Descifrando el phishing de CyberCartel
A través del monitoreo de amenazas del ciberespacio, el equipo de CTI de Silent4Business ha detectado información reciente referente al grupo de cibercriminales “CyberCartel”, el cual ha estado activo desde por lo menos el 2012 y está conformado por miembros de América Latina siendo en su mayoría de origen mexicano. Este grupo ha adoptado tácticas de phishing junto con una serie de estrategias ingeniosas para dirigirse principalmente a usuarios de servicios bancarios en la región. Acompáñanos en un análisis profundo de su modus operandi.
Descripción de Amenaza
El actor de amenaza CyberCartel dirige sus operaciones principalmente a usuarios de servicios bancarios, actualmente no se ha visto que este grupo desarrolle su propio malware, en su lugar hace uso de diferentes malware ofertados en el mercado como MaaS (Malware-as-a-Service), recientemente se ha visto a este grupo realizando entrega de malware mediante extensiones de navegadores basados en Chromium y distribuyéndose mediante campañas de publicidad malintencionada (malvertising).
Este actor de amenaza se enfoca principalmente en Latinoamérica, especialmente México y Chile. Entre los principales objetivos observados en campañas de este grupo, se encuentran clientes del sector financiero y de instituciones fiscales.
Así mismo, las capacidades observadas en CyberCartel consisten en servidores de comando y control (C2) dinámicos, el uso de JavaScript ofuscado, Man in the Browser y correos phishing masivos para comprometer a sus víctimas y realizar sus atentados. La eficacia de esta campaña procede del uso malintencionado de su infraestructura, incluyendo dominios registrados en namecheap, registros privados en whois, uso del hosting de Cloudflare y uso de canales de Telegram para proporcionar actualizaciones del malware empleado.
Modo de Operación de CyberCartel
Sitios Web Phishing
Inicialmente, CyberCartel hace uso de sitios web phishing suplantando sitios web de gobierno, en el que se despliega una ventana emergente que incita al usuario para instalar una extensión de seguridad.
A continuación, se muestra un ejemplo del tipo de anuncio publicitario malicioso (malvertising) utilizado en sus campañas de publicidad malintencionada.
Cuando el usuario hace clic en el botón de descarga, es redirigido a un sitio web comprometido. Después de, se hace la descarga de un archivo ZIP, de este archivo se obtiene un archivo con extensión “.url” que tiene la finalidad de descargar, a través del protocolo WebDAV, otro archivo y configurar un archivo LNK con el icono de Google Drive.
Servidor de Comando y Control
Posteriormente, se realiza una conexión con el servidor de comando y control (C2) para recibir instrucciones. Las capacidades se realizan con base en el siguiente listado de comandos:
- extension: Modifica el estado de la extensión.
- info: Recupera la información de la máquina de la víctima.
- push: El servidor C2 envía una URL para un icono, un título, un mensaje y una URL altamente maliciosa.
- cookies: Recupera todas las cookies almacenadas en el navegador.
- screenshot: Captura una pantalla de la pestaña actual.
- url: Abre una nueva pestaña con una URL enviada desde el servidor C2.
- Current_url: Envía la URL de la pestaña actual al servidor C2.
- history: Envía todo el historial del navegador al servidor C2.
- inyects: Actualiza los sitios de phishing que inyectará el proxy.
- clipper: Recupera datos del servidor C2 para almacenarlos en el portapapeles del navegador.
- settings: Actualiza datos como la dirección IP del proxy y define enlaces grabber.
- proxy: Define el estado del proxy.
- screenshots_rules: Recupera la respuesta del servidor C2 con las reglas actualizadas para capturar automáticamente capturas de pantalla de la pestaña actual.
CyberCartel realiza actividades de exfiltración de datos con base en la recopilación de información del sistema como:
- Nombre de la CPU.
- Plataforma (sistema operativo y arquitectura).
- Muestra.
- Almacenamiento.
- Memoria.
- Vídeo (tarjeta de vídeo y renderizador).
- Versión de la extensión (Accede al manifiesto de la extensión para recuperar su versión).
- Extensiones instaladas.
- Cookies.
