Nueva campaña Red Appaloosa dirigida a México distribuyendo un troyano bancario
Visión general
El propósito de este informe es presentar una actualización de IoCs y TTPs utilizados en una campaña de malware dirigida a México distribuyendo un troyano bancario, la cual, por sus diferentes características SCILabs la nombró Red Appaloosa. Estos nuevos indicadores fueron obtenidos a partir del monitoreo de seguridad y caza de amenazas de la región durante la primera semana de enero del 2023.
El método de propagación de esta amenaza se realiza principalmente por medio de correos de phishing intentando suplantar a diferentes instituciones y utilizando pretextos como facturas y recibos, entre otros.
En esta campaña SCILabs recuperó un archivo PDF el cual intenta suplantar a la Comisión Federal de Electricidad (CFE) utilizando como pretexto un recibo de pago. La importancia de esta actualización es que este troyano continúa haciendo uso de TTPs característicos de otras amenazas, como, URSA/Mispadu (Troyano Bancario), Grandoreiro (Troyano Bancario), y Banload (Dropper).
El objetivo principal de esta amenaza es robar información bancaria de múltiples instituciones financieras de clientes ubicados en México, Estados Unidos y Portugal, entre los que se encuentran Banco Azteca, CaixaBank, Banco de Portugal, Banco Efisa, Banco Inmobiliario Mexicano, Banco Bancrea, Banco Finterra, Banco De Confianza, Banco Autofin, Banco Actinver, Scotiabank, Activobank, Orange Bank, American Express Bank, e Intercam Banco, sin embargo, con base en el monitoreo de la región, existe la posibilidad de que en un futuro cercano intenten robar información de instituciones financieras con presencia en otros países, tanto de LATAM, como de otros lugares en el mundo.
Teniendo en cuenta que la campaña aparentemente aún se encuentra en una fase experimental y en desarrollo, el objetivo de este documento es presentar toda la información disponible hasta el momento, para permitir a las organizaciones identificar y reconocer de manera preventiva el comportamiento de este troyano bancario, así como sus TTPs e IoCs, con el fin de evitar ser víctima de esta amenaza.
Es importante mencionar que SCILabs continuará monitoreando esta amenaza, en este reporte se retomará información ya conocida de manera general, únicamente para dar contexto sobre los nuevos hallazgos.
¿Cómo podría afectar a una organización?
El objetivo principal de Red Appaloosa, es robar información bancaria de múltiples entidades financieras de todo tipo de usuarios, incluidos los empleados de las organizaciones, por lo que, si un ataque tiene éxito dentro de una organización, este podría poner en riesgo la confidencialidad, disponibilidad, e integridad de la información de la empresa debido a que los datos extraídos pueden ser filtrados o vendidos en el mercado negro y/o la DarkWeb, pudiendo ocasionar pérdidas económicas y de confianza para las compañías víctima.
Análisis
Contexto de amenaza
Red Appaloosa fue observada por SCILabs durante el monitoreo y la caza de amenazas en la región durante la primera semana de enero del 2023, además, esta amenaza ha sido monitoreada por SCILabs desde noviembre del 2022.
Aunque en esta campaña SCILabs no logró recuperar el correo que detona la infección, se observó en otras campañas de esta amenaza que la distribución comienza a través de correos electrónicos de phishing que contienen URLs y/o archivos PDF o HTML adjuntos, con pretextos variados, relacionados con el cobro de facturas, vigencia de derechos, comprobantes fiscales digitales y recibos de pago, entre otros. Después de observar la compañía suplantada (CFE), el equipo de SCILabs pudo determinar con un alto nivel de confianza que esta campaña está dirigida a México.
El propósito del PDF recuperado por SCILabs, es redirigir a la víctima a un sitio web para descargar un archivo comprimido con formato ZIP, el cual contiene un EXE con un tamaño mayor a los 300MB. Al ejecutarlo se despliega en pantalla la validación de un CAPTCHA, una vez resuelto, comienzan las siguientes etapas del malware descritas más adelante en este reporte.
Finalmente, intenta comunicarse con su servidor de comando y control, y comienza a esperar que el usuario ingrese al portal de su banco para robar su información bancaria.
