Nueva campaña Red Appaloosa dirigida a México distribuyendo un troyano bancario

Logo Red Appaloosa

Visión general

El propósito de este informe es presentar una actualización de IoCs y TTPs utilizados en una campaña de malware dirigida a México distribuyendo un troyano bancario, la cual, por sus diferentes características SCILabs la nombró Red Appaloosa. Estos nuevos indicadores fueron obtenidos a partir del monitoreo de seguridad y caza de amenazas de la región durante la primera semana de enero del 2023.

El método de propagación de esta amenaza se realiza principalmente por medio de correos de phishing intentando suplantar a diferentes instituciones y utilizando pretextos como facturas y recibos, entre otros.

En esta campaña SCILabs recuperó un archivo PDF el cual intenta suplantar a la Comisión Federal de Electricidad (CFE) utilizando como pretexto un recibo de pago. La importancia de esta actualización es que este troyano continúa haciendo uso de TTPs característicos de otras amenazas, como, URSA/Mispadu (Troyano Bancario), Grandoreiro (Troyano Bancario), y Banload (Dropper).

El objetivo principal de esta amenaza es robar información bancaria de múltiples instituciones financieras de clientes ubicados en México, Estados Unidos y Portugal, entre los que se encuentran Banco Azteca, CaixaBank, Banco de Portugal, Banco Efisa, Banco Inmobiliario Mexicano, Banco Bancrea, Banco Finterra, Banco De Confianza, Banco Autofin, Banco Actinver, Scotiabank, Activobank, Orange Bank, American Express Bank, e Intercam Banco, sin embargo, con base en el monitoreo de la región, existe la posibilidad de que en un futuro cercano intenten robar información de instituciones financieras con presencia en otros países, tanto de LATAM, como de otros lugares en el mundo.

Teniendo en cuenta que la campaña aparentemente aún se encuentra en una fase experimental y en desarrollo, el objetivo de este documento es presentar toda la información disponible hasta el momento, para permitir a las organizaciones identificar y reconocer de manera preventiva el comportamiento de este troyano bancario, así como sus TTPs e IoCs, con el fin de evitar ser víctima de esta amenaza.

Es importante mencionar que SCILabs continuará monitoreando esta amenaza, en este reporte se retomará información ya conocida de manera general, únicamente para dar contexto sobre los nuevos hallazgos.

¿Cómo podría afectar a una organización?

El objetivo principal de Red Appaloosa, es robar información bancaria de múltiples entidades financieras de todo tipo de usuarios, incluidos los empleados de las organizaciones, por lo que, si un ataque tiene éxito dentro de una organización, este podría poner en riesgo la confidencialidad, disponibilidad, e integridad de la información de la empresa debido a que los datos extraídos pueden ser filtrados o vendidos en el mercado negro y/o la DarkWeb, pudiendo ocasionar pérdidas económicas y de confianza para las compañías víctima.

Análisis

Contexto de amenaza

Red Appaloosa fue observada por SCILabs durante el monitoreo y la caza de amenazas en la región durante la primera semana de enero del 2023, además, esta amenaza ha sido monitoreada por SCILabs desde noviembre del 2022.

Aunque en esta campaña SCILabs no logró recuperar el correo que detona la infección, se observó en otras campañas de esta amenaza que la distribución comienza a través de correos electrónicos de phishing que contienen URLs y/o archivos PDF o HTML adjuntos, con pretextos variados, relacionados con el cobro de facturas, vigencia de derechos, comprobantes fiscales digitales y recibos de pago, entre otros. Después de observar la compañía suplantada (CFE), el equipo de SCILabs pudo determinar con un alto nivel de confianza que esta campaña está dirigida a México.

El propósito del PDF recuperado por SCILabs, es redirigir a la víctima a un sitio web para descargar un archivo comprimido con formato ZIP, el cual contiene un EXE con un tamaño mayor a los 300MB. Al ejecutarlo se despliega en pantalla la validación de un CAPTCHA, una vez resuelto, comienzan las siguientes etapas del malware descritas más adelante en este reporte.

Finalmente, intenta comunicarse con su servidor de comando y control, y comienza a esperar que el usuario ingrese al portal de su banco para robar su información bancaria.

Resumen técnico

El archivo PDF recuperado por SCILabs con nombre “CFE_PENDIENTES_Factura1593365.pdf” intenta suplantar a la Comisión Federal de Electricidad (CFE) copiando uno de sus recibos de forma difuminada y con la leyenda “Ver Factura Completa”, la imagen tiene dentro un hipervínculo, el cual, a diferencia del reportado por SCILabs en el mes de diciembre, no utiliza acortadores de URL ni generadores de QR. Al dar clic en cualquier parte del supuesto recibo, inicia la descarga de un archivo comprimido en formato ZIP.

Archivo PDF con un supuesto recibo de la CFE

Figura 1 – Archivo PDF con un supuesto recibo de la CFE

El archivo comprimido tiene dentro un ejecutable EXE y un segundo comprimido que contiene un instalador de Firefox, en el cual no se ha observado comportamiento malicioso y aun no se determina su funcionalidad dentro de la cadena de infección.

Contenido del archivo comprimido

Figura 2 – Contenido del archivo comprimido

Al ejecutar el archivo de nombre “A72351623012034.exe” se despliega un validador CAPTCHA, el cual, busca evadir soluciones de seguridad de tipo sandbox obligando a la interacción humana para continuar con la ejecución del malware. Es importante señalar que, si el CAPTCHA no se resuelve o se resuelve de manera incorrecta, esta ventana no se puede cerrar.

Validador CAPTCHA utilizado por el malware

Figura 3 – Validador CAPTCHA utilizado por el malware

Posterior a la validación del CAPTCHA, comienza también la descarga de un archivo en formato MPEG de nombre jama22bg, aunque tiene la apariencia de un video, este artefacto en realidad es un archivo comprimido, el cual tiene dentro 2 directorios, un instalador y 3 DLLs (una de ellas maliciosa y superior a los 500MB).

Para decodificar este supuesto video el malware hace uso del software VideoLan. El comprimido final se encuentra protegido con contraseña y SCILabs aún no ha podido determinar cuál es.

Contenido del supuesto video

Figura 4 – Contenido del supuesto video

El malware descomprime de forma automática este artefacto y cambia el contenido al directorio C:\Users\<usuario>\<caracteres aleatorios>, después, ejecuta el archivo “install.exe” e intenta suplantar al editor de texto NotePad++.

Dentro del directorio final se encuentran los siguientes archivos:

  • Cursors: Directorio que contiene seis archivos con extensión CUR, los cuales, aún no se ha observado siendo utilizados por el malware, por lo que, podrían tratarse de distracciones para los analistas.
  • Plugins: Directorio vacío que sólo es utilizado en caso de que NotePad++ no se encuentre instalado en la máquina de la víctima, de lo contrario, se mantiene vacío durante la cadena de infección.
  • dll: DLL legitima que no se ha observado que tenga algún comportamiento malicioso.
  • BraveCrashHandler gduuplZ33.exe: Ejecutable malicioso, el cual, intenta suplantar a NotePad++, ya que, se encuentra firmado digitalmente por NotePad++ lo que dificulta su categorización como maligno.
  • dll: DLL maliciosa que tiene un tamaño superior a los 400MB, lo cual, le permite evadir ciertas soluciones de seguridad que solo permiten el análisis de artefactos menores de 100MB.
  • SciLexer.dll: DLL legitima que no se ha observado que tenga algún comportamiento malicioso.

Contenido del directorio en el que se instala el malware

Figura 5 – Contenido del directorio en el que se instala el malware

Un punto importante por resaltar, el cual, podría ser utilizado como indicador de ataque, es que si NotePad++ se encuentra previamente instalado en la máquina de la víctima, este queda inutilizable después de la ejecución del malware, sin embargo, si NotePad++ no se encuentra instalado, el malware se ejecuta sin modificar ningún componente previamente instalado en el equipo de la víctima. Es altamente probable que el atacante este utilizando NotePad++ para implementar técnicas de DLL hijacking, esta técnica permite lograr persistencia, ejecución de código arbitrario, el código malicioso es ejecutado cada vez que el usuario intenta abrir el software comprometido.

Firma digital del artefacto malicioso

Figura 6 – Firma digital del artefacto malicioso

Esta amenaza crea persistencia creando una llave de ejecución en el registro Software\Microsoft\Windows\CurrentVersion\Run.

Persistencia generada

Figura 7 – Persistencia generada

Finalmente, intenta comunicarse con su servidor de comando y control, y comienza a esperar que el usuario ingrese al portal de su banco para robar la información bancaria de alguno de los siguientes bancos listados:

  • Banco Azteca
  • CaixaBank
  • Banco de Portugal
  • Banco Efisa
  • Banco Inmobiliario Mexicano
  • Banco Bancrea
  • Banco Finterra
  • Banco De Confianza
  • Banco Autofin
  • Banco Actinver
  • Scotiabank
  • Activobank
  • Orange Bank
  • American Express Bank
  • Intercam Banco

El proceso queda a la escucha de las cadenas que tengan la siguiente forma https://www.google.com/search y que incluyan alguno de los bancos listados.

Registros del proceso esperando alguno de los bancos listados

Figura 8 – Registros del proceso esperando alguno de los bancos listados

Flujo del ataque

A continuación, se muestra el flujo del ataque observado por SCILabs durante el análisis.

Flujo de ataque de Red Appaloosa

Figura 9 – Flujo del ataque

TTPs observados alineados al ATT&CK de MITRE

TTPs alineados al Framework Mitre ATT&CK

Tabla 1 – TTPs alineados al Framework Mitre ATT&CK

Conclusión

El peligro de esta amenaza radica en que es un troyano bancario que está tomando los “mejores y más efectivos” TTPs de otras amenazas que afectan a LATAM y los está utilizando en su cadena de infección, para tener un mayor porcentaje de éxito en sus ataques, debido a que la campaña está diseñada para retrasar los análisis de los investigadores, evadir soluciones de seguridad (que sólo pueden analizar artefactos menores a 100MB), evadir soluciones de seguridad que ejecutan automáticamente las muestras para determinar si son o no maliciosas, y evadir soluciones de seguridad que sólo monitorean la creación de procesos maliciosos pero no monitorean procesos legítimos que podrían cargar una DLL maliciosa en memoria.

SCILabs ha observado una rápida evolución en sus TTPs, cambiando en poco tiempo su infraestructura y añadiendo pasos dentro de su cadena de infección, además observamos que el grupo detrás de esta amenaza ha ido utilizando menos archivos en la fase final del malware.

Al analizar la procedencia de los bancos obtenidos durante las diferentes campañas encontrados, SCILabs tiene la hipótesis de que esta amenaza se seguirá presentando durante el 2023, además es altamente probable que pueda extenderse a otros países de América Latina y el mundo.

Finalmente, SCILabs continuará monitoreando esta amenaza para poder realizar una atribución, o determinar si se trata de una nueva amenaza, además de mantener actualizadas a las organizaciones y usuarios sobre cambios en sus TTPs, nuevos IoCs, o información relevante que pudiera ser vital para no ser víctima de esta campaña.

SCILabs recomienda a las organizaciones, realizar campañas de concientización constantes sobre las técnicas de ingeniería social utilizadas por los ciberdelincuentes para distribuir este tipo de troyanos bancarios, así como los vectores de entrada identificados por SCILabs a través del monitoreo continuo de la región.

  • Se recomienda evitar abrir correos de remitentes desconocidos, evitar o restringir la descarga de archivos y/o programas desde enlaces desconocidos o no legítimos.
  • Se recomienda evitar y/o restringir la descarga e instalación de software no legitimo o de sitios no oficiales.
  • Se recomienda bloquear los indicadores de compromiso presentes en este documento.
  • Se recomienda realizar tareas de caza de amenazas en busca de directorios nombrados con letras o caracteres al azar en C:\Users\<usuario>\
  • Se recomienda realizar tareas de caza de amenazas en busca de llaves de registro sospechosas creadas dentro Software\Microsoft\Windows\CurrentVersion\Run

IOC

Obtenidos durante el análisis

Hashes SHA-256

29347E1F1D7ABEB6BB4E3D23851020B410E4614BD27A3D074AF64E47F5651188

BA3EAB3C379D4F04B00F3D0C2D5CE281A9F5C2FF4CA5FF1C323D5552B001D373

C335ADB8E995FE7FF19B80B9E5FF30C07B0C8605C3839D7E90F259626FA77941

 

Dominios

MERCADAODORJ[.]COM

MEX[.]FACTURAPAGO[.]SHOP

 

URLs

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS.PHP

HXXPS[:]//APPLICATIONFILESTORAGEMX[.]BLOB[.]CORE[.]WINDOWS[.]NET/APPSTORAGEMX/PAGO_REF_C432844614[.]ZIP

HXXPS[:]//A[.]NEL[.]CLOUDFLARE[.]COM/REPORT/V3?S=NDV6TYGEEKBXA7N44WMYKYY85%2BQLLXHBVE15AFXSXUDBTWTYXVCUGMVGQ3WAO5USYHKXOUC7XB7AAPVB6PAKEJO4RGL8D9BFB42WTYDNRTRSYINWWWFQTNHA5U0PTCA957N8

HXXPS[:]//A[.]NEL[.]CLOUDFLARE[.]COM/REPORT/V3?S=YQNRMOPJZVSLQFYB%2BY8UENO6LTRHSDDFEKNDIIO%2FMEWSZTLIAPQTYREBG0%2F6UZO2LX4AZ%2B1NTJCVQMULUALUWOTS4CSPSABT7NMSSLIU8MELYRCMH7KTDO6TEZQHLONPNYOS

HXXP://MEX[.]FACTURAPAGO[.]SHOP/JAMA22BG[.]MPEG

HXXP[:]//MERCADAODORJ[.]COM[:]80

 

Subdominios

APPLICATIONFILESTORAGEMX[.]BLOB[.]CORE[.]WINDOWS[.]NET

Obtenidos a partir de procesos de retrohunt

Hashes SHA-256

A159306C35D36BE5838164AB994E8539BD16105FCE9971469E9422BB95D8BA4B

257509134B49AD4ED4F18B93E97F8A5CF8E27E1FF3E32595B4CBBFA7DABD23EA

9D814CF55B7C317A918E208722EC7A7AA64F10092518D9FF9A6B8F2EC882F369

CD1797A3299C3433C1FB67EE7288C2D9B07CD6F7E3EA8A1217121479588B269D

EC818EA64BC515664AAA73B639277EA4BBF66417E4935C06AC23BDB02E640119

29347E1F1D7ABEB6BB4E3D23851020B410E4614BD27A3D074AF64E47F5651188

9E738F90C14BE77587D1A4035BD6F0B213726A138944EB67C86CF71B9149AF7A

E8E5D10D6FF77CAFE37ABC806C2F53BD1895B6DBFDD517CD0E00BC0FD2940924

89C9F07AAAD1773F2E2432634C04F118CD1E57A1639A2234B9A03B53FC813D81

43315AB9B55A08A7787FE03FA0B129D9BBDF2E5BC4CC0661861BAC03F1310C5F

9D1F91DB7C27EBE637093788438A33714A4594E6789A312C9FFE269122218E79

2C2697F11FA554742B62EE9FE3C8AAB3C9AC31823161BD4BCC8A410161D6B734

79F5849A1C7B1A6118FB1ACA86A6446853159081DB03C88E0F117D5B463BB01D

7DDE1E742B1D1A9A9884FAB019B0C6D5A8AAD597FB914E7103BDDA227639B20A

80C5FFDC066C55DA1F29B5FF7A5555C358C4AACAF5BF13CC8AAF37B49A0AC307

9FDC2A8611A8FC66D6F1D96EEEA2D6E84859C7CD9C4C58F4A3FC03F7466A41FA

E530766D1C59FAF5BB3EC0BCC755AE97B4E9D4972C850D0CF93490372C58A38B

A3F76DC191B9FA368B20F83A46A1C5C8BCE6227C2B0DEC929F69EB0D0BEB24D6

0549C1FF0EB7B7F66128EA02FB7F7ECA82D74EA77F08A93932CAF4AB66426019

09A63F3066A8FCA724939B186C48246A473027E8846A3184203C4AC521D9BF56

0A8819C35AA185E2695AEDF01FC7C8B1A997FB6ED556D481D5F4988D781FA2B1

118E4FC96581312F627539E90CB4FBBCAC40AB36EBC6BDFDE883B685FBF74039

1326882E04B4059CF316313CFE76667631973BFE1A5A74A22C0D0285EAE78420

150D21475EB176E938DC4B33E3196514D76E4C5A2E34625B2D38E8984DD3F533

1BC0B1A3E8C1547969E1CF59D20C9CEE8AECE9DFE1B19247E513FA4B889A08E1

21E3B21C5A63D906C22CE233B52F2CE61259C7258065CA662B709C614580A8ED

2308008290B2E5A59734E4C41649F624E73097556E2BC64181B85BBD7DC74978

25C6A148B54DF7E072AA45C282025C9F7DC024097D5A864CEB260D73BBCCF041

2742927E776412D2A002D8392237D8E09584F728CEE32F32872A9B375C4D1633

32661DD7F837B7381C64DEC348212293B49571CC6B243E77FFFDFE43C4A72969

3CF372C2248BB025E108022DAAD59A3055BB4D2AB645BB0CECB03334F46BB097

4E3A1A71BC4FEDD85EDE0CA9AD87B6B36E9E3EB373CA4436DB395CA7C8399BB1

4E6893FBE18D5BCAA0DAD2F76F4F05BD2A2AFFE3CAB08794A36FF898BCB6424D

55364BCD6999E99AD45D41A0988E1354E60ADD4CC0CDB4ADC83D236C6A9C7348

56A97F834B4A74E1876696D06B0520DC1F35AA43BB8A8930967BDBA9DFE7F96E

627E9959C29E98B9AF31434981A6E98CEC24733953B4839ED76B0181A652294B

6E8A407A07348EC0CA7855D2AEEA017647A11E88202995767BFF34448297ED74

70BB9B5DB04307C00132943AE425C99E32618E72EAC4CB85D7C716C61612AD41

715A5092C5D8607E898F5B1DA79DB1706DEB20A27E61F0D4EF2BE77134DA5B8E

7651CCD7190113EBD2D236AC8B41C372AE09CB803617D174A4733D1D085D1610

76B8469DB9B2F958954FCD2863EF1E8633F50BCBC0B0C00165282AD4F8AE826F

7843658143C80D4148B09F9C71EA8001277E11EC78866FEB298E0D2D1E42B92A

8923498A7AE41471F2EC87293E5474D474DE0225E629A1407176716786A74B40

990A3BFC25F935CA485BD442BFC27EA06174B409E75729903F4E9CA3B320728B

9A3A9B0D93A50C0F1E7589CA82FD8BED40356AEE95266B74A72D74ECB801CF66

9BF948EE126D5D68DF3FBF82C416F58C07C5F0296C800CF902EEC53F650FB0FE

9EFC7FD313E2F4D189C266E3D375B4C5C8150290EC2D531E1F7E3BD1E876D045

A9C314FBE09F14D4C00A98A422D92E35B4346F30FCD8AE7AB4A1B0AFE66E9E96

B5ECC47A73B4F751EDF0738C33CCEC20AC91BFC63C099A949EABE002A34EAD93

B9F29D95AFC647E992AF74D807820D88AD525D14E8AE741F1121BB808F0E624A

C92BCE899EF68EE4162456C87959CDAA2FD07F28AB3D37BD6D4F5755A8872229

D3DE331A99CADA7AD030ACDEB321D96600CCF36913A99BE45184D102B9DF2902

D49F18291611DD7B304F3F1AB19634BED3110EE61905B80F20969BABE77398F8

D4A8B93B16F94EF346AFCB3CB3CF14BF53B20D6CD6F94047CF45E877684A4ABD

D7642B55C29D2C019C70B2B7C0DD4D30BD3E50D1673B3DDA3D3B8241E2560347

D79C72E1599B4D3838D3D1D2C862B2071024787B3BCA43B94C4BD22AF059C499

D7CA7FA79D98DD37054E576ACFB170CE6EE6A211D53BAB5E8B51D70CD506C073

DAD8DD850C88725A3BD5B9E14E1416E641D23799F1A9679806F24230C52E2F45

DC43288AFA0C32D7E8A023EAEDDBA67F952735054E181F5311092FB903501186

E4FA8D9ADCA0BB32E128127EFB30F2575B4E30C065493812FE174E43A50B1BDD

ED7EF14058D99E738CC078F44DD0C9A545C3FFEF9E4C1B496F60169FCA57DCF0

EFC14055117633A34851CC7C891515D4F5970E72A01D9DE750D6034CBD6D2A7B

F20D9D16FFDEEEFD5BBC546CDB1976C83159E117A89CD9BCC413BE58E0024215

FDEDC55731F936A808EBE1D81A42C732681E47C8C34EB6B97E6849E27814D6E6

FEDE719B831EB7160431F255E759EA1DFD6259D7E993735B97506A87D07728B0

06BBF545F815C8B0330075DF90B55266E133559E1DAEC60E7B63443D98957F5B

100B321C3EB6B895E69F23471D51BEC4F99F18C0F61ABB29DDCED7A866C09726

15BE38594321321ED8A97E193733E9C1C217CD48E637B430BDB5CC4CEFFCB9CA

3CAC6E74DBD797F25585D206D93551467CAD2934AF18C345764316D78D2EE537

7BE825573DD86B4E93D0954B33B5D89BD23B521D7E41A1426685CA4A983AA504

9DDF84BA82CD4C62F0AB8D9F44E80F8F7484E94BE065B684D0BEEE236ADB4A6B

B13326C87C6ADB0B1D1CC43D592637963C07A1DF01F91B1908E8C612CE7F6984

CE2ACB7829AA15F325A0293C580846AF0BE8A68D5522A12B5ED92437007D53EE

DF36F4718861FBDF8A5860CD2C121CCC04AFE9D8937611A9432C1A86795C483F

E4B206C38909250FAED4A09C6EFEC81553F232519AE2A2F2D2AA16920D3900B1

E69D91A78C2E334F0972DC515FBB90E3F44CD5B06FFC9A87CEDB443C157E2FB4

F26D161443C991D8F77835B8DD1E9C3C3750E39FCCCDB19BCFFF32FF432D5833

F402C14EE49A08BE08F5826BB5BC43D4D20C78C30F6720CFA52C029152E3601C

FACB3B3FDFC6CC411C410A7A78D9318D264A25FA62733BC2DC35DF899303B905

FD81964795C8DCCD02DE0A5FBB07FEED54214E04B1E6EDDB1ACBC8330A9FA042

1683A0019D1C49BC1A60049B8BD6A4DB6C108745639AB8033300AD796DA8C2CC

E2301C42C6D054A86CB247765124AEB443DDA738A893C56A2CAD461A63EC3A30

3F225E7AAABB1EB8AF1AC41489BFDC0F637AB75CFCB0F285C6D7783B235E6BEE

44471D9D0A04EA71D1002AE5659010BCB79679BEDA423D24EE185D14BCBC70CF

AB8DB2CD01A7EFBF28EE07B0F98259E2DE3637A3364727F8466B4A91BF7C2C30

328BDC9EDDE08130CBBD04200A3C4E581AD400D68728BD8698CFC7868865C074

87254DDF2FAA8ABECEE4C4B8985771A6A858632532868AC5032C0E8FFFDEA51A

2C971916D134DE95D6614DAD17F3A1F81FEAF8311011D213732EE5992854950F

622EE447BF1F5C6087EFE261D17B8378BDE8967BF0E677CA1164602C67396B3B

 

