PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 7 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Vulnerabilidad en TeamViewer que permite comprometer los equipos de los usuarios. ............................ 3

Email con archivo suplantando a DHL para propagar malware .................................................................... 4

El error del complemento de Facebook permite a los piratas informáticos secuestrar el chat de los sitios

de WordPress. ............................................................................................................................................... 5

Hackean datos personales de 2,500 policías de Tijuana - México ................................................................ 6

Ataque tipo defacement a página web Peruana ........................................................................................... 7

Ransomware amenaza la producción de 300 respiradores por día. ............................................................. 8

Malware para el robo de datos denominado QSnatch alias (Derek) ............................................................ 9

Empresas expuestas a ciberataques por utilizar el sistema operativo obsoleto Windows 7 .....................10

Detección del troyano de acceso remoto Remcos ......................................................................................11

Índice alfabético ..........................................................................................................................................13

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 3 de 13

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidad en TeamViewer que permite comprometer los equipos de los usuarios.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red e internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de la búsqueda de amenazas en el ciberespacio, advierte que investigadores en ciberseguridad, han detectado una vulnerabilidad con el identificador CVE-2020-13699 de severidad alta en la aplicación remota TeamViewer. Esta falla de seguridad podría permitir a los ciberdelincuentes descifrar las contraseñas de los usuarios, exponiendo completamente los sistemas afectados.

2. Detalles de la alerta:

TeamViewer es una aplicación de software remota, para compartir escritorio, videoconferencia y transferencia de archivos entre computadoras desarrollada por la empresa alemana TeamViewer.

A través del monitoreo en busca de amenazas en el ciberespacio, se ha reportado de un nuevo riesgo de seguridad para los usuarios de TeamViewer. Un equipo de investigadores en ciberseguridad, detallan el hallazgo de una vulnerabilidad crítica en la plataforma de acceso remoto que podría permitir a los ciberdelincuentes descifrar las contraseñas de los usuarios, exponiendo completamente los sistemas afectados.

Asimismo, La falla está presente en cualquier versión de la aplicación TeamViewer para escritorios de Windows anteriores a 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 y 15.8. 3.

La vulnerabilidad detectada tiene el identificador CVE-2020-13699 y recibió una puntuación de 8.8 / 10 de severidad alta en la escala del Sistema de puntuación de vulnerabilidad común (CVSS).

Según las investigaciones de los especialistas en ciberseguridad, mencionan que la falla existe debido a una ruta de búsqueda o un elemento sin comillas, ya que la aplicación no cita correctamente sus controladores URL personalizados. Los ciberdelincuentes malintencionados deben redirigir a la víctima a un sitio web malicioso empleando una versión vulnerable de TeamViewer para aprovechar la falla.

Además, podrían incrustar un iframe malicioso en el sitio web especialmente diseñado, que lanzaría el cliente de escritorio TeamViewer en un sistema Windows, forzando el inicio de un recurso compartido SMB. El sistema de Windows luego realizaría la autenticación NTLM al abrir el recurso compartido. Esa solicitud permite a los atacantes capturar una autenticación y enviarla a otro servidor, lo que le da la capacidad de realizar operaciones en el servidor remoto aprovechando los privilegios del usuario autenticado.

Cabe resaltar, los desarrolladores de TeamViewer ya han publicado una solución para esta falla de seguridad.

3. Recomendaciones:

Actualizar los parches de seguridad en el sitio web oficial del fabricante.

Cambiar periódicamente las contraseñas de sus credenciales.

Utilizar contraseñas seguras.

Tener un antivirus o antimalware y estar actualizado.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 4 de 13

Entidad que reporta MINISTERIO DE LA MUJER Y POBLACIONES VULNERABLES

Nombre de la alerta Email con archivo suplantando a DHL para propagar malware

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Se informa de una campaña de envió de malware a través de correo electrónico usando el dominio dhl.com.

2. Descripción de la alerta:

La propagación de malware usando el correo electrónico afecta las bandejas de entrada, de miles de usuarios a nivel mundial.

Los Ciberdelincuentes atacan dicho recurso informático a fin de propagar sus amenazas, debido a que muchos usuarios caen en las trampas preparadas por éstos.

En ese sentido, los Ciberdelincuentes han perfeccionado sus estrategias de ataque y engaño, suplantando a la empresa DHL; tratando de hacer pasar correos fraudulentos por legítimos, en búsqueda de nuevas víctimas. Se sabe que incluso que se han dado el tiempo de suplantar su dominio de correo electrónico para hacer creer al destinatario que se trata de un email legítimo. Sin embargo, una revisión de la cabecera del mensaje revela como la dirección desde la que se envía el mensaje no tiene nada que ver con dicha empresa.

