Embed Size (px)
Citation preview
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 18 de agosto de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Falla de desbordamiento de búfer en el servidor Jenkins ............................................................................. 3
Ataque de ransomware Ragnar Loker a Mapfre ........................................................................................... 4
CIBanco es hackeado dos veces en menos de un año .................................................................................. 5
Malware “Emotet” ataca a las empresas estadounidenses con COVID-19 spam ......................................... 6
Suplantan la identidad de artistas ................................................................................................................. 7
Venta de ransomware en foro XSS ................................................................................................................ 8
Nueva campaña de malware XCSSET dirigido a sistemas macOS ................................................................. 9
Nueva campaña de ataque “Duri” distribuye malware a través de HTML y JavaScript ..............................10
Phishing, suplantando la identidad del Banco BBVA. ..................................................................................11
Índice alfabético ..........................................................................................................................................13
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 136
Fecha: 18-08-2020
Página: 3 de 13
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Falla de desbordamiento de búfer en el servidor Jenkins
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red e Internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que los desarrolladores del software de servidor de automatización de código abierto Jenkins, han publicado un aviso de seguridad sobre una vulnerabilidad crítica en el servidor web Jetty, cuya explotación podría causar daños en la memoria y filtraciones de información confidencial.
2. Detalles de la alerta:
Jenkins es un servidor de automatización de código abierto y gratuito. Ayuda a automatizar las partes del desarrollo de software relacionadas con la construcción, prueba e implementación, lo que facilita la integración y la entrega continuas. Es un sistema basado en servidor que se ejecuta en contenedores de servlets como Apache Tomcat.
Los desarrolladores emitieron un comunicado en el sitio web oficial sobre la vulnerabilidad, identificada como CVE-2019-17638, recibió un puntaje de 9.4/10 en la escala del Common Vulnerability Scoring System (CVSS) y está presente en todas las versiones entre 9.4.27.v20200227 y 9.4.29.v20200521 de Eclipse Jetty, un envoltorio de Jetty, para que actúe como servidor HTTP y servlet cuando se comienza a usar java -jar jenkins.war. Así es como se ejecuta Jenkins cuando se usa cualquiera de los instaladores o paquetes, pero no cuando se ejecuta con servlet contenedores como Tomcat.
Según el reporte, la vulnerabilidad permitiría a los actores de amenazas no autenticados obtener encabezados de respuesta HTTP que podrían incluir datos confidenciales destinados a otro usuario.
La falla, que afecta a Jetty y Jenkins Core, habría sido introducida en la versión 9.4.27 de Jetty, que agregó una función para administrar grandes encabezados de respuesta HTTP y evitar desbordamiento de búfer.
Asimismo, el director del proyecto Jetty Greg Wilkins indico que al actualizar se corrigió el desbordamiento de búfer, pero no se anuló el campo. Además, la solución hace que los encabezados de respuesta HTTP se publiquen en el grupo de búfer dos veces, lo que genera daños en la memoria y divulgación de información
En un caso de explotación detectado recientemente, la corrupción de memoria hizo posible que los clientes se movieran entre sesiones, por lo que obtuvieron acceso a cuentas debido a que las cookies de autenticación de un usuario terminaban en manos de otro usuario. La versión de Jetty 9.4.30.v20200611, lanzada el mes pasado, contiene las correcciones necesarias. Jenkins, Winstone, ha corregido la falla en su utilidad en Jenkins 2.243 y Jenkins LTS 2.235.5.
3. Recomendaciones:
Actualizar la nueva versión del sitio web oficial del fabricante.
Actualizar el sistema operativo.
Tener un antivirus o antimalware activo y estar actualizado.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 136
Fecha: 18-08-2020
Página: 4 de 13
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Ataque de ransomware Ragnar Loker a Mapfre
Tipo de ataque Ransonware Abreviatura Ransonware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. El 18 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre un ataque de ransomware que sufrió la compañía de Mapfre, ocasionado denegación de servicio; asimismo, la compañía aseguro mediante un comunicado a sus clientes que este ataque no compromete la información del cliente.
2. El ataque se lanzó con el ransomware Ragnar Loker, mediante el cual un ciberdelincuente a través de un software infecta un ordenador o una red, cifrando los datos para que las víctimas no puedan acceder. Posteriormente solicita un rescate, que generalmente es en criptomonedas, a fin de evitar ser rastreados.