El phishing de CyberCartel
A continuación, se muestran algunos ejemplos de sitios phishing implementados por este actor de amenaza:
Conclusión
Concluyendo, es posible identificarlo desde 2012 como un grupo con posible origen mexicano. Con el tiempo, ha aumentado su experiencia técnica, lo que hace más difícil rastrear, detectar y erradicar sus ataques. El equipo de CTI de Silent4Business continuará con el monitoreo de este tipo de amenazas con la finalidad de compartir información de valor de manera oportuna para complementar al respecto de su modo de operación, movimientos, infraestructura, motivaciones y sumando el compartimiento de indicadores de compromiso y las más recientes TTPs.
Indicadores de Compromiso (IOCs)
Dominios
facturamexico2023[.]com
descargafactura[.]club
1conexionesmx[.]com
facturarmx[.]com
srlxlpdfmxntetflx[.]com
WebDav
File[:]\\104[.]156[.]149[.]33@80\yes\4545ktryUDdaZnZjdPPsEGKsJoGL[.]jse
file[:]\\172[.]86[.]68[.]194@80\yes\4545OnINxWmOyPcAXfLWQfhEpjEA[.]jse
Direcciones IP
104[.]156[.]149[.]33
104[.]21[.]78[.]24
104[.]21[.]38[.]189
172[.]67[.]215[.]26
172[.]67[.]137[.]96
172[.]67[.]166[.]236
172[.]86[.]68[.]194
64[.]52[.]80[.]23
Direcciones URL
hxxps[:]//descargafactura[.]club/descargas/csp[.]png
hxxps[:]//descargafactura[.]club/descargas/start[.]png
hxxp[:]//172[.]86[.]68[.]194/yes/1010gmwNwUCJmvlvUhUvFIJQuDso[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/1010xJdCdXwuQZTPerArFhhCvDjA[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/10BBADMqypeRWOhPDJWgLvyCuk[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/10MYCAMWDwdalSsBMPEUMQFFxh[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/10NeUukZJAokTEAgssBmdXNsMJ[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/10PwVkcBeTQyPZtHRJNzWdjubQ[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/10RXYoCxptsjzgawHZEPpCNtST[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/10uDbxAbgnsrQHDCdgCUwfcxYx[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/10WJEcnYyWRXSYlfoUIcFPMWxk[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/10ZnlgDhIQPXcabntxTDgWoaJi[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496AaDPQBlUzqRHUlnKpvdgKgpt[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496AfIfwwnLosnkNRDYnqPitNEJ[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496CmhcPJoqaihXCPBGOYrRTRqj[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496DEVOFIMIDyAHnIAQrDDypuVU[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496dnOzAQgUkuMlbGtxYADsyiaT[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496fvfHLPcvEAzIYKHUuuQHdSGV[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496iagQhkGHxzzBRivYPRWHKstC[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496IfejtfIPCTbAdTpPAMNwrscv[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496ISOIyWyslqWYWWIINoLehZaS[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496LjrXCllnTKBeUjCDqqTIgZyA[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496oJVtTYEKNqXjudmsSBeUzqVR[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496qnnzkeQPPIVRrUvTDRPyuTnl[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496TJbvSQpPFTPtRVLmltOgWeMC[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496uINfvEfsuTVpmKCMaFgDnvAE[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496uXHePQoqNUPehoTQeseRyWVa[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496VbUirfFcqIMlAZQDdMWMwwJp[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496vEOsqdpsTNzzYnEBGZkRzeyL[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4496wHqKicYKLhToshVdeioCEMJA[.]exe
hxxp[:]//172[.]86[.]68[.]194/yes/4545OnINxWmOyPcAXfLWQfhEpjEA[.]jse
hxxps[:]//srlxlpdfmxntetflx[.]com/curp-complemento-de-seguridad-descarga/
hxxps[:]//srlxlpdfmxntetflx[.]com/hxxps-sat-extension-de-seguridad-portal-oficial/
hxxps[:]//srlxlpdfmxntetflx[.]com/SII-Servicio-Impuestos-En-Linea/
