Post on 27-Jan-2022
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 30 de abril de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
CONTENIDO
Campaña de smishing a clientes del Banco de Crédito del Perú (BCP) ......................................................... 3
Ransomware shade: creadores publican 750000 claves de descifrado ........................................................ 5
Venta de datos robados de las tarjetas de crédito en la darknet ................................................................. 6
Ataques de suplantación de identidad por persuasión ................................................................................. 7
Malware bancario dirigido a dispositivos móviles Android .......................................................................... 8
Vulnerabilidad en dispositivos de Cisco ........................................................................................................ 9
Aumentan los ataques de fuerza bruta por RDP .........................................................................................10
Se ha descubierto un nuevo troyano bancario “EventBot” dirigido a dispositivos Android .......................11
Phishing, a través de fanpage falsa de Facebook. .......................................................................................14
Vulnerabilidades en software samba ..........................................................................................................16
Índice alfabético ..........................................................................................................................................18
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 3 de 18
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Campaña de smishing a clientes del Banco de Crédito del Perú (BCP)
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Mensajes de texto (SMS) Código de familia G Código de Sub familia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una campaña de “smishing” que se está difundiendo a través de mensajes de texto (SMS) enviados a telefonía móvil con contenido falso que aparentemente proviene del Banco de Crédito del Perú (BCP).
Este tipo de ciberataques a los usuarios cada vez se hace más frecuente, pretendiendo aprovechar la situación en la que se encuentra nuestro País, debido a la crisis sanitaria causada por la propagación del COVID-19.
2. Detalles de la alerta:
El mensaje telefónico proviene del número celular 958582003, con un contenido de engaño mostrando el siguiente mensaje: “Usted tiene una trasferencia retenida, para activar tus operaciones y evitar el bloqueo temporal ingrese aquí: hxxps://viabcp.smsl.vip“, con el #QuedateEnCasa ViaBCP.
Si el usuario hace clic en el enlace, le redirige a la dirección web hxxps://peru.payulatam.com/blog/aprende-a-pagar-con-bcp-peru, el cual contiene un portal fraudulento, con información de la empresa financiera.
Asimismo, dentro del portal web aparece un formulario con el título ¿Quieres empezar a vender en línea? Inscríbete en PayU aquí, donde solicita que al usuario para ser suscrito tiene que ingresar información personal (nombres, apellidos y cuenta de correo electrónico). Una vez ingresado los datos, se expone a ser víctima de algún tipo de ciberdelito.
Cabe precisar, que a través de herramientas de análisis de malware se examinó a las tres (3) URL comprometidas, obteniendo los siguientes resultados:
Hxxps://viabcp.smsl.vip, de acuerdo al análisis contiene phishing.
Hxxps://bcpzonasegurabeta.vialbcpe.live/#/iniciar-sesion, de acuerdo al análisis contiene phishing.
Hxxps://peru.payulatam.com/typ/gracias-blog-subscription?submissionGuid=6724db84-8f53-4624-9add-d56dc5933797, de acuerdo al análisis contiene código malicioso.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
En resumen, estas páginas falsas están diseñadas para parecer legítimas o suplantar con precisión los sitios web conocidos, con la finalidad de engañar a los usuarios para poder obtener información personal y/o credenciales financieras. Posteriormente los ciberdelincuentes utilizaran la información robada de sus víctimas, a fin de realizar hechos delictivos como fraude informático.
3. Indicadores de compromiso:
Número de celular : 958582003
URL Comprometida : hxxps://viabcp.smsl.vip
SHA256 : b99a7aa12b73e09abac1c8b51f836755bffc15f9ce199f67980beeadd59d8ce5
10b7c025b1c1d512d9a64757847bc0dfbcff90374e85c3304f442703e67b16bf
e0ca3e3ea19613f07348afc0555439cbfaa618a34ec53fc587b9c41e0b4e8f5a
Direcciones IP : 185[.]61[.]153[.]107; 104[.]17[.]132[.]180; 104[.]17[.]136[.]180
URL Re-direccionada : hxxps://peru.payulatam.com/blog/aprende-a-pagar-con-bcp-peru
: hxxps://peru.payulatam.com/typ/gracias-blog-subscription?submissionGuid=6724db84-8f53-4624-9add-d56dc5933797
4. Recomendaciones:
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Evaluar el bloqueo preventivo de los indicadores de compromisos.