Resumen técnico
El archivo PDF recuperado por SCILabs con nombre “CFE_PENDIENTES_Factura1593365.pdf” intenta suplantar a la Comisión Federal de Electricidad (CFE) copiando uno de sus recibos de forma difuminada y con la leyenda “Ver Factura Completa”, la imagen tiene dentro un hipervínculo, el cual, a diferencia del reportado por SCILabs en el mes de diciembre, no utiliza acortadores de URL ni generadores de QR. Al dar clic en cualquier parte del supuesto recibo, inicia la descarga de un archivo comprimido en formato ZIP.
Figura 1 – Archivo PDF con un supuesto recibo de la CFE
El archivo comprimido tiene dentro un ejecutable EXE y un segundo comprimido que contiene un instalador de Firefox, en el cual no se ha observado comportamiento malicioso y aun no se determina su funcionalidad dentro de la cadena de infección.
Figura 2 – Contenido del archivo comprimido
Al ejecutar el archivo de nombre “A72351623012034.exe” se despliega un validador CAPTCHA, el cual, busca evadir soluciones de seguridad de tipo sandbox obligando a la interacción humana para continuar con la ejecución del malware. Es importante señalar que, si el CAPTCHA no se resuelve o se resuelve de manera incorrecta, esta ventana no se puede cerrar.
Figura 3 – Validador CAPTCHA utilizado por el malware
Posterior a la validación del CAPTCHA, comienza también la descarga de un archivo en formato MPEG de nombre jama22bg, aunque tiene la apariencia de un video, este artefacto en realidad es un archivo comprimido, el cual tiene dentro 2 directorios, un instalador y 3 DLLs (una de ellas maliciosa y superior a los 500MB).
Para decodificar este supuesto video el malware hace uso del software VideoLan. El comprimido final se encuentra protegido con contraseña y SCILabs aún no ha podido determinar cuál es.
Figura 4 – Contenido del supuesto video
El malware descomprime de forma automática este artefacto y cambia el contenido al directorio C:\Users\<usuario>\<caracteres aleatorios>, después, ejecuta el archivo “install.exe” e intenta suplantar al editor de texto NotePad++.
Dentro del directorio final se encuentran los siguientes archivos:
- Cursors: Directorio que contiene seis archivos con extensión CUR, los cuales, aún no se ha observado siendo utilizados por el malware, por lo que, podrían tratarse de distracciones para los analistas.
- Plugins: Directorio vacío que sólo es utilizado en caso de que NotePad++ no se encuentre instalado en la máquina de la víctima, de lo contrario, se mantiene vacío durante la cadena de infección.
- dll: DLL legitima que no se ha observado que tenga algún comportamiento malicioso.
- BraveCrashHandler gduuplZ33.exe: Ejecutable malicioso, el cual, intenta suplantar a NotePad++, ya que, se encuentra firmado digitalmente por NotePad++ lo que dificulta su categorización como maligno.
- dll: DLL maliciosa que tiene un tamaño superior a los 400MB, lo cual, le permite evadir ciertas soluciones de seguridad que solo permiten el análisis de artefactos menores de 100MB.
- SciLexer.dll: DLL legitima que no se ha observado que tenga algún comportamiento malicioso.
Figura 5 – Contenido del directorio en el que se instala el malware
Un punto importante por resaltar, el cual, podría ser utilizado como indicador de ataque, es que si NotePad++ se encuentra previamente instalado en la máquina de la víctima, este queda inutilizable después de la ejecución del malware, sin embargo, si NotePad++ no se encuentra instalado, el malware se ejecuta sin modificar ningún componente previamente instalado en el equipo de la víctima. Es altamente probable que el atacante este utilizando NotePad++ para implementar técnicas de DLL hijacking, esta técnica permite lograr persistencia, ejecución de código arbitrario, el código malicioso es ejecutado cada vez que el usuario intenta abrir el software comprometido.
Figura 6 – Firma digital del artefacto malicioso
Esta amenaza crea persistencia creando una llave de ejecución en el registro Software\Microsoft\Windows\CurrentVersion\Run.
Figura 7 – Persistencia generada
Finalmente, intenta comunicarse con su servidor de comando y control, y comienza a esperar que el usuario ingrese al portal de su banco para robar la información bancaria de alguno de los siguientes bancos listados:
- Banco Azteca
- CaixaBank
- Banco de Portugal
- Banco Efisa
- Banco Inmobiliario Mexicano
- Banco Bancrea
- Banco Finterra
- Banco De Confianza
- Banco Autofin
- Banco Actinver
- Scotiabank
- Activobank
- Orange Bank
- American Express Bank
- Intercam Banco
El proceso queda a la escucha de las cadenas que tengan la siguiente forma https://www.google.com/search y que incluyan alguno de los bancos listados.