Subdominios

CERTIFICATED[.]EMPRESASCFDI-PERSONAS[.]SHOP

CFDI[.]SMART2NOPAGOS[.]SHOP

EMPRESARIALMX[.]SHOP

EXECULTIVO[.]MONEYGOLDX[.]SHOP

FACTGEFORCEX[.]SHOP

FACTURACION[.]SGSCOMMANAGER[.]SHOP

FACTURAS[.]MARKETING4GRP[.]SHOP

GERENCIA[.]MULTISISTEMPAGOSMX[.]SHOP

L[.]EAD[.]ME

MANAGER[.]INVESTHARBOURSESSION[.]SHOP

MEX[.]FACTURACOMPROBANTE[.]SHOP

MEX[.]FACTURACOMPR[.]SHOP

MEX[.]MASSATEST[.]SHOP

MEX[.]TENESNET[.]SHOP

MULTI[.]MULTISESSIONLTDA[.]SHOP

MX-CORREEOSUPORT[.]SHOP

MX[.]EMPRESA020[.]SHOP

MX[.]EMPRESARIAL1MX[.]SHOP

MX[.]EMPRESARIALLLMX[.]SHOP

MX[.]EMPRESARIALLMXX[.]SHOP

MX[.]EMPRESARIALL[.]SHOP

MX[.]EMPRESARIALMX03[.]SHOP

MX[.]EMPRESARIALMX04[.]SHOP

MX[.]EMPRESARIARMX030[.]SHOP

MX[.]EMPRESARIIALMX[.]SHOP

MX-ITUNES[.]SHOP

MX[.]MEXEMPRESSARIAL[.]SHOP

MX[.]MXEMPRESAA[.]SHOP

MX[.]NEGOCIOAPPS[.]SHOP

MX[.]NEGOCIOMX2[.]SHOP

MX[.]NEGOCIOMX3[.]SHOP

MX[.]NEGOCIOMX4[.]SHOP

MX[.]NEGOCIOMX[.]SHOP

MXX[.]DIRETORGERALXX[.]SHOP

NEGOCIOMX3[.]SHOP

PAGO[.]SGSCOMMANAGER[.]SHOP

PAGOS[.]MULTISESSIONLTDA[.]SHOP

PORTAL[.]ADIMCOPAGOS[.]SHOP

PORTAL[.]ROSENPARKPRIVATEPAGOS[.]SHOP

PROMOCIONES[.]ROSENPARKPRIVATEPAGOS[.]SHOP

Q-R[.]TO

RECIBO[.]MBUSSINESSCFDI[.]SHOP

RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET

SAC1[.]FAFORCE[.]SHOP

SAC2[.]FACTGERFORCE[.]SHOP

SAC3[.]FACTGIFORCE[.]SHOP

SAC4[.]FACTGEFORCEX[.]SHOP

SSL[.]ADIMCOPAGOS[.]SHOP

SSL[.]MARKETING4GRP[.]SHOP

SSL[.]MULTISESSIONLTDA[.]SHOP

SSL[.]WESTNEX[.]SHOP

STORAGERECIBOSPAGOS0712[.]BLOB[.]CORE[.]WINDOWS[.]NET

WWW1[.]COMPROBANTEMX[.]SHOP

WWW1[.]EMPRESA020[.]SHOP

WWW1[.]EMPRESARIALLMXX[.]SHOP

WWW1[.]EMPRESARIALL[.]SHOP

WWW1[.]EMPRESARIALMXX[.]SHOP

WWW1[.]FACTURAMX[.]SHOP

WWW1[.]MEXEMPRESARIIAL[.]SHOP

WWW1[.]MEXFACTURA[.]SHOP

WWW1[.]MXEMPREESA[.]SHOP

WWW1[.]MXEMPRESAR[.]SHOP

WWW1[.]MXEMPRESSARIIAL[.]SHOP

WWW1[.]MXFACTURA[.]SHOP

WWW1[.]NEGOCIOMX2[.]SHOP

WWW1[.]NEGOCIOMX3[.]SHOP

WWW2[.]BOGFAC[.]SHOP

WWW2[.]BOGJAM[.]SHOP

WWW2[.]EMPRESARIALMX15[.]SHOP

WWW2[.]JAMNET[.]SHOP

WWWS1[.]MBUSSINESSCFDI[.]SHOP

WWWS[.]EYEWATCHDESIGN[.]SHOP

WWWS[.]SMART2NOPAGOS[.]SHOP

 

URLs

HXXP[:]//24[.]152[.]38[.]151/COMPROBANTE_PAGO/

HXXP[:]//24[.]152[.]38[.]151/COMPROBANTE_SPEI/

HXXP[:]//24[.]152[.]38[.]151/FACTURA/

HXXP[:]//24[.]152[.]38[.]151/FACTURA_COMPROBANTE/

HXXP[:]//24[.]152[.]38[.]151/FACTURA_PAGO/

HXXP[:]//24[.]152[.]38[.]151/PAGO_COMPROBANTE/

HXXP[:]//24[.]152[.]38[.]151/PAGO_RECIBO/

HXXP[:]//24[.]152[.]38[.]151/RECIBO_PAGO/

HXXP[:]//CERTIFICATED[.]EMPRESASCFDI-PERSONAS[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?APPLICATIONS

HXXP[:]//CFDI[.]SMART2NOPAGOS[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP

HXXP[:]//EMPRESARIALMX[.]SHOP/COMPROBANTE_SPEI/

HXXP[:]//EXECULTIVO[.]MONEYGOLDX[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4DVSSF351W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//FACTGEFORCEX[.]SHOP/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//FACTURACION[.]SGSCOMMANAGER[.]SHOP/APP_DOCS_CD20185205/DOCS_FICHERO05502022[.]PHP