La telefonía móvil debería contar con un antivirus y estar actualizado.
No abrir correos electrónicos de dudosa procedencia.
Nunca hacer clic en enlaces que envían por aplicaciones de mensajería, redes sociales, mensajes de texto o correo electrónico.
Capacitar al personal sobre ingeniería social, phishing, smishing y spear-phishing.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 5 de 18
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Ransomware shade: creadores publican 750000 claves de descifrado
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correos, Ingeniería Social
Código de familia C Código de sub familia C02 Clasificación temática familia Código Malicioso
Descripción
5. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los autores del ransomware explican que han publicado más de 750.000 claves de desencriptación, en un "esfuerzo por ayudar a las víctimas a recuperar sus datos".
6. El ransomware Shade, que existe desde hace más de cinco años, difiere de otras grandes campañas de ransomware, en el sentido que se dirige principalmente a empresas rusas y ucranianas.
7. En la disculpa oficial, los operadores revelaron que habían suspendido la distribución del ransomware a finales del año pasado. "Somos el equipo que creó un troyano conocido principalmente como shade, troldesh o encoder.858. Efectivamente, detuvimos su distribución a finales de 2019", dice la nota.
8. "Ahora tomamos la decisión de poner punto final a esta historia y publicar todas las claves de desencriptación que tenemos (más de 750 mil en total). También estamos publicando nuestro software de descifrado y, esperamos que, al tener las claves, las compañías antivirus elaboren sus propias herramientas de descifrado, más fáciles de usar". Con ello, se refieren a que el desencriptador es difícil de usar. Esta información ha sido confirmada por expertos consultados por la publicación Bleeping Computer, según la cual investigadores de Kaspersky habrían confirmado que las claves son, al menos, válidas y operativas.
9. Se recomienda:
Aprender a usar el descifrador, ya que no es sencillo
Actualizar el antivirus de Seguridad, para que la herramienta de descifrado de ransomware RakhniDecryptor para que estas claves faciliten a las víctimas recuperar sus archivos de forma gratuita.
Estar atentos sobre la próxima fecha de actualización de la herramienta de descifrado.
Fuentes de información https://blog.segu-info.com.ar/2020/04/filtrados-datos-de-empleados-de-apple.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed:+NoticiasSeguridadInformatica+(Noticias+de+Seguridad+de+la+Informaci%C3%B3n)&m=1
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 6 de 18
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Venta de datos robados de las tarjetas de crédito en la darknet Tipo de ataque Mal uso y abuso de los servicios tecnológicos Abreviatura MalUsoServTec
Medios de propagación Red, navegación de internet
Código de familia K Código de Subfamilia K01
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del informe de Group IB (empresa de Singapur con servicio de ciberseguridad) sobre la venta de datos robados de aproximadamente 400.000 mil tarjetas de crédito en las páginas web de comercio ilegal en la darknet, esta información fue publicada el 28 de abril de 2020 por la web de Información y noticias de tecnología Adslzone.
2. Según Group IB, la venta de estos elementos robados tiene un costo mayor que los precios del trámite de un DNI o Pasaporte en la darknet, la base de datos de las tarjetas se está vendiendo en Jokers Stash el mercado más grande de la darknet para la venta de datos de las tarjetas de crédito y débito robadas.
3. Asimismo, los datos recopilados por los atacantes fueron en aumento en estas ultima semanas debido a la cuarentena en diferentes países, dichos datos contienen el número de la tarjeta, la entidad bancaria, la fecha de caducidad, el número de cuenta y en ocasiones el CVV/CV2 quienes compren los datos pueden obtener fondos de esas tarjetas creando tarjetas clonadas con la información obtenida.