3. Según la compañía, el equipo de tecnología y ciberseguridad, viene trabajando para rechazar el ciberataque; asimismo, pese a esta incidencia la aseguradora se encuentra prestando sus servicios con normalidad.
4. Se recomienda:
No abrir archivos adjuntos de correos electrónicos que no serán de confianza.
Descargar solo de sitios de confianza.
No hacer clic en enlaces no confiables.
Evitar proporcionar datos personales.
No utilizar dispositivos USB desconocidos.
Mantener actualizado el sistema operativo y el antivirus.
Realizar copias de seguridad de los datos.
Fuentes de información http[:]//www.enhacke.com/2020/08/17/mapfre-nueva-victima-de-ransomware/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 136
Fecha: 18-08-2020
Página: 5 de 13
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta CIBanco es hackeado dos veces en menos de un año Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 18 de Agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuación: Ataques cibernéticos en contra de las organizaciones en todo el mundo han incrementado cerca de 238% en comparación con el año pasado, atribuyendo este incremento desmedido a la pandemia del coronavirus, tema que aprovechan los grupos de actores de amenazas para comprometer los eslabones más débiles en la cadena de la seguridad informática, siendo más afectadas las organizaciones de salud y financieras.
2. Los investigadores de Cyble identificaron un incidente de seguridad en CIBanco, una importante firma financiera con sede en México, que habría sufrido una infección del ransomware REvil. Cibanco cuenta con más de 3 mil empleados y genera ingresos anuales de más de $ 150 millones de pesos. Asimismo, los ciberdelincuentes han expuesto una serie de documentos, para ejercer presión contra las víctimas y forzar el pago del rescate. La información fue publicada en una plataforma de dark web controlada por los operadores de REvil, amenazando con hacer una segunda filtración de datos si sus exigencias no son cumplidas.
3. La primera parte de la filtración contiene información confidencial de CIBanco, como documentos de personas jurídicas, informes de crédito, análisis, entre otras. Los hackers maliciosos también amenazaron con revelar información confidencial sobre los empleados y clientes de la entidad bancaria.
4. Se recomienda:
Implementación general en sus políticas de seguridad informática, para las organizaciones o similares que manejen datos o información confidencial.
Fuentes de información https[:]//noticiasseguridad.com/hacking-incidentes/cibanco-es-hackeado-dos-veces-en-menos-de-un-ano-dos-ataques-de-ransomware-no-quieren-aprender-de-sus-errores/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 136
Fecha:18-08-2020
Página: 6 de 13
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Malware “Emotet” ataca a las empresas estadounidenses con COVID-19 spam Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 18 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuación: En un nuevo correo electrónico no deseado descubierto por el investigador de seguridad Fate112, Emotet ha estado enviando un correo electrónico robado que pretende ser de 'California Fire Mechanics' enviando una 'actualización de mayo COVID-19.
2. Este correo electrónico no es una plantilla creada por los actores de Emotet, sino más bien un correo electrónico robado a una víctima existente y adoptado en las campañas de spam del malware. Se adjunta al correo electrónico un archivo adjunto malicioso titulado 'EG-8777 Informe médico COVID-19.doc', que utiliza una plantilla de documento genérica utilizada en campañas anteriores. Esta plantilla pretende ser creada desde un dispositivo iOS y requiere que los usuarios hagan clic en 'Habilitar contenido' para verlo correctamente.
3. Una vez que un usuario hace clic en el botón 'Habilitar contenido', se ejecutará un comando de PowerShell que descarga el ejecutable del malware Emotet de uno de tres a cuatro sitios. En esta campaña en particular, cuando se descargue, Emotet se guardará en la carpeta% UserProfile% y se nombrará con un número de tres dígitos, como 498.exe. Una vez ejecutada, la computadora de la víctima se convertirá en parte de la operación del bot de malware y enviará más correos electrónicos maliciosos.
4. En última instancia, Emotet descargará e instalará otro malware como Qbot o TrickBot, que se utilizará para robar sus datos, contraseñas y potencialmente conducir a la implementación de ransomware.
5. Se recomienda:
Ante la peligrosidad del Malware conllevar una variedad de riesgos, todos los usuarios domésticos y corporativos deben tener cuidado al abrir documentos que requieran que "Habilite el contenido".
Si recibe este tipo de correos electrónicos, primero escanee el archivo adjunto con un escáner antivirus para asegurarse de que sea seguro abrirlo. Incluso entonces, debe proceder con precaución.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/emotet-malware-strikes-us-businesses-with-covid-19-spam/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 136
Fecha: 18-08-2020
Página: 7 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Suplantan la identidad de artistas Tipo de ataque Suplantación Abreviatura Suplantación Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G03 Clasificación temática familia Fraude
Descripción
1. El 18 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que los ciberdelincuentes vienen suplantando la identidad de la cuenta en la red social Facebook de la artista (Karol Sevilla – Soy Luna 4), donde invitan al usuario a participar en un concurso organizado por la empresa Unix con la finalidad de entregar premios a los usuarios que completen los pasos.
2. Al finalizar los pasos, solicitan al usuario que envíe un mensaje a dicha cuenta con la palabra “Ya cumpliste”, el ciberdelincuente comienza a entablar una conversación con el usuario, donde invita a cumplir los “karol desafíos” para demostrar que eres una verdadera fan y obtener otros premios. Solicitan una foto del usuario sonriendo, luego fotos modelando en traje de baño y finalmente una foto modelando desnuda.
3. Los ciberdelincuentes utilizan esta modalidad para extorsionar a sus víctimas con el chantaje de publicar las fotografías íntimas en páginas pornográficas o publicarlas en las redes sociales, con la finalidad solicitar algún beneficio económico.
4. Se recomienda:
Evitar ingresar a enlaces no confiables o de dudosa procedencia.
En lo posible restringir en los equipos móviles de menores de edad, el acceso a páginas con contenido obsceno.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 136
Fecha: 18-08-2020
Página: 8 de 13
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Venta de ransomware en foro XSS
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia -
Clasificación temática familia Código malicioso
Descripción
1. El 18 de agosto del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó en el foro XSS al usuario “hellhound”, que estaría vendiendo un ransomware denominado “CoronaViruses Ransomware” por el monto de cinco mil dólares ($ 5,000.00).
2. Cabe indicar, que el ransomware en mención se encuentra escrito en C++, cuenta con un panel de administración escrito en PHP y permite encriptar los archivos de la víctima en AES y RSA con la extensión “.covid”.
3. Se recomienda:
Los encargados de las áreas de informática, deberán actualizar sus equipos informáticos y tener software de antivirus licenciados, con el fin de evitar ser víctima del troyano antes mencionado.
Realizar el respaldo de su información en forma periódica.
Fuentes de información https[:]//mobile.twitter.com/3xp0rtblog/status/1294335003690762240
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 136
Fecha: 18-08-2020
Página: 9 de 13
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nueva campaña de malware XCSSET dirigido a sistemas macOS
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
Los investigadores de Trend Micro han descubierto recientemente un nuevo malware llamado “XCSSET” dirigido a equipos con sistema operativo macOS. Esta amenaza se propaga principalmente a través de proyectos de desarrollo de Xcode y aplicaciones modificadas maliciosamente creadas a partir del malware. Los investigadores indicaron que descubrieron dos exploits zero-day (día cero): uno se usa para robar cookies a través de una falla en el comportamiento de Data Vaults y otro se usa para abusar de la versión de desarrollo de Safari. Estos proyectos de Xcode se han modificado de tal manera que, al compilarlos, estos proyectos ejecutarían un código malicioso. Esto eventualmente conduce a que el malware principal XCSSET se elimine y se ejecute en el sistema afectado. Los usuarios infectados también son vulnerables al robo de sus credenciales, cuentas y otros datos vitales.
2. Detalles:
El malware XCSSET tiene la capacidad de robar información confidencial y de lanzar ataques de ransomware al abusar del navegador Safari preinstalado y otros navegadores para robar los datos de las víctimas. Por medio de estos ataques, los actores de amenazas pueden acceder fácilmente a la información de aplicaciones como Skype, Evernote, WeChat y Telegram. Además, el exploit puede tomar capturas de pantalla y también cargar archivos desde los sistemas comprometidos al servidor seleccionado por el atacante. Así como cifrar archivos y mostrar notas de rescate si se le proporciona el comando.
