EvilCorp llega a México

Por José Zorrilla del equipo Ocelot de Metabase Q

Contexto

Figura 1. Maksim Yakubets, líder de Evil Corp, buscado por el FBI desde finales de 2019

El equipo de Seguridad Ofensiva de Metabase Q, Ocelot, descubrió múltiples campañas de infección del grupo criminal Evil Corp. Desde abril del presente año, estas campañas han estado comprometiendo sitios web mexicanos a través de los cuales distribuyen el malware preferido de la organización: Dridex. Cabe destacar que, desde 2014, este malware ha extraído exitosamente la información bancaria de sus víctimas.

A finales de 2019, el Departamento de Justicia de Estados Unidos, ofreció $5 millones de dólares por la captura de uno de sus fundadores de origen ruso: Maksim Yakubets, quien, desde 2009, es pieza clave de la organización. Yakubets ha reclutado gente y lavado más de $100 millones de dólares, provenientes, principalmente, de sus víctimas en Estados Unidos y Europa. Los fondos son transferidos a quienes integran la organización, ubicados principalmente en Rusia y Ucrania. A este grupo se le atribuye la creación del malware Dridex, el cual, habitualmente  llega por mensajes de correo electrónico utilizando macros maliciosos de Microsoft Office.

Al no encontrar información al respecto en la región, Metabase Q y su equipo de Seguridad Ofensiva, Ocelot, hemos decidido publicar los detalles de estas campañas en México. Se observaron 3 campañas que iniciaron en abril de 2021, todas ellas tienen en común la descarga de los diferentes payloads maliciosos desde sitios web tanto privados como de gobierno.

Sobre las tres campañas

  1. Abril 2021: Se distribuye Dridex a través de correo electrónico, descargándolo del sitio web oficial de una funcionaria pública, atacando a diferentes partes del mundo, no a México
  2. Agosto 2021: Envío de mensajes de texto vía SMS haciéndose pasar por una entidad financiera y redirigiendo a las víctimas a un sitio falso para robar datos de la tarjeta bancaria
  3. Activa hasta octubre 2021: Actualización falsa de Firefox. Utilizan el framework malicioso conocido como SocGolish para engañar a la víctima al visitar el sitio web oficial de una funcionaria pública, pidiendo que se actualice su navegador Firefox. Dicho framework soporta Chrome, Internet Explorer, Flash, entre otros.     Anteriormente, no se contaba con evidencia suficiente de que el grupo detrás de SocGolish fuera parte de Evil Corp pero, en esta campaña, al servir sus variantes desde el mismo servidor comprometido se puede constatar que SocGolish y Evil Corp  trabajaron en conjunto o son parte del mismo grupo criminal

Es importante resaltar la tropicalización del aviso por parte de SocGolish, al crear una actualización falsa en español, como se puede ver a continuación, de lado izquierdo (Figura2) el mensaje clásico en inglés, y del lado derecho (Figura 3), el ajustado a español:

Figura 2. Actualización falsa versión en inglés
Figura 3. Actualización falsa versión en español

SocGolish usa el software de monitoreo remoto legítimo NetSupportManager para tomar control del equipo de la víctima. Esta técnica no es nueva, en 2018 Fireye, publicó este tipode técnica, seguido en 2019 por Malwarebyte, y a principios del 2020, por Unit 42 de PANW. Sin embargo, esta es la primera ocasión en la que se identifica en México.

¿Cómo comprometen los sitiosweb de sus víctimas?

Comunmente, el grupo malicioso busca sitios con poca protección, con frameworks desactualizados, como wordpress, y, por ende, fáciles de comprometer. Además, algo muy importante es que usualmente buscan sitios con alto volumen de tráfico para atraer más víctimas.  Por ejemplo, siguiendo este criterio, atacantes podrían conseguir la base de datos del Instituto Nacional Electoral (INE), e identificar víctimas con mucho contacto social, y al mismo tiempo, el correo y sitio web personal que utilizan.

Figura 4.Base de datos de candidaturas del INE

NOTA: Es importante aclarar que estos datos están disponibles públicamente en el sitio web del INE en: https://candidaturas.ine.mx/, no es información filtrada. Esta información ayuda a atacantes a encontrar víctimas potenciales.

Sitio Web suspendido

Alrededor de la tercera semana de octubre, fue notado que el sitio web comprometido contenía un anuncio, al parecer proveniente del grupo cibercriminal (no confirmado), informando que había sido suspendido por falta de pago (Ver Figura 5). Unos días después, se cambio el anuncio con el mensaje: “Cuenta suspendida”, directamente publicado por la empresa proveedora de hosting Hetzner, ubicada en Alemania.