Figura 8 – Registros del proceso esperando alguno de los bancos listados
Flujo del ataque
A continuación, se muestra el flujo del ataque observado por SCILabs durante el análisis.
Figura 9 – Flujo del ataque
TTPs observados alineados al ATT&CK de MITRE
Tabla 1 – TTPs alineados al Framework Mitre ATT&CK
Conclusión
El peligro de esta amenaza radica en que es un troyano bancario que está tomando los “mejores y más efectivos” TTPs de otras amenazas que afectan a LATAM y los está utilizando en su cadena de infección, para tener un mayor porcentaje de éxito en sus ataques, debido a que la campaña está diseñada para retrasar los análisis de los investigadores, evadir soluciones de seguridad (que sólo pueden analizar artefactos menores a 100MB), evadir soluciones de seguridad que ejecutan automáticamente las muestras para determinar si son o no maliciosas, y evadir soluciones de seguridad que sólo monitorean la creación de procesos maliciosos pero no monitorean procesos legítimos que podrían cargar una DLL maliciosa en memoria.
SCILabs ha observado una rápida evolución en sus TTPs, cambiando en poco tiempo su infraestructura y añadiendo pasos dentro de su cadena de infección, además observamos que el grupo detrás de esta amenaza ha ido utilizando menos archivos en la fase final del malware.
Al analizar la procedencia de los bancos obtenidos durante las diferentes campañas encontrados, SCILabs tiene la hipótesis de que esta amenaza se seguirá presentando durante el 2023, además es altamente probable que pueda extenderse a otros países de América Latina y el mundo.
Finalmente, SCILabs continuará monitoreando esta amenaza para poder realizar una atribución, o determinar si se trata de una nueva amenaza, además de mantener actualizadas a las organizaciones y usuarios sobre cambios en sus TTPs, nuevos IoCs, o información relevante que pudiera ser vital para no ser víctima de esta campaña.
SCILabs recomienda a las organizaciones, realizar campañas de concientización constantes sobre las técnicas de ingeniería social utilizadas por los ciberdelincuentes para distribuir este tipo de troyanos bancarios, así como los vectores de entrada identificados por SCILabs a través del monitoreo continuo de la región.
- Se recomienda evitar abrir correos de remitentes desconocidos, evitar o restringir la descarga de archivos y/o programas desde enlaces desconocidos o no legítimos.
- Se recomienda evitar y/o restringir la descarga e instalación de software no legitimo o de sitios no oficiales.
- Se recomienda bloquear los indicadores de compromiso presentes en este documento.
- Se recomienda realizar tareas de caza de amenazas en busca de directorios nombrados con letras o caracteres al azar en C:\Users\<usuario>\
- Se recomienda realizar tareas de caza de amenazas en busca de llaves de registro sospechosas creadas dentro Software\Microsoft\Windows\CurrentVersion\Run
IOC
Obtenidos durante el análisis
Hashes SHA-256
29347E1F1D7ABEB6BB4E3D23851020B410E4614BD27A3D074AF64E47F5651188
BA3EAB3C379D4F04B00F3D0C2D5CE281A9F5C2FF4CA5FF1C323D5552B001D373
C335ADB8E995FE7FF19B80B9E5FF30C07B0C8605C3839D7E90F259626FA77941