hxxps[:]//abccapital-com-mx[.]immortal71[.]today/
hxxps[:]//4ctinver-com-nx[.]bordear[.]asia/
hxxps[:]//www-1bbv4-com-mx[.]46equivocarsee[.]fun/
hxxps[:]//bbv4netcash-com-mx[.]q10sidra[.]digital/locl_pibce/login_pibee[.]php?#html
hxxps[:]//citlibanmex-com-mx[.]7despegar10[.]live/portalserver/bancanetempresarial/inicio[.]php
hxxps[:]//citlibanmex-com-mx[.]7despegar10[.]live/MXGCB/JPS/portal/LocaleSwitch[.]do[.]php?locale=es_MX&JFP_TOKEN=NZASR67O
hxxps[:]//www-hscb-com-mx[.]xfaquir15[.]digital/uims/bl/index[.]php
hxxps[:]//mult1va-con-mx[.]disparo41[.]live/
hxxps[:]//1m0nex-com-mx[.]23difficult[.]today/
hxxps[:]//www-scotlabanrk-com-nx[.]1descalzo[.]live/
hxxps[:]//b4nco1nbursa-com-nx.sobretodod5[.]life/Portal/?id_category=
hxxps[:]//web-baseinet-com[.]pila7rf.life/
hxxps[:]//bbv4netc4sh-com-mx[.]operaciones5y6[.]works/locl_pibce/login_pibee.php?#html
hxxps[:]//m1fiel-con-mx[.]resultado6[.]today/UserL.php?Action.Corpuser=12920345
hxxps[:]//citlibanmex-com-mx[.]jponer4[.]life//MXGCB/JPS/portal/LocaleSwitch.do.php?locale=es_MX&JFP_TOKEN=NZASR67O
hxxps[:]//citlibanmex-com-mx[.]jponer4[.]life//portalserver/bancanetempresarial/inicio.php
Tácticas, Técnicas y Procedimientos (TTPs)
Tactic ID | Tactic | Tactic Description | Technique/SubTechnique |
TA0001 | Initial Access | The adversary is trying to get into your network. | T1566 Phishing |
TA0002 | Execution | The adversary is trying to run malicious code. | T1059.007 Command and Scripting Interpreter: JavaScript |
TA0002 | Execution | The adversary is trying to run malicious code. | T1204.002 Malicious File |
TA0003 | Persistence | The adversary is trying to maintain their foothold. | T1547.001 Registry Run Keys / Startup Folder |
TA0003 | Persistence | The adversary is trying to maintain their foothold. | T1176 Browser Extensions |
TA0005 | Defense Evasion | The adversary is trying to avoid being detected. | T1036.008 Masquerade File Type |
TA0005 | Defense Evasion | The adversary is trying to avoid being detected. | T1027 Obfuscated Files or Information |
TA0007 | Discovery | The adversary is trying to figure out your environment. | T1027 Obfuscated Files or Information |
TA0007 | Discovery | The adversary is trying to figure out your environment. | T1082 System Information Discovery |
TA0007 | Discovery | The adversary is trying to figure out your environment. | T1016 System Network Configuration Discovery |
TA0009 | Collection | The adversary is trying to gather data of interest to their goal. | T1113 Screen Capture |
TA0011 | Command and Control | The adversary is trying to communicate with compromised systems to control them. | T1071.001 Web Protocols |
TA0011 | Command and Control | The adversary is trying to communicate with compromised systems to control them. | T1568 Dynamic Resolution |
TA0011 | Command and Control | The adversary is trying to communicate with compromised systems to control them. | T1571 Non-Standard Port |
TA0011 | Command and Control | The adversary is trying to communicate with compromised systems to control them. | T10900.001 Internal Proxy |
TA0010 | Exfiltration | The adversary is trying to steal data. | T1041 Exfiltration Over C2 Channel |
Recomendaciones
De acuerdo con la información presentada anteriormente, se tienen las siguientes recomendaciones: Concientizar sobre ciber amenazas en la organización, para garantizar la aplicación de las mejores prácticas. Llevar a cabo campañas periódicas de concientización entre los usuarios sobre los riesgos del phishing, con la finalidad de identificar este tipo de amenazas de manera oportuna. Implementar el uso de contraseñas seguras, así como el uso de autenticación de doble factor. Realizar la adición de los indicadores de compromiso y TTPs compartidas en el presente documento en las diversas soluciones de seguridad. |
Información obtenida de: MetabaseQ |