Operación Saci, observada en noviembre del 2024

Visión general

El siguiente reporte tiene como objetivo proporcionar indicadores de compromiso, además de las tácticas técnicas y procedimientos sobre una campaña de malware nombrada por SCILabs como Operación Saci, la cual fue identificada durante la segunda semana de noviembre del 2024, por medio del monitoreo constante y caza de amenazas en Latinoamérica.

Luego de realizar la investigación pertinente, SCILabs determinó que mediante la Operación Saci se están distribuyendo las familias de malware Grandoreiro y URSA/Mispadu. Con base en la institución suplantada (Citibanamex) y los bancos a los que afecta el troyano bancario instalado, se determinó que es altamente probable que esté dirigida a México.

El método de distribución de la Operación Saci son correos electrónicos de phishing, los cuales pueden contener un hipervínculo o un archivo PDF adjunto, utilizando pretextos relacionados con facturas, recibos de pago pendientes o comprobantes de pago.

El objetivo principal de la Operación Saci es distribuir las familias de malware Grandoreiro y URSA/Mispadu, las cuales tienen como propósito principal robar información bancaria de usuarios de diferentes instituciones financieras por medio de la superposición de ventanas, además en el caso particular de algunas de las instalaciones de URSA/Mispadu, también posee la capacidad de robar el historial de los navegadores, credenciales de Outlook y accesos SMTP.  

Es importante mencionar que, durante esta investigación, SCILabs encontró diferentes overlaps entre varios aspectos de la cadena de infección de Grandoreiro y URSA/Mispadu, por lo que primero se abordará de manera general la infección de Grandoreiro (dado que en esta campaña en específico corresponde al despliegue final) para después dar lugar a las coincidencias entre ambos flujos de ataque y describirlas de manera específica.

¿Cómo podría afectar a una organización?

Las familias de malware distribuidas por la Operación Saci pueden robar información bancaria y confidencial (por ejemplo historial de navegación y credenciales de Outlook) de todo tipo de usuarios, incluyendo empleados de entidades públicas y privadas, por lo que, si un ataque tiene éxito dentro de la organización, los ciberdelincuentes pueden filtrar o vender la información robada en foros clandestinos de la Dark Web o en el mercado negro, poniendo en riesgo la confidencialidad, integridad y disponibilidad de su información, ocasionando pérdidas económicas y de reputación en los clientes.

Análisis

Contexto general de la amenaza

Durante la segunda semana de noviembre del 2024, mediante el monitoreo constante y la caza de amenazas en Latinoamérica, SCILabs identificó un correo electrónico el cual contenía un archivo PDF adjunto nombrado con la dirección de correo de la víctima, utilizando como pretexto un supuesto recibo de pago e intentando suplanta a Citibanamex. Dicho lo anterior, determinamos con un alto nivel de confianza que esta campaña en específico está dirigida a México.

Es importante mencionar que el archivo PDF se encuentra protegido con contraseña (contenida en el mismo correo electrónico), por lo que es necesario contar con ella, además de la interacción humana para poder abrir el fichero adjunto.

Resumen técnico de la instalación de Grandoreiro

El archivo PDF contiene un hipervínculo embebido, cuando el usuario da clic, es redirigido a un sitio de descarga automática, donde se obtiene un archivo de nombre “𝔸𝕣𝕔𝕙𝕚𝕧𝕠𝕤_①①⑨④①①, en formato ZIP, es importante mencionar que la numeración presente en los nombres varía después de cada una de las descargas.

El contenido del archivo ZIP corresponde a un fichero en formato HTA con el mismo nombre del comprimido, el cual contiene las instrucciones necesarias para realizar la descarga y ejecución de un script de JavaScript después de que el usuario lo ejecute.

Además, como un mecanismo de evasión de defensas adicional, el malware muestra un supuesto validador de contraseña que suele ser típico de otras familias de malware como URSA/Mispadu.

Después de la validación, comienza la segunda etapa de la infección en la que el script de nombre 6725c86d7fa55.js se encarga de realizar la descarga de un dropper adicional en formato VBS, el cual es instalado dentro del directorio %PUBLIC%.

Este dropper lleva a cabo las siguientes tareas:

  • Formateo de código: formatea una cadena de texto correspondiente a código de PowerShell.
  • Descarga: descarga un segundo archivo en formato VBS que funciona como dropper de Grandoreiro, además, lo guarda dentro del directorio %PUBLIC%.
  • Ejecución: ejecuta el siguiente dropper de Grandoreiro, el cual también se encuentra en formato VBS.