Los investigadores indicaron que otro aspecto interesante con respecto al malware XCSSET es que puede lanzar ataques de secuencias de comandos universales entre sitios (UXSS) inyectando código JavaScript en los sitios web navegados por el objetivo. Esto significa que puede modificar toda la experiencia de navegación web de los usuarios y robar información confidencial, lo que le brinda al atacante la oportunidad de reemplazar las direcciones de criptomonedas, acceder a la información de la tarjeta de pago de la tienda Apple, Google y PayPal, entre otros. Además, el malware también puede impedir que las víctimas cambien las contraseñas y puedan robar las credenciales recién cambiadas.
El malware malicioso se inyecta a través de proyectos de desarrollo Xcode infectados, que cuando se compilan y ejecutan, ejecutan el código malicioso. De acuerdo a los investigadores, el problema se incrementa aún más cuando los proyectos comprometidos se comparten en GitHub, lo que genera un efecto dominó denominado por los investigadores de ciberseguridad como “cadena de suministro como ataque”. Trend Micro encontró dos proyectos de desarrollo Xcode infectados con malware el 13 de julio y otro el 31 de julio respectivamente.
3. Indicadores de compromiso (IoC): Ver IoC aquí.
4. Recomendaciones:
Descargar aplicaciones de sitios oficiales y legítimos.
Contar con soluciones de seguridad multicapa para Mac, que proporcione seguridad integral y protección multidispositivo contra ciberamenazas.
No abrir correos de usuarios desconocidos o que no hayas solicitado.
Revisar los enlaces antes hacer clic y no abrir los enlaces acortados.
Mantener un protocolo de actualizaciones estricto del sistema operativo, antivirus y todas las aplicaciones que se ejecutan en ellos y concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
Fuentes de información
hxxps://blog.trendmicro.com/trendlabs-security-intelligence/xcsset-mac-malware-infects-xcode-projects-performs-uxss-attack-on-safari-other-browsers-leverages-zero-day-exploits/
hxxps://documents.trendmicro.com/assets/pdf/XCSSET_Technical_Brief.pdf
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 136
Fecha: 18-08-2020
Página: 10 de 13
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nueva campaña de ataque “Duri” distribuye malware a través de HTML y JavaScript
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
Los investigadores de Menlo Security han descubierto una nueva campaña de ataque que aprovecha el contrabando de HTML para entregar archivos maliciosos a usuarios finales evadiendo la seguridad de red. Esta campaña apodada “Duri”, explota el método blob JavaScript que genera el archivo malicioso en el navegador web, evitando así la detección por sandboxes y proxies. Un objeto Blob representa un objeto tipo fichero de datos planos inmutables.
Las soluciones de seguridad de red, como proxies, firewalls y sandboxes, se basan en la transferencia de objetos a través del cable. Un sandbox puede extraer objetos de archivo como .exe, .zip y otros objetos sospechosos del cable y luego enviarlos a la caja de arena para su explotación. Con Duri, toda la carga útil se construye en el lado del cliente (navegador), por lo que no se transfieren objetos a través del cable para que el sandbox los inspeccione.
2. Detalles:
En julio, los investigadores de Menlo Security observaron una descarga sospechosa bloqueada por su navegador web y detectaron que la fuente del archivo no era una URL, sino el resultado del código JavaScript que pasaba de contrabando de HTML una carga útil maliciosa a la máquina de la víctima. El objetivo del contrabando de HTML es hacer uso de las funciones de HTML5 / JavaScript para ofrecer descargas de archivos y, por lo general, se entrega la descarga a través de URL de datos en el dispositivo cliente y mediante la creación de un blob de Javascript con el tipo MIME apropiado que resulte en una descarga en el dispositivo cliente.
Los atacantes han desplazado a Dropbox con otros proveedores de alojamiento en la nube y han combinado la técnica de contrabando de HTML para infectar terminales. Este cambio de táctica se utiliza para aumentar la tasa de éxito de los puntos finales comprometidos. Una vez que el usuario hace clic en el enlace, hay varios niveles de redirección antes de que el usuario llegue a una página HTML alojada en duckdns [.] Org. La página de destino invoca una carga de JavaScript que inicializa datos para un objeto blob desde una variable codificada en base64.
A partir del objeto blob con el tipo MIME como octet/stream se construye un archivo ZIP y se descarga al punto final. El usuario necesita abrir el archivo ZIP y ejecutarlo. El archivo ZIP contiene un archivo MSI [T1218.007]. La extensión de archivo .msi indica que el archivo es un instalador de Microsoft Windows y contiene la aplicación y todas sus dependencias. El examen del archivo MSI muestra que hay una acción de ejecución de código de secuencia de comandos definida en la acción personalizada del contenido de MSI.
3. Indicadores de compromiso (IoC):
hxxp: //huzirh.com/hidrol/
hxxp: //isocamprh.com.br/
Ver más IoC aquí.
4. Recomendaciones:
Descargar aplicaciones de sitios oficiales y legítimos.
Contar con soluciones que proporcione seguridad integral y protección multidispositivo contra ciberamenazas.
No abrir correos de usuarios desconocidos o que no hayas solicitado.
Revisar los enlaces antes hacer clic y no abrir los enlaces acortados.
Mantener un protocolo de actualizaciones estricto del sistema operativo, antivirus y todas las aplicaciones que se ejecutan en ellos y concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
Fuentes de información hxxps://www.menlosecurity.com/blog/new-attack-alert-duri
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 136
Fecha: 18-08-2020
Página: 11 de 13
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Phishing, suplantando la identidad del Banco BBVA.
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. El 16 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de phishing, vía mensajes de texto (SMS), con la finalidad de obtener información confidencial de manera fraudulenta, suplantando la identidad del Banco BBVA, el cual informa a la víctima que su cuenta bancaria ha sido bloqueada, para desbloquear solicita actualizar los datos y afiliarte a un TOKEN DIGITAL, a través de la siguiente URL hxxp://gg.gg/_bbva.
2. Imágenes:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. La URL Maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo el siguiente resultado:
hxxp://gg.gg/_bbva
Topología URL: hxxp://gg.gg/_bbva
Topología IP: 185[.]8[.]176[.]120
4. Cómo funciona el phishing:
Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.
Medios de propagación del phishing: WhatsApp, telegram, redes sociales, SMS entre otros.
Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.)
5. Referencia:
Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.
6. Algunas Recomendaciones
Verifica la información en los sitios web oficiales.
No introduzcas datos personales en páginas sospechosas.
Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.
Fuentes de información Análisis propio de redes sociales y fuente abierta
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 13 de 13
Índice alfabético
bot ...................................................................................................................................................................................... 6 Código malicioso .......................................................................................................................................... 4, 5, 6, 8, 9, 10 Correo electrónico ......................................................................................................................................................... 4, 8 Correo electrónico, redes sociales, entre otros ............................................................................................................ 4, 8 exploits .............................................................................................................................................................................. 9 Explotación de vulnerabilidades conocidas ....................................................................................................................... 3 Fraude .......................................................................................................................................................................... 7, 11 hxxp ..................................................................................................................................................................... 10, 11, 12 Intento de intrusión ........................................................................................................................................................... 3 internet .................................................................................................................................................................. 9, 10, 11 malware ................................................................................................................................................................... 6, 9, 10 Malware ............................................................................................................................................................... 5, 6, 9, 10 phishing ..................................................................................................................................................................... 11, 12 Phishing ..................................................................................................................................................................... 11, 12 ransomware ....................................................................................................................................................... 4, 5, 6, 8, 9 Ransomware ...................................................................................................................................................................... 8 Ransonware ....................................................................................................................................................................... 4 redes sociales ........................................................................................................................................................... 1, 7, 12 Redes sociales .............................................................................................................................................................. 7, 11 Redes sociales, SMS, correo electrónico, videos de internet, entre otros .................................................................. 7, 11 servidor .......................................................................................................................................................................... 3, 9 software ................................................................................................................................................................. 3, 4, 7, 8 Suplantación ...................................................................................................................................................................... 7 URL ....................................................................................................................................................................... 10, 11, 12 USB, disco, red, correo, navegación de internet ................................................................................................. 5, 6, 9, 10
