Lima, 23 de febrero de 2021

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Contenido
Empresa TietoEVRY es víctima de ataque de ransomware ...........................................................................3
Evaden el PIN de las tarjetas contactless falsificando su marca ...................................................................4
Ataque tipo defacement a página web con dominio “edu.pe” .....................................................................5
Virus Silver Sparrow – Escenario 1 ................................................................................................................6
Ciberdelincuentes explotan Google apps para robo de tarjetas de crédito .................................................8
Vulnerabilidad crítica en la plataforma de servicios FactoryTalk de Rockwell Automation .........................9
SonicWall lanza parches adicionales de firmware para los productos de la serie SMA 100 10.x y 9.x.......10
Múltiples vulnerabilidades en GateManager / SiteManager de Secomea .................................................11
Malware Silver Sparrow para Mac OS con soporte para los chips M1 – Escenario 2 .................................12
Índice alfabético ..........................................................................................................................................14

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 23-02-2021
SEGURIDAD DIGITAL N° 042 Página: 3 de 14
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Empresa TietoEVRY es víctima de ataque de ransomware
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, red e internet
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la empresa finlandesa TietoEVRY
fue víctima de un ciberataque de ransomware. El incidente ocurrió el lunes 22 de febrero de 2021, afectando su
infraestructura y servicios. Por consiguiente, tuvieron que desconectar los activos afectados para evitar una mayor
propagación del ransomware.
2. Detalles de la alerta:
TietoEVRY es una empresa finlandesa de software y servicios de TI que ofrece servicios de ingeniería de productos y TI,
con aproximadamente 24.000 empleados, activos en unos 20 países.
La empresa fue víctima de un ataque de tipo ransomware, afectando su infraestructura y servicios. El incidente ocurrió
el 22 de febrero de 2021. Ante lo ocurrido, TietoEVRY emitió un comunicado el día martes 23 de febrero de 2021,
indicando lo siguiente: “Debido al ransomware, la infraestructura y los servicios afectados se desconectaron. Junto con
los clientes afectados y nuestros socios, estamos trabajando para permitir la recuperación de las operaciones lo antes
posible”
Cabe precisar, las empresas que brindan ofertas de proveedores de servicios gestionados (MSP) y Los proveedores de
servicios de seguridad gestionada (MSSP) son un objetivo principal para los ciberdelincuentes de grupos de ataque de
ransomware. Posiblemente, utilizaron la variante de ransomware REvil para atacar a TietoEVRY.
3. Indicadores de Compromiso (IoC):
• MD5:
o 06adb14b35ba21f6593c55236d9b36f9
o 08f98939b61a37d986c2c726fcb0e1d8
o 0af67eeff2a25ebfda8f9dad73e15136
o 0f8ee1ed415794ec053dca928a409436
o 103f84a7f18492bb17b68cede3a8c53d
o 117dc83b400a889887c4e959f76ba1f7
o 125757d6876083b74eb29b7d32d60b0d
o 12ddb6465a43fbeecea2d2989f2caae8

• URL:
o hxxp://188[.]166[.]74[.]218/office.exe hxxp://188[.]166[.]74[.]218/radm.exe
o hxxp://188[.]166[.]74[.]218/untitled.exe hxxp://45[.]55[.]211[.]79/.cache/untitled.exe
3. Recomendaciones:
• Evaluar bloqueo preventivo de los indicadores de compromiso.
• No abrir correos electrónicos de dudosa procedencia.
• Contar con un antivirus y/o herramientas antiransomware.
• Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 23-02-2021
SEGURIDAD DIGITAL N° 042 Página: 4 de 14
COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
ARMADAS / GRUPO DE OPERACIONES EN EL CIBERESPACIO DE LA FUERZA AÉREA DEL PERÚ
Evaden el PIN de las tarjetas contactless falsificando su marca
Explotación de vulnerabilidades conocidas Abreviatura EVC
Red, internet
H Código de subfamilia H01
Intento de intrusión
Descripción

1. El 23 de febrero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un artículo
en el que un grupo de académicos de la ETH de Zúrich ha publicado una investigación sobre un ataque bastante
novedoso mediante el cual es posible usar una tarjeta Mastercard como si fuera una tarjeta VISA y sin necesidad de
conocer el PIN.