HXXP[:]//FACTURAS[.]MARKETING4GRP[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP?PORTALCFDI15201477

HXXP[:]//FACTURAS[.]MARKETING4GRP[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP?PORTALFACTURA1588933

HXXP[:]//GERENCIA[.]MULTISISTEMPAGOSMX[.]SHOP/GERENCIABR02/YBNZKVJ[.]PHP

HXXP[:]//L[.]EAD[.]ME/BANAMEXAPPS15278

HXXP[:]//L[.]EAD[.]ME/BDCRRR

HXXP[:]//L[.]EAD[.]ME/BDOAFK

HXXP[:]//L[.]EAD[.]ME/BDPAOF

HXXP[:]//L[.]EAD[.]ME/BDQ5P9

HXXP[:]//L[.]EAD[.]ME/BDQ6IF

HXXP[:]//L[.]EAD[.]ME/BDQ6MM

HXXP[:]//L[.]EAD[.]ME/BDQ7YY

HXXP[:]//L[.]EAD[.]ME/BDQ7Z0

HXXP[:]//L[.]EAD[.]ME/BDQOB8

HXXP[:]//L[.]EAD[.]ME/BDQOC1

HXXP[:]//L[.]EAD[.]ME/BDQXFG

HXXP[:]//L[.]EAD[.]ME/BDROOO

HXXP[:]//L[.]EAD[.]ME/BDRYNG

HXXP[:]//L[.]EAD[.]ME/BDRYNN

HXXP[:]//L[.]EAD[.]ME/BDRZOR

HXXP[:]//L[.]EAD[.]ME/BDWZ6B

HXXP[:]//L[.]EAD[.]ME/BDZHVF

HXXP[:]//L[.]EAD[.]ME/CFDIFACTURAAPPS

HXXP[:]//L[.]EAD[.]ME/MXSATGOX158233

HXXP[:]//MANAGER[.]INVESTHARBOURSESSION[.]SHOP/DOCS_RECIBOS_EMISSION/APPSMANAGER[.]PHP?APPSCFDIPAGOSMX-2022-001

HXXP[:]//MANAGER[.]INVESTHARBOURSESSION[.]SHOP/DOCS_RECIBOS_EMISSION/APPSMANAGER[.]PHP?APPSDOCSMX

HXXP[:]//MEX[.]FACTURACOMPROBANTE[.]SHOP/JMBACK[.]BMP

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/7777777777/

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/COMPROBANTE_FACTURA/

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/FACTURA/

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/FACTURA_COMPROBANTE/

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/PAGO_FACTURA/

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/GCDUKKLCIKNRSBJWONSTQPNDFERVKYFSMBNFYFQWFYBFKHTYJBDTRFW[.]PHP

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/GCDUKKLCIKNRSBJWONSTQPNDFERVKYFSMBNFYFQWFYBFKHTYJBDTRFW[.]PHP

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/GCDUKKLCIKNRSBJWONSTQPNDFERWKYFSMBNFYFQWFYBFFKHTYJBDTRFW[.]PHP

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/BANAMEXSEGURO[.]JPG

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/CITIBANAMEX[.]JPG

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/COMPUTADOR[.]JPG

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/CONTATO[.]JPG

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/ENDERE

HXXP[:]//MEX[.]FACTURACOMPR[.]SHOP/RECIBO_FACTURA/IMAGEM/ENDERE%C3%A7O[.]JPG

HXXP[:]//MEX[.]MASSATEST[.]SHOP/JM3VIEW[.]AVI

HXXP[:]//MEX[.]TENESNET[.]SHOP/JAMANEW2[.]PNG

HXXP[:]//MULTI[.]MULTISESSIONLTDA[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?PAGOS-DOCUMENT

HXXP[:]//MX-CORREEOSUPORT[.]SHOP/

HXXP[:]//MX[.]EMPRESA020[.]SHOP/

HXXP[:]//MX[.]EMPRESA020[.]SHOP/GJNEW[.]DRIV

HXXP[:]//MX[.]EMPRESA020[.]SHOP/KGRIN2023[.]CERT

HXXP[:]//MX[.]EMPRESA020[.]SHOP/KGRIN23JM[.]CERT

HXXP[:]//MX[.]EMPRESARIAL1MX[.]SHOP/

HXXP[:]//MX[.]EMPRESARIALLLMX[.]SHOP/

HXXP[:]//MX[.]EMPRESARIALLLMX[.]SHOP/JM2VER[.]DVR

HXXP[:]//MX[.]EMPRESARIALLLMX[.]SHOP/JM2WIN[.]DRV

HXXP[:]//MX[.]EMPRESARIALLLMX[.]SHOP/JMAA2V[.]CORE

HXXP[:]//MX[.]EMPRESARIALLMXX[.]SHOP/GJNEW[.]DRIV

HXXP[:]//MX[.]EMPRESARIALLMXX[.]SHOP/GJNEW[.]DRIV

HXXP[:]//MX[.]EMPRESARIALLMXX[.]SHOP/KGRIN2023[.]CERT

HXXP[:]//MX[.]EMPRESARIALLMXX[.]SHOP/KGRIN23JM[.]CERT

HXXP[:]//MX[.]EMPRESARIALL[.]SHOP/

HXXP[:]//MX[.]EMPRESARIALL[.]SHOP/JAMA3V[.]CORE

HXXP[:]//MX[.]EMPRESARIALL[.]SHOP/JM3WWV[.]CORE

HXXP[:]//MX[.]EMPRESARIALL[.]SHOP/JM3WWVW[.]CORE

HXXP[:]//MX[.]EMPRESARIALMX03[.]SHOP/JM2VER[.]DVR

HXXP[:]//MX[.]EMPRESARIALMX03[.]SHOP/JM2WIN[.]DRV

HXXP[:]//MX[.]EMPRESARIALMX03[.]SHOP/JMAA2V[.]CORE

HXXP[:]//MX[.]EMPRESARIALMX04[.]SHOP/CURURU[.]PUTA

HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/

HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/JM2VER[.]DVR

HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/JM2WIN[.]DRV

HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/JMAA2V[.]CORE

HXXP[:]//MX[.]EMPRESARIARMX030[.]SHOP/JMAA2V[.]CORE

HXXP[:]//MX[.]EMPRESARIIALMX[.]SHOP/

HXXP[:]//MX-ITUNES[.]SHOP/EXPIRE/INDEX2[.]HTML

HXXP[:]//MX[.]MEXEMPRESSARIAL[.]SHOP/MJ3PHP[.]MQL

HXXP[:]//MX[.]MEXEMPRESSARIAL[.]SHOP/MJ3PHP[.]MQL

HXXP[:]//MX[.]MXEMPRESAA[.]SHOP/

HXXP[:]//MX[.]MXEMPRESAA[.]SHOP/MJ2CORE[.]WIN

HXXP[:]//MX[.]MXEMPRESAA[.]SHOP/MJ2CORE[.]WIN