La descripción del emisor (“from”) corresponde a un correo legítimo de la empresa DHL; sin embargo, el peligro se encuentra en el fichero adjunto. Es en éste fichero, donde se encuentra la información del mensaje y que viene presentado en un formato de compresión propietario, el mismo que puede abrirse con aplicaciones conocidas como WinRAR. Por ello, si tratamos de abrir ese archivo encontraremos el código malicioso.

3. Indicadores de compromiso:

La solución de Ciberseguridad del FORTINET detecta el fichero con el mensaje, como si fuera un troyano de tipo de malware (MSIL/Agent.BMV!tr); el mismo que buscar realizar actividades sin el conocimiento del usuario. Dichas actividades comúnmente incluyen actividades como: establecer conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema, descargar y/o cargar archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar y/o finalizar procesos; otras soluciones de seguridad lo identifican.

3. Recomendaciones:

Tener un antivirus y estar actualizado.

Asegúrese de que su sistema FortiGate / FortiClient esté utilizando la última base de datos AV.

Antes de abrir los correos electrónicos, verifique el origen y contenido del mensaje.

No descargue archivos con extensiones peligrosas como exe, src, au3, class, gz, bin y dem.

Realice una concientización constante a los usuarios acerca de este tipo de Ciberamenaza.

Poner en cuarentena y, de ser el caso, elimine archivos que se detectan y/o reemplace archivos infectados mediante copias de seguridad limpias.

Fuentes de información https[:]//fortiguard.com/encyclopedia/virus/6578505

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 5 de 13

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta El error del complemento de Facebook permite a los piratas informáticos secuestrar el chat de los sitios de WordPress.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 07 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el equipo de inteligencia de amenazas de Wordfence, han encontrado un error de alta gravedad encontrado en el complemento de chat oficial de Facebook para sitios web de WordPress con más de 80,000 instalaciones activas podría permitir a los atacantes interceptar los mensajes enviados por los visitantes al propietario de los sitios vulnerables.

2. El complemento de chat de Facebook permite a los propietarios de sitios web de WordPress insertar una ventana emergente de chat para comunicarse con los visitantes en tiempo real a través de la plataforma de mensajería de Facebook para páginas de Facebook.

3. El complemento también viene con soporte para transcripciones de chat y facilita la configuración de respuestas automáticas y preguntas frecuentes fuera del horario laboral para proporcionar a los visitantes información útil mientras el propietario del sitio no puede responder.

4. Los atacantes también podrían usar su acceso a los chats de sitios comprometidos para arruinar la reputación de los sitios a través de la interacción tóxica con sus visitantes o para causar pérdida de ingresos al "dirigir el tráfico al negocio de la competencia".

5. Los sitios de wordpress con ventanas emergentes activas de Messenger Chat aún están expuestos a ataques diseñados para explotar esta falla como parte de futuras campañas de piratería.

6. Se recomienda:

A los usuarios de Facebook Chat Plugin actualizar su complemento a la versión 1.6 lo antes posible para bloquear los ataques diseñados para secuestrar el chat de sus sitios como parte de los esquemas de ingeniería social.

Fuentes de información http[:]//www.bleepingcomputer.com/news/security/facebook-plugin-bug-lets-hackers-hijack-wordpress-sites-chat/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 6 de 13

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Hackean datos personales de 2,500 policías de Tijuana - México Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 07 de Agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuación: El sistema de inteligencia de la Policía de Tijuana, México, fue hackeado; los responsables del ataque exigieron once unidades de Bitcoin a cambio de liberar la información comprometida. Las autoridades no han confirmado si los criminales obtuvieron acceso a los datos afectados o si sólo lograron bloquear el acceso. Considerando el tipo de cambio actual ($250 mil pesos por Bitcoin), el rescate que los hackers exigieron alrededor de $2 millones 748 mil pesos.

2. Este incidente ocurre en un momento muy complejo para las autoridades de esta ciudad mexicana, debido a que entre mayo y junio han sido asesinados múltiples oficiales de policía; por lo que se cree que un grupo de actores de amenazas podría haber accedido a una base de datos con información confidencial de los oficiales de policía y otros miembros de las fuerzas del orden.

