Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
1. Se tomó conocimiento de la empresa de seguridad Cisco Talos descubrió recientemente una campaña que utiliza una
variante del troyano Masslogger diseñada para recuperar y exfiltrar las credenciales de usuario de múltiples fuentes
como Microsoft Outlook, Google Chrome y mensajería instantánea.
Aparte del archivo adjunto inicial al correo electrónico, todas las etapas de los ataques no tienen archivos y solo ocurren
en la memoria volátil.
Esta campaña interesante que afecta a los sistemas Windows y se dirige a usuarios en Turquía, Letonia e Italia, aunque
campañas similares del mismo actor también se han dirigido a usuarios en Bulgaria, Lituania, Hungría, Estonia, Rumanía
y España en setiembre, octubre y noviembre 2020.
Aunque las operaciones del troyano Masslogger se han documentado previamente, encontramos que la nueva
campaña es notable por utilizar el formato de archivo HTML compilado para iniciar la cadena de infección. Este formato
de archivo se usa normalmente para los archivos de ayuda de Windows, pero también puede contener componentes
de script activos, en este caso JavaScript, que inicia los procesos del malware.
Esta versión de Masslogger contiene la funcionalidad para apuntar y recuperar credenciales de las siguientes
aplicaciones:
URLs:
Mensajes en Correos:
• 54ca02b013e898be2606f964bc0946430a276de9ef478596a1d33cb6f806db8c
• 516d45fcbdbdc4526bdd0f6979fe3ad929b82e1fd31247c7891528703ac16131
• 1c0a17a11a4b64dbe6082be807309a3c447b4861ea56155c1bfcf4d072746d38
• 7c92e1befd1cc5fa4a253716ac8441f6e29a351b7e449d3b8ef171cb6181db8e
• 83c64bf1c919c5e6ce25633d0eff2b7cda5b93a210b60372d984f862933e0b4e
• E2c3ad4bedf9e6d1122d418e97dfb743b1559a5af99befabed5bb7c6164028a8
• 8129a86056aa28f2af87110bb25732b14b77f18a7c820d9bcf1adcd2c7d97a7a
• 0eef444f062ea06340ca7ef300cb39c44a6cdf7ead2732bb885d79f098991cb8
• df929834de2b10efaa8b2cb67c71ae98508cfb79f22213ee24aedc38a962ccb5
• 2487b12f52b803f5d38b3bb9388b039bf4f58c4b5d192d50da5fa047e9db828b
3. Recomendaciones:
• Que el encargado del área de informática realice el bloqueo de los IoC en los equipos de seguridad perimetral.
• Que se configuren los equipos de cómputo para registrar eventos de PowerShell, como la carga de módulos y los
bloques de scripts ejecutados.
1. Se tomó conocimiento que los investigadores de Unit 42 están exponiendo una de las operaciones de criptojacking de
Monero más grandes y duraderas que se conocen. La operación se llama WatchDog, tomado del nombre de un demonio
de Linux llamado watchdogd. La operación minera WatchDog ha estado en funcionamiento desde el 27 de enero de
2019 y ha recolectado al menos 209 Monero (XMR), valorados en alrededor de $ 32,056 USD. Los investigadores han
determinado que al menos 476 sistemas comprometidos, compuestos principalmente por instancias de nube de
Windows y NIX, han estado realizando operaciones de minería en cualquier momento durante más de dos años.
El cryptojacking es el proceso de realizar operaciones de criptominería en sistemas que no son propiedad ni están
mantenidos por los operadores de minería. Actualmente, se estima que las operaciones maliciosas de criptojacking
afectan al 23% de los entornos en la nube, frente al 8% en 2018. Este aumento se debe principalmente al aumento
meteórico en la valoración de las criptomonedas. Se anticipa que el mercado global de blockchain, la tecnología detrás
de la criptomoneda alcanzará los $ 60,7 mil millones para 2024, y las organizaciones criminales y los grupos de actores
están tratando de sacar provecho de esto.
El minero WatchDog se compone de un conjunto binario Go Language de tres partes y un archivo de script bash o
PowerShell. Los binarios realizan una funcionalidad específica, una de las cuales emula la funcionalidad del demonio
watchdogd de Linux al asegurar que el proceso de minería no se cuelgue, sobrecargue o finalice inesperadamente. El
segundo binario de Go descarga una lista configurable de rangos de red de direcciones IP antes de proporcionar la
funcionalidad de las operaciones de explotación específicas de los sistemas NIX o Windows identificados descubiertos
durante la operación de escaneo. Finalmente, el tercer script binario de Go iniciará una operación de minería en los
sistemas operativos (SO) Windows o NIX utilizando configuraciones personalizadas desde el script bash o PowerShell
iniciado. El uso de WatchDog de los binarios de Go le permite realizar las operaciones indicadas en diferentes sistemas
operativos utilizando los mismos binarios, es decir, Windows y NIX, siempre que la plataforma Go Language esté
instalada en el sistema de destino.
Los investigadores han trazado la infraestructura detrás de las operaciones mineras. Han identificado 18 puntos finales
de IP raíz y siete dominios maliciosos, que sirven al menos 125 direcciones URL maliciosas que se utilizan para descargar
su conjunto de herramientas.
WatchDog, por otro lado, no depende de un sitio de terceros para alojar su carga útil maliciosa, lo que le permite haber
permanecido activo durante más de dos años en el momento de escribir este artículo.
Dominios:
• de.gengine[.]com.de de.gsearch[.]com.de global.bitmex[.]com.de
• ipzse[.]com py2web[.]store sjjjv[.]xyz
• us.gsearch[.]com.de
URL:
• hxxp://107.173.159[.]206:8880/tatavx1hym9z928m/bsh.sh
• hxxp://107.173.159[.]206:8880/tatavx1hym9z928m/config.json
• hxxp://107.173.159[.]206:8880/tatavx1hym9z928m/sysupdate
• hxxp://107.173.159[.]206:8880/tatavx1hym9z928m/update.sh
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/config.json
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/networkservice
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/sysguard
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/sysupdate
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/update.sh
• hxxp://176.123.10[.]57/cf67356/config.json
• hxxp://176.123.10[.]57/cf67356/networkmanager
• hxxp://176.123.10[.]57/cf67356/newinit.sh
• hxxp://176.123.10[.]57/cf67356/phpguard
• hxxp://176.123.10[.]57/cf67356/zzh
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/config.json
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/networkservice
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/sysguard
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/sysupdate
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/update.sh
• hxxp://185.232.65[.]124/update.sh
• hxxp://185.232.65[.]191/cf67356/config.json
• hxxp://185.232.65[.]191/cf67356/newinit.sh
• hxxp://185.232.65[.]191/cf67356/zzh
• hxxp://185.232.65[.]191/config.json
• hxxp://185.232.65[.]191/trace
• hxxp://185.232.65[.]191/update.sh
• hxxp://185.232.65[.]192/cf67356/networkmanager
• hxxp://185.232.65[.]192/cf67356/phpguard
• hxxp://185.232.65[.]192/config.json
3. Recomendaciones:
Que el encargado del área de informática realice el bloqueo de los IoC en los equipos de seguridad perimetral.
1. El 18 de febrero de 2021, se detectó un ataque tipo defacement a un sitio web con dominio “edu.pe” perteneciente a
la Universidad de San Martín de Porres (Lima). Los ciberdelincuentes aprovechan el bajo nivel de seguridad de las
páginas web para realizar este tipo de ataque.
2. Recomendaciones:
• Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de
prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).
• Adquirir un certificado de seguridad para proteger el sitio web.
• Realizar copias de seguridad del sitio web con frecuencia.
• Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.
• Tener softwares actualizados.
• Utiliza muchas más direcciones de Monero para recopilar sus Fondos ilegales de criptominería.
• En su ejecución los actores de la amenaza, obvian el robo de credenciales de los sistemas comprometidos.
• Los servidores infectados por WatchDog, generalmente se ejecuta con privilegios de administrador, lo que podría
permitir a los ciberdelincuentes realizar un escaneo y volcado de credenciales sin ninguna dificultad, si los atacantes
cibernéticos alguna vez quisieran.
o Nombre: newinit.sh
o Tipo: Shell script
o Tamaño: 38.29 KB (39210 bytes)
o MD5: ae1f17d7d197beeb810e334e7528aeab
o SHA-1: dd6dee271bb689671a125c254397a4eb2a5f21e3
o SHA-256: a322dc6af6fed1326b04ec966e66b68dd8ef22374edd286569710afc65ccc741
4. Recomendaciones
• Mantener en todo momento los sistemas y dispositivos actualizados.
• Corregir todo tipo de problemas en los dispositivos, que pudieran ser explotados por los piratas informáticos.
• Concientizar y capacitar sobre medidas de ciberseguridad.
• Usar copias o respaldo de seguridad.
hxxps://www.zdnet.com/article/windows-and-linux-servers-targeted-by-new-watchdog-
Fuentes de información
botnet-for-almost-two-years/
Índice alfabético
botnet .............................................................................................................................................................................. 13
Botnets............................................................................................................................................................................. 12
Código malicioso ................................................................................................................................................ 3, 6, 11, 12
exploits ............................................................................................................................................................................ 12
hxxp ....................................................................................................................................................................... 4, 7, 8, 9
IRC, USB, disco, red, correo, navegación de internet ...................................................................................................... 12
malware ............................................................................................................................................................................. 3
Malware ......................................................................................................................................................................... 5, 6
Red, internet .................................................................................................................................................................... 11
redes sociales..................................................................................................................................................................... 1
servidor ........................................................................................................................................................................ 4, 12
servidores ........................................................................................................................................................................ 12
software ........................................................................................................................................................................... 12
Troyanos ............................................................................................................................................................................ 3
URL ................................................................................................................................................................................. 6, 7
USB, disco, red, correo, navegación de internet ............................................................................................................... 6