Dominios
MERCADAODORJ[.]COM
MEX[.]FACTURAPAGO[.]SHOP
URLs
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS.PHP
HXXPS[:]//APPLICATIONFILESTORAGEMX[.]BLOB[.]CORE[.]WINDOWS[.]NET/APPSTORAGEMX/PAGO_REF_C432844614[.]ZIP
HXXPS[:]//A[.]NEL[.]CLOUDFLARE[.]COM/REPORT/V3?S=NDV6TYGEEKBXA7N44WMYKYY85%2BQLLXHBVE15AFXSXUDBTWTYXVCUGMVGQ3WAO5USYHKXOUC7XB7AAPVB6PAKEJO4RGL8D9BFB42WTYDNRTRSYINWWWFQTNHA5U0PTCA957N8
HXXPS[:]//A[.]NEL[.]CLOUDFLARE[.]COM/REPORT/V3?S=YQNRMOPJZVSLQFYB%2BY8UENO6LTRHSDDFEKNDIIO%2FMEWSZTLIAPQTYREBG0%2F6UZO2LX4AZ%2B1NTJCVQMULUALUWOTS4CSPSABT7NMSSLIU8MELYRCMH7KTDO6TEZQHLONPNYOS
HXXP://MEX[.]FACTURAPAGO[.]SHOP/JAMA22BG[.]MPEG
HXXP[:]//MERCADAODORJ[.]COM[:]80
Subdominios
APPLICATIONFILESTORAGEMX[.]BLOB[.]CORE[.]WINDOWS[.]NET
Obtenidos a partir de procesos de retrohunt
Hashes SHA-256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CERTIFICATED[.]EMPRESASCFDI-PERSONAS[.]SHOP
CFDI[.]SMART2NOPAGOS[.]SHOP
EMPRESARIALMX[.]SHOP
EXECULTIVO[.]MONEYGOLDX[.]SHOP
FACTGEFORCEX[.]SHOP
FACTURACION[.]SGSCOMMANAGER[.]SHOP
FACTURAS[.]MARKETING4GRP[.]SHOP
GERENCIA[.]MULTISISTEMPAGOSMX[.]SHOP
L[.]EAD[.]ME
MANAGER[.]INVESTHARBOURSESSION[.]SHOP
MEX[.]FACTURACOMPROBANTE[.]SHOP
MEX[.]FACTURACOMPR[.]SHOP
MEX[.]MASSATEST[.]SHOP
MEX[.]TENESNET[.]SHOP
MULTI[.]MULTISESSIONLTDA[.]SHOP
MX-CORREEOSUPORT[.]SHOP
MX[.]EMPRESA020[.]SHOP
MX[.]EMPRESARIAL1MX[.]SHOP
MX[.]EMPRESARIALLLMX[.]SHOP
MX[.]EMPRESARIALLMXX[.]SHOP
MX[.]EMPRESARIALL[.]SHOP
MX[.]EMPRESARIALMX03[.]SHOP
MX[.]EMPRESARIALMX04[.]SHOP
MX[.]EMPRESARIARMX030[.]SHOP
MX[.]EMPRESARIIALMX[.]SHOP
MX-ITUNES[.]SHOP
MX[.]MEXEMPRESSARIAL[.]SHOP
MX[.]MXEMPRESAA[.]SHOP
MX[.]NEGOCIOAPPS[.]SHOP
MX[.]NEGOCIOMX2[.]SHOP
MX[.]NEGOCIOMX3[.]SHOP
MX[.]NEGOCIOMX4[.]SHOP
MX[.]NEGOCIOMX[.]SHOP
MXX[.]DIRETORGERALXX[.]SHOP
NEGOCIOMX3[.]SHOP
PAGO[.]SGSCOMMANAGER[.]SHOP
PAGOS[.]MULTISESSIONLTDA[.]SHOP
PORTAL[.]ADIMCOPAGOS[.]SHOP
PORTAL[.]ROSENPARKPRIVATEPAGOS[.]SHOP
PROMOCIONES[.]ROSENPARKPRIVATEPAGOS[.]SHOP
Q-R[.]TO
RECIBO[.]MBUSSINESSCFDI[.]SHOP
RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET
SAC1[.]FAFORCE[.]SHOP
SAC2[.]FACTGERFORCE[.]SHOP
SAC3[.]FACTGIFORCE[.]SHOP
SAC4[.]FACTGEFORCEX[.]SHOP
SSL[.]ADIMCOPAGOS[.]SHOP
SSL[.]MARKETING4GRP[.]SHOP
SSL[.]MULTISESSIONLTDA[.]SHOP
SSL[.]WESTNEX[.]SHOP
STORAGERECIBOSPAGOS0712[.]BLOB[.]CORE[.]WINDOWS[.]NET
WWW1[.]COMPROBANTEMX[.]SHOP
WWW1[.]EMPRESA020[.]SHOP
WWW1[.]EMPRESARIALLMXX[.]SHOP
WWW1[.]EMPRESARIALL[.]SHOP
WWW1[.]EMPRESARIALMXX[.]SHOP
WWW1[.]FACTURAMX[.]SHOP
WWW1[.]MEXEMPRESARIIAL[.]SHOP
WWW1[.]MEXFACTURA[.]SHOP
WWW1[.]MXEMPREESA[.]SHOP
WWW1[.]MXEMPRESAR[.]SHOP
WWW1[.]MXEMPRESSARIIAL[.]SHOP
WWW1[.]MXFACTURA[.]SHOP
WWW1[.]NEGOCIOMX2[.]SHOP
WWW1[.]NEGOCIOMX3[.]SHOP
WWW2[.]BOGFAC[.]SHOP
WWW2[.]BOGJAM[.]SHOP
WWW2[.]EMPRESARIALMX15[.]SHOP
WWW2[.]JAMNET[.]SHOP
WWWS1[.]MBUSSINESSCFDI[.]SHOP
WWWS[.]EYEWATCHDESIGN[.]SHOP
WWWS[.]SMART2NOPAGOS[.]SHOP
URLs
HXXP[:]//24[.]152[.]38[.]151/COMPROBANTE_PAGO/
HXXP[:]//24[.]152[.]38[.]151/COMPROBANTE_SPEI/
HXXP[:]//24[.]152[.]38[.]151/FACTURA/
HXXP[:]//24[.]152[.]38[.]151/FACTURA_COMPROBANTE/
HXXP[:]//24[.]152[.]38[.]151/FACTURA_PAGO/