2. Esta técnica se aprovecha de vulnerabilidades en el protocolo EMV (Europay, mastercard, and Visa). Aunque se
detallará en el 30° Simposio de Seguridad de USENIX, muy a alto nivel decir que el ataque se logra utilizando una
aplicación de Android que implementa un ataque man-in-the-middle (MitM) sobre una arquitectura de relay, lo que
permite que la aplicación no solo inicie mensajes entre los dos extremos: el terminal y el tarjeta, sino también
interceptar y manipular las comunicaciones NFC (o Wi-Fi) para introducir maliciosamente una discrepancia entre la
marca de la tarjeta y la red de pago.

3. El ataque llamado “card brand mixup”, en español “confusión de tarjetas”, aprovecha el hecho de que estos AID no
están autenticados en el terminal de pago, lo que hace posible “engañarla” para que active un kernel defectuoso y,
por ende, que el banco que procesa los pagos en nombre del comerciante acepte transacciones contactless con un
PAN y un AID que indican diferentes marcas de tarjetas.

4. Sin embargo, el ataque requiere una serie de requisitos previos: se debe tener acceso a la tarjeta de la víctima, además
de poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlos al destinatario
correspondiente. Lo que no requiere es la necesidad de tener privilegios de root o explotar fallos en Android para usar
la aplicación de prueba de concepto (PoC).

5. Contramedidas:

• MasterCard y Visa han entregado una serie de contramedidas, incluida la obligación de las instituciones
financieras de incluir la AID en los datos de autorización, lo que permite a los emisores de tarjetas comparar la
AID con el PAN.

• La red de pago ha implementado controles para otros puntos de datos presente en la solicitud de autorización
que podrían usarse para identificar un ataque de este tipo.

▪ hxxps://blog.segu-info.com.ar/2021/02/evaden-el-pin-de-las-tarjetas.html?m=1
Fuentes de información
▪ hxxps://www.hackplayers.com/2021/02/ataque-confusion-marcas-tarjetas.html

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 23-02-2021
SEGURIDAD DIGITAL N° 042 Página: 5 de 14
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Ataque tipo defacement a página web con dominio “edu.pe”
Destrucción o Alteración de la Información de
Tipo de ataque Abreviatura DAIC
Configuración
Medios de propagación Red, internet
Código de familia K Código de subfamilia K02
Clasificación temática familia Uso inapropiado de recursos
Descripción

1. El 23 de febrero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un ataque tipo
Defacement a un sitio web con dominio “edu.pe” perteneciente al colegio francés Mary Buss (Lima). Los
ciberdelincuentes aprovechan el bajo nivel de seguridad de las páginas web para realizar este tipo de ataque.

Fecha Página atacada Hacker Referencia

Colegio
23/02/2021 hxxp://colegiofrancesmarybuss.edu.pe/kyn.htm KynDel Francés Mary
Buss (Lima)

2. Recomendaciones:
• Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de
prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).
• Adquirir un certificado de seguridad para proteger el sitio web.
• Realizar copias de seguridad del sitio web con frecuencia.
• Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.
• Tener softwares actualizados.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRAL Fecha: 23-02-2021
DE SEGURIDAD DIGITAL N° 042 Página: 6 de 14
Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Virus Silver Sparrow – Escenario 1
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción

1. Se ha detectado un nuevo malware denominado Silver Sparrow, dirigido a dispositivos Mac, encontrándose alrededor de
30 000 sistemas infectado de forma silenciosa.
Según los datos proporcionados por Malwarebytes, este malware a infectado 29,139 puntos finales de macOS en 153
países hasta el 17 de febrero. A pesar del alto número de infecciones, los detalles sobre cómo se distribuyó el malware y
los usuarios infectados aún son escasos.
Una vez infectado el sistema, el malware solo espera nuevos comandos de sus operadores.
La gran cantidad de sistemas infectados sugiere que se trata de una amenaza muy grave, ya que también viene con soporte
para infectar sistemas macOS que se ejecutan en la última arquitectura de chip M1 de Apple.
El malware se ha visto distribuido como dos archivos diferentes denominados “Updater.pkg” o “Update.pkg”. La única
diferencia observada es que update.pkg incluye un binario Intelx86_64 y un Apple M1, mientras que el otro solo incluye
el ejecutable de Intel.

A diferencia de otros malware, este utiliza JavaScript para ejecutar sus comandos, lo cual dificulta la detección de actividad
maliciosa.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Usando JavaScript, SilverSparrow creará scripts de shell ejecutados por el malware para comunicarse con los servidores
de comando y control y creará archivos XML de LaunchAgent Plist para ejecutar scripts de shell periódicamente.
Los binarios de Intel y Mach-O incluidos con Silver Sparrow parecen ser marcadores de posición para un malware en
desarrollo, ya que al ejecutarlos solo se muestra una pantalla que dice 'Hola mundo' o '¡Lo hiciste!'

2. Recomendaciones:
Evitar abrir links o ventanas de anuncios, aplicaciones piratas o actualizaciones de Flash que son muchas veces falsas, pues
estos son los vectores de distribución de malware para la mayoría de los programas maliciosos con objetivo a sistemas
Mac.

▪ hxxps://www.zdnet.com/article/30000-macs-infected-with-new-silver-sparrow-
malware/#ftag=RSSbaffb68
Fuentes de información
▪ hxxps://www.bleepingcomputer.com/news/security/new-silver-sparrow-malware-
infects-30-000-macs-for-unknown-purpose/

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRAL Fecha: 23-02-2021
DE SEGURIDAD DIGITAL N° 042 Página: 8 de 14
Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO – FUERZA AÉREA DEL PERÚ
Nombre de la alerta Ciberdelincuentes explotan Google apps para robo de tarjetas de crédito
Tipo de ataque Vulnerabilidad Abreviatura EVC
Medios de propagación Red, navegación de internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de Intrusión
Descripción

1. Se tomó conocimiento que ciberdelincuentes están utilizando un enfoque novedoso para robar los detalles de las
tarjetas de crédito de los compradores de comercio electrónico mediante la explotación de la plataforma de
aplicaciones empresariales Apps Script de Google. Los actores de amenazas están abusando del dominio de Google
Apps Script 'script.google.com' para ocultar sus actividades maliciosas de los motores de detección de malware y evadir
los controles de la Política de seguridad de contenido (CSP).
Los ciberdelincuentes confían en el hecho de que la mayoría de las tiendas en línea habrían incluido en la lista blanca
todos los subdominios de Google en su respectiva configuración de CSP (un protocolo de seguridad para bloquear la
ejecución de código sospechoso en aplicaciones web).
Una vez, los estafadores inyectaron el script malicioso en el sitio de comercio electrónico, todos los detalles de pago
robados del sitio explotado son transferidos como datos JSON codificados en base64 a una aplicación personalizada de
Google Apps Script, utilizando script.google.com como punto final de exfiltración. Luego, los datos robados se
transfirieron a otro servidor.

Los servicios de Google, como Google Forms y Google Sheets, también son explotados por la banda de
ciberdelincuentes FIN7 para comunicaciones de comando y control de malware.
defectuoso y el banco procese los pagos en nombre del comerciante y acepte transacciones contactless con un PAN y
un AID que indican diferentes marcas de tarjetas. El atacante realiza simultáneamente una transacción Visa con el
terminar y una transacción Mastercard con la tarjeta.

2. Recomendaciones:
Evitar ingresar credenciales de tarjetas de crédito en páginas no oficiales ni que sean compartidas por redes sociales.