HXXP[:]//MX[.]NEGOCIOAPPS[.]SHOP/

HXXP[:]//MX[.]NEGOCIOMX2[.]SHOP/

HXXP[:]//MX[.]NEGOCIOMX2[.]SHOP/FACTURAPAGO/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//MX[.]NEGOCIOMX3[.]SHOP/JM3WWVW[.]CORE

HXXP[:]//MX[.]NEGOCIOMX4[.]SHOP/

HXXP[:]//MX[.]NEGOCIOMX[.]SHOP/MJ1WIN[.]CORE

HXXP[:]//MXX[.]DIRETORGERALXX[.]SHOP/

HXXP[:]//MXX[.]DIRETORGERALXX[.]SHOP/FACTURA/

HXXP[:]//MXX[.]DIRETORGERALXX[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//NEGOCIOMX3[.]SHOP/FACTURA_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//PAGO[.]SGSCOMMANAGER[.]SHOP/APP_DOCS_CD20185205/DOCS_FICHERO05502022[.]PHP

HXXP[:]//PAGOS[.]MULTISESSIONLTDA[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?DOCUMENTS-PAGOS

HXXP[:]//PORTAL[.]ADIMCOPAGOS[.]SHOP/NF-5034297/NF5034297[.]PHP?BR152346

HXXP[:]//PORTAL[.]ROSENPARKPRIVATEPAGOS[.]SHOP/RECIBO_EMISSIONS/RECIBO_EMISION[.]PHP?DOCSRECIBOSMX1732

HXXP[:]//PORTAL[.]ROSENPARKPRIVATEPAGOS[.]SHOP/RECIBO_EMISSIONS/RECIBO_EMISION[.]PHP?PAGOSDOCSMX

HXXP[:]//PROMOCIONES[.]ROSENPARKPRIVATEPAGOS[.]SHOP/RECIBO_EMISSIONS/RECIBO_EMISION[.]PHP?PAGOSDOCSMX01

HXXP[:]//Q-R[.]TO/BDYGW2/

HXXP[:]//RECIBO[.]MBUSSINESSCFDI[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?DOCUMENTS-APPSMX

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/CMH9MHRGHJV99ATV3EPBTXMO_0K0NK3LZ9XXTQPVI84B4JQTJ1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/DOCS_J06MC512DJMXGO15SMX22_1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/DZLAPWQAVKP2NHM_5JMHDTLSBSUVF7BKJNMGVMZM6[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/FILEPII_428DEAC269C4D907881538D5D974B18890B7D825[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/J06MC512DJMXGO15SMX22_1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/J16MP250STXSDG02SM5[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/J22MC510DJMXGO15SMX1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/PAGOS_RECIBO_J12MC520DJMXGO18SMX2[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/PDF_ARCHIVO_09112022[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/PDF_ARCHIVO_MJMOSMOC8VSMSDK5JNMX1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO0111_20552MXJMLSPC2VSMSDK5JNMX1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO0811_20252MXGOJMWC2VSMSDK8JNMX1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO0811_20252MXGOJMWC2VSMSDK8JNMX2[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO1710_250SPJMLWIC9VJKR6JNMX1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO1710_250SPJMLWIC9VJKR6JNMX1[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO2110_2555MXJMLSPC2VSWK8JNMX2[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/RECIBO_PAGO2110_2555MXJMLSPC2VSWK8JNMX2[.]ZIP

HXXP[:]//RECIBOPAGOSMX2022[.]BLOB[.]CORE[.]WINDOWS[.]NET/CONTAINERMX01/YFCXASVFXZ2OSRHCO_7SHNP2NJUGKRBU3Y3[.]ZIP

HXXP[:]//SAC1[.]FAFORCE[.]SHOP/

HXXP[:]//SAC2[.]FACTGERFORCE[.]SHOP/

HXXP[:]//SAC3[.]FACTGIFORCE[.]SHOP/

HXXP[:]//SAC4[.]FACTGEFORCEX[.]SHOP/

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?15234789MVCB45020155A787F5A_SERIE_IWAVZ_Y_FOLIO_1524863877[.]HTML

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?15996321475MNCVBGDHJUGH

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?15996321475MNCVBGDHJUGH

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP??4502010-4B6E-8F5E-8E1D0DD985_SERIE_IWAVZ_Y_FOLIO_158502022[.]HTML

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?BNVMXNJKUYT

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MBNGNJUI5293652MNVHJF

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MHGNJUYTMJNBVF11K1256399

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MHGNJUYTMJNBVFGHK1256399

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MNBGFHSJ1963251

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MXVCBNJMKIOLA

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?MXVCNMJBHN1523694CVBNJMKLLM

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP\?MXVCNMJBHN1523694CVBNJMKLLM

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?PORTALFACTURAMX1526399

HXXP[:]//SSL[.]ADIMCOPAGOS[.]SHOP/DOCS_FICHEROS/DOCSFICHEROS[.]PHP?PORTALFACTURAMX1526399?45020155A787F5A-5337-4B6E-8F5E-803E1D0DD985_SERIE_IWAVZ_Y_FOLIO_158502022[.]HTML