4. Se recomienda:
• Utilizar mecanismos de seguridad al momento de hacer una compra con tarjeta de crédito vía web.
• Verificar que la página web donde se navega tenga certificado de seguridad.
Fuentes de información https://www.adslzone.net/noticias/internet/dark-web-400-000-tarjetas-robadas/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 7 de 18
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Ataques de suplantación de identidad por persuasión Tipo de ataque Robo de información Abreviatura RobInfo
Medios de propagación Red, navegación de internet
Código de familia K Código de Subfamilia K01
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través del equipo de Inteligencia de amenazas y Grupo-IB DFIR, los ataques de pishing como la campaña de PerSwaysion, que fue detectada el 30 de abril de 2020, la cual ataca a pequeñas y medianas empresas de servicios financieros, entre otros.
2. Estos ataques realizan operaciones basado en el marco de Vue.js JavaScript, eligen servicios legítimos de intercambio de contenido basado en la nube, como Microsoft Sway, Microsoft Sharepoint y OneNote para evitar la detección de tráfico.
3. Al realizar el ingreso en el servicio se presenta otro enlace de redirección al sitio de pishing real, esperando que las victimas ingresen sus credenciales de cuenta de correo electrónico u otra información confidencial. Los atacantes descargan los datos de correo electrónico de las victimas del servidor utilizando las API de IMAP y luego se hacen pasar por sus identidades para atacar aún más a las personas que tienen comunicaciones de correo electrónico recientes con la victima actual.
4. Se recomienda:
Evitar ingresar a servicios que no sean seguros.
Fuentes de información
https://thehackernews.com/2020/04/targeted-phishing-attacks-successfully.html?m=1#click=https://t.co/iEHBz8K738 https://www.group-ib.com/blog/perswaysion
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 8 de 18
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Malware bancario dirigido a dispositivos móviles Android Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Subfamilia C02
Clasificación temática familia Código Malicioso
Descripción
1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada a través de la red social twitter por el usuario “@pleyades_it, sobre un nuevo tipo de malware de banca móvil llamado “EventBot”, que abusa de las funciones de accesibilidad de Android para filtrar datos confidenciales de aplicaciones financieras, leer mensajes SMS de usuarios y secuestrar códigos de autenticación de dos factores basados en SMS.
2. El malware enmascara su intención maliciosa haciéndose pasar por aplicaciones legitimas (por ejemplo, Adobe Flash, Microsoft Word) en tiendas APK falsas y otros sitios web sospechosos que, cuando están instalados solicitan amplios permisos en el dispositivo (enviar y recibir mensajes SMS, ejecutarse en segundo plano y ejecutarse después del inicio del sistema).
3. Así mismo el malware funciona como un keylogger y puede obtener el PIN de la pantalla de bloqueo y transmitir todos los datos recopilados en un formato cifrado a un servidor controlado por el atacante.
4. Se recomienda:
Descargar aplicaciones desde la tienda oficial Play Store.
Evitar la descarga de aplicaciones de fuentes no confiables.
Mantener el software actualizado y activar Google Play Protect.
Fuentes de información
https://twitter.com/pleyades_it/status/1255855271295045633 https://www.zdnet.com/article/this-new-android-mobile-malware-is-striking-banks-financial-services-across-europe/#ftag=RSSbaffb68
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRAL DE
SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 9 de 18
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Vulnerabilidad en dispositivos de Cisco
Tipo de ataque Abuso de privilegios o de políticas de seguridad Abreviatura AbuPrivPolSeg
Medios de propagación Red, Internet
Código de familia K Código de sub familia K01
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar se detectó que los investigadores, Julien Legras y Thomas Etrillard, descubrieron una vulnerabilidad crítica denominada “CVE-2019-16011” (que permite a un atacante inyectar comandos con privilegios de superusuario - root) que afecta a los siguientes dispositivos de Cisco que ejecutan el software IOS XE SD-WAN:
Aggregation Services Routers series 1000
Integrated Services Routers (ISRs) series 1000
ISRs series 4000
Cloud Services Router 1000V Series
2. Se recomienda:
Los administradores de redes, deben actualizar sus dispositivos que utilicen el software IOS XE SD-WAN para solucionar la vulnerabilidad.
Deberán corroborar que las políticas de seguridad implementadas y los permisos de los usuarios no hayan sido modificados.
Fuentes de información
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/inyeccion-comandos-ios-xe-
sd-wan-cisco
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRAL DE
SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 10 de 18
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Aumentan los ataques de fuerza bruta por RDP
Tipo de ataque Ataque de fuerza bruta Abreviatura AtaqFueBru
Medios de propagación Red, Correo, Navegación de Internet
Código de familia A Código de sub familia A01
Clasificación temática familia Acceso no autorizado
Descripción
3. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó en la red social denominada Twitter, al usuario con el nombre “redeszone”, quien realizó una publicación del incremento de ataques por Fuerza Bruta a RDP (protocolo de escritorio remoto), que permite a los trabajadores acceder a sus equipos de trabajo o servidores Windows desde casa, las cuales están expuestas en la red por estar mal configurado; asimismo, este tipo de ataque prueba numerosas credenciales y contraseñas, buscando combinaciones típicas y claves para recopilar información, distribuir malware y tener un control total sobre del equipo.
4. Se recomienda:
Los trabajadores remotos deben crear contraseñas robustas, para evitar la entrada de ciberdelincuentes a sus cuentas.
Conectar el RDP a través de una VPN.
Emplear un IDS (Sistemas de Detección de Intrusos) y un IPS (Sistemas de Prevención de Intrusos).
Fuentes de información
https://twitter.com/redeszone/status/1255758742060019714?s=08 https://www.bleepingcomputer.com/news/security/rdp-brute-force-attacks-are-
skyrocketing-due-to-remote-working/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 11 de 18
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Se ha descubierto un nuevo troyano bancario “EventBot” dirigido a dispositivos Android Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de Sub familia C01
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
Se ha tomado conocimiento que, los investigadores de Cybereason Nocturnus, han descubierto un nuevo tipo de malware móvil para dispositivos con plataforma Android llamado “EventBot”, este tipo de malware surgió a principios de marzo de 2020 y está dirigido específicamente a aplicaciones de banca financiera en los Estados Unidos y Europa, incluidos Italia, el Reino Unido, España, Suiza, Francia y Alemania, entre otros. EventBot se dirige a usuarios de más de 200 aplicaciones financieras diferentes, incluidos servicios bancarios, servicios de transferencia de dinero y billeteras de criptomonedas. Los destinatarios incluyen aplicaciones como Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase y paysafecard, entre otros.
EventBot es un troyano bancario de malware móvil que roba información financiera y puede secuestrar transacciones bancarias. Una vez que el malware se haya instalado con éxito, recopilará datos personales, contraseñas, pulsaciones de teclas, información bancaria de sus víctimas. Esta información puede brindarle al atacante acceso a cuentas bancarias personales y comerciales, datos personales y comerciales, entre otras. Igualmente, el malware aprovecha las capacidades de lectura de SMS e inyecciones web para evitar la autenticación de dos factores.
2. Detalles:
El malware EventBot a lo largo del tiempo ha evolucionado rápidamente. Se han observado cuatro versiones: 0.0.0.1, 0.0.0.2 y 0.3.0.1 y 0.4.0.1. Cada versión amplía la funcionalidad del bot y trabaja para ofuscar el malware contra el análisis. EventBot sigue siendo un trabajo en progreso. Durante un período de varias semanas desde su descubrimiento en marzo, los investigadores han observado que el malware se actualiza constantemente para incluir nuevas características maliciosas como el mejorar el esquema de encriptación que se usa para comunicarse con el servidor de comando y control (C2).
De acuerdo a los investigadores, el troyano EventBot, se hace pasar por una aplicación legítima de Android, como Adobe Flash o Microsoft Word para Android, que abusa de las funciones de accesibilidad incorporadas de Android para obtener un acceso profundo al sistema operativo del dispositivo.
Una vez instalada, ya sea por un usuario desprevenido o por una persona maliciosa con acceso al teléfono de la víctima, la aplicación falsa infectada por EventBot extrae silenciosamente las contraseñas de más de 200 aplicaciones bancarias y de criptomonedas, incluidas PayPal, Coinbase, CapitalOne y HSBC, e intercepta y códigos de mensajes de texto de autenticación de dos factores. Con la contraseña de una víctima y el código de dos factores, los atacantes pueden ingresar a cuentas bancarias, aplicaciones y billeteras, y robar los fondos de una víctima.
Una vez que EventBot está instalado en la máquina de destino, enumera todas las aplicaciones en la máquina de destino y las envía al C2. También consulta la información del dispositivo como sistema operativo, modelo, etc., y la envía al C2.
En la versión inicial de EventBot, los datos que se filtran se cifran con Base64 y RC4. En versiones posteriores, se agrega otra capa de cifrado usando el cifrado Curve25519. Todas las versiones más recientes de EventBot contienen una biblioteca ChaCha20 que puede mejorar el rendimiento en comparación con otros algoritmos como RC4 y AES. Esto implica que los autores están trabajando activamente para optimizar EventBot con el tiempo.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Asimismo, EventBot tiene la capacidad de analizar mensajes SMS utilizando la versión SDK del dispositivo de destino para analizarlos correctamente y de acuerdo con la configuración del bot, si se configura una inyección web para una aplicación determinada, se ejecutará.
El malware registra silenciosamente cada pulsación de las teclas, y puede leer notificaciones de otras aplicaciones instaladas, dando a los atacantes una ventana de lo que está sucediendo en el dispositivo de una víctima.
EventBot abusa de los servicios de accesibilidad de dispositivos Android para la mayoría de su actividad. Las funciones de accesibilidad generalmente se usan para ayudar a los usuarios con discapacidades al darle al dispositivo la capacidad de escribir en campos de entrada, generar permisos automáticamente, realizar gestos para el usuario, etc. Sin embargo, cuando se usan de manera maliciosa, las funciones de accesibilidad se pueden usar para explotar servicios legítimos con fines maliciosos, como con EventBot. EventBot utiliza múltiples métodos para explotar eventos de accesibilidad para webinjects y otros fines de robo de información.
Los investigadores indicaron que no saben quién está detrás de la campaña, su investigación sugiere que el malware es completamente nuevo y su código parece haber sido escrito desde cero.
3. Indicadores de compromiso (IoC):
SHA256: EventBot
1cfce7df49ce5dc37d655d80481a3a6637d2e7daff09ceede9d8165fae0fce5f
05782e267bd62de78a3db22b1a83ddd3c72cbef95f5a5bc9defdd42a4f5786ec
199859a2929af5431df4a4760f93c83472dc21ea0b9e33d9e45439052de44ab3
6cbb2040ab1f8244fc1bbfdb2af0452ff2bb4fef738011e82af38aac4b7255e5
43d08b8c16d1d26872206c99c93785cac75c983eaae8c8030e5b0ce9defe1755
f4dd5da58965893bd7011aa02aa41d7fae835789c71ad97df2dc77f85e357abc
41cf4ca70cf52b6682303a629193da78ab00701da6aed5650b72015c056920da
URL: EventBot C2
hxxp://themoil[.]site/gate_cb8a5aea1ab302f0_c
hxxp://pub.douglasshome[.]com/gate_cb8a5aea1ab302f0_c
hxxp://ora.carlaarrabitoarchitetto[.]com/gate_cb8a5aea1ab302f0