Fuentes de información hxxps://www.ehackingnews.com/2021/02/fraudsters-are-exploiting-google-apps.html

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 23-02-2021
SEGURIDAD DIGITAL N° 042 Página: 9 de 14
DIRECCIÓN NACIONAL DE INTELIGENCIA
Vulnerabilidad crítica en la plataforma de servicios FactoryTalk de Rockwell Automation
Explotación de vulnerabilidades conocidas Abreviatura EVC
Red, internet
H Código de subfamilia H01
Intento de intrusión
Descripción

1. Resumen:
Rockwell Automation ha reportado una vulnerabilidad de severidad CRÍTICA de tipo uso de hash de contraseñas con
esfuerzo computacional insuficiente que afecta a la plataforma de servicios FactoryTalk (FactoryTalk Services Platform).
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto no autenticado crear nuevos
usuarios en la consola de administración de FactoryTalk Services Platform. Estos nuevos usuarios podrían permitir que
un atacante modifique o elimine la configuración y los datos de la aplicación en otro software FactoryTalk conectado a
la plataforma de servicios FactoryTalk.

2. Detalles:
Existe un problema con la implementación del algoritmo de hash SHA-256 con FactoryTalk Services Platform que impide
que la contraseña del usuario se procese correctamente. El software genera un hash para una contraseña, pero utiliza
un esquema que no proporciona un nivel suficiente de esfuerzo computacional que haría inviables o costosos los
ataques de descifrado de contraseñas.
Esta vulnerabilidad afecta a los sectores críticos de infraestructura: Química, Instalaciones comerciales, Manufactura
crítica, Energía, Instalaciones gubernamentales, Agua y sistemas de aguas residuales en todo el mundo.
CVE-2020-14516

3. Productos afectados:
FactoryTalk Services Platform, versión 6.10.00 y 6.11.00.

4. Solución:
Rockwell Automation ha lanzado una nueva versión del software afectado para su descarga (es necesario iniciar sesión).
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recomienda a los usuarios tomar medidas
defensivas para minimizar el riesgo de explotación de esta vulnerabilidad.
Los usuarios deben:
• Minimizar la exposición de la red para todos los dispositivos y / o sistemas del sistema de control y asegúrese de
que no sean accesibles desde internet.
• Ubicar las redes del sistema de control y los dispositivos remotos detrás de firewalls y aislarlos de la red empresarial.
• Cuando se requiera acceso remoto, utilizar métodos seguros, como redes privadas virtuales (VPN), reconociendo
que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más actual disponible. También
reconocer que la VPN es tan segura como los dispositivos conectados.

Fuentes de información hxxps://us-cert.cisa.gov/ics/advisories/icsa-21-054-01

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 23-02-2021
SEGURIDAD DIGITAL N° 042 Página: 10 de 14
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
SonicWall lanza parches adicionales de firmware para los productos de la serie SMA 100 10.x y
Nombre de la alerta
9.x
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
SonicWall ha lanzado parches de firmware para los productos de la serie SMA 100 en una actualización de su alerta
anterior del 3 de febrero de 2021. Un atacante remoto podría aprovechar una vulnerabilidad en las versiones de SMA
10 anteriores a la 10.2.0.5-29sv para tomar el control de un sistema afectado.
2. Detalles:
SonicWall anunció el 19 de febrero el lanzamiento de nuevas versiones de firmware para el código 10.xy 9.x en los
productos de la serie SMA 100, compuestos por dispositivos físicos SMA 200, 210, 400, 410 y el dispositivo virtual SMA
500v.
El nuevo firmware SMA 10.2 incluye:
• Correcciones de refuerzo de código identificadas durante una auditoría de código interna;
• Resumen de correcciones de problemas de clientes no incluidas en el parche del 3 de febrero;
• Mejoras generales de rendimiento;
• Correcciones de día cero de la serie SMA 100 anteriores publicadas el 3 de febrero.
El nuevo firmware 9.0 incluye:
• Correcciones de refuerzo de código identificadas durante una auditoría de código interna.
Dispositivos de la serie SMA 100 con firmware 10.xo 9.x que requieren actualización:
• Aparatos físicos: SMA 200, SMA 210, SMA 400, SMA 410;
• Dispositivos virtuales: SMA 500v (Azure, AWS, ESXi, HyperV).
Todas las organizaciones que utilizan productos de la serie SMA 100 con firmware 10.xo 9.x deben aplicar los parches
respectivos inmediatamente. Si ya aplicó el firmware SMA 10.2.0.5-29sv publicado el 3 de febrero, aún debe actualizar
a SMA 10.2.0.6-32sv.
Si omitió la actualización del firmware SMA 10.2.0.5-29sv del 3 de febrero, solo necesita aplicar el último firmware SMA
10.2.0.6-32sv.
3. Productos afectados:
firmware SMA 10.x y SMA 9.x
4. Solución:
La Agencia de Seguridad de Infraestructura y Ciberseguridad ( CISA ) recomienda a los usuarios y administradores a
revisar la alerta SonicWall actualizada y aplicar los parches adicionales en el nuevo firmware SMA 10.2.0.6-32sv lo antes
posible.