Este segundo dropper lleva a cabo las siguientes tareas:

  • Descarga: consulta el sitio y hxxp[:]//62[.]113[.]116[.]63/mx01/cancun01[.]zip realiza la descarga de un archivo comprimido en formato ZIP de nombre “cancun01”.
  • Ejecución: busca archivos ejecutables (con extensión EXE) dentro del comprimido, si encuentra alguno lo ejecuta.

Registro de información: obtiene el nombre del equipo infectado y por medio de una solicitud GET con la forma http://62.113.116.63/conta.mx/index.php?nomepc=[nombre_del_equipo] lo comparte con su servidor de comando y control.

SCILabs identificó que el comprimido de nombre cancun01.zip contiene cuatro archivos, los cuales fueron observados en una campaña documentada por SCILabs el mes de julio del presente año y son descritos a continuación:

  • CSRPS.exe: es un archivo legítimo que pertenece a una aplicación llamada Beyond Compare.
  • CSRPS.dll y unrar.dll: son 2 bibliotecas legitimas que son necesarias durante la ejecución de “CSRPS.exe”.
  • 7zxa.dll: corresponde a la biblioteca maliciosa, la cual usa la técnica característica de Grandoreiro que incrementa el tamaño para dificultar ser analizado por herramientas de seguridad, tanto estáticas, como dinámicas; en este caso con un peso de casi 2GB.

Cabe mencionar que estos artefactos son descomprimidos en una carpeta de nombre aleatorio en la raíz de C:\ compuesta por <un número><una letra mayúscula><tres letras minúsculas><tres números>

La DLL 7zxa.dll es cargada en memoria por el ejecutable CSRPS.exe usando la técnica de DLL Hijacking, la cual en este caso aprovecha la vulnerabilidad CVE-2024-7886, en donde la biblioteca original es sustituida por una maliciosa fabricada por el atacante.

Durante el análisis dinámico de los artefactos, el equipo de SCILabs identificó que el malware registra la infección del equipo en un log que contiene la dirección IP de la víctima y el nombre de los archivos que fueron descargados.

Además, dentro de las cadenas de texto del proceso desplegado por el malware, fue posible observar algunos de los bancos objetivo, todos ellos procedentes de México.

Banco
Citibanamex
Afirme
Banco Azteca

Finalmente, el troyano genera persistencia dentro de las llaves de registro de Windows en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Resumen del flujo de ataque observado en esta campaña de Grandoreiro

  1. El usuario recibe un correo de phishing utilizando pretextos relacionados con recibos de pago pendientes, facturas o comprobantes de pago.
  2. El correo electrónico contiene un archivo en formato PDF protegido con contraseña, el cual contiene un hipervínculo embebido en él.
  3. Si el usuario da clic en el hipervínculo es redirigido a un sitio de descarga automática desde donde obtiene un archivo comprimido en formato ZIP.
  4. Si el usuario descomprime el archivo obtenido, obtiene un fichero en formato HTA, el cual corresponde al primer dropper del malware.
  5. Si el usuario ejecuta el HTA obtenido, comienza la actividad maliciosa del troyano bancario descrita a continuación:
  • Despliega un validador de contraseñas.
  • Si el usuario lo resuelve correctamente, entonces da pie a la siguiente etapa del malware.
  • Ejecuta un script en formato JS que se encarga de la puesta en marcha de un dropper en formato VBS.
  • Es instalado en el directorio %PUBLIC% un segundo dropper de VBS el cual se encarga de descargar un archivo comprimido en formato ZIP que contiene un ejecutable legítimo y una DLL maliciosa que se carga en memoria y corresponde a la carga útil de Grandoreiro.
  • La información del equipo de la víctima es compartida con su servidor de comando y control.
  • El troyano genera persistencia dentro de las llaves de registro de Windows en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Diagrama de flujo de Grandoreiro observado en esta campaña de Grandoreiro

Overlaps observados entre Grandoreiro y URSA/Mispadu

Los siguientes overlaps fueron identificados por SCILabs durante el análisis de la campaña de Grandoreiro descrita antes en este reporte, los cuales en su conjunto dan lugar a la Operación Saci.

Después de realizar el análisis correspondiente, SCILabs identificó numerosas coincidencias entre las cadenas de infección de Grandoreiro y las de URSA/Mispadu observadas en los reportes con el identificador, las cuales son descritas de manera detallada a continuación.