HXXP[:]//SSL[.]MARKETING4GRP[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP

HXXP[:]//SSL[.]MULTISESSIONLTDA[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP

HXXP[:]//SSL[.]MULTISESSIONLTDA[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?PAGOS-DOCUMENTS

HXXP[:]//SSL[.]WESTNEX[.]SHOP/DOCS_RECIBOS_EMISSION/APPSPAGOS[.]PHP

HXXP[:]//STORAGERECIBOSPAGOS0712[.]BLOB[.]CORE[.]WINDOWS[.]NET/FICHEROSMX/FACTURA_COMPROBANTE_28537577289461_79436744847[.]ZIP

HXXP[:]//STORAGERECIBOSPAGOS0712[.]BLOB[.]CORE[.]WINDOWS[.]NET/FICHEROSMX/PDF_ARCHIVO_DJTOMMOX8VSJMDS5JNMX4[.]ZIP

HXXP[:]//WWW1[.]COMPROBANTEMX[.]SHOP/PAGO_FACTURA/MZHVBFCLSDKHCHSFGI5DF54VSFDG518FSSZDF548DF357F86[.]PHP

HXXP[:]//WWW1[.]EMPRESA020[.]SHOP/COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]EMPRESARIALLMXX[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]EMPRESARIALLMXX[.]SHOP/PAGO_RECIBO/

HXXP[:]//WWW1[.]EMPRESARIALLMXX[.]SHOP/PAGO_RECIBO/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]EMPRESARIALL[.]SHOP/COMPROBANTE_PAGO/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]EMPRESARIALMXX[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]FACTURAMX[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]MEXEMPRESARIIAL[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]MEXFACTURA[.]SHOP/SPEI_PAGO/INDEX[.]PHP

HXXP[:]//WWW1[.]MXEMPREESA[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]MXEMPRESAR[.]SHOP/PAGO_COMPROBANTE/

HXXP[:]//WWW1[.]MXEMPRESAR[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]MXEMPRESAR[.]SHOP/PAGO_COMPROBANTE/INDEX[.]PHP

HXXP[:]//WWW1[.]MXEMPRESSARIIAL[.]SHOP/PAGO_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]MXFACTURA[.]SHOP/COMPROBANTE_SPEI/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]NEGOCIOMX2[.]SHOP/FACTURA_PAGO

HXXP[:]//WWW1[.]NEGOCIOMX2[.]SHOP/FACTURA_PAGO/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]NEGOCIOMX2[.]SHOP/FACTURA_PAGO/DASSSASHYTSRFWEWDW4W4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREY[.]PHP

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/7777777777/

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/COMPROBANTE_FACTURA/

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA/

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA_COMPROBANTE/

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA_COMPROBANTE/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/FACTURA/DASSSASHYTSRFWEWDW4W432DCADSSSWE32DSFWYWYW67WJJEHNSBVCDFREYD[.]PHP

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/PAGO_FACTURA/

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/PAGO_RECIBO/

HXXP[:]//WWW1[.]NEGOCIOMX3[.]SHOP/RECIBO_FACTURA/

HXXP[:]//WWW2[.]BOGFAC[.]SHOP/NEWMAGIC[.]CERT

HXXP[:]//WWW2[.]BOGJAM[.]SHOP/CONTROLSTRICKV3[.]VBP

HXXP[:]//WWW2[.]EMPRESARIALMX15[.]SHOP/JAMANEW2[.]PNG

HXXP[:]//WWW2[.]JAMNET[.]SHOP/GAMERS2[.]MIC

HXXP[:]//WWW2[.]JAMNET[.]SHOP/JAMANEW3[.]BMP

HXXP[:]//WWW2[.]JAMNET[.]SHOP/JMBACK[.]BMP

HXXP[:]//WWWS1[.]MBUSSINESSCFDI[.]SHOP/DOCS_RECIBOS/APPSPAGOS[.]PHP?DOCUMENTS

HXXP[:]//WWWS[.]EYEWATCHDESIGN[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP

HXXP[:]//WWWS[.]SMART2NOPAGOS[.]SHOP/DOCS_RECIBOS/CFDIPAGOS[.]PHP

 

IOC Observables

A continuación, se muestran los IoCs obtenidos por SCILabs, los cuales, tienen un ALTO nivel de confianza. Los siguientes archivos pueden ser utilizados de manera legitima y durante el análisis dinámico no se encontró evidencia de comportamiento malicioso, sin embargo, pueden ser indicadores de infección. Se recomienda alertar en caso de detección y realizar procesos de caza de amenazas para confirmar o descartar alguna posible infección.

Hashes SHA-256

ADCE448F59D3A0B844ABF70BD775543135F3D391DD9658B0868566C50BADBE9F

28225C5622637CDAED8342E14560E8DE7B53DD6BA145D973643FC4B5BDD67B75

D7840EEA40A5A88AF824F24473E95D0227E69C4439D6EA791D50CB94BF0CFB2A

B3CC3F8B65B37A807843E07C3848EBA3B86F6E2D0B67C6D7CB14E9660A881618

13F860134473D00689EF3B73008505F444824A6AD58F0C3FD84741D084766B8E

E698B70E15126295B7C573AAA72C000CF050487A491514E8797E5608AD6817F8

60B9BE4867B547D57AFA8B1856FAB95A55F7C246FFD8578CEC811287F14912EC

C0A68DD5BF81DA430F18E658AA83A4D7FA544F71B927438DA1C9424EEF6A156A

3B98BC63B042047ECE450C86C89B2D54005690DBFC95B33C3BA028FECFE0EA8E

18108C75EEC4CDE840614716C828C16912549BF18E0EDC610F15B0236B0512EA

FB59C5F1B02CCB8DFD0CAD9F1DDE148D43F998D24C170FB25D3C8645E8333B8C

C822D20ED712D55B207DBAF9027BD368AF10B70EE8C44A0D813969982AFA69A1