Figura 5.Sitio con anuncio de atacantes

A continuación una vista rápida de las fases de infección en las diferentes campañas:

Ransomware podría ser utilizado por Evil Corp en México muy pronto

Evil Corp ha estado activo por más de 11 años y, a pesar del anuncio y recompensa publicado por el Departamento de Justicia estadounidense, el grupo sigue altamente activo, sin afectación aparente. De acuerdo con Wikipedia, dicho argumento se infiere por la cercana conexión de Marksim con el Servicio Secreto Federal (antes KGB), a través de su suegro Eduard Bendersky, quien le brinda protección. En conclusión, todo parece indicar que muy probablemente no desaparecerán.

Lo preocupante es que este grupo tiene una alta tasa de éxito comprometiendo compañías a nivel mundial con ransomware. Por ejemplo, uno de los ataques más sonados fue el que sufrió Garmin con el ransomware WastedLocker, en el que el grupo cobró una recompensa de alrededor de $10 millones de dólares.

¿Cómo podemos combatir esta amenaza?

Antes que nada, aceptando que toda organización será infectada con ransomware, a menos que proactivamente se lleven a cabo estrategias de detección y erradicación. El paso inicial es robustecer los procesos y tecnología, así como capacitar al personal de las organizaciones. De igual forma, se requiere evaluar los sistemas y probarlos ante un ataque de ransomware. Metabase Q ofrece el servicio Ransomware-as-a-service (RaaS), a través del cual se emulan Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés). Replicando múltiples familias de ransomware como Ryuk, Revil, DarkSide, entre otras en su red.

El objetivo con esta simulación es fortalecer el monitoreo, la detección y las capacidades de erradicación de ransomware en las organizaciones:

  • Procesos: Detección de brechas y fortalecimiento de políticas y procedimientos establecidos para reaccionar ante un incidente
  • Gente: Capacitación al personal de su Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) en Respuesta a Incidentes
  • Tecnología: Identificación de brechas en sus soluciones de seguridad: SMTP Gateway, Endpoint, Lateral Movement, Event Correlation, Malicious Callbacks, etc. Como empresa deberías preguntarte ¿Mi inversión me está brindando los resultados esperados?

Aplicando ingeniería inversa a los malwares utilizados actualmente, podemos reproducir el código malicioso exactamente como lo ejecutan atacantes reales. A diferencia del RaaS ejecutado por atacantes, Metabase Q tiene el control para ejecutar el ransomware sin los potenciales efectos secundarios o daños irreversibles, como la eliminación de respaldos o la publicación de información sensible en el Deep Web. Al utilizar las TTPs (Tácticas, Técnicas y Procedimientos) e IOCs (Indicadores de Compromiso) usados por malware en el mundo real, podemos capacitar y robustecer sus procesos, gente y tecnología.

Ver video aquí

Figure 7. RaaS Demo.

Análisis técnico de las campañas

A continuación, se explican los detalles altamente técnicos de cada una de las campañas identificadas, enfocándonos en las que atacaron directamente a la ciudadanía mexicana. La intención de esta investigación es compartir técnicas y tácticas, así como Indicadores de Compromiso (IoC) que permitan a las organizaciones implementar controles preventivos y correctivos. Recordemos que la ciberseguridad es una inversión, pero, sobre todo, es un seguro para la reputación, información y finanzas de las organizaciones alrededor del mundo.

Infección por correo electrónico- No enfocada en México

La primer campaña del grupo malicioso Evil Corp fue detectada alrededor de abril de 2021. Lo que captó nuestra atención fue el uso de un sitio web perteneciente a una funcionaria pública de uno de los partidos políticos de México para distribuir malware.

El grupo cibercriminal envió correos electrónicos maliciosos que contenían los archivos xlsm, los cuales se conectaban a la página de la funcionaria pública para descargar el siguiente malware, por lo que se confirmó que su sitio web había sido comprometido. En la Tabla 1 se pueden ver 3 documentos de Excel ocupados, los cuales fueron enviados desde una IP en la India a destinatarios que hablan inglés, pretendiendo engañarles con un error en la orden de compra. El idioma confirma que el objetivo en esta campaña no fue México. En la Figura 8, se puede ver uno de los correos enviados.