hxxp://ora.carlaarrabitoarchitetto[.]com/gate_cb8a5aea1ab302f0_b
hxxp://marta.martatovaglieri.it/gate_cb8a5aea1ab302f0_c
hxxp://free.timberlinetraders[.]com/gate_cb8a5aea1ab302f0_c
hxxp://ora.studiolegalebasili[.]com/gate_cb8a5aea1ab302f
hxxp://ora.studiolegalebasili[.]com/gate_cb8a5aea1ab302f0_c
hxxp://ora.studiolegalebasili[.]com/gate_cb8a5aea1ab302f0_b
hxxp://ora.blindsidefantasy[.]com/gate_cb8a5aea1ab302f0_c
hxxp://rxc.rxcoordinator[.]com/gate_cb8a5aea1ab302f0_c
hxxp://pub.welcometothepub[.]com/gate_cb8a5aea1ab302f0_c
hxxp://ora.carlaarrabitoarchitetto[.]com/gate_cb8a5aea1ab302f0_c
themoil[.]site ora.carlaarrabitoarchitetto[.]com
ora.studiolegalebasili[.]com rxc.rxcoordinator[.]com
Ora.blindsidefantasy[.]com Pub.welcometothepub[.]com
marta.martatovaglieri[.]it
IP: EventBot C2
185.158.249[.]141 185.158.248[.]102
50.63.202[.]81 185.158.248[.]102
31.214.157[.]6 208.91.197[.]91
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
4. Imágenes:
Aplicaciones dirigidas por EventBot.
Cybereason Mobile detecta EventBot y proporciona al usuario acciones inmediatas
5. Recomendaciones:
Mantener su dispositivo móvil actualizado con las últimas actualizaciones de software de fuentes legítimas.
Mantener Google Play Protect activado.
No descargar aplicaciones móviles de fuentes no oficiales o no autorizadas. La mayoría de las aplicaciones legítimas de Android están disponibles en Google Play Store.
Siempre aplicar el pensamiento crítico y considere si debe otorgar a cierta aplicación los permisos que solicita.
Verificar la firma y el hash de APK en fuentes como VirusTotal antes de instalarlo en su dispositivo.
Utilizar soluciones de detección de amenazas móviles para una mayor seguridad.
Fuentes de información
1. https://www.cybereason.com/blog/eventbot-a-new-mobile-banking-trojan-is-born 2. https://techcrunch.com/2020/04/29/eventbot-android-malware-banking/ 3. https://www.cybereason.com/hubfs/EVENTBOT%20IOCs.pdf 4. Equipo de Seguridad Digital DINI
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 14 de 18
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Phishing, a través de fanpage falsa de Facebook. Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de Subfamilia G02
Clasificación temática familia Fraude
Descripción
6. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en la red social Facebook, se ha creado una Fanpage denominada Barcelona.live, suplantando la identidad del futbolista argentino Lionel Andrés Messi Cuccittini, conocido como “Leo Messi”.
7. La mencionada Fanpage falsa, realizo una publicación mencionando que el futbolista elegirá al azar a personas de Facebook, quienes recibirán dinero en efectivo (en dólares) como regalo.
8. Los usuarios al hacer clic en me gusta, reciben un mensaje a través de Messenger de Facebook, donde le indica que compartan la publicación en 10 grupos de Facebook y de esa manera hacer acreedor del regalo (dinero en efectivo).
Imágenes:
o Fanpage Falsa
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Análisis de la Fanpage:
o Creada el 27 NOV19
o Nombre: Barcelona.live
o Administradores: 02
o Ubicación de los Administradores: Indonesia
o Seguidores: 315.
Se puede apreciar al final de los pasos a seguir, para ser ganador de dinero en efectivo, se presenta páginas donde se solicitan información como:
o Dirección de correo electrónico
o Contraseña.
o Nombres y Apellidos
o Número de Tarjeta MasterCard
o Fecha de caducidad
o Numero de CVV2 (Es una medida de seguridad que se requiere para toda transacción)
Las URL utilizadas en esta estafa, no fueron detectadas como phishing o malicioso, en los diferentes motores de análisis de malware.
