopilan datos sobre el sistema infectado, los "stubs"
en los documentos tenían una clara similitud y se utilizaron servidores en la nube para administrar el malware.
- El objetivo de usar esta técnica es eludir las protecciones de la red, ya que se conecta a un servicio legítimo. Dado que el grupo utilizó anteriormente el servicio en la nube de Dropbox, los investigadores notaron intersecciones con algunas de las herramientas del grupo.
- Una parte significativa de los archivos ejecutables legítimos identificados era algún componente de Yandex.Browser y estaba firmado con una firma digital válida.
- Asimismo, durante el análisis se descubrieron dos nuevos tipos de malware, los cuales fueron denominados YaRAT (ya que utiliza Yandex.Disk como
servidor de control y tiene la funcionalidad de un troyano de acceso remoto) y Stealer0x3401 (por la constante utilizada al ofuscar el cifrado). llave).
- En el caso de YaRAT, el instalador del navegador Yandex firmado con una firma digital válida de Yandex (o su versión portátil) se usó como un archivo legítimo vulnerable a la DLL de carga lateral. Stealer0x3401, a su vez, usó un archivo binario legítimo dot1xtray.exe, que cargó la biblioteca maliciosa msvcr110.dll.
RECOMENDACIÓN
Es importante trabajar de manera proactiva, informar al personal sobre las medidas de seguridad digital y sobre las técnicas de phishing utilizadas por los atacantes. Además, es importante que ante cualquier evento o incidente estas sean reportadas a los especialistas en seguridad de la información.
Fuentes de información https://xakep.ru/2022/08/04/apt31-russia/
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 212
Fecha: 06-08-2022 Página 06 de 10 Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Nuevos hashes maliciosos
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de sub familia C03
Clasificación temática familia Código malicioso
Descripción
o El día 05 de agosto del 2022, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectaron nuevas firmas de hash maliciosas, entre ellas:
ITEM HASH SHA256 TIPO DE
ARCHIVO NOMBRE DEL ARCHIVO 1 1d1ea78d13d0623458e8ede07cb545945d321
34f6324a8b472d77304f32cb778
zip windowssecurity.zip
2 0f52e0d8febf08be311010c7273a26a029da473 f4942f83573cbbccc84f1b185
text NZrTnPVmtfjcSMz8n1hZZzvHQvUUEfFnIM AYliQuR_A_[1]
3 9251aee215b3f31d59a5bd59ae4041c227c66d a57ae8eec7400ab4b3f0a7620e
pdf New Salary Adjustments.pdf
4 fd3dbbef6241a2a234f4a0ff2e42b347d94abe1 e550e9b5f5093b4617146ce9b
exe FacturasPagadasalVencimientoPDF_exe.bi n
5 af7ce0200fe43b53a6302e15669a997809a533 34564aa01531f44579025727dd
exe Valorant Fun Inject.exe
6 7289be0a0eb007aff26d3094fcfd7f06443a7c40 30ad6c76987ced832afa16f9
7zip No Determinado
7 53b438f29357a6b0e3382d1c6f67e235c9f8bcb eea4fcfd00281858e9f17836e
zip docs.zip
8 f0d59400d19948ab31a6ed887a9675db2db592 672b4ff72217609bce11fdbb79
exe content.5536.21228.2106
9 5f6899e286e980421dd989dc38903ee96abbae da9f2dc4c9524655d9271ba4d1
exe RFQ_QUO190094518765.exe
10 fda5f6d876e170d1f8181644a0ca66743f178b0 ab3c6aabe49b13a642201848b
rar fda5f6d876e170d1f8181644a0ca66743f17 8b0ab3c6aabe49b13a642201848b 11 301169c5bfcf6b40e3d2490883249d50bb14aa
a55fd343929f9226a0e9472c2f
docx quotation.docx
12 2bf1a4c6ca7ca7016e5747ce9837194ee884e06 58bc867e6a24696f12a0c8641
dll nw_elf.dll
13 2193aa8dfecf309169c851335453e69ba099af3 bc6c95a90553154382edf5ab9
zip SOA_COL3467.zip
14 dcc9a76e66fca03aa388e3101ec57e924b6cd5c a7b44c073be9d3b4c0a153973
javascript DLLL.txt
15 e25f1039d8cff12a139762dd30c9bb255b5da9d 25b34f6beac894d564e1afe02
javascript B1.txt
16 cc2e642856dd88950adc50fbc648074f7f4f4b2 3e51d00e7779873e368f6dd7a
javascript No Determinado
17 70abbc3b6401a77e527be44b4aa341ea37b6f4 2b90fb9e6f9db55e96b3853c24
javascript AAXEL.txt
18 365b2f3e0560fa907cc7af690352adb80aea8c6 bd0b667592b960fab82f3acea
javascript fire.txt
19 69b38fc9226fe10eb25371f0752f2d83ae035d5 18dbf2470237f9622625acb51
javascript CO.txt
20 57668f13d0e6aafab0479718dce0542e69864b 675787bcf25af6a4fd6b60f383
zip Pre_Alert_Notice.zip
21 49a340e3cf902b980114ec701e3900f3d38da9 d37449447240bf11a7af495eef
rar INVOICE.rar
22 26bc93ef5d791e96beb462860424b38b22c8d1 9d0d93601b683e965561045c73
exe content.7004.2607.6250.1649.8824