  • Plantilla de descarga: tanto Grandoreiro como URSA/Mispadu emplean una plantilla con fondo blanco y texto negro con un recuadro gris (25%), el cual indica cuando la descarga del primer dropper es iniciada y cuando esta ha sido finalizada.
  • Función para generación de archivos: tanto Grandoreiro como URSA/Mispadu utilizan la técnica de HTML Smuggling para la generación y descarga del archivo comprimido que contiene el primer dropper, dentro del código fuente del sitio de descarga automática, es posible observar numerosas variables con nombres pseudoaleatorios que varían entre letras mayúsculas, minúsculas y números, además de una cadena en base64 que corresponde al ZIP con el script HTA dentro, seguida del nombre final del artefacto, además de las diferentes condiciones para señalar al usuario cuando la descarga es iniciada y completada.
  • Tipografía de los archivos: tanto Grandoreiro como URSA/Mispadu utilizan una tipografía característica para nombrar sus artefactos. Utilizan letras con doble trazo que provienen del bloque Unicode conocido como Mathematical Alphanumeric Symbols; usan el carácter Unicode especial conocido como asterisco decorativo “❉”; emplean una numeración pseudoaleatoria que provienen del bloque Unicode para CJK Unified Ideographs.
  • Primer dropper escrito en formato HTA: Tanto Grandoreiro como URSA/Mispadu utilizan scripts escritos en HTA como primer dropper de sus infecciones, el cual tiene como objetivo descargar y ejecutar un segundo dropper escrito en JavaScript.
  • Validador de contraseñas: tanto Grandoreiro como URSA/Mispadu utilizan un validador de contraseñas (comúnmente contrasena) para continuar con su cadena de infección.
  • Segundo dropper escrito en JS: tanto Grandoreiro como URSA/Mispadu utilizan un script de JavaScript que se encarga de la descarga de artefactos adicionales escritos en VBS y de su posterior instalación en el directorio %PUBLIC%, así como de su ejecución, es importante mencionar que, aunque los archivos descargados por este dropper están escritos en el mismo lenguaje, en este caso el código es diferente, aunque el objetivo es continuar con la cadena de infección.
  • Plantilla de cuenta suspendida: tanto Grandoreiro como URSA/Mispadu utilizan una plantilla en sus servidores de comando y control y de descarga de malware, el cual advierte sobre una supuesta cuenta suspendida, aunque en el pasado SCILabs ha identificado que este es uno más de los mecanismos de evasión de defensas que utilizan los operadores de malware con la intención de desviar la atención de los analistas y evitar seguir siendo analizados.
  • Uso de subdirectorios con nombres particulares: tanto Grandoreiro como URSA/Mispadu utilizan en sus servidores de comando y control y de almacenamiento de malware, subdirectorios compuestos por una o dos letras, por ejemplo /v, /fw, entre otros, en donde ha sido posible identificar artefactos maliciosos relacionados con las campañas analizadas.

Después de revisar los elementos de prueba disponibles al momento, SCILabs tiene la hipótesis con un nivel de confianza medio, de que las campañas mencionadas en el análisis de overlaps están relacionadas entre sí o bien, pertenecen al mismo actor de amenaza, sin embargo, hasta no contar con una mayor cantidad de evidencias, esta relación será clasificada como una operación, nombrada por SCILabs como Operación Saci.

Resumen del flujo de ataque observado en la Operación Saci

A continuación, se presenta el diagrama de flujo de ataque del malware empleado por la Operación Saci.

  1. El usuario recibe un correo de phishing utilizando pretextos relacionados con recibos de pago pendientes, facturas o comprobantes de pago.
  2. El correo electrónico contiene un archivo en formato PDF protegido con contraseña, el cual contiene un hipervínculo embebido en él.
  3. Si el usuario da clic en el hipervínculo es redirigido a un sitio de descarga automática desde donde obtiene un archivo comprimido en formato ZIP.
  4. Si el usuario descomprime el archivo obtenido, obtiene un fichero en formato HTA, el cual corresponde al primer dropper del malware.
  5. Si el usuario ejecuta el HTA obtenido, comienza la actividad maliciosa del troyano bancario descrita a continuación:
  6. Despliega un validador de contraseñas.
  7. Si el usuario lo resuelve correctamente, entonces da pie a la siguiente etapa del malware.
  8. Ejecuta un script en formato JS que se encarga de la puesta en marcha de un dropper en formato VBS.
  9. El troyano genera persistencia dentro de las llaves de registro de Windows en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  10. Es instalado en el directorio %PUBLIC% un segundo dropper escrito en VBS el cual se encarga de la descarga de las siguientes etapas de malware.
  • En el caso de Grandoreiro descargar un archivo comprimido en formato ZIP que contiene un ejecutable legítimo y una DLL maliciosa que se carga en memoria utilizando la técnica de DLL-Hijacking y corresponde a la carga útil de Grandoreiro.
  • La información del equipo de la víctima es compartida con su servidor de comando y control.
  • En el caso de URSA/Mispadu, con un Script de AutoIt, URSA/Mispadu roba credenciales SMTP y roba el historial de Google Chrome y Microsoft Edge, si el ambiente es óptimo para el URSA/Mispadu, entonces es cargado en memoria utilizando un ejecutable legítimo de AutoIt y un script malicioso de AutoIt.

Diagrama de flujo de la Operación Saci

TTPs observados alineados al marco MITRE ATT&CK®

La siguiente Matriz del MITRE ATT&CK® fue observada por SCILabs durante el análisis de la Operación Saci.

Conclusión

En los últimos meses hemos observado múltiples overlaps entre las cadenas de infección de diferentes familias de troyanos bancarios, por ejemplo la operación Gecko Assault, la cual distribuye URSA/Mispadu y Mekotio de forma aleatoria y hoy en día la Operación Saci, por ello es de suma importancia tener claridad acerca del panorama de amenazas que afectan a Latinoamérica, debido a que esto puede ayudar a las organizaciones a mejorar su postura de seguridad, conociendo de manera certera los TTPs y modus operandi de operadores de malware.

El peligro principal de la Operación Saci radica en las familias de troyanos bancarios que utiliza, URSA/Mispadu y Grandoreiro son dos de las amenazas más persistentes en LATAM y suelen atacar a múltiples países simultáneamente, además de modificar continuamente sus TTPs.

De acuerdo con el análisis de la infraestructura de la Operación Saci conducido por SCILabs, es probable que se mantenga activa durante lo que resta del 2024 y aumente su alcance geográfico, ya que, dentro de su lista de afectaciones encontramos indicios de infecciones exitosas también en Argentina y Brasil.

Las víctimas potenciales de troyanos bancarios como Grandoreiro y URSA/Mispadu, son todo tipo de usuarios que no conozcan las técnicas de ingeniería social, o los pretextos utilizados por los operadores de este malware en sus campañas masivas de correos electrónicos de phishing.

Por estos motivos, SCILabs considera importante que instituciones y empresas estén al tanto de las actualizaciones de los pretextos e indicadores de compromiso para minimizar el riesgo de infección y el impacto que el robo de información bancaria puede tener en las organizaciones. Sugerimos considerar las siguientes recomendaciones:

Recomendaciones generales:

  • Bloquear los IoC proporcionados en este reporte.
  • Realizar campañas de concientización acerca de las técnicas de ingeniería social utilizadas por los cibercriminales para distribuir malware como el uso de correos de phishing utilizando pretextos relacionados con facturas.
  • Evite tener servicios RDP expuestos a internet y si es necesario implemente soluciones de Múltiple Factor de Autenticación para minimizar el riesgo de que su infraestructura sea utilizada como repositorio de malware por cibercriminales.
  • Concientizar a los usuarios para evitar que almacenen credenciales de acceso en los navegadores de internet, y sobre el riesgo que implica hacerlo.
  • Identificar entradas en el registro de Windows que sean sospechosas en la ruta Equipo\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Recomendaciones relacionadas con Grandoreiro:

  • Realice actividades de caza de amenazas en sus EndPoints en busca de directorios con nombres sospechosos dentro de las rutas asociadas aeste troyano bancario, por ejemplo, en:
  • C:\<9 caracteres aleatorios>
  • C:\Users\<USER>\AppData\Local\Temp
  • C:\Users\<USER>\AppData\Roaming
  • Realice actividades de caza de amenazas en los procesos de los EndPoint, para identificar ejecuciones de procesos aparentemente legítimos como javaw.exe, java.exe, cmd.exe, conhost.exe, more.exe, chcp.exe pero no formen parte de la operación.
  • Realice actividades de caza de amenazas en los procesos de los EndPoint, para identificar ejecuciones de procesos sospechosos de FlashFXP y Beyond Compare con nombres diferentes al original, por ejemplo, RIPPOi.exe y ULTRAPCKJ.exe.
  • Monitoree tráfico sospechoso a servicios web de geolocalización como IP-API[.]COM para identificar posibles compromisos de malware, debido a que este tipo de dominios son usados por Grandoreiro durante la cadena de infección.

