Alerta Integrada de Seguridad Digital #001-2021-PECERT

Lima, 04 de enero de 2021
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
Contenido
Backdoor en dispositivos Zyxel ......................................................................................................................4
La Vulnerabilidad del Kernel de Linux pone en peligro los servidores web ..................................................5
Un error de Google Docs podría permitir a los piratas informáticos ver sus documentos privados ............6
Los piratas informáticos amplían los ataques de robo de IP COVID-19. .......................................................7
Aplicaciones de Google Play para Android infectadas. .................................................................................8
Suplantación de sitio web Three UK ..............................................................................................................9
Nueva campaña phishing de Microsoft. ......................................................................................................10
Suplantación de red social. ..........................................................................................................................11
Aumentan los ataques y engaños relacionados a la vacuna contra el covid‑19 .........................................12
Vulnerabilidad crítica en firewalls y controladores AP de Zyxel .................................................................13
Detección de phishing en sitio web American Telephone & Telegraph......................................................14
Detección del phishing a través de envió de SMS .......................................................................................16
Phishing, suplantando la identidad de la empresa informática multinacional Microsoft ..........................18
Índice alfabético ..........................................................................................................................................20

pecert@pcm.gob.pe
ALERTA INTEGRADA DE Fecha: 04-01-2021
1.
SEGURIDAD DIGITAL N° 001 Página: 3 de 20
Componente que reporta PECERT|EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Falla de seguridad crítica en Zend Framework permite la ejecución de código remoto
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV
Medios de propagación Internet y red
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad han
revelado el hallazgo de una vulnerabilidad de deserialización en Zend Framework 3.0.0 para ejecutar código remoto en
sitios PHP.
2. Detalles de la alerta:
A continuación se muestra una breve descripción de la
vulnerabilidades y exposiciones comunes (CVE) identificada,
además de sus respectiva clave de identificación y puntaje de
acuerdo con el sistema de puntuación de vulnerabilidad
común (CVSS):
a) CVE-2020-3007: Zend Framework 3.0.0 tiene una
vulnerabilidad de deserialización que puede llevar a la
ejecución remota de código si el contenido es controlable, relacionada con el método __destruct de la clase Zend \
Http \ Response \ Stream en Stream.php.
Asimismo, el código puede estar relacionado con Laminas Project laminas-http. Zend Framework ya no es compatible
con el mantenedor. Sin embargo, no todas las vulnerabilidades de Zend Framework 3.0.0 existen en una versión de
Laminas Project.
Cabe precisar, la vulnerabilidad proviene del destructor
de la clase Stream, tal como se muestra en la Figura 1;
en programación orientada a objetivos, los métodos de
construcción y destrucción se llaman cuando se crea y
destruye un nuevo objeto de clase. Cuando el objetivo
cumple su propósito en el programa, el intérprete PGO
llamará al destructor del objetivo y seguirá otra
secuencia de comandos para liberar memoria. El
experto menciona que el método unlink (), llamado por
el destructor Stream, esperará un nombre de archivo
como parámetro, que es del tipo de datos de la cadena.
Si el objeto streamName fuese de un tipo diferente, al
final de la ejecución aún se pasaría al destructor; este a
su vez intentaría llamar al método __toString para obtener su valor equivalente a la cadena. Este método podría ser
modificado fácilmente por el creador del objetivo.
3. Recomendaciones:
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Los administradores de sistemas verificar a detalle sus aplicaciones web para prevenir la explotación del ataque.
• Actualizar los parches de seguridad en el sitio web oficial del fabricante.
• Realizar concientización constante a los usuarios sobre este tipo de amenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