23 6acea650d40c0172ec2f6ec27b9f4755a9430c7 4642cef80850071ceea919f08
dll main.exe
24 39a94faa5cb4b802c464042b9f937a58f342c14 827b4a2335f35880ca7c34561
exe content.32037.25931.12049.32218.15085
25 f1367f5f01928295dbf20fff7b775173da82b91d 4b58a9eb4d6832a6268656ca
zip No Determinado
26 a7e2a04c8c8ba93e95377b6809fb3d3a5341f0f e3686d7f6c5dcebf472bcaa1c
zip content.13210.10333.9664.28225.6339
27 c5fbc14b74c59f42ac6961c25f58efa7936a30a6 93fdad0105888df6a651c61d
zip content.3714.17295.26520.5789.5715
28 e6df22ffc6f848e3454953ad4b1b2296abe33b8 8e19101b0a1902666c1db6b50
zip yQVdMIhcpS.zip
29 6e9698b440b9020a70d4ae8df1f46a99ae566c 2af8addbece3db3c5e0c98d296
exe 6e9698b440b9020a70d4ae8df1f46a99ae5 66c2af8addbece3db3c5e0c98d296.exe o Recomendaciones:
Evitar descargar archivos y/o enlaces de dudosa procedencia.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 212
Fecha: 06-08-2022
Página 08 de 10 Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de sitio web fraudulento del Banco Interbank
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de Subfamilia G02
Clasificación temática familia Fraude
Descripción
1. A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de Phishing, por medio de diferentes navegadores web, quienes vienen suplantando el sitio web del Banco Interbank (Banca por internet); el supuesto sitio web cuenta con colores y logos característicos idénticos al sitio web oficial, el cual tiene como finalidad robar información bancaria de las víctimas.
2. Imagen: detalles del proceso de Phishing.
Paso Nº 01
Solicitan la información bancaria de la víctima como:
Número de la tarjeta de crédito o débito
Número del Documento Nacional de Identidad (DNI)
Clave web 01
Paso Nº 02
Una vez brindado los datos solicitados en el paso Nº 01, aparece una pantalla requiriendo información de la tarjeta bancaria como la fecha de vencimiento y el código de seguridad (CVC); asimismo, el número del teléfono móvil con su respectivo operador, para luego dar clic en <Continuar>.
02
Paso Nº 03
Solicitan nuevamente información de la tarjeta bancaria como el número de la tarjeta de crédito o débito, fecha de vencimiento y el código de seguridad (CVC); luego dar clic en
<Continuar>.
03
Paso Nº 04
Por último, brindan información del supuesto código de operación, la fecha y hora;
solicitando dar clic en <Continuar>.
Pero pasado unos segundos, redirige al sitio web oficial de la entidad bancaria; sin embargo, los ciberdelincuentes obtuvieron los datos brindado por la víctima.
04
3. Comparación del sitio web oficial y fraudulento.
Existe una diferencia entre la URL original y la URL fraudulenta; asimismo, se aprecia que la URL hxxps://slasher[.]pl/vww[.]interbank[.]pe/logn del sitio web fraudulenta POSEE EL PROTOCOLO DE SEGURIDAD DE RED (https).
4. Proveedores de seguridad informática alertan como SUPLANTACIÓN DE IDENTIDAD - PHISHING.
5. Indicadores de compromiso (IoC)
URL : hxxps://slasher[.]pl/vww[.]interbank[.]pe/logn
DOMINIO : slasher[.]pl
SHA-256 : 99ccb7f8483c31891d649df33fcbe080293e89d2eec3e83311a5809fe9295529
IP : 5[.]252[.]229[.]113 6. Apreciación de la información:
La presente campaña de Phishing, permite a los actores de amenazas obtener información bancaria de los usuarios del Banco Interbank.
La propagación del sitio web fraudulento se realiza mediante envió masivos de email, adjuntando enlaces de sitios web fraudulentos con la finalidad de obtener información sensible de las víctimas; asimismo, dicho enlace malicioso, es enviado a través de las plataformas digitales como el WhatsApp, Telegram, Messenger y mensajes de textos SMS.
7. Algunas recomendaciones:
Verificar detalladamente las URL de los sitios web
No abrir o descargar archivos sospechosos.
No seguir las instrucciones de sitio web sospechoso.
Mantener el antivirus actualizado.
Comunicar a la entidad financiera si ha realizado un registro de acceso en un sitio web sospechoso.
Fuentes de información Análisis propio de redes sociales y fuente abierta SITIO WEB OFICIAL
PLATAFORMA WEB FRAUDULENTA
Dominio slasher[.]pl
Dominio Interbank.pe
Página 10 de 10
Índice alfabético
Ciberespacio ... 4, 5, 6, 8 Hash ...6 Interbank ... 8, 9 Malware ... 4, 5, 6 Phishing ... 4, 5, 8, 9