▪ hxxps://us-cert.cisa.gov/ncas/current-activity/2021/02/23/sonicwall-releases-additional-
patches
Fuentes de información
▪ hxxps://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-
x-and-9-x-firmware-updates-required-updated-feb-19-2-p-m-cst/210122173415410/

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 23-02-2021
SEGURIDAD DIGITAL N° 042 Página: 11 de 14
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Múltiples vulnerabilidades en GateManager / SiteManager de Secomea
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
Tenable ha descubierto múltiples vulnerabilidades de severidad ALTA y MEDIA de tipo secuencias de comandos entre
sitios reflejadas (XSS) y token de autenticación expuesto en la ruta URL que afecta a GateManager de Secomea. La
explotación exitosa de estas vulnerabilidades podría permitir a un atacante inyectar código XSS, acceder a información
confidencial e instalar puertas traseras en el dispositivo afectado.
Secomea es un proveedor líder de soluciones IIoT de mantenimiento remoto utilizadas por los constructores de
máquinas, integradores y fabricantes de todo el mundo.
2. Detalles:
Existe una vulnerabilidad de XSS reflejado registrado como CVE-2020-29028, relacionada con el parámetro “op” en
gui.cgi de GateManager, podría permitir a un atacante inyectar código JavaScript arbitrario para que se ejecute en el
navegador del usuario al navegar a la URL especialmente diseñada:
“hxxps://192.168.0.186/lm/cgi/gui.cgi?op=<script>alert('reflected+xss')</script>&cert=local_ca.pem”.

Igualmente, existe una vulnerabilidad registrada como CVE-2020-29030 que podría permitir a un atacante obtener
información confidencial de la URL de ruta de todas las peticiones POST/GET después de que un usuario se haya
autenticado en GateManager, ya que el token de autenticación queda expuesto de forma predeterminada. Si la ruta
de la URL contiene información confidencial, como identificadores de sesión, los atacantes pueden usar esta
información para lanzar más ataques.
Por último, existe una vulnerabilidad que afecta a SiteManager Embedded y SiteManager podría permitir a un atacante
con permisos de nivel de operador de servicio, instalar firmware manipulado y así, instalar una puerta trasera en el
dispositivo afectado.
3. Productos afectados:
• GateManager, todas las versiones anteriores a la 9.4;
• SiteManager, todas las versiones anteriores a la 9.4.
4. Solución:
Secomea recomienda actualizar los productos afectados a la versión 9.4 siguiendo las referencias adicionales para
GateManager y SiteManager.