HXXP[:]//24[.]152[.]38[.]151/PAGO_COMPROBANTE/
HXXP[:]//24[.]152[.]38[.]151/PAGO_RECIBO/
HXXP[:]//24[.]152[.]38[.]151/RECIBO_PAGO/
HXXP[:]//CERTIFICATED[.]EMPRESASCFDI-PERSONAS[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?APPLICATIONS
HXXP[:]//CFDI[.]SMART2NOPAGOS[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP
HXXP[:]//EMPRESARIALMX[.]SHOP/COMPROBANTE_SPEI/
HXXP[:]//EXECULTIVO[.]MONEYGOLDX[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4DVSSF351W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//FACTGEFORCEX[.]SHOP/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//FACTURACION[.]SGSCOMMANAGER[.]SHOP/APP_DOCS_CD20185205/DOCS_FICHERO05502022[.]PHP
HXXP[:]//FACTURAS[.]MARKETING4GRP[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP?PORTALCFDI15201477
HXXP[:]//FACTURAS[.]MARKETING4GRP[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP?PORTALFACTURA1588933
HXXP[:]//GERENCIA[.]MULTISISTEMPAGOSMX[.]SHOP/GERENCIABR02/YBNZKVJ[.]PHP
HXXP[:]//L[.]EAD[.]ME/BANAMEXAPPS15278
HXXP[:]//L[.]EAD[.]ME/BDCRRR
HXXP[:]//L[.]EAD[.]ME/BDOAFK
HXXP[:]//L[.]EAD[.]ME/BDPAOF
HXXP[:]//L[.]EAD[.]ME/BDQ5P9
HXXP[:]//L[.]EAD[.]ME/BDQ6IF
HXXP[:]//L[.]EAD[.]ME/BDQ6MM
HXXP[:]//L[.]EAD[.]ME/BDQ7YY
HXXP[:]//L[.]EAD[.]ME/BDQ7Z0
HXXP[:]//L[.]EAD[.]ME/BDQOB8
HXXP[:]//L[.]EAD[.]ME/BDQOC1
HXXP[:]//L[.]EAD[.]ME/BDQXFG
HXXP[:]//L[.]EAD[.]ME/BDROOO
HXXP[:]//L[.]EAD[.]ME/BDRYNG
HXXP[:]//L[.]EAD[.]ME/BDRYNN
HXXP[:]//L[.]EAD[.]ME/BDRZOR
HXXP[:]//L[.]EAD[.]ME/BDWZ6B
HXXP[:]//L[.]EAD[.]ME/BDZHVF
HXXP[:]//L[.]EAD[.]ME/CFDIFACTURAAPPS
HXXP[:]//L[.]EAD[.]ME/MXSATGOX158233
HXXP[:]//MANAGER[.]INVESTHARBOURSESSION[.]SHOP/DOCS_RECIBOS_EMISSION/APPSMANAGER[.]PHP?APPSCFDIPAGOSMX-2022-001
HXXP[:]//MANAGER[.]INVESTHARBOURSESSION[.]SHOP/DOCS_RECIBOS_EMISSION/APPSMANAGER[.]PHP?APPSDOCSMX
HXXP[:]//MEX[.]FACTURACOMPROBANTE[.]SHOP/JMBACK[.]BMP
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/7777777777/
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/COMPROBANTE_FACTURA/
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/FACTURA/
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/FACTURA_COMPROBANTE/
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/PAGO_FACTURA/
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/GCDUKKLCIKNRSBJWONSTQPNDFERVKYFSMBNFYFQWFYBFKHTYJBDTRFW[.]PHP
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/GCDUKKLCIKNRSBJWONSTQPNDFERVKYFSMBNFYFQWFYBFKHTYJBDTRFW[.]PHP
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/GCDUKKLCIKNRSBJWONSTQPNDFERWKYFSMBNFYFQWFYBFFKHTYJBDTRFW[.]PHP
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/BANAMEXSEGURO[.]JPG
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/CITIBANAMEX[.]JPG
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/COMPUTADOR[.]JPG
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/CONTATO[.]JPG
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/ENDERE
HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/ENDERE%C3%A7O[.]JPG
HXXP[:]//MEX[.]MASSATEST[.]SHOP/JM3VIEW[.]AVI
HXXP[:]//MEX[.]TENESNET[.]SHOP/JAMANEW2[.]PNG
HXXP[:]//MULTI[.]MULTISESSIONLTDA[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?PAGOS-DOCUMENT
HXXP[:]//MX-CORREEOSUPORT[.]SHOP/
HXXP[:]//MX[.]EMPRESA020[.]SHOP/
HXXP[:]//MX[.]EMPRESA020[.]SHOP/GJNEW[.]DRIV
HXXP[:]//MX[.]EMPRESA020[.]SHOP/KGRIN2023[.]CERT
HXXP[:]//MX[.]EMPRESA020[.]SHOP/KGRIN23JM[.]CERT
HXXP[:]//MX[.]EMPRESARIAL1MX[.]SHOP/
HXXP[:]//MX[.]EMPRESARIALLLMX[.]SHOP/
HXXP[:]//MX[.]EMPRESARIALLLMX[.]SHOP/JM2VER[.]DVR
HXXP[:]//MX[.]EMPRESARIALLLMX[.]SHOP/JM2WIN[.]DRV
HXXP[:]//MX[.]EMPRESARIALLLMX[.]SHOP/JMAA2V[.]CORE
HXXP[:]//MX[.]EMPRESARIALLMXX[.]SHOP/GJNEW[.]DRIV
HXXP[:]//MX[.]EMPRESARIALLMXX[.]SHOP/GJNEW[.]DRIV
HXXP[:]//MX[.]EMPRESARIALLMXX[.]SHOP/KGRIN2023[.]CERT
HXXP[:]//MX[.]EMPRESARIALLMXX[.]SHOP/KGRIN23JM[.]CERT
HXXP[:]//MX[.]EMPRESARIALL[.]SHOP/
HXXP[:]//MX[.]EMPRESARIALL[.]SHOP/JAMA3V[.]CORE
HXXP[:]//MX[.]EMPRESARIALL[.]SHOP/JM3WWV[.]CORE
HXXP[:]//MX[.]EMPRESARIALL[.]SHOP/JM3WWVW[.]CORE
HXXP[:]//MX[.]EMPRESARIALMX03[.]SHOP/JM2VER[.]DVR
HXXP[:]//MX[.]EMPRESARIALMX03[.]SHOP/JM2WIN[.]DRV
HXXP[:]//MX[.]EMPRESARIALMX03[.]SHOP/JMAA2V[.]CORE
HXXP[:]//MX[.]EMPRESARIALMX04[.]SHOP/CURURU[.]PUTA
HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/
HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/JM2VER[.]DVR
HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/JM2WIN[.]DRV
HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/JMAA2V[.]CORE
HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/JMAA2V[.]CORE
HXXP[:]//MX[.]EMPRESARIIALMX[.]SHOP/
HXXP[:]//MX-ITUNES[.]SHOP/EXPIRE/INDEX2[.]HTML
HXXP[:]//MX[.]MEXEMPRESSARIAL[.]SHOP/MJ3PHP[.]MQL
HXXP[:]//MX[.]MEXEMPRESSARIAL[.]SHOP/MJ3PHP[.]MQL
HXXP[:]//MX[.]MXEMPRESAA[.]SHOP/
HXXP[:]//MX[.]MXEMPRESAA[.]SHOP/MJ2CORE[.]WIN
HXXP[:]//MX[.]MXEMPRESAA[.]SHOP/MJ2CORE[.]WIN
HXXP[:]//MX[.]NEGOCIOAPPS[.]SHOP/
HXXP[:]//MX[.]NEGOCIOMX2[.]SHOP/
HXXP[:]//MX[.]NEGOCIOMX2[.]SHOP/FACTURAPAGO/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//MX[.]NEGOCIOMX3[.]SHOP/JM3WWVW[.]CORE
HXXP[:]//MX[.]NEGOCIOMX4[.]SHOP/
HXXP[:]//MX[.]NEGOCIOMX[.]SHOP/MJ1WIN[.]CORE
HXXP[:]//MXX[.]DIRETORGERALXX[.]SHOP/
HXXP[:]//MXX[.]DIRETORGERALXX[.]SHOP/FACTURA/
HXXP[:]//MXX[.]DIRETORGERALXX[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//NEGOCIOMX3[.]SHOP/FACTURA_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//PAGO[.]SGSCOMMANAGER[.]SHOP/APP_DOCS_CD20185205/DOCS_FICHERO05502022[.]PHP
HXXP[:]//PAGOS[.]MULTISESSIONLTDA[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?DOCUMENTS-PAGOS
HXXP[:]//PORTAL[.]ADIMCOPAGOS[.]SHOP/NF-5034297/NF5034297[.]PHP?BR152346
HXXP[:]//PORTAL[.]ROSENPARKPRIVATEPAGOS[.]SHOP/RECIBO_EMISSIONS/RECIBO_EMISION[.]PHP?DOCSRECIBOSMX1732
HXXP[:]//PORTAL[.]ROSENPARKPRIVATEPAGOS[.]SHOP/RECIBO_EMISSIONS/RECIBO_EMISION[.]PHP?PAGOSDOCSMX
HXXP[:]//PROMOCIONES[.]ROSENPARKPRIVATEPAGOS[.]SHOP/RECIBO_EMISSIONS/RECIBO_EMISION[.]PHP?PAGOSDOCSMX01
HXXP[:]//Q-R[.]TO/BDYGW2/
HXXP[:]//RECIBO[.]MBUSSINESSCFDI[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?DOCUMENTS-APPSMX