3. El Secretario de Seguridad y Protección Ciudadana (SSPC), Jorge Alberto Ayón, recibió un documento de comunicación interna notificándole una caída en los sistemas informáticos de la policía local. En el documento se mencionaba que la causa más probable del incidente era un “secuestro digital”, como resultado de una infección de malware, otra forma de referirse a los ataques de ransomware.

4. Además de de la notificacion, las autoridades de Tijuana implementaron una serie de protocolos de seguridad, además de iniciar el proceso de investigación. La intrusión fue eliminada poco después, aunque se ignora si las autoridades cedieron a las exigencias de los ciberdelincuentes.

5. Se recomienda:

Ignorar los mensajes que lleguen por canales no oficiales, en especial aquellos que indiquen que la cuenta se bloqueó, que se debe compartir la contraseña o códigos de verificación. El aviso de bloqueo o actividad inusual de una cuenta sólo llega al correo indicado al momento de la registración, y no por teléfono (llamadas, SMS o por servicios de mensajería).

Asegurarse de tener conexiones y equipos seguros. Proteger la red con contraseñas adecuadas (combinando letras, números y caracteres especiales) y los equipos usando software original y antivirus actualizados. En casos de tráfico de información sensible, asesorarse con especialistas para su cifrado.

Considerar establecer límites para que sólo un pequeño grupo de personas pueda acceder a su página de redes sociales. Nunca divulgue su nombre completo, número de Seguro Social, domicilio, número de teléfono o números de cuenta en sitios de acceso libre al público.

Fuentes de información https[:]//noticiasseguridad.com/hacking-incidentes/hackean-datos-personales-de-2500-policias-de-tijuana-piden-3-millones-para-no-filtrarlos/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 7 de 13

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ataque tipo defacement a página web Peruana

Tipo de ataque Destrucción o alteración de la información de configuración

Abreviatura DAIC

Medios de propagación Red, internet Código de familia K Código de subfamilia K02 Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 7 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la página web de dominio .pe que sufrió un ataque cibernético de tipo defacement. Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque.

Fecha Página atacada Hacker Referencia

05/08/2020 http[:]//dreapurimac.gob.pe/r00t.txt cyber_hunter Dirección Regional de Educación Apurímac.

2. Se recomienda:

Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).

Adquirir un certificado de seguridad para proteger el sitio web.

Contratar un escáner de seguridad para el sitio web.

Realizar copias de seguridad del sitio web con frecuencia.

Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.

Tener software actualizados.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 8 de 13

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Ransomware amenaza la producción de 300 respiradores por día.

Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, redes sociales, entre otros Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso

Descripción

1. El 7 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que el fabricante de respiradores contra el coronavirus aprobado por la FDA Boyce Technologies, ha sido blanco de un Ransomware lanzado por ciberdelincuentes de nombre “DoppelPaymer”, que amenazan con filtrar datos de la compañía si no realizan un pago, en su blog muestran algunos datos robados durante el ataque como por ejemplo: órdenes de compra y venta, formularios de asignación, entre otros.

2. Los ciberdelincuentes utilizan el tipo de ataque cibernético denominado "fuerza bruta" (Se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso), contra el servidor de gestión de sistemas de la empresa objetivo, y se ha dirigido principalmente al sector de salud en medio de la crisis del COVID-19.

3. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 9 de 13

Componente que reporta DIRECCIÓN DE INTELIGENCIA – FUERZA AÉREA DEL PERÚ

Nombre de la alerta Malware para el robo de datos denominado QSnatch alias (Derek)

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 07 de agosto de 2020, se detectó que la vulnerabilidad registrada como CVE-2019-15126 denominada “k00k”, afecta a dispositivos routers para el descifrado de paquetes WPA2. Esto es algo que puede poner en peligro nuestra privacidad y permitir el acceso de intrusos a las redes.

2. Cabe indicar, que la vulnerabilidad en mención, afecta a dispositivos wi-fi Qualcomm y Mediatek, debido a que se podría descifrar los paquetes que se transmiten en el protocolo WPA2. Para poder explotar esta vulnerabilidad, se necesita estar dentro del rango de alcance del wifi, pero no es necesario estar dentro de la red.

3. La compañía ESET, encontró múltiples dispositivos vulnerables donde se cuentan aproximadamente mil millones de equipos vulnerables en todo el mundo.

4. Se recomienda:

Hacer uso de dispositivos wifi de las compañías antes mencionadas, deberán actualizar e instalar los parches de seguridad para evitar la pérdida de información por terceras personas.

Fuentes de información https[:]//www.redeszone.net/noticias/wifi/krook-variantes-wifi-wpa2/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 10 de 13

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Empresas expuestas a ciberataques por utilizar el sistema operativo obsoleto Windows 7

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El FBI ha emitido un comunicado advirtiendo a las empresas que utilizan el sistema operativo Windows 7 a que este se vuelve cada vez más vulnerable a la explotación de fallas de seguridad por parte de los ciberdelincuentes, a raíz de la falta de soporte y actualizaciones de seguridad. Windows 7 dejó de recibir actualizaciones de seguridad al finalizar su ciclo de vida útil.

2. Detalles:

El 14 de enero de 2020, Microsoft finalizó el soporte para el sistema operativo Windows 7, que incluye actualizaciones de seguridad y soporte técnico a menos que ciertos clientes hayan comprado un Plan de Actualización de Seguridad (ESU). El plan ESU se paga por dispositivo y está disponible para las versiones Windows 7 Professional y Enterprise. Microsoft solo ofrecerá el plan ESU hasta enero de 2023.

A partir de mayo de 2019, un informe de código abierto indicó que el 71 % de los dispositivos Windows utilizados en organizaciones de atención médica ejecutaban un sistema operativo que dejó de ser compatible en enero de 2020. Se han observado mayores compromisos en la industria de la atención médica cuando un sistema operativo ha alcanzado el estado de final de su ciclo de vida útil.

Según el FBI, los ciberdelincuentes continúan encontrando puntos de entrada en los sistemas operativos heredados de Windows y aprovechan las vulnerabilidades del Protocolo de escritorio remoto (RDP). Microsoft lanzó un parche de emergencia para sus sistemas operativos más antiguos, incluido Windows 7, después de que un investigador de seguridad de la información descubriera la vulnerabilidad RDP llamada BlueKeep en mayo de 2019. Desde finales de julio de 2019, la actividad maliciosa de RDP ha aumentado con el desarrollo de un exploit comercial en funcionamiento para la vulnerabilidad BlueKeep.

Los ciberdelincuentes suelen utilizar controles de acceso de RDP mal configurados o protegidos de forma inadecuada para realizar ciberataques. El mercado xDedic, eliminado por las fuerzas del orden en 2019, floreció al comprometer las vulnerabilidades de RDP en todo el mundo.

En 2017, aproximadamente el 98% de los sistemas infectados con WannaCry emplearon sistemas operativos basados en Windows 7. Después de que Microsoft lanzó un parche en marzo de 2017 para el exploit informático utilizado por el ransomware WannaCry, muchos sistemas Windows 7 permanecieron sin parche cuando comenzaron los ataques WannaCry en mayo de 2017. Con menos clientes capaces de mantener un sistema Windows 7 parcheado después de su finalización, los ciberdelincuentes seguirán explotando las vulnerabilidades en Windows 7.

3. Recomendaciones:

La defensa contra los ciberdelincuentes requiere un enfoque de varios niveles, incluida la validación del software actual empleado en la red informática, la validación de los controles de acceso y las configuraciones de la red.

Actualización de sistemas operativos a la última versión compatible.

Garantizar que el antivirus, los filtros de correo no deseado y los firewalls estén actualizados, configurados correctamente y sean seguros.

Auditar las configuraciones de red y aislar los sistemas informáticos que no se pueden actualizar.

Auditar su red en busca de sistemas que utilicen RDP, cerrar los puertos RDP no utilizados, aplicar la autenticación de dos factores siempre que sea posible y registrar los intentos de inicio de sesión de RDP.

Fuentes de información

hxxps://assets.documentcloud.org/documents/7013778/FBI-PIN-alert-on-Windows-7-End-of-Life.pdf

hxxps://www.welivesecurity.com/la-es/2020/08/06/advierten-sobre-los-riesgos-de-seguridad-que-supone-seguir-utilizando-windows-7/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 125

Fecha: 7-08-2020

Página: 11 de 13

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del troyano de acceso remoto Remcos

Tipo de ataque Troyano Abreviatura Troyano

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. El 07 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ANY RUN”, se informa sobre la detección del Troyano de acceso remoto Remcos, es un tipo de malware RAT, que al ser ejecutado toma el control remoto de las PC con cualquier sistema operativo Windows, incluidos XP y versiones más recientes. También puede realizar capturas de pantalla y grabar pulsaciones de teclas en máquinas infectadas, el cual está dirigido a organizaciones específicas incluido agencias de noticias y negocios relacionados con la industria energética.

