El Grupo de Cibercrimen Fénix, con base en México, ha dirigido sus ataques hacia individuos contribuyentes en México y Chile, con el objetivo de infiltrar redes específicas y robar datos valiosos.
Una característica clave de la operación implica la clonación de portales oficiales del Servicio de Administración Tributaria (SAT) en México y del Servicio de Impuestos Internos (SII) en Chile, redirigiendo a posibles víctimas a estos sitios.
«Estos sitios web falsos incitan a los usuarios a descargar una supuesta herramienta de seguridad, afirmando que mejorará la seguridad de su navegación por el portal», indicaron los investigadores de seguridad de Metabase Q, Gerardo Corona y Julio Vidal, en un análisis reciente.
«Sin embargo, sin el conocimiento de las víctimas, esta descarga en realidad instala la etapa inicial de un malware, permitiendo en última instancia el robo de información sensible como credenciales».
Ciberseguridad
El objetivo de Fénix, según la firma de ciberseguridad centrada en América Latina, es actuar como intermediario de acceso inicial y obtener una posición en diferentes empresas de la región para luego vender el acceso a afiliados de ransomware con fines de monetización adicional.
Las pruebas recopiladas hasta ahora señalan que el actor de amenazas orquestó campañas de phishing coincidiendo con actividades gubernamentales durante al menos el cuarto trimestre de 2022.
Grupo de Cibercrimen Fénix
La mecánica de la campaña procede de la siguiente manera: los visitantes que llegan a los sitios web falsificados son instalados a descargar software que supuestamente protege sus datos mientras navegan por el portal. Alternativamente, los usuarios son atraídos a través de sitios de phishing diseñados para descargar aplicaciones legítimas como AnyDesk.
«Fenix compromete sitios web débiles utilizando motores WordPress vulnerables y también crea nuevos dominios para lanzar campañas de phishing», afirmaron los investigadores, añadiendo que el grupo «crea dominios de typosquatting similares a aplicaciones conocidas como AnyDesk, WhatsApp, etc.».
Sin embargo, en realidad, el archivo ZIP que contiene el supuesto software se utiliza como trampolín para activar una secuencia de infección que conduce a la ejecución de un script de PowerShell ofuscado, que a su vez carga y ejecuta un binario .NET, después del cual se muestra el mensaje «Ahora se encuentra protegido» para mantener el engaño.
El ejecutable .NET posteriormente allana el camino para establecer la persistencia en el host comprometido e implementar un malware de botnet capaz de ejecutar comandos recibidos de un servidor remoto, cargar un módulo de robo que extrae credenciales almacenadas en navegadores web y billeteras de criptomonedas, y en última instancia, eliminarse a sí mismo.
«Estamos viendo la creación de nuevos grupos maliciosos en América Latina que proporcionan acceso inicial a bandas de ransomware», concluyeron los investigadores. «Estos actores locales no son aficionados y aumentarán su experiencia técnica y, por lo tanto, serán más difíciles de rastrear, detectar y erradicar. Es importante anticipar sus acciones».
Fuente: The Hacker News