Referencia:
o La página falsa que suplanta la identidad del futbolista Leonel Messi, es característico de un phishing, el cual tiene la finalidad de engañar al usuario a que piensen que es una página oficial y de esa manera ingresen sus datos personales y bancarios.
9. Algunas Recomendaciones
No ingreses tus datos en páginas sospechosas.
Verifica el Check azul en las Fanpage.
Verifica las publicaciones de la Fanpage, para que determines si una Fanpage falsa.
No sigas Fanpage que te ofrecen sorteo o regalos por el COVID-19
Siempre ten presente que los ciberdelincuentes están tratando de obtener información personal.
Fuentes de información Análisis propio de redes sociales y fuentes abiertas
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 026
Fecha: 30-04-2020
Página: 16 de 18
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Vulnerabilidades en software samba
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, Internet Código de familia H Código de Subfamilia H01
Clasificación temática familia Intento de Intrusión
Descripción
1. El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Incibe-Cert, se informa sobre dos vulnerabilidades de importancia “Alta y Media”, en el software Samba (Permite la interconexión de redes Microsoft Windows®, Linux, UNIX y otros sistemas operativos juntos, permitiendo el acceso a archivos basados en Windows y compartir impresoras).
2. Se ha detectado dos vulnerabilidades, una de criticidad alta y otra media, que afectan a múltiples versiones de Samba. Un atacante remoto, no autenticado, podría utilizar memoria previamente liberada (use-after-free) u ocasionar un SIGSEGV en el servidor.
Recursos Afectados:
o Todas las versiones de Samba, desde la versión 4.0.0 en adelante;
o Todas las versiones de Samba, desde la versión 4.10.0 en adelante.
3. Detalles:
La vulnerabilidad de severidad alta se debe a una búsqueda LDAP, no autenticada, mediante un filtro profundamente anidado, esto puede agotar los recursos de la pila de memoria del servidor LDAP y ocasionar un SIGSEGV. Se ha reservado el identificador CVE-2020-10704 para esta vulnerabilidad.
A la vulnerabilidad de severidad media, del tipo uso de memoria previamente liberada (user-after-free), se le ha reservado el identificador CVE-2020-10700.
4. Análisis de las Vulnerabilidades:
CVE-2020-10704
o Vectores: AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: N/A:H
Puntaje Base Nivel de Riesgo
7.5
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
CVE-2020-10700.
o Vectores: AV: N / AC: H / PR: N / UI: R / S: U / C: N / I: N / A: H
Detalles de la Vulnerabilidades:
CVE-2020-10704 CVE-2020-10700
Vectores de Acceso Red
Vectores de Acceso
Red
Complejidad de Acceso
Bajo Complejidad de
Acceso Bajo
Privilegios Requeridos
Ninguno Privilegios
Requeridos Ninguno
Interacción del Usuario
No Interacción del
Usuario Si
Alcance Sin Alterar
Alcance Sin Alterar
Impacto de Confidencialidad
Ninguno Impacto de
Confidencialidad Ninguno
Impacto de Integridad
Ninguno Impacto de Integridad
Ninguno
Impacto de Disponibilidad
Alta Impacto de
Disponibilidad Alta
5. Algunas Recomendaciones:
Actualizar a las versiones 4.10.15, 4.11.8 o 4.12.2.
Fuentes de información https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades
5.3
Puntaje Base Nivel de Riesgo
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Página: 18 de 18
Índice alfabético
Abuso de privilegios o de políticas de seguridad, 9
Ataque de fuerza bruta, 10
Explotación de vulnerabilidades conocidas, 16
hxxp, 12
Mal uso y abuso de los servicios tecnológicos, 6
Malware, 8
Phishing, 3, 14, 15
Ransomware, 5
Redes sociales, 14
Redes sociales, SMS, correo electrónico, videos de internet, entre otros, 14
Robo de información, 7
Troyanos, 11
Vulnerabilidad, 9
Vulnerabilidades, 16, 17