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/CMH9MHRGHJV99ATV3EPBTXMO_0K0NK3LZ9XXTQPVI84B4JQTJ1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/DOCS_J06MC512DJMXGO15SMX22_1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/DZLAPWQAVKP2NHM_5JMHDTLSBSUVF7BKJNMGVMZM6[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/FILEPII_428DEAC269C4D907881538D5D974B18890B7D825[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/J06MC512DJMXGO15SMX22_1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/J16MP250STXSDG02SM5[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/J22MC510DJMXGO15SMX1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/PAGOS_RECIBO_J12MC520DJMXGO18SMX2[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/PDF_ARCHIVO_09112022[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/PDF_ARCHIVO_MJMOSMOC8VSMSDK5JNMX1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO0111_20552MXJMLSPC2VSMSDK5JNMX1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO0811_20252MXGOJMWC2VSMSDK8JNMX1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO0811_20252MXGOJMWC2VSMSDK8JNMX2[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO1710_250SPJMLWIC9VJKR6JNMX1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO1710_250SPJMLWIC9VJKR6JNMX1[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO2110_2555MXJMLSPC2VSWK8JNMX2[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO2110_2555MXJMLSPC2VSWK8JNMX2[.]ZIP
HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/YFCXASVFXZ2OSRHCO_7SHNP2NJUGKRBU3Y3[.]ZIP
HXXP[:]//SAC1[.]FAFORCE[.]SHOP/
HXXP[:]//SAC2[.]FACTGERFORCE[.]SHOP/
HXXP[:]//SAC3[.]FACTGIFORCE[.]SHOP/
HXXP[:]//SAC4[.]FACTGEFORCEX[.]SHOP/
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?15234789MVCB45020155A787F5A_SERIE_IWAVZ_Y_FOLIO_1524863877[.]HTML
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?15996321475MNCVBGDHJUGH
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?15996321475MNCVBGDHJUGH
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP??4502010-4B6E-8F5E-8E1D0DD985_SERIE_IWAVZ_Y_FOLIO_158502022[.]HTML
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?BNVMXNJKUYT
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MBNGNJUI5293652MNVHJF
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MHGNJUYTMJNBVF11K1256399
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MHGNJUYTMJNBVFGHK1256399
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MNBGFHSJ1963251
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MXVCBNJMKIOLA
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MXVCNMJBHN1523694CVBNJMKLLM
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP\?MXVCNMJBHN1523694CVBNJMKLLM
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?PORTALFACTURAMX1526399
HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?PORTALFACTURAMX1526399?45020155A787F5A-5337-4B6E-8F5E-803E1D0DD985_SERIE_IWAVZ_Y_FOLIO_158502022[.]HTML
HXXP[:]//SSL[.]MARKETING4GRP[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP
HXXP[:]//SSL[.]MULTISESSIONLTDA[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP
HXXP[:]//SSL[.]MULTISESSIONLTDA[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?PAGOS-DOCUMENTS
HXXP[:]//SSL[.]WESTNEX[.]SHOP/DOCS_RECIBOS_EMISSION/APPSPAGOS[.]PHP
HXXP[:]//STORAGERECIBOSPAGOS0712[.]BLOB[.]CORE[.]WINDOWS[.]NET/FICHEROSMX/FACTURA_COMPROBANTE_28537577289461_79436744847[.]ZIP