Figura 8. Correo malicioso enviado
Tabla 1. Archivos xlsm detectados como parte de la campaña de infección

Este tipo de ataques suelen tener documentos con un contenido que hace creer a la víctima que necesita habilitar la edición para que pueda ver el contenido real del archivo, es decir, hacen uso de la ingeniería social que permitirá que la macro contenida en el archivo se active y logre cometer su objetivo. A este tipo de archivos se les conoce como maldocs. En el caso de esta campaña, al abrir el documento la víctima vería el contenido mostrado en la Figura 9.

Figura 9. Imagen que es usada para engañar a las personas usuarias

La duda es, ¿qué hacen estos archivos? y ¿cómo funcionan?.El objetivo principal de este tipo de documentos es descargar el malware o archivo malicioso, el cómo lo hace depende de quién realice el ataque. Es importante destacar que este archivo contiene distintos valores en diferentes hojas y celdas, las cuales suelen ser usadas por las macros para reconstruir variables o nombres de métodos que posteriormente volverán a ser usados por la misma macro. A continuación, en la Tabla 2, veremos la lista de las cadenas más relevantes que podemos encontrar en diferentes partes del documento, donde también se pueden ver otros sitios web potencialmente comprometidos.

Tabla 2. Valores encontrados en las celda de los maldocs

Es momento de analizar cómo funciona la macro maliciosa del archivo. Lo primero que podemos notar es que estos archivos cuentan con varios módulos. En este caso, son 8 módulos más el archivo ThisWorkbook, el cual suele ser el punto de entrada para ejecución de una macro, como se muestra en la Figura 10.

Figura 10.Módulos y elementos de los maldocs

Los módulos de este documento se encuentran ofuscados, duplicando o hasta triplicando las líneas de código, con el objetivo de hacer más complicada la lectura del mismo.

Se encontró un patrón de declaración de variables sin usar,  ciclos de 3 líneas y uso de funciones como Cos(), Atn(), MonthName(), Year(), IsDate() entre otras técnicas no vistas antes. Lo que veremos en el archivo ThisWorkbook es solo la llamada al método de uno de los módulos, el cual lleva la responsabilidad de usar el resto de los módulos para reconstruir cadenas. Para la realización de la petición del malware, la parte importante de esta macro se encuentra en el módulo NyG_KoRXVvPU_zwKebxtmcX_PloLM (ver Figura 11), el cual al limpiar el código deja clara la intención de la campaña: descargar una biblioteca de enlace dinámico (DLL, por sus siglas en inglés) y ejecutarla en el sistema de la víctima via rundll32.exe.

Figura 11.Código del modulo NyG_KoRXVvPU_zwKebxtmcX_PloLM.

La DLL de Dridex (fe946eb6810820fa7f60d832e6364a64) se descargó desde el siguiente URL por primera vez en 2021-04-19:

https://carolinalastra[.]mx/wp-content/plugins/white-label-cms/includes/classes/FIHMaDaN[.]php

El análisis de la DLL está fuera del alcance de este blog ya que es una campaña fuera de México, pero está relacionada con el banking Trojan Dridex. Muy similar a la variante analizada por VMWare.

Otras campañas de Dridex en Latinoamérica

En el mismo proveedor de hosting de la funcionaria pública e incluso con la misma IP, se identificó otro sitio web aparentemente mexicano con nombre: misaludsana[.]com el cual tambien fue comprometido para infectar con Dridex, donde la DLL maliciosa tiene el nombre de i1ojz1l.rar:

I1ojz1l.rar – 68672d1ed6c979158b159fd9945934c6

Buscando esta misma DLL en otros sitios, se identificó que también se descargó desde países como Brasil, Chile y Perú. Si bien, no se confirmó que Evil Corp quien estuvo detrás, la evidencia así lo sugiere:

Scanned           URL

2021-09-28         https://megagynreformas[.]com[.]br/i1ojz1l[.]rar

2021-09-10         http://megagynreformas[.]com[.]br/i1ojz1l[.]rar

2021-04-10         http://vilaart[.]rs/z8xytt[.]rar

2021-04-08         https://www[.]huellacero[.]cl/wkuhfw0[.]rar

2021-04-02         https://vilaart[.]rs/z8xytt[.]rar

2021-04-04         http://lp[.]quama[.]pe/qxaqigqwy[.]rar

2021-04-02         https://versualstudio[.]com/d738jam[.]rar

2021-04-02         http://www[.]beor360[.]com/olwimf8i0[.]rar

2021-05-11         http://opentoronto[.]org/olu9usk68[.]rar

2021-04-02         http://versualstudio[.]com/d738jam[.]rar

2021-04-01         https://gmsebpl[.]com/tp2xvzwe[.]rar

2021-04-02         http://www[.]huellacero[.]cl/wkuhfw0[.]rar

Infección por mensaje de texto

Alrededor de agosto de 2021, se identificó una nueva campaña del grupo criminal, pero esta vez, enfocada en atacar a la población en México. El ataque se realiza a través del envío de mensajes de texto con un enlace malicioso, como se muestra en la Figura 12.

Figura 12.Ejemplo de sms enviado a la víctima

Como vemos, el objetivo del mensaje es hacer creer a la víctima que su cuenta ha sido retenida y que para poder solucionar el problema requiere ingresar a la URL https://is[.]gd/gW2d6B?ww[.]Citibanamex[.]com , la cual ocupa el servicio de recorte de URLs “is[.]gd” y que termina redireccionando a la página web de la funcionaria pública previamente comprometida. El enlace contiene el nombre de un banco en México, con el objetivo de hacerse pasar pasar por dicha entidad financiera.

Consultando el sitio Listaspam (www[.]listaspam[.]com) con el numero de telefono desde donde llego el mensaje, se pueden identificar quejas de las posibles víctimas desde agosto, donde coincide el mensaje de engaño, utilizando el nombre del banco mexicano, y, lo más importante, redireccionando a las víctimas a un sitio web falso bancario para tratar de robar los datos de su tarjeta bancaria (Ver Figura 13).

Figura 13.Quejas del SMS enviado desde el tel: 5623190460

Se identificaron diferentes enlaces utilizados por los criminales como se muestra en la Tabla 3 para el ataque de Phishing.

Tabla 3. URLs detectadas como engaño para redireccionar a sitio de Phishing

Infección por falsa actualización de Firefox

Para esta campaña, la página web de la funcionaria pública seguía estando comprometida y siendo usada para la distribución de malware a nivel nacional e internacional. En este caso, cuando alguien visitaba dicha página, atacantes validaban el uso del navegador Firefox en un sistema operativo Windows, y de ser exitosa la validación procedían con el engaño haciéndoles cree a quienes visitaban el website que necesitaban instalar una actualización de este navegador para poder ver el contenido de la página. Al ser una página legítima, el engaño es efectivo y logra el acto malicioso, conocido como ataque “watering hole”. Ver Figura 14.

Figura14. Fake update de Firefox

Cabe destacar que, el grupo cibercriminal valida los diferentes estados durante la infección por IP, por lo que si se intenta descargar el stage 3 sin antes haberse conectado, será rechazado.

Stage 1:

El sitio web solicita la descarga de un archivo comprimido tipo ZIP, el cual en su interior contiene un archivo llamado Firefox.js.

Figura 15.Contenido del archivo comprimido.

El archivo de Javascript contiene código malicioso con un total de 6 funciones, donde la mayoría son utilizadas para limpiar cadenas que se encuentran dentro del archivo o que son descargadas por medio de una petición. El nombre de la función cambia entre variantes pero la funcionalidad es la misma, a continuación describiremos cómo funciona el script.

Lo primero que veremos es una sección de código (ver Figura 16) la cual está diseñada para retrasar la ejecución de este (intentando burlar mecanismos de seguridad), es decir, atrasa un segundo la ejecución del script tantas veces entre en el ciclo. La cantidad total de entradas será de 11 ciclos, por lo que tendrá un retraso de 11 segundos.

Figura 16. Primer parte de código del archivo Firefox.js

Más adelante, la función gyyc (Ver Figura 17) toma el carácter de la cadena que esté en una posición impar de esta y agregándola al inicio, es decir, invierte el orden de la cadena y concatena solo los impares. Si nuestra cadena original fuera de un total de 12 caracteres, la cadena limpia estaría conformada de la siguiente manera [11,9,7,5,3,1].

Figura 17. Función gyyc

Con esta lógica se pudo decodificar la dirección que utilizará el malware para descargar el siguiente stage como se muestra en la Tabla 4 asi como tras variables desofuscadas.

Tabla 4.Valores de las variables del script.

Ahora, la función importante de esta infección: sendRequest, es la única que conserva su nombre a través de las variantes, y se apoya de diferentes funciones, las cuales le ayudan a cifrar y descifrar información necesaria para la ejecución del script. De la línea 4 a la 6 en la Figura 18, vemos un “for”, el cual se encarga de crear una cadena iterando sobre el arreglo recibido en el primer parámetro y haciendo el siguiente patrón por cada elemento [(i) ‘=’ (array[i]) ‘&’ ], de tal forma que esta cadena quedará de la siguiente manera “0=a&1=500&2=250&”.

Figura 18. Código de función sendRequest.

Después, en la línea 8, pasa esta cadena por la función pypdsygqoge7 (ver Figura 19) la cual, en resumen, hace un cifrado a través de un XOR de la cadena con una llave que viene en la función, en este caso con el valor 128, esto para finalmente enviarlo al servidor remoto cuya ULR es la variable tujnpuwidep descrita en la Tabla 4:

https://7e09c2b8[.]push[.]youbyashboutique[.]com/pixel[.]png

Figura 19. Funciones de cifrado del script

Después, el script manda la petición vía POST al servidor y en la línea 15 se guarda la respuesta en una variable, la cual es una cadena en hexadecimal, que en la línea 17 es pasada por la función imgado (ver Figura 20); esta descifra la cadena, usando el primer byte como llave, haciendo XOR con el resto del texto y convirtiéndolo a su carácter ASCII correspondiente.

Figura 20.Función que descifra la cadena hexadecimal recibida

Por último, el payload que se recibe es pasado a la función egdjuco (línea 22), la cual toma la cadena y la ejecuta por medio de la propiedad eval, como se muestra en la Figura 21, permitiéndonos obtener el stage 2 desofuscado, descrito en la siguiente sección.

Figura 21. Función eval
Stage 2: Reconocimiento del equipo infectado.

La primera etapa consta de un código de Javascript (ver Figura 22) el cual tiene la función de recolectar la información del equipo vía WMI (Windows Management Instrumentation) como el nombre y dominio del usuario, el fabricante, modelo y versión del equipo, entre otros datos que le permiten al grupo atacante verificar si el equipo realmente pertenece a una víctima y que no es un sandbox o una máquina de un analista de seguridad.

Figura 22. Código de reconocimiento.

Como era de esperarse, al conectarnos desde nuestra máquina virtual, no recibimos ningún payload, por lo que modificamos el código para enviar datos “reales” como el nombre de la máquina, del usuario, o el dominio al que pertenece y ¡voilà!, recibimos el siguiente payload correspondiente al stage 3.

Stage 3: Descarga y ejecución de powershell

Una vez que se envió la información de la máquina víctima, la respuesta recibida por parte de los atacantes es un nuevo código de Javascript (ver Figura 23)  el cual tiene como objetivo la descarga, almacenamiento y ejecución de un script de powershell.

Figura 23. Código de Javascript que descarga y ejecuta script powershell

El archivo descargado es guardado en los archivos temporales de la máquina infectada, específicamente en la siguiente ruta C:\%USERNAME%\AppData\Local\Temp\f9da4ac2.ps1. El contenido de este script es extenso pues contiene una cadena bastante larga en Base64. Este código tiene un poco de ofuscación por lo que nos centraremos en la función ELLINNKHZI. La cadena que está en Base64 es decodificada y después se usan los dos parámetro recibidos para construir una contraseña, la cual será usada como llave para el algoritmo TDES en su modo CBC; Esta descifra la cadena en memoria para su posterior ejecución como se muestra en la Figura 24. A continuación los parámetros de cifrado:

Llave: 106 38 173 207 239 40 14 84 81 63 247 32 83 120 119 64
IV: 71 71 69 71 75 78 84 75 80 86 85 77 90 65 75 73
Figure 24. Result execution of the ELLINNKHZI function

El resultado de dicha ejecución nos otorga el ultimo stage, el cual es un instalador de una herramienta de monitoreo remoto como se muestra a continuación.

Stage 4: Instalación de NetSupport Manager para control remoto

Este stage es otro script de powershell que ejecuta la función Install, creando una carpeta en el directorio %AppData% con un nombre aleatorio, decodifica una cadena extensa de Base64, que resulta ser toda la suite legítima del software NetSupport Manager que permite la administración remota – https://www.netsupportmanager.com/ (ver Figura 25) comprimida en formato PKZIP. Este se expande en la misma carpeta y se renombra al cliente de este software client32.exe a ctfmon.exe tratando de hacerse pasar por un proceso interno de Windows.

Figura 25. Función que instala y ejecuta la Suite de Administración

Las últimas líneas permiten logar persistencia del malware para seguir ejecutándose después de reiniciar el equipo, agregando el ctfmon.exe a:

HKCU:\Software\Microsoft\Windows\CurrentVersion\Run.

Control remoto de la víctima

En la Figura 26, se muestran todos los archivos extraídos del ZIP, los cuales pertenecen a la suite NetSupport Manager. Lo interesante está en la configuración del cliente.

Figura 26. Contenido del archivo zip

Si vemos la firma digital en la Figura 27, los archivos están firmados por autoridades certificadoras como Symantec y Verisign, comprobando así que es un software legítimo.

Figura 27. Firma digital de los archivos

Pero, ¿qué tiene de peligroso este software que es legítimo? Este software está hecho para la monitorización y control de dispositivos de manera remota, utilizando un cliente y un controlador. En nuestro caso, el software instalado  en la maquina infectada es el cliente.

Gracias a la documentación oficial del software NetSupport Manager podemos encontrar que el archivo client32.ini contiene las configuraciones del cliente; además, se puede encontrar el archivo NSM.LIC que contiene la licencia del software. Estos dos archivos nos proporcionan datos importantes sobre el atacante.

Client32.ini

Este archivo almacena las configuraciones del cliente, incluyendo la información de a dónde se conectará, así como de las configuraciones de funciones, vista y protocolo. En este caso particular, hablaremos solo de las configuraciones que convierten este modo en un serio problema de seguridad. Hay propiedades como “HidenWhenIdle” y “silent”, que están diseñadas para ocultar al usuario el hecho de que está siendo vigilado, causando que la víctima no se dé cuenta de que el software se está ejecutando.

Figura 28. Archivo client32.ini

La configuración más importante es aquella a donde se conectará el cliente. En el análisis que nos concierne, el grupo atacante usa un Gateway que sirve como puente entre el controlador y el cliente, evitando exponer la IP de la máquina donde esta corriendo el controlador. En este caso, tiene establecido dos Gateways, el principal y el secundario:

dhyacie[.]cn:443

asancuasusa3qaa[.]xyz:443

Los peligros de tener este servicio corriendo en nuestras computadoras es que quién lo controla tiene acceso total al equipo. Puede ver, escuchar, reiniciar y transferir archivos e inclusive, ejecutar comandos sin que la víctima lo note.

Figura 29. Opciones del controlador sobre un cliente

Hemos preparado dos videos mostrando el uso legítimo de NetSupport Manager, donde se puede ver claramente cuando el software se está instalado, así como la capacidad para desconectarse, y el ícono en la parte inferior derecha del software ejecutándose:

Ver video aqui

El siguiente video muestra la configuración del atacante. La víctima no se da cuenta de ninguna de las acciones que este realiza, tales como: ser observada en la pantalla, el robo de archivos o la agregación de estos, el uso de una consola con la que puede correr procesos, así como la falta de un ícono o interfaz mostrada, entre otras cosas.

Ver video aquí

Identificadores de Compromiso

Nombre binario / MD5 / Ruta en Disco:

Nombre Binario MD5 Ruta en disco
Firefox.js 20101d5ccebaa05617400c56c36541de C:\%USERNAME%\Downloads\
ctfmon.exe 252dce576f9fbb9aaa7114dd7150f320 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
client32.ini ca9756fe7165091706d61553ce4632e4 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
HTCTL32.DLL 2d3b207c8a48148296156e5725426c7f C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
msvcr100.dll 0e37fbfa79d349d672456923ec5fbbe3 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
nskbfltr.inf 26e28c01461f7e65c402bdf09923d435 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
NSM.ini 88b1dab8f4fd1ae879685995c90bd902 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
NSM.lic 7067af414215ee4c50bfcd3ea43c84f0 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
pcicapi.dll dcde2248d19c778a41aa165866dd52d0 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
PCICHEK.DLL a0b9388c5f18e27266a31f8c5765b263 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
PCICL32.DLL 00587238d16012152c2e951a087f2cc9 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
remcmdstub.exe 2a77875b08d4d2bb7b654db33a88f16c C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
TCCTL32.DLL eab603d12705752e3d268d86dff74ed4 C:\%USERNAME%\AppData\Roaming\q0EkBnhA\
ANSI32.DLL(Dridex) fe946eb6810820fa7f60d832e6364a64
I1ojz1l.rar (Dridex) 68672d1ed6c979158b159fd9945934c6
Registry keys:

“HKEY_CURRENT_USER:\Software\Microsoft\Windows\CurrentVersion\Run”,“ctfmon_”,

«C:\Users\User\AppData\Roaming\q0EkBnhA\ctfmon.exe»

HKU\S-1-5-21-3596804904-1264920553-2013881797-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\1\ApplicationViewManagement\W32:0000000000010504

HKU\S-1-5-21-3596804904-1264920553-2013881797-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\1\ApplicationViewManagement\W32:00000000000400CE

Posibles sitios de descarga de dll de Dridex maliciosa:

https://cron[.]wrapspeedtaxi[.]com/svg/EwueNy98v[.]php

https://store[.]e-crossinternational[.]com/wp-content/plugins/auxin-elements/embeds/plugins/9WV8PNc1WKqYdiy[.]php

https://dramawuxia[.]xyz/wp-includes/sodium_compat/src/Core/Base64/390DRtAhn[.]php

https://funcionariapública[.]mx/wp-content/plugins/white-label-cms/includes/classes/FIHMaDaN[.]php

https://familyplancamper[.]com/t2/wp-admin/css/colors/blue/w53OueNv07O263x[.]php

https://40shore[.]com/libraries/joomla/document/feed/renderer/uKUHYpSssfpDoAE[.]php

https://avocatozone[.]com/wp-content/plugins/contact-form-7/includes/css/SArGiA6RiZiy[.]php

https://ford-cortina[.]co[.]uk/styles/TkQbjkDhb9F[.]php

https://godricwealthsecretsnow[.]com/img/K3RBbNsi[.]php

https://panoramiapark[.]com[.]co/wp-content/plugins/revslider/includes/EspressoDev/F2rR411y[.]php

https://gamerspace[.]in/apps/default/notactive/templates/notactive/NFhoJvZ3AFDIvIz[.]php

https://blog-frecuenciahumana[.]lastshadowconsulting[.]com/wp-content/themes/

twentytwentyone/template-parts/content/uiiq1waNjhqHL[.]php

https://99excel[.]in/wp-includes/js/tinymce/themes/inlite/qU7eQWLY0bZtA[.]php

https://wordpress[.]mantorose[.]com[.]sa/wp-content/plugins/woocommerce/lib/packages/CRejlB4dnhv[.]php

https://pusatkawatbronjong[.]com/wp-includes/sodium_compat/src/Core/Base64/YpJM0aTnwmEFi[.]php

https://blogs[.]unitedinstitute[.]org[.]in/sass/bootstrap/mixins/cumClGs9xsGMk[.]php

https://westminsterwine[.]com/purple/img/ktBob8ugL[.]php

https://victoryrightnow[.]net/__MACOSX/img/SEwGUYQyGNzvl[.]php

https://samistoreonline[.]hostersbit[.]com/wp-content/themes/twentynineteen/template-parts/content/v0vhP9vsF[.]php

http://megagynreformas[.]com[.]br/i1ojz1l[.]rar

http://vilaart[.]rs/z8xytt[.]rar

https://www[.]huellacero[.]cl/wkuhfw0[.]rar

https://vilaart[.]rs/z8xytt[.]rar

http://lp[.]quama[.]pe/qxaqigqwy[.]rar

https://versualstudio[.]com/d738jam[.]rar

http://www[.]beor360[.]com/olwimf8i0[.]rar

http://opentoronto[.]org/olu9usk68[.]rar

http://versualstudio[.]com/d738jam[.]rar

https://gmsebpl[.]com/tp2xvzwe[.]rar

http://www[.]huellacero[.]cl/wkuhfw0[.]rar

Sitio de descarga de Update Falso Firefox.js

https://funcionariapública[.]mx/

Urls de conexión remota de Firefox.js, 3 ejemplares diferentes

https://7e09c2b8.push.youbyashboutique.com/pixel.png

https://2c1de7a3.push.youbyashboutique.com/pixel.png

https://0c896f30.maps.walmyrivera.com/pixel.png

Gateways de conexión usados por NetSupport Manager

Dhyacie.cn:443

asancuasusa3qaa.xyz:443

Otras figuras que probablemente fueron comprometidas por Evil Corp en México (no confirmado)

Adicional al sitio web de la funcionaria pública y, posiblemente algunos bancos de México, algunas otras instituciones pudieron haber sido afectadas.

https://carolinalastra[.]mx/

http://abio[.]com[.]mx/

https://excursiones[.]xico[.]com[.]mx/

http://subastando[.]mx/

https://www[.]elave[.]mx/

http://www[.]xico[.]com[.]mx/

https://www[.]tubanda[.]com[.]mx/

http://m.yahoo.mx[.]wfcmai[.]xyz/

Recomendaciones de protección

Mejores prácticas para personas físicas

Mejores prácticas para entidades financieras

  • Mantente al día. Asegúrate de que los equipos de cómputo, dispositivos móviles y aplicaciones se encuentren actualizados con los últimos parches y correcciones disponibles.
  • Mantente seguro. Valida que los equipos de cómputo y dispositivos móviles se encuentren protegidos ante virus informáticos (malware), y que la configuración del Sistema Operativo y aplicaciones sea segura.
  • Mantente informado. Asegúrate de que tus servicios financieros te notifiquen de cargos y movimientos, y mantén un control de los gastos y cambios realizados en el servicio bancario.
  • Si es sospechoso, es peligroso. Mantente alerta ante la llegada de contenidos no solicitados, así como de aquellos eventos anormales en el contexto personal y/o de negocio. Ciberdelincuentes continuamente alternan el canal de comunicación y/o medio para su estafar a sus víctimas haciéndolas que  entreguen información sensible.
    • Llamadas telefónicas
    • Mensajes de texto (SMS)
    • Correos electrónico
    • Navegación por internet
  • Verifica antes de actuar. En caso de sospecha de compromiso de cuenta, mantén la calma y valida movimientos directamente con la fuente del servicio financiero que tengas a tu disposición.
    • Último cargo reconocido
    • Último acceso exitoso
  • Protección adicional. La mayoría de las entidades financieras tiene a disposición mediante descarga herramientas de protección adicional, se recomienda el uso de estas, tomando en cuenta que no sustituyen un antivirus tradicional.
  • No almacenes información. Hoy en día es muy común ver en los equipos archivos de Excel, Word, Bloc de Notas con nombres muy evidentes como: “Contraseñas banca”, “Banca electrónica accesos”, etc. Esto facilita a atacantes la búsqueda de información sensible, sino te es posible memorizar estos datos, no los tengas a la vista y usa otros nombres para guardar dicha información.
  • Control de tu PC. Ningún programa bancario te quita el control total de tu computadora, si notas que ya no tienes el control de tu equipo como: abrir y cerrar ventas y archivos, apagarla o reiniciarla, cambiar de programa o alternar entre tareas es muy probable que alguien más este controlando tu computadora, no introduzcas información sensible.
  • Usa un solo equipo. Siempre usa un solo equipo para acceder a tus servicios bancarios, no accedas desde equipos que no conozcas o que son usados por varias personas, ya que estas pudieron haber descargado o instalado malware sin darse cuente, recuerda la computadora es personal.
  • Redes públicas. Si vas a entrar a tu portal bancario hazlo desde una red confiable, no utilices para este fin redes inalámbricas públicas y sin contraseña ya que esto puede comprometer tu información.
  • Comunicación continua y oportuna. Mantener una concientización agnóstica y continua en torno a las amenazas a la seguridad de la información, la higiene digital y los mecanismos para validación de cargos y movimientos.
  • Riesgo en contexto de la prevención de fraude. Considerar el monitoreo y seguimiento a eventos de riesgo representativos de las reglas de negocio, la identidad y la confianza del usuario en cada canal de banca.
  • Visibilidad 360° del riesgo. Perfilar el riesgo en las actividades de usuario considerando las actividades que este realiza en la totalidad de canales con los que interactúa.
  • Cambios y evolución del fraude. Evaluar la necesidad de aprender a partir de las actividades del usuario y el contexto del canal, producto y/o servicio, vs. aprendizaje basado en tiempo. Considerar capacidades en los motores que faciliten el reconocimiento de fraude, empleando aprendizaje supervisado y no supervisado.
  • Protección base de canales de banca digital. Estandarizar la detección y responder ante intrusiones dirigidas a las aplicaciones, la infraestructura, y/o la red de los canales de banca.
  • Asegurar las transacciones punto a punto. Identificar y monitorizar las transacciones de manera integral, cubriendo desde la solicitud del cliente, la ejecución y estado de aquellos procesos internos para responder a la necesidad del cliente, hasta el resultado final de la transacción resultante. Esto facilitará en gran medida la identificación y respuesta ante ataques que se producen al interior de la infraestructura de los canales de banca y/o por medio de abuso a los procesos internos.
  • Estrategia integral de Ciberseguridad y Prevención de Fraudes. Aprovecha las variables de negocio, ciberseguridad y prevención de fraudes para planear y mejorar los casos de protección para los canales de banca.