Um cibercriminoso de origem mexicana foi associado a uma campanha de malware móvel para dispositivos Android que visa instituições financeiras globalmente, mas com foco específico em bancos espanhóis e chilenos, de junho de 2021 a abril de 2023.
A atividade está sendo atribuída a um ator codinome Neo_Net, de acordo com o pesquisador de segurança Pol Thill.
Os resultados foram publicados pela SentinelOne após um Desafio de Pesquisa de Malware em colaboração com o vx-underground.
"Apesar de usar ferramentas relativamente pouco sofisticadas, Neo_Net obteve uma alta taxa de sucesso adaptando sua infraestrutura a alvos específicos, resultando no roubo de mais de 350.000 EUR das contas bancárias das vítimas e comprometendo informações pessoalmente identificáveis (PII) de milhares de vítimas", disse Thill.
Alguns dos principais alvos incluem bancos como Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING.
Neo_Net, ligado a um ator de língua espanhola residente no México, se estabeleceu como um cibercriminoso experiente, envolvendo-se na venda de painéis de phishing, dados de vítimas comprometidas para terceiros e uma oferta de smishing-as-a-service chamada Ankarex, projetada para atingir vários países ao redor do mundo.
O ponto de entrada inicial para o ataque de várias etapas é o phishing por SMS, no qual o ator ameaça emprega várias táticas para enganar os destinatários desavisados a clicar em páginas de destino falsas para colher e exfiltrar suas credenciais por meio de um bot do Telegram.
"As páginas de phishing foram meticulosamente configuradas usando os painéis PRIV8 de Neo_Net e implementaram várias medidas de defesa, incluindo bloquear solicitações de agentes de usuário não móveis e ocultar as páginas de bots e scanners de rede", explicou Thill.
"Essas páginas foram projetadas para se assemelhar de perto a aplicativos bancários genuínos, completos com animações para criar uma fachada convincente."
Os atores também foram observados enganando clientes bancários para instalar aplicativos Android falsos sob o disfarce de software de segurança que, uma vez instalados, solicitam permissões de SMS para capturar códigos de autenticação de dois fatores (2FA) baseados em SMS enviados pelo banco.
A plataforma Ankarex, por sua vez, está ativa desde maio de 2022.
É promovida ativamente em um canal do Telegram que tem cerca de 1.700 assinantes.
"O próprio serviço está acessível em ankarex e, uma vez registrado, os usuários podem carregar fundos usando transferências de criptomoedas e lançar suas próprias campanhas de smishing especificando o conteúdo do SMS e os números de telefone-alvo", disse Thill.
O desenvolvimento ocorre quando a ThreatFabric detalhou uma nova campanha do trojan bancário Anatsa (também conhecido como TeaBot) que tem como alvo clientes bancários nos Estados Unidos, Reino Unido, Alemanha, Áustria e Suíça desde o início de março de 2023.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...