HXXP[:]//STORAGERECIBOSPAGOS0712[.]BLOB[.]CORE[.]WINDOWS[.]NET/FICHEROSMX/PDF_ARCHIVO_DJTOMMOX8VSJMDS5JNMX4[.]ZIP
HXXP[:]//WWW1[.]COMPROBANTEMX[.]SHOP/PAGO_FACTURA/MZHVBFCLSDKHCHSFGI5DF54VSFDG518FSSZDF548DF357F86[.]PHP
HXXP[:]//WWW1[.]EMPRESA020[.]SHOP/COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]EMPRESARIALLMXX[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]EMPRESARIALLMXX[.]SHOP/PAGO_RECIBO/
HXXP[:]//WWW1[.]EMPRESARIALLMXX[.]SHOP/PAGO_RECIBO/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]EMPRESARIALL[.]SHOP/COMPROBANTE_PAGO/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]EMPRESARIALMXX[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]FACTURAMX[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]MEXEMPRESARIIAL[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]MEXFACTURA[.]SHOP/SPEI_PAGO/INDEX[.]PHP
HXXP[:]//WWW1[.]MXEMPREESA[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]MXEMPRESAR[.]SHOP/PAGO_COMPROBANTE/
HXXP[:]//WWW1[.]MXEMPRESAR[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]MXEMPRESAR[.]SHOP/PAGO_COMPROBANTE/INDEX[.]PHP
HXXP[:]//WWW1[.]MXEMPRESSARIIAL[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]MXFACTURA[.]SHOP/COMPROBANTE_SPEI/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]NEGOCIOMX2[.]SHOP/FACTURA_PAGO
HXXP[:]//WWW1[.]NEGOCIOMX2[.]SHOP/FACTURA_PAGO/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]NEGOCIOMX2[.]SHOP/FACTURA_PAGO/DASSSASHYTSRFWEWDW4W4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREY[.]PHP
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/7777777777/
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/COMPROBANTE_FACTURA/
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA/
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA_COMPROBANTE/
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/PAGO_FACTURA/
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/PAGO_RECIBO/
HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/RECIBO_FACTURA/
HXXP[:]//WWW2[.]BOGFAC[.]SHOP/NEWMAGIC[.]CERT
HXXP[:]//WWW2[.]BOGJAM[.]SHOP/CONTROLSTRICKV3[.]VBP
HXXP[:]//WWW2[.]EMPRESARIALMX15[.]SHOP/JAMANEW2[.]PNG
HXXP[:]//WWW2[.]JAMNET[.]SHOP/GAMERS2[.]MIC
HXXP[:]//WWW2[.]JAMNET[.]SHOP/JAMANEW3[.]BMP
HXXP[:]//WWW2[.]JAMNET[.]SHOP/JMBACK[.]BMP
HXXP[:]//WWWS1[.]MBUSSINESSCFDI[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?DOCUMENTS
HXXP[:]//WWWS[.]EYEWATCHDESIGN[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP
HXXP[:]//WWWS[.]SMART2NOPAGOS[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP
IOC Observables
A continuación, se muestran los IoCs obtenidos por SCILabs, los cuales, tienen un ALTO nivel de confianza. Los siguientes archivos pueden ser utilizados de manera legitima y durante el análisis dinámico no se encontró evidencia de comportamiento malicioso, sin embargo, pueden ser indicadores de infección. Se recomienda alertar en caso de detección y realizar procesos de caza de amenazas para confirmar o descartar alguna posible infección.
Hashes SHA-256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