Recomendaciones relacionadas con URSA/Mispadu:

  • Evaluar la posibilidad del bloqueo de AutoIten todos los EndPoint de la organización, debido a que esta aplicación es utilizada por URSA/Mispadu y otros troyanos bancarios.
  • Identificar ejecuciones de AutoItv3 Script.
  • Realizar caza de amenazas buscando archivos sospechosos dentro de %APPDATA%, principalmente con extensiones EXE, AU3 o PNG.
  • Realizar caza de amenazas buscando la creación de accesos directos sospechosos dentro de %APPDATA%\Microsoft\Windows\StartMenu\Programs\Startup, principalmente con el nombre AudioDriver.
  • Identificar archivos de tipo SQLite en el directorio %LOCALAPPDATA%\Temp puede contener información sensible del navegador de internet de la víctima.
  • Identificar el archivo sqlite3.dll en el directorio %LOCALAPPDATA%\Temp utilizado en algunas campañas por URSA/Mispadu.

Indicadores de Compromiso

A continuación, se muestran los indicadores de compromiso obtenidos del análisis realizado por SCILabs, con un ALTO nivel de confianza.

Hashes SHA256                                       

E418F21E8D2DD33DFE16A1BE01C39C356B6DEAC9308BC4F415E3062537D6A814     

14060B79FC2D0DA2B77832C6C4C884A6C16582BC990F3658DC22661911BFC3A3      

9A96C9BF51C751B5982219088B78BE606A9DDFCBDCAEB7889360D3CAAA833016     

4CF99CB330E585065C1807018846FF0DF1E578B8C6CEEE121C7C3B0F1221C762      

C1351BC6F191E5F4E04480A0A873144EFBDB81721D1EC5DB37C9C9D8BDC353D1    

99D033C3A625A711D296B70DD178F52A9D28FA670871E2F392AFEF19E9E7D056       

3CEB3738C05D6F12443A46C38F6A046658C9F876F2CCEA063234018915EB6FD0       

27438884CC83C90A1C5690BC350FE5BB95F8DB35B3E436096B89CD67A8ECA182     

23D290AF8A6C39D4E6749D42EDE056EE318480FAC89BB53EE3B31435C6F82A46      

88F2533C9F16277F0895EF41CC3AAA7EEDEE88D1503A064DEC2E5473C76561AD     

E2C76D4D639337EA98EE80E3F2E83111D25BB8ACBB017F0F54019B823459FDEE      

BC49697F846F6EBD79D7156084056B3330729D783268D7E0732A7E4134CABEA9        

2784544927037CC35441D5DEF3B024993CD17DEFC7D8A737881D8A3EC129896C      

87045CD2D94D3C4280B870652ABA5B8C864CAF20CE340598DA33CE919D39251A     

19D2416D99A77FEFF348EC102A87649DB2302FF16A42343F33FA34024837D7B1         

0BA03E61E311B64C2886CD33FC438BA7CF8B5AC185FE9226EF668C262CF73EC7                        

C11C1C02DBA7C5BEB80ECEDB6A9518308D532850551316D32F786C2AD8315D24

0D44DC8EE5CDF32D498C43F36BD08623B354F8F3ACA2A4B6ADC085963DC0A364   

E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

Sitios de descarga de malware

hxxps://stomxfct[.]com/con/yPOXE2/RXb7941[.]js

hxxps://adjunto[.]pdfxml[.]store//6725608180da8/6725608180eb7[.]vbs

hxxp://62[.]113[.]116[.]63/mx01/cancun01[.]zip

hxxps://comprobantcdif.blogspot.com

hxxps[:]//carecenterhq[.]com/isuIVXBREGa/JJ2/BpxAu9/

hxxps[:]//carecenterhq[.]com/isuIVXBREGa/

Servidores de comando y control

hxxps://stomxfct[.]com/con/v

hxxps://stomxfct[.]com/

hxxp://62[.]113[.]116[.]63/mx01/

hxxp://62[.]113[.]116[.]63/v

hxxp://62[.]113[.]116[.]63/conta[.]mx/index[.]php