Detalles:

o El troyano Remcos se distribuye a través de campañas de correo electrónico no deseado u otras técnicas de phishing personalizados donde incitan a las víctimas para que descarguen archivos adjuntos, como archivos de Microsoft Office contaminados, una vez descargados solicitan activar las macros que se requieren para que comience la ejecución de Ramcos o pretende ser un archivo de Microsoft Word que explota las vulnerabilidades existente en dispositivos de la víctima para descargar y ejecutar la carga principal.

o Remcos infecta el dispositivo y comienza con el proceso de ejecución del script VBS, la línea de ejecución de secuencia de comandos procede a soltar un archivo ejecutable con la carga principal y realiza las principales actividades maliciosas como robar información, cambiar el valor de ejecución automática en el registro y conectarse al servidor de comando y control (C2).

Dominios y direcciones IP utilizadas por los actores de la amenaza para la ejecución de Remcos.

Dominios IP Dominios IP

majul[.]com 193[.]161[.]193[.]99 nickman12-46565[.]portmap[.]io 3[.]137[.]63[.]131 digum1992-57373[.]portmap[.]host 185[.]140[.]53[.]50 oluchi[.]ddns[.]net 185[.]140[.]53[.]9

elx01[.]knas.systems 185[.]244[.]30[.]16 Jsgjckh[.]duckdns[.]org 181[.]48[.]139[.]42 newdnsremi[.]ddns[.]net 79[.]134[.]225[.]118 Otro1-33981[.]portmap[.]host 185[.]140[.]53[.]17 goodluckfile[.]ddns[.]net 79[.]134[.]225[.]79 Miloudi-25178[.]portmap[.]host 88[.]198[.]205[.]179 Jacksonsmit[.]ddns[.]net 3[.]20[.]98[.]123 tubeydoo-51012[.]portmap[.]host 79[.]134[.]225[.]49 remcos247[.]ddns[.]net 185[.]244[.]30[.]14 BonelessPizza-

31637[.]portmap[.]host 185[.]140[.]53[.]63

Isns[.]net 192[.]169[.]69[.]25 836c92-33551[.]portmap[.]host 3[.]126[.]37[.]18 site[.]ptbagasps[.]co[.]id 79[.]134[.]225[.]77 oioioioioioioioioioiooioioi-

35025[.]portmap[.]host 104[.]254[.]90[.]251

sherimix[.]duckdns[.]org 79[.]134[.]225[.]11 Mju-49682[.]portmap[.]io 178[.]124[.]140[.]145

Imagen del proceso de infección del malware Remcos:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: Vahcset.exe

Tipo: Win32 EXE

Tamaño: 1.20 MB (1255424 bytes)

MD5: c8945bc93ddc5fc5283aadfcff9071ac

SHA-1: 4fd42ca2945a7ba50ec2a054b34de4e21251fcb5

SHA-256: 4b53d36b1a3b40eec7ce0a35e82d3daacec263f8f1236e826ddbf1950431533f

o Topología de SHA-256: 4b53d36b1a3b40eec7ce0a35e82d3daacec263f8f1236e826ddbf1950431533f

2. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//any.run/malware-trends/remcos

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 13 de 13

Índice alfabético

Código malicioso .................................................................................................................................................. 4, 6, 8, 11 Correo electrónico ............................................................................................................................................................. 8 Correo electrónico, redes sociales, entre otros ................................................................................................................ 8 Destrucción o alteración de la información de configuración .......................................................................................... 7 Explotación de vulnerabilidades conocidas ......................................................................................................... 3, 5, 9, 10 fuerza bruta ....................................................................................................................................................................... 8 Intento de intrusión ............................................................................................................................................. 3, 5, 9, 10 internet .............................................................................................................................................................................. 3 malware ......................................................................................................................................................... 2, 4, 6, 11, 12 Malware ................................................................................................................................................................. 2, 4, 6, 9 phishing ........................................................................................................................................................................... 11 ransomware ................................................................................................................................................................. 6, 10 Ransomware .................................................................................................................................................................. 2, 8 Red, internet ........................................................................................................................................................ 5, 7, 9, 10 redes sociales ................................................................................................................................................................. 1, 6 servidor .................................................................................................................................................................... 3, 8, 11 software ........................................................................................................................................................... 3, 6, 7, 8, 10 URL ..................................................................................................................................................................................... 3 USB, disco, red, correo, navegación de internet ..................................................................................................... 4, 6, 11 Uso inapropiado de recursos ............................................................................................................................................. 7 Vulnerabilidad................................................................................................................................................................ 2, 3