pecert@pcm.gob.pe
COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
Componente que reporta
ARMADAS
Nombre de la alerta Backdoor en dispositivos Zyxel
Tipo de ataque Malware Abreviatura Trick Bot Malware
Medios de propagación Red, internet
Clasificación temática familia Malware
Descripción
1. El 04 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que
Zyxel ha lanzado un parche para abordar una vulnerabilidad crítica en su firmware con respecto a una cuenta secreta
no documentada y codificada que podría ser abusada por un atacante para iniciar sesión con privilegios
administrativos y comprometer sus dispositivos de red.
2. La falla, rastreada como CVE-2020-29583 (puntuación CVSS 7.8), afecta la versión 4.60 presente en una amplia gama
de dispositivos Zyxel, incluidos Unified Security Gateway (USG), USG FLEX, ATP y productos de firewall VPN. El
investigador de EYE, Niels Teusink, informó la vulnerabilidad a Zyxel el 29 de noviembre, luego de lo cual la compañía
lanzó un parche de firmware (ZLD V4.60 Patch1) el 18 de diciembre.
3. Zyxel dijo que las credenciales codificadas se implementaron para entregar actualizaciones automáticas de firmware a
los puntos de acceso conectados a través de FTP. Al señalar que alrededor del 10% de los 1.000 dispositivos en los
Países Bajos ejecutan la versión de firmware afectada, Teusink dijo que la relativa facilidad de explotación de la falla la
convierte en una vulnerabilidad crítica.
4. Se recomienda:
Para mitigar las esperar que la compañía taiwanesa aborde el problema en sus controladores de punto de acceso (AP)
con un V6.10 Patch1 que se lanzará en abril de 2021. Se recomienda encarecidamente que los usuarios instalen las
actualizaciones de firmware necesarias para mitigar el riesgo asociado con la falla.
Fuentes de información hxxps://blog.segu-info.com.ar/2021/01/cuenta-secreta-backdoor-encontrada-en.html?m=1

pecert@pcm.gob.pe
ALERTA INTEGRADA DE Fecha: 04- 01-2021
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta La Vulnerabilidad del Kernel de Linux pone en peligro los servidores web
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Descripción
1. El 29 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado
información publicada el 28 de diciembre por “Information Security Newspaper”, quienes informan que hasta el 5% o
todos los servidores web en todo el mundo podrían estar expuestos a una debilidad de seguridad del kernel de Linux.
El problema también podría estar afectando a millones de usuarios del sistema operativo Android, lo que supone un
riesgo crítico.
2. La explotación exitosa permitiría a los actores de amenazas implementar una variante de los llamados ataques de
"capas cruzadas" dirigidos al kernel de Linux con un problema de seguridad en el Pseudo Random Number Generator
(PRNG). El ataque es posible debido al algoritmo de generación de puertos de origen UDP, el algoritmo de generación
de etiquetas de flujo IPv6 y el algoritmo de generación IPv4 en algunos sistemas Linux.
3. Este ataque podría conducir a escenarios de envenenamiento de la caché de DNS que afecten a los sistemas Linux. Un
ataque exitoso también podría permitir a los piratas informáticos rastrear dispositivos Linux y Android vulnerables a
otras variantes de ataque.
4. Existe una variante más poderosa del ataque que podría estar exponiendo los servidores Ubuntu: “Alrededor del 13,4%
de los servidores web que ejecutan esta distribución tienen las condiciones necesarias para una campaña de
explotación exitosa; no obstante, esta es solo mi estimación, por lo que la cantidad de servidores potencialmente
expuestos podría ser mayor.
5. La debilidad de PRNG también podría permitir que los piratas informáticos malintencionados exploten el seguimiento
basado en la web en dispositivos Linux y Android: "El ataque se puede usar para rastrear personas a través de redes, e
incluso cuando se usa el modo de privacidad del navegador, o mientras se usa un Solución VPN.
6. Se recomienda para los usuarios de Linux reemplazar el PRNG débil con algoritmos más fuertes.
hxxps://www.securitynewspaper.com/2020/12/28/linux-kernel-vulnerability-endangers-web-
Fuentes de información
servers-and-android-devices/

pecert@pcm.gob.pe
Un error de Google Docs podría permitir a los piratas informáticos ver sus documentos
Nombre de la alerta
privados
Tipo de ataque Robo de información Abreviatura RobInfo
Medios de propagación Red, internet, redes sociales
Código de familia K Código de subfamilia K01
Clasificación temática familia Uso inapropiado de recursos.
Descripción
1. El 29 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el
investigador de seguridad Sreeram KL, quien ha reportado un error en la herramienta de comentarios incorporada en
todos sus servicios de Google Docs, que podría ser aprovechado por un atacante para robar capturas de pantalla de
documentos confidenciales de Google Docs simplemente insertándolos en un sitio web malicioso.
2. Muchos de los productos de Google, incluido Google Docs, vienen con una opción "Enviar comentarios" o "Ayudar a
que los Documentos mejoren" que permite a los usuarios enviar comentarios junto con una opción para incluir una
captura de pantalla, algo que se carga automáticamente para resaltar problemas específicos.
3. Se identificó un error en la forma en que estos mensajes se pasaban a "feedback.googleusercontent.com", lo que le
permitía a un atacante modificar el marco a un sitio web externo arbitrario y, a su vez, robar y secuestrar capturas de
pantalla de Google Docs que eran destinado a ser subido a los servidores de Google.
4. La falla se debe a la falta de un encabezado X-Frame-Options en el dominio de Google Docs, lo que hizo posible cambiar
el origen de destino del mensaje y explotar la comunicación de origen cruzado entre la página y el marco que contiene.
5. Si bien el ataque requiere alguna forma de interacción del usuario, es decir, hacer clic en el botón "Enviar comentarios",
un exploit podría aprovechar fácilmente esta debilidad para capturar la URL de la captura de pantalla cargada y
exfiltrarla en un sitio malicioso.
6. Esto se puede lograr incrustando un archivo de Google Docs en un iFrame en un sitio web fraudulento y secuestrando
el marco emergente de comentarios para redirigir el contenido a un dominio elegido por el atacante.
7. Se recomienda lo siguiente:
• Mantener actualizados los sistemas operativos y antivirus.
• Especificar siempre un origen de destino exacto.
Fuentes de información https[:]//thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html

pecert@pcm.gob.pe
Nombre de la alerta Los piratas informáticos amplían los ataques de robo de IP COVID-19.
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, correo, disco, red, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción
1. El 29 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por Rob
Bathurst, investigador de ciberseguridad Digitalware, quien ha reportado que los atacantes ven el espacio de la
atención médica como un rico depósito de propiedad intelectual (PI) ahora más que nunca, a medida que se desarrollan
investigaciones críticas de las terapias COVID-19 y Pfizer, Moderna y otras empresas de biotecnología comienzan a
producir vacunas en masa.
2. El grupo de amenaza persistente avanzada (APT) busca robar la investigación de la vacuna COVID-19 de las instituciones
académicas y farmacéuticas.
3. Las APT se están infiltrando en sus objetivos, los troyanos disponibles comercialmente como Emotet o Trickbot están
diseñados para empresas y entornos complejos. Estas puertas traseras pueden ganar persistencia y proporcionar una
plataforma de implementación para hacer más incursiones en la red de la víctima.
4. El APT29 está utilizando malware personalizado avanzado llamado "WellMess" y "WellMail" para la exfiltración de
datos.
5. También es fundamental considerar las amenazas a la cadena de suministro, que incluyen aquellas contra
investigadores, agencias gubernamentales, universidades, farmacéuticas, hospitales que tratan casos y empresas
involucradas en la fabricación de ingredientes.
6. Se recomienda lo siguiente:
• Realizar un monitoreo constante durante las 24hrs del día.
• Capacitar a los empleados en conciencia de seguridad.
• Evitar abrir archivos adjuntos de fuentes desconocidas y nunca descargar contenido de fuentes dudosas.
Fuentes de información https[:]//threatpost.com/hackers-amp-up-covid-19-ip-theft-attacks/162634/

pecert@pcm.gob.pe
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Aplicaciones de Google Play para Android infectadas.
Tipo de ataque Stealers Abreviatura Stealers
Medios de propagación USB, disco, red, correo, navegación de internet
Descripción
1. El 29 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que
aplicaciones de Google Play contienen código malicioso. El control de seguridad de Google ha sido eludido por los
piratas informáticos, inyectando código malicioso en las aplicaciones de Google Play Store, esto permite el robo de
información personal y los datos confidenciales de los usuarios que realizan la instalación de las aplicaciones infectadas.
APLICACIONES INFECTADAS
Dancing Run – Color Ball Run Throw Master
Divide it – Cut & Slice Game Throw into Space
VPN Unblocker Free unlimited Best Anonymous Best Ultimate VPN – Fastest Secure
Secure Unlimited VPN
VPN Download: Top, Quick & Unblock Sites Disc Go!
Unlimited VPN y Power VPN Free VPN Spot Hidden Differences
Draw Color by Number Save Your Boy
Skate Board Tony Shoot
Assassin Hunter 2020 Assassin Legend
Stealing Run Shoot Master
Fly Skater 2020 Find 5 Differences
SuperVPN Free VPN Client Stacking Guys
Super VPN 2019 USA Korea VPN – Plugin for OpenVPN
Secure VPN-Fast VPN Free Wuma VPN-PRO
TapVPN Free VPN Joy Woodworker
Find Hidden Differences
2. Recomendaciones:
Mantener actualizado el sistema operativo de su móvil.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

pecert@pcm.gob.pe
Nombre de la alerta Suplantación de sitio web Three UK
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. El 31 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un sitio
web fraudulento (hxxps://3-billing.live/three/) que suplanta la página de Three UK (proveedor de servicios de
telecomunicaciones e internet), la cual solicita al usuario el ingreso de datos personal con la finalidad de robarles
información.
2. Asimismo, se analizó dicho enlace en la página de “Virus Total”, donde es catalogado como phishing.
3. Recomendaciones:
• Evitar ingresar a enlaces no confiables.
• Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

pecert@pcm.gob.pe
Nombre de la alerta Nueva campaña phishing de Microsoft.
Medios de propagación Correo electrónico.
Descripción
1. El 31 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó una nueva
campaña tipo phishing de Microsoft a través de correos electrónicos con asunto “Extremity Alert” con un enlace que
redirige a la página fraudulenta de Microsoft con URL “hxxps://compassoproducaodigital.com.br/.well-
known/OfficeV4/authorize_client_id”, con la finalidad de recopilar las credenciales de inicio de sesión de los usuarios.
2. Asimismo, se analizó dicho enlace en la página de “Virus Total”, donde es catalogado como phishing.
3. Se recomienda:
• Verificar el remitente del correo.
• Evitar ingresar a enlaces no confiables.
• Evitar brindar información personal.
• Aplicar actualizaciones de contraseña de Microsoft.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

pecert@pcm.gob.pe
Nombre de la alerta Suplantación de red social.
Medios de propagación Redes sociales, SMS, correo electrónico.
Descripción
1. El 3 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un sitio web
fraudulento (hxxps://follow-service-your-account-pages.my.id/) que suplanta la página de recuperación de
contraseña de Facebook, el cual solicita al usuario la “confirmación de su cuenta para evitar el bloqueo” con la finalidad
de obtener las credenciales del usuario y robar información.
2. Asimismo, se analizó dicho enlace en el sitio web “Virus Total”, donde es catalogado como phishing.
3. Recomendaciones:
• Evitar ingresar a enlaces de dudosa procedencia.
• Evitar ingresar datos personales.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

pecert@pcm.gob.pe
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Aumentan los ataques y engaños relacionados a la vacuna contra el covid‑19
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Descripción
1. Resumen:
El Departamento del Tesoro de los Estados Unidos ha emitido una advertencia sobre el aumento de los ataques de
ransomware, fraude y otros delitos informáticos que están intentando aprovechar el tema sobre el lanzamiento de las
vacunas contra el COVID-19. Indicaron que los cibercriminales están intentando sacar provecho sobre el lanzamiento
de la vacuna, incluso engañan a sus víctimas con la falsa promesa de ayudarlas para que puedan vacunarse.
2. Resumen:
La Red de Ejecución contra Delitos Financieros (FinCEN) emitió un comunicado donde alerta a las instituciones
financieras sobre el potencial peligro de fraudes y ataques de ransomware que están intentando aprovechar el tema
sobre las vacunas para el COVID-19 y su distribución. La advertencia expresa que “los cibercriminales, incluyendo los
operadores de ransomware, continuarán explotando la pandemia de COVID-19 y los esfuerzos oficiales relacionados
con el desarrollo, distribución y administración de vacunas.
FinCEN urge a los bancos y a las instituciones financieras a estar atentos a posibles ataques de ransomware que apunten
a las operaciones relacionadas con la distribución de la vacuna, así como también a la cadena de suministros requerida
para su manufactura.
En los últimos meses, compañías farmacéuticas, investigadores y organizaciones involucradas con el almacenamiento
y transporte de la vacuna fueron atacados por múltiples grupos de ciberespionaje. Esto incluye una campaña del grupo
Lazarus en la cual distribuía un malware que los investigadores de ESET vincularon a este grupo.
La alerta de FinCEN también hace referencia al engaño mediante el cual prometen la venta de vacunas no aprobadas y
comercializadas de forma ilegal o la venta de falsas versiones de vacunas aprobadas. “Los cibercriminales ya están
ofreciendo, por una comisión, proveerles a las potenciales víctimas las vacunas antes de lo permitido por el plan de
distribución oficial”, dijo la agencia.
Otras agencias, como el FBI y la Comisión Federal de Comercio de los Estados Unidos (FTC), así como la Interpol y
Europol, han alertado sobre varios fraudes relativos a la vacuna y las ofertas de vacunas que circulan en la dark web.
Algunas de estas actividades malintencionadas toman la forma de ataques de phishing que apuntan al público general.
Utilizando el correo electrónico, mensajes y llamados, los estafadores intentan engañar a la gente para que divulguen
sus datos personales haciéndoles creer que están evaluando su elegibilidad para la vacuna, agregándolos a falsas listas
de espera con la esperanza de que puedan dárselas de antemano.
3. Recomendaciones:
• Consultar siempre las fuentes oficiales para obtener información actualizada sobre el plan de vacunación y verificar
con el proveedor de salud de su confianza para más seguridad.
• Evitar hacer clic en enlaces o descargar archivos que llegan en correos inesperados o mensajes de fuentes
desconocidas.
• Implementar el doble factor de autenticación en las cuentas importantes e instalar una solución de seguridad
multicapa con protección antiphishing.
• Mantener activa y actualizada las herramientas de protección, como el antivirus, antimalware, etc.
hxxps://www.welivesecurity.com/la-es/2021/01/04/advierten-enganos-relacionados-vacuna-
covid-19/

pecert@pcm.gob.pe
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Vulnerabilidad crítica en firewalls y controladores AP de Zyxel
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Descripción
4. Resumen:
Investigadores de la empresa Zyxel, han publicado un parche que corrige una vulnerabilidad de severidad CRÍTICA en
su firmware con respecto a una cuenta secreta no documentada y codificada que podría ser utilizada por un atacante
para iniciar sesión con privilegios administrativos y comprometer sus dispositivos de red. Esta vulnerabilidad afecta a
la versión 4.60 en los dispositivos Zyxel, incluidos Unified Security Gateway (USG), USG FLEX, ATP y productos de firewall
VPN.
5. Detalles:
La empresa indicó que se identificó una vulnerabilidad de credencial codificada en la cuenta de usuario "zyfwp" en
algunos firewalls Zyxel y controladores AP. La cuenta fue diseñada para entregar actualizaciones automáticas de
firmware a los puntos de acceso conectados a través de FTP.
La versión de firmware 4.60 de los dispositivos Zyxel USG contiene una cuenta no documentada (zyfwp) con una
contraseña que no se puede cambiar. La contraseña para esta cuenta se puede encontrar en texto sin cifrar en el
firmware. Esta cuenta puede ser utilizada por alguien para iniciar sesión en el servidor ssh o en la interfaz web con
privilegios de administrador.
Zyxel señaló que alrededor del 10% de los 1000 dispositivos en los Países Bajos ejecutan la versión de firmware
afectada, y que la relativa facilidad de explotación de la falla la convierte en una vulnerabilidad crítica. Lo cual el
atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del dispositivo.
Un ciberdelincuente podría, por ejemplo, cambiar la configuración del firewall para permitir o bloquear cierto tráfico.
También podría interceptar el tráfico o crear cuentas VPN para obtener acceso a la red detrás del dispositivo.
Combinado con una vulnerabilidad como Zerologon, podría ser grave sobre todo para las pequeñas y medianas
empresas.
El investigador de EYE, Niels Teusink, informó la vulnerabilidad a Zyxel el 29 de noviembre, luego de lo cual la compañía
lanzó un parche de firmware (ZLD V4.60 Patch1).
Además, la compañía taiwanesa abordará el problema en sus controladores de punto de acceso (AP) con un parche de
seguridad (V6.10 Patch1) que se lanzará en el mes de abril de 2021.
CVE-2020-29583
6. Productos afectados:
Cortafuegos
• Serie ATP con firmware ZLD V4.60 Serie USG con firmware ZLD V4.60
• Serie USG FLEX con firmware ZLD V4.60 Serie VPN con firmware ZLD V4.60
Controladores AP
• NXC2500 con firmware V6.00 a V6.10 NXC5500 con firmware V6.00 a V6.10
7. Solución:
Zyxel recomienda actualizar sus dispositivos Zyxel, incluidos Unified Security Gateway (USG), USG FLEX, ATP y productos
de firewall VPN a la versión ZLD V4.60 Patch1 que corrige esta vulnerabilidad.
▪ hxxps://www.zyxel.com/support/CVE-2020-29583.shtml
Fuentes de información ▪ hxxps://thehackernews.com/2021/01/secret-backdoor-account-found-in.html
▪ hxxp://ftp.zyxel.com/USG40/firmware/USG40_4.60(AALA.1)C0_2.pdf

pecert@pcm.gob.pe
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de phishing en sitio web American Telephone & Telegraph.
Código de familia G Código de subfamilia GO2
Descripción
1. Resumen:
• A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen
llevando a cabo una campaña de phishing, a través de los diferentes navegadores web, suplantando la identidad de
la empresa “American Telephone & Telegraph” (compañía de telecomunicaciones más grande del mundo, el mayor
proveedor de servicios 4G,4.5G y 5G) la cual nos solicita registrarnos con un correo electrónico y una contraseña,
con la finalidad de robar información confidencial.
• Asimismo, la URL maliciosa con dominio “hxxps://atntmn.weebly.com/” viene siendo distribuidas a través de redes
sociales y plataformas digitales tales como WhatsApp, Telegram, etc.
• Imagen del sitio web malicioso
• Imagen del sitio web oficial

pecert@pcm.gob.pe
2. Indicadores de compromiso (IoC)
o URL: hxxps://atntmn.weebly.com/
o Dirección IP del servicio: 199.34.228.54
o Servidor: Apache
o codificación de transferencia: chunked
o Body SHA-256: cbb4ddc24cb1b44145931dc3b651a52b70f77402737c616cb300bf0b89ae44ff
o Tamaño: 346.24 KB
3. Topología del localizador de recursos uniforme (URL)
4. Cómo funciona el Phishing:

• Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan
información personal.
• Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio
técnico, etc.)
5. Recomendaciones.
• Evitar ingresar a sitios haciendo clic en direcciones o enlaces que se reciban por mail.
• No descargar archivos de procedencia dudosa o de personas que no conoce. Hacerlo, puede incentivar la instalación
de virus, troyanos, etc. que luego son utilizados para sustraer sus datos personales y privados.
• Prestar especial atención a las URL que aparece en la barra de estado para asegurar que la dirección del sitio sea la
correcta.
Fuentes de información Análisis propios de fuentes abiertas y redes sociales

pecert@pcm.gob.pe
Nombre de la alerta Detección del phishing a través de envió de SMS
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Genbeta”, se
informa sobre la detección de una nueva estafa de envió de SMS a dispositivos móviles, con el asunto :”Tu envió está
en camino”, dirigido a cualquier persona o personal de identidades financieras que, al ser ejecutado infecta el
dispositivo, al comienzo es un simple SMS, luego al ingresar al link enviado en el SMS, te redirecciona a descargar un
archivo APK malicioso, el cual no sería una APK de correos sino se trataría de una aplicación que se hará con el control
de toda la agenda de contactos y de los SMS que se recibe, con la finalidad de robar información confidencial.
2. Detalles del Phishing.

• Es una aplicación que se hará con el control de nuestra agenda de contactos y de los SMS que recibimos, pudiendo
abrirlos, leerlos e incluso enviarlos, sin pedirnos permisos para ello, algo inusual. La aplicación, por supuesto tiene
acceso a Internet, y también puede realizar llamadas.
• Utiliza todos los datos para tratar de sacar dinero de alguna cuenta o información relevante como contraseñas, los
atacantes se hacen con toda la lista de los contactos, a los que pueden enviar el SMS para ver si pican en el anzuelo.
• Una vez instalada, el sistema no permite revocar los permisos que el malware se auto-concede, y se convierte en la
aplicación predeterminada de mensajes, algo que tampoco hemos podido modificar más tarde en un terminal
Huawei.
• Imagen de Phishing.

pecert@pcm.gob.pe
• Indicadores de compromiso.
o Archivos analizados:
MD5 b4dd13a1f8454faf28792aae64e9b841
SHA-1 4b74f825423c9971ebc863b0907dc7575729f947
SHA-256 8255de148462c17857c6c552a88a491939e3ed4f5b2dfe0a1fd5e720ec3de1ce
PERMISOS QUE AUTOMATICAMENTE SE

AUTOCONCEDE
3. Recomendaciones:
• No acceder a los enlaces que porque generalmente puede tratarse de un código malicioso
• Evitar responder mensajes que le soliciten información personal o financiera para participar en sorteos, ofertas
laborales, ofertas comerciales o peticiones de ayuda humanitaria.
• Concienciar constantemente a los usuarios en temas relacionados a seguridad de la información.
• Bloquear los indicadores de compromisos (IOC) mostrados.
• No abra documentos adjuntos de remitentes desconocido.
hxxps://www.genbeta.com/seguridad/correos-tu-envio-esta-camino-esta-estafa-instala-
correos-apk-malware-se-hace-control-tu-movil-android-desinstalar

pecert@pcm.gob.pe
Nombre de la alerta Phishing, suplantando la identidad de la empresa informática multinacional Microsoft
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen
llevando a cabo una campaña de Phishing, a través de los diferentes navegadores web, el cual vienen suplantando la
identidad de la empresa informática multinacional Microsoft (compañía dedicada al desarrollo, fabricación,
otorgamiento de licencias y producción de software y hardware electrónico), con la finalidad obtener información
confidencial de las víctimas como dirección de correo electrónico, contraseñas, etc.
2. Imágenes: Comparación entre sitio web fraudulento y sitio oficial de Microsoft.
Sitio web oficial Sitio web fraudulento
1 2
Para iniciar sesion solicita Solicita información como

ingresar la dirección de un correo electrónico,
correo electrónico, numero o Skype.
número telefónico o skype. No tiene la opcion de crear
Tiene la opción de crear una cuenta.
otra cuenta. Tiene la opción de
Tiene la opción siguiente. próximo.

pecert@pcm.gob.pe
3. La URL Maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo la siguiente
información:
• Dominio:office365-outlook-onedrive-document-sharedonline2.glitch.me
• Talla: 92B
• Sistema operativo: Windows 7 de 32 bits
• Puntuación de amenaza: 50/100
• País: Estado Unidos
• URL: hxxps://office365-outlook-onedrive-document-sharedonline2.glitch.me/
• Topología URL:
4. Cómo funciona el Phishing:

• Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan
información personal.
• Medios de propagación del Phishing: WhatsApp, telegram, redes sociales, SMS entre otros.
• Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio
técnico, etc.)
5. Referencia:
Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y
conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social
y números de cuentas bancarias, entre otros.
6. Recomendaciones
• Verifica la información en los sitios web oficiales.
• No introduzcas datos personales en páginas sospechosas.
• Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.
Fuentes de información Análisis propio de redes sociales y fuente abierta

pecert@pcm.gob.pe
Página: 20 de 20
Índice alfabético
Bot ..................................................................................................................................................................................... 4
Código malicioso ................................................................................................................................................ 7, 8, 11, 12
Correo electrónico ..................................................................................................................................................... 10, 12
Correo electrónico, redes sociales, entre otros .............................................................................................................. 12
Explotación de vulnerabilidades conocidas ................................................................................................................. 5, 13
Fraude ........................................................................................................................................................ 9, 10, 14, 16, 18
hxxp ................................................................................................................................................................................. 13
Intento de intrusión ..................................................................................................................................................... 5, 13
internet .......................................................................................................................................................................... 7, 9
malware ........................................................................................................................................................... 7, 12, 16, 17
Malware ......................................................................................................................................................................... 4, 7
phishing ............................................................................................................................................... 9, 10, 11, 12, 14, 16
Phishing ................................................................................................................................... 9, 10, 11, 14, 15, 16, 18, 19
ransomware ..................................................................................................................................................................... 12
Ransomware .................................................................................................................................................................... 12
Red, internet ........................................................................................................................................................ 4, 5, 6, 13
Red, internet, redes sociales ............................................................................................................................................. 6
redes sociales................................................................................................................................................... 1, 14, 15, 19
Redes sociales ............................................................................................................................................ 9, 11, 14, 16, 18
Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................... 9, 14, 16, 18
Robo de información ......................................................................................................................................................... 6
servidor ............................................................................................................................................................................ 13
servidores ...................................................................................................................................................................... 5, 6
software ........................................................................................................................................................... 9, 10, 11, 18
Stealers .............................................................................................................................................................................. 8
Suplantación ................................................................................................................................................................ 9, 11
troyanos ....................................................................................................................................................................... 7, 15
URL ............................................................................................................................................................. 6, 10, 14, 15, 19
USB, disco, red, correo, navegación de internet ............................................................................................................... 8
Uso inapropiado de recursos ............................................................................................................................................. 6
Vulnerabilidad.............................................................................................................................................................. 5, 13

pecert@pcm.gob.pe

Alerta Integrada de Seguridad Digital #001-2021-PECERT

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Alerta Integrada de Seguridad Digital #001-2021-PECERT

Cargado por

Copyright:

Formatos disponibles

Lima, 04 de enero de 2021

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

Fuentes de información hxxps://blog.segu-info.com.ar/2021/01/cuenta-secreta-backdoor-encontrada-en.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

Fuentes de información https[:]//thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

Fuentes de información https[:]//threatpost.com/hackers-amp-up-covid-19-ip-theft-attacks/162634/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

• Imagen del sitio web malicioso

• Imagen del sitio web oficial

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

3. Topología del localizador de recursos uniforme (URL)

4. Cómo funciona el Phishing:

Fuentes de información Análisis propios de fuentes abiertas y redes sociales

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

2. Detalles del Phishing.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

PERMISOS QUE AUTOMATICAMENTE SE

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

2. Imágenes: Comparación entre sitio web fraudulento y sitio oficial de Microsoft.

Sitio web oficial Sitio web fraudulento

Para iniciar sesion solicita Solicita información como

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

4. Cómo funciona el Phishing:

Fuentes de información Análisis propio de redes sociales y fuente abierta

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

También podría gustarte