TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Obtención de información confidencial.

Descripción

Un análisis realizado por una firma de ciberseguridad ha identificado nueva información relacionada con el programa malicioso llamado “Cerberus”, el cual se ha vendido bajo la modalidad “Malware-as-a-Service” (MaaS) por medio de foros clandestinos de la “Deep Web”.

Cerberus ha estado activo desde junio de 2019 y tiene como objetivo robar información bancaria de los dispositivos, afectando a sistemas Android. Durante el año pasado, Cerberus centró su actividad a entidades bancarias de España, Latinoamérica, Francia y Japón.

De acuerdo con las investigaciones, se cree que Cerberus se distribuye por medio de páginas Web fraudulentas utilizando el logo de “Flash Player” para engañar al usuario y persuadirlo a descargar el programa en su dispositivo. Una vez en el equipo, Cerberus solicita al usuario permisos de “accesibilidad”, esto para poder recibir información de otras aplicaciones y evitar ser desinstalado por el usuario. Posteriormente el programa realiza la conexión a un servidor Comando y Control (C&C) y comienza a recopilar información como credenciales de correo electrónico, cuentas de entidades financieras, listado de aplicaciones instaladas, información de mensajes SMS; además, permite al atacante abrir enlaces en el dispositivo, sobreponer ventanas y evitar la instalación de otras aplicaciones.

No obstante, a pesar de ser un programa muy popular entre los ciberdelincuentes, su desarrollador ha decidido dejar el proyecto y poner a la venta el código fuente y toda la infraestructura relacionada con Cerberus.

Recientemente el proyecto completo fue publicado por su autor en páginas clandestinas de la Deep Web. Esta acción puede generar un incremento de ataques dirigidos a entidades financieras y a usuarios.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Android.

Indicadores de compromiso (IoCs)

A continuación, se listan los Indicadores de compromiso (IoCs) identificados hasta el momento relacionados con el programa malicioso reportado en esta alerta:

  • MD5
    • 7701709ee910a194abbeaecbae1f7546
    • 61272b695a6fc8b6bc31c217e0cd6766
    • dc74daf70afc181471f41fd910a0dec0
    • 1512c3fa688ca107784b3c93cd9f3526
    • 76e7b9e784a83a79538fc51d13e876b8
  • SHA-256
    • 3dee025506b358e3d9433a4b2fddec353ff58f2f39b9f06f894baf3f7d8a2a89
    • 7d66a2297ac76c1ee2acef6757af1440b2e08f36981c47bf7a457ca249aef4bf
    • 6ac7e7ed83b4b57cc4d28f14308d69d062d29a544bbde0856d5697b0fc50cde4
    • ffa5ac3460998e7b9856fc136ebcd112196c3abf24816ccab1fbae11eae4954c
    • a1948b1436cc737c1497c46002defbac723886105d967eb54f9da0ddc3c2f9cd

Medidas de Contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Realizar la descarga de programas solo desde fuentes oficiales.
  • No habilitar permisos de accesibilidad en dispositivos móviles a aplicaciones que el usuario no determine necesarias.
  • Centralizar la administración de dispositivos con acceso a la red corporativa.
  • Implementar soluciones antimalware en los dispositivos móviles.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias