Contacto
Links
Ubicacion
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.
Las bandas de ransomware han encontrado un mercado rentable en LATAM, pero no están solas, necesitan actores regionales que les proporcionen el acceso inicial a las empresas. Estos grupos locales crean campañas de phishing basadas en las actividades del gobierno durante el año, como la temporada de impuestos, el mes del testamento, el Buen Fin, etc., una vez que obtienen acceso, Lockbit, Medusa, Darkside, etc., se hacen cargo de completar la misión.
El equipo de Inteligencia de Amenazas de Metabase Q ha descubierto recientemente un grupo local que creó una nueva botnet autoproclamada como «Fenix», que se dirige específicamente a los usuarios que acceden a los servicios gubernamentales, en particular a las personas que pagan impuestos en México y Chile. Esta botnet aprovecha la temporada de impuestos en ambos países, que ocurrió en abril pasado. En su campaña maliciosa, los atacantes redirigen a las víctimas a sitios web fraudulentos que imitan los portales oficiales del Servicio de Administración Tributaria (SAT) en México y el Servicio de Impuestos Internos (SII) en Chile. Estos sitios web falsos solicitan a los usuarios que descarguen una supuesta herramienta de seguridad, alegando que mejorará la seguridad de navegación de su portal. Sin embargo, sin que las víctimas lo sepan, esta descarga en realidad instala la etapa inicial del malware, lo que en última instancia permite el robo de información confidencial, como credenciales.
Impacto
Si bien tenemos evidencia de que el actor ha estado activo desde Q4 2022, hemos enumerado las campañas más recientes y las instituciones objetivo a continuación donde la principal motivación es instalar un infostealer para obtener las credenciales de los usuarios que acceden a estos sitios:
| Fecha de la campaña | Página de destino | Entidad y país objetivo |
| 2023-02-02 | citas-sregob-mexico[.] com | Secretaria de Relaciones Exteriores – México |
| 2023-02-02 | sre-curpmexico[.] .com | Secretaria de Relaciones Exteriores – México |
| 2023-02-02 | citas-sat2023[.] com.mx | Servicio de Administración Tributaria (SAT) – México |
| 2023-02-08 | mexico-curp[.] com | Secretaria de Relaciones Exteriores – México |
| 2023-03-04 | whatsapp.website | Público en general |
| 2023-03-17 | annydesk.website | Público en general |
| 2023-03-17 | tramites-sat[.] com.mx | Secretaria de Relaciones Exteriores – México |
| 2023-03-14 | citasatmx2023[.] años | Servicio de Administración Tributaria (SAT) – México |
| 2023-03-14 | 2repuvegobmx[.] com.mx | Registro Público Vehicular (REPUVE) – México |
| 2023-03-16 | Escitas-satMX[.] ..com | Servicio de Administración Tributaria (SAT) – México |
| 2023-03-29 | LBCI-Seguros[.] ..com | Banco BCI – Chile |
| 2023-04-13 | siii-chile[.] com | Servicio de Impuestos Internos (SII) – Chile |
| 2023-04-15 | consultacurp-gobmx[.] com.mx | Secretaria de Relaciones Exteriores – México |
¿Quién es el actor detrás de estos ataques?
Podemos confirmar con gran confianza que la Botnet Fénix involucra a desarrolladores mexicanos. Sin embargo, dado que esta es una investigación en curso, aún no es posible revelar todos los detalles del actor. Algunas características del actor de Fénix son las siguientes:
- Se centra en México y Chile (hasta la fecha)
- Tiene un alto nivel de familiaridad con las instituciones gubernamentales locales en América Latina
- Comparte infraestructura con otros actores de la región, probablemente el mismo proveedor
- Su primera actividad comenzó alrededor del último trimestre de 2022
- Su principal estrategia de infección inicial es engañar al usuario para que descargue una herramienta de seguridad falsa.
- Utiliza HTTrack Website Copier/3.x para clonar sitios web
- Compromete sitios web débiles utilizando motores de WordPress vulnerables y también crea nuevos dominios para lanzar campañas de phishing
- Crea dominios de typosquatting similares a aplicaciones conocidas como AnyDesk, WhatsApp, etc.
- Utiliza software de código abierto para algunos de sus componentes
- Utiliza los siguientes lenguajes en cargas útiles: JScript, Rust, Golang, Powershell y .NET
Conclusiones
Estamos viendo que se están creando nuevos grupos maliciosos en LATAM para proporcionar acceso inicial a las bandas de Ransomware, como se detalla en este blog, estos actores locales no son aficionados y aumentarán su experiencia técnica y por lo tanto más difíciles de rastrear, detectar y erradicar, es importante anticipar sus acciones. El equipo de Inteligencia de Amenazas de Metabase Q, rastrea estas amenazas emergentes, monitorea sus movimientos, desmonta su infraestructura, comprende sus motivaciones, comparte indicadores de compromiso en tiempo real y proporciona las últimas técnicas a nuestros clientes para protegerlos de manera proactiva.
Sobre Nosotros
Somos una consultoría especializada en la seguridad de información, que por medio de una gama de consultores expertos en la materia, brindamos soluciones a los problemas tecnológicos que enfrentan las diferentes industrias.