Descifrando el phishing de CyberCartel

A través del monitoreo de amenazas del ciberespacio, el equipo de CTI de Silent4Business ha detectado información reciente referente al grupo de cibercriminales “CyberCartel”, el cual ha estado activo desde por lo menos el 2012 y está conformado por miembros de América Latina siendo en su mayoría de origen mexicano. Este grupo ha adoptado tácticas de phishing junto con una serie de estrategias ingeniosas para dirigirse principalmente a usuarios de servicios bancarios en la región. Acompáñanos en un análisis profundo de su modus operandi.

Descripción de Amenaza

El actor de amenaza CyberCartel dirige sus operaciones principalmente a usuarios de servicios bancarios, actualmente no se ha visto que este grupo desarrolle su propio malware, en su lugar hace uso de diferentes malware ofertados en el mercado como MaaS (Malware-as-a-Service), recientemente se ha visto a este grupo realizando entrega de malware mediante extensiones de navegadores basados en Chromium y distribuyéndose mediante campañas de publicidad malintencionada (malvertising).

Este actor de amenaza se enfoca principalmente en Latinoamérica, especialmente México y Chile. Entre los principales objetivos observados en campañas de este grupo, se encuentran clientes del sector financiero y de instituciones fiscales.

Así mismo, las capacidades observadas en CyberCartel consisten en servidores de comando y control (C2) dinámicos, el uso de JavaScript ofuscado, Man in the Browser y correos phishing masivos para comprometer a sus víctimas y realizar sus atentados. La eficacia de esta campaña procede del uso malintencionado de su infraestructura, incluyendo dominios registrados en namecheap, registros privados en whois, uso del hosting de Cloudflare y uso de canales de Telegram para proporcionar actualizaciones del malware empleado.

Ilustración 1. Diagrama de cadena de infección asociada a CyberCartel. Fuente MetabaseQ.

Modo de Operación de CyberCartel

Sitios Web Phishing

Inicialmente, CyberCartel hace uso de sitios web phishing suplantando sitios web de gobierno, en el que se despliega una ventana emergente que incita al usuario para instalar una extensión de seguridad.

A continuación, se muestra un ejemplo del tipo de anuncio publicitario malicioso (malvertising) utilizado en sus campañas de publicidad malintencionada.

Ilustración 2. Anuncio malintencionado. Fuente: MetabaseQ.

Cuando el usuario hace clic en el botón de descarga, es redirigido a un sitio web comprometido. Después de, se hace la descarga de un archivo ZIP, de este archivo se obtiene un archivo con extensión “.url” que tiene la finalidad de descargar, a través del protocolo WebDAV, otro archivo y configurar un archivo LNK con el icono de Google Drive.

Servidor de Comando y Control

Posteriormente, se realiza una conexión con el servidor de comando y control (C2) para recibir instrucciones. Las capacidades se realizan con base en el siguiente listado de comandos:

  • extension: Modifica el estado de la extensión.
  • info: Recupera la información de la máquina de la víctima.
  • push: El servidor C2 envía una URL para un icono, un título, un mensaje y una URL altamente maliciosa.
  • cookies: Recupera todas las cookies almacenadas en el navegador.
  • screenshot: Captura una pantalla de la pestaña actual.
  • url: Abre una nueva pestaña con una URL enviada desde el servidor C2.
  • Current_url: Envía la URL de la pestaña actual al servidor C2.
  • history: Envía todo el historial del navegador al servidor C2.
  • inyects: Actualiza los sitios de phishing que inyectará el proxy.
  • clipper: Recupera datos del servidor C2 para almacenarlos en el portapapeles del navegador.
  • settings: Actualiza datos como la dirección IP del proxy y define enlaces grabber.
  • proxy: Define el estado del proxy.
  • screenshots_rules: Recupera la respuesta del servidor C2 con las reglas actualizadas para capturar automáticamente capturas de pantalla de la pestaña actual.

CyberCartel realiza actividades de exfiltración de datos con base en la recopilación de información del sistema como:

  • Nombre de la CPU.
  • Plataforma (sistema operativo y arquitectura).
  • Muestra.
  • Almacenamiento.
  • Memoria.
  • Vídeo (tarjeta de vídeo y renderizador).
  • Versión de la extensión (Accede al manifiesto de la extensión para recuperar su versión).
  • Extensiones instaladas.
  • Cookies.

El phishing de CyberCartel

A continuación, se muestran algunos ejemplos de sitios phishing implementados por este actor de amenaza:

Ejemplo2 de phishing-cybercartel

Conclusión

Concluyendo, es posible identificarlo desde 2012 como un grupo con posible origen mexicano. Con el tiempo, ha aumentado su experiencia técnica, lo que hace más difícil rastrear, detectar y erradicar sus ataques. El equipo de CTI de Silent4Business continuará con el monitoreo de este tipo de amenazas con la finalidad de compartir información de valor de manera oportuna para complementar al respecto de su modo de operación, movimientos, infraestructura, motivaciones y sumando el compartimiento de indicadores de compromiso y las más recientes TTPs.

Indicadores de Compromiso (IOCs)

Dominios

facturamexico2023[.]com

descargafactura[.]club

1conexionesmx[.]com

facturarmx[.]com

srlxlpdfmxntetflx[.]com

WebDav

File[:]\\104[.]156[.]149[.]33@80\yes\4545ktryUDdaZnZjdPPsEGKsJoGL[.]jse

file[:]\\172[.]86[.]68[.]194@80\yes\4545OnINxWmOyPcAXfLWQfhEpjEA[.]jse

Direcciones IP

104[.]156[.]149[.]33

104[.]21[.]78[.]24

104[.]21[.]38[.]189

172[.]67[.]215[.]26

172[.]67[.]137[.]96

172[.]67[.]166[.]236 

172[.]86[.]68[.]194

64[.]52[.]80[.]23

Direcciones URL

hxxps[:]//descargafactura[.]club/descargas/csp[.]png

hxxps[:]//descargafactura[.]club/descargas/start[.]png

hxxp[:]//172[.]86[.]68[.]194/yes/1010gmwNwUCJmvlvUhUvFIJQuDso[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/1010xJdCdXwuQZTPerArFhhCvDjA[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/10BBADMqypeRWOhPDJWgLvyCuk[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/10MYCAMWDwdalSsBMPEUMQFFxh[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/10NeUukZJAokTEAgssBmdXNsMJ[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/10PwVkcBeTQyPZtHRJNzWdjubQ[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/10RXYoCxptsjzgawHZEPpCNtST[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/10uDbxAbgnsrQHDCdgCUwfcxYx[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/10WJEcnYyWRXSYlfoUIcFPMWxk[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/10ZnlgDhIQPXcabntxTDgWoaJi[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496AaDPQBlUzqRHUlnKpvdgKgpt[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496AfIfwwnLosnkNRDYnqPitNEJ[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496CmhcPJoqaihXCPBGOYrRTRqj[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496DEVOFIMIDyAHnIAQrDDypuVU[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496dnOzAQgUkuMlbGtxYADsyiaT[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496fvfHLPcvEAzIYKHUuuQHdSGV[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496iagQhkGHxzzBRivYPRWHKstC[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496IfejtfIPCTbAdTpPAMNwrscv[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496ISOIyWyslqWYWWIINoLehZaS[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496LjrXCllnTKBeUjCDqqTIgZyA[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496oJVtTYEKNqXjudmsSBeUzqVR[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496qnnzkeQPPIVRrUvTDRPyuTnl[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496TJbvSQpPFTPtRVLmltOgWeMC[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496uINfvEfsuTVpmKCMaFgDnvAE[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496uXHePQoqNUPehoTQeseRyWVa[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496VbUirfFcqIMlAZQDdMWMwwJp[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496vEOsqdpsTNzzYnEBGZkRzeyL[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4496wHqKicYKLhToshVdeioCEMJA[.]exe

hxxp[:]//172[.]86[.]68[.]194/yes/4545OnINxWmOyPcAXfLWQfhEpjEA[.]jse

hxxps[:]//srlxlpdfmxntetflx[.]com/curp-complemento-de-seguridad-descarga/

hxxps[:]//srlxlpdfmxntetflx[.]com/hxxps-sat-extension-de-seguridad-portal-oficial/

hxxps[:]//srlxlpdfmxntetflx[.]com/SII-Servicio-Impuestos-En-Linea/

hxxps[:]//abccapital-com-mx[.]immortal71[.]today/

hxxps[:]//4ctinver-com-nx[.]bordear[.]asia/

hxxps[:]//www-1bbv4-com-mx[.]46equivocarsee[.]fun/

hxxps[:]//bbv4netcash-com-mx[.]q10sidra[.]digital/locl_pibce/login_pibee[.]php?#html

hxxps[:]//citlibanmex-com-mx[.]7despegar10[.]live/portalserver/bancanetempresarial/inicio[.]php

hxxps[:]//citlibanmex-com-mx[.]7despegar10[.]live/MXGCB/JPS/portal/LocaleSwitch[.]do[.]php?locale=es_MX&JFP_TOKEN=NZASR67O

hxxps[:]//www-hscb-com-mx[.]xfaquir15[.]digital/uims/bl/index[.]php

hxxps[:]//mult1va-con-mx[.]disparo41[.]live/

hxxps[:]//1m0nex-com-mx[.]23difficult[.]today/

hxxps[:]//www-scotlabanrk-com-nx[.]1descalzo[.]live/

hxxps[:]//b4nco1nbursa-com-nx.sobretodod5[.]life/Portal/?id_category=

hxxps[:]//web-baseinet-com[.]pila7rf.life/

hxxps[:]//bbv4netc4sh-com-mx[.]operaciones5y6[.]works/locl_pibce/login_pibee.php?#html

hxxps[:]//m1fiel-con-mx[.]resultado6[.]today/UserL.php?Action.Corpuser=12920345

hxxps[:]//citlibanmex-com-mx[.]jponer4[.]life//MXGCB/JPS/portal/LocaleSwitch.do.php?locale=es_MX&JFP_TOKEN=NZASR67O

hxxps[:]//citlibanmex-com-mx[.]jponer4[.]life//portalserver/bancanetempresarial/inicio.php

Tácticas, Técnicas y Procedimientos (TTPs)

Tactic IDTacticTactic DescriptionTechnique/SubTechnique
TA0001Initial AccessThe adversary is trying to get into your network.T1566 Phishing
TA0002ExecutionThe adversary is trying to run malicious code.T1059.007 Command and Scripting Interpreter: JavaScript
TA0002ExecutionThe adversary is trying to run malicious code.T1204.002 Malicious File
TA0003PersistenceThe adversary is trying to maintain their foothold.T1547.001 Registry Run Keys / Startup Folder
TA0003PersistenceThe adversary is trying to maintain their foothold.T1176 Browser Extensions
TA0005Defense EvasionThe adversary is trying to avoid being detected.T1036.008 Masquerade File Type
TA0005Defense EvasionThe adversary is trying to avoid being detected.T1027 Obfuscated Files or Information
TA0007DiscoveryThe adversary is trying to figure out your environment.T1027 Obfuscated Files or Information
TA0007DiscoveryThe adversary is trying to figure out your environment.T1082 System Information Discovery
TA0007DiscoveryThe adversary is trying to figure out your environment.T1016 System Network Configuration Discovery
TA0009CollectionThe adversary is trying to gather data of interest to their goal.T1113 Screen Capture
TA0011Command and ControlThe adversary is trying to communicate with compromised systems to control them.T1071.001 Web Protocols
TA0011Command and ControlThe adversary is trying to communicate with compromised systems to control them.T1568 Dynamic Resolution
TA0011Command and ControlThe adversary is trying to communicate with compromised systems to control them.T1571 Non-Standard Port
TA0011Command and ControlThe adversary is trying to communicate with compromised systems to control them.T10900.001 Internal Proxy
TA0010ExfiltrationThe adversary is trying to steal data.T1041 Exfiltration Over C2 Channel
 Tabla 1. TTPs asociadas a CyberCartel.

Recomendaciones

De acuerdo con la información presentada anteriormente, se tienen las siguientes recomendaciones: Concientizar sobre ciber amenazas en la organización, para garantizar la aplicación de las mejores prácticas. Llevar a cabo campañas periódicas de concientización entre los usuarios sobre los riesgos del phishing, con la finalidad de identificar este tipo de amenazas de manera oportuna. Implementar el uso de contraseñas seguras, así como el uso de autenticación de doble factor. Realizar la adición de los indicadores de compromiso y TTPs compartidas en el presente documento en las diversas soluciones de seguridad.
 Información obtenida de:   MetabaseQ
Regresar