Fuentes de información
▪ hxxps://es-la.tenable.com/security/research/tra-2021-06
▪ hxxps://kb.secomea.com/helpdesk/KB/View/34924335-secomea-sitemanager-release-
▪ hxxps://kb.secomea.com/helpdesk/KB/View/34924326-secomea-gatemanager--release-
▪ hxxps://www.incibe-cert.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-
productos-secomea

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 23-02-2021
SEGURIDAD DIGITAL N° 042 Página: 12 de 14
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Malware Silver Sparrow para Mac OS con soporte para los chips M1 – Escenario 2
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción

1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Una al Día”, se
informa sobre la detección de una nueva variante de Malware denominado “Silver Sparrow”, dirigido a equipos Mac
de Apple con macOS, incluyendo soporte para el chip M1 de Apple silicon. Silver Sparrow, tiene como finalidad infectar
los dispositivos y robar información confidencial de las víctimas.

2. Detalles del Malware Silver Sparrow:

• Se distribuye a través de anuncios maliciosos como instaladores únicos e independientes en formato PKG o DMG,
disfrazados como una aplicación legítima, como Adobe Flash Player o como actualizaciones.

• Utiliza javascript para su instalación y scripts shell para asegurar su persistencia y conectar con los servidores de
comando y control (C2).

• Tiene dos versiones: una con un binario en formato mach-object compilado para procesadores Intel x86_64 y la
otra Mach-O binary para el M1.

• El código nativo M1 se ejecuta con mayor velocidad y confiabilidad en la nueva plataforma que el código x86_64,
porque el primero no tiene que traducirse antes de ejecutarse.

• Dispone de medidas para asegurar su borrado de la máquina, con la finalidad de evitar ser detectado.

• Imagen. Descripción general de las dos versiones del Malware Silver Sparrow.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 3. Indicadores de compromiso (IoC).
• Archivos analizados:

o Nombre: updater.pkg
o Tipo: Apple software package
o Tamaño: 53.13 KB (54403 bytes)
o MD5: 30c9bc7d40454e501c358f77449071aa
o SHA-1: 0a2f947b5c844713b7c55188aa2e47917945816e
o SHA-256: 1decb4070db4dfe5d68ba502cf3a67de96a69ea6f3acfa4454795f96472ccc0d

o Nombre: update.pkg
o Tipo: Apple software package
o Tamaño: 72.08 KB (73805 bytes)
o MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
o SHA-1: 63c9506d704ee873a75abe18163122fcfe114cc5
o SHA-256: c7dd06b20b64b64d3b155b6b77c2778a08ef6a6c0396d7537af411258e57af1e

4. Recomendaciones
• Usar mecanismos de seguridad.
• Desarrollar actualizaciones periódicas de software.
• Concientizar y capacitar sobre medidas de ciberseguridad.
• Usar copias o respaldo de seguridad.

hxxps://unaaldia.hispasec.com/2021/02/nueva-variante-del-malware-silver-sparrow-afecta-a-
Fuentes de información
30-000-macos-incluyendo-soporte-para-el-chip-m1.html

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Página: 14 de 14

Índice alfabético

Código malicioso ...................................................................................................................................................... 3, 6, 12

Correo electrónico ............................................................................................................................................................. 3
Explotación de vulnerabilidades conocidas ....................................................................................................... 4, 9, 10, 11
hxxp ............................................................................................................................................................................... 3, 5
Intento de intrusión ........................................................................................................................................... 4, 9, 10, 11
internet ...................................................................................................................................................................... 3, 8, 9
malware ............................................................................................................................................................... 6, 7, 8, 13
Malware ....................................................................................................................................................................... 6, 12
ransomware ....................................................................................................................................................................... 3
Ransomware ...................................................................................................................................................................... 3
Red, internet .................................................................................................................................................. 4, 5, 9, 10, 11
redes sociales................................................................................................................................................................. 1, 8
servidor .............................................................................................................................................................................. 8
servidores .................................................................................................................................................................... 7, 12
software ................................................................................................................................................................... 3, 9, 13
URL ............................................................................................................................................................................... 3, 11
USB, disco, red, correo, navegación de internet ......................................................................................................... 6, 12
Uso inapropiado de recursos ............................................................................................................................................. 5
Vulnerabilidad................................................................................................................................................................ 8, 9

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe