Adam - stock.adobe.com
Smishing-as-a-Service é a nova, e também velha, ameaça para roubar clientes de bancos
CLM e SentinelOne divulgam modus operandi do grupo Neo_Net, que tem roubado dinheiro e dados de milhares de vítimas em todo o mundo. Neo_Net opera principalmente em países de língua espanhola e se comunica predominantemente em espanhol com suas afiliadas.
A CLM divulga a pesquisa que venceu o primeiro Malware Research Challenge, realizado pela SentinelOne em parceria com a vx-underground.
O vencedor do desafio foi Pol Thill, pesquisador da comunidade de segurança cibernética, com um estudo aprofundado e meticuloso sobre o Neo_Net, um agente de ameaças do cibercrime dirigido a milhares de clientes, que usam apps móveis de instituições financeiras. Thill mostra, inclusive, o uso de uma plataforma de Smishing-as-a-Service, chamada de Ankarex, que além de ser usada pelo grupo é alugada para outros cibercriminosos, ampliando ainda mais o número de vítimas.
Smishing é todo phishing que é distribuído por mensagens SMS em vez de e-mails. No Brasil os criminosos conseguem até centrais 0800 para dar mais credibilidade.
Francisco Camargo, CEO da CLM, que distribui as soluções da SentinelOne na América Latina, ressalta a importância desse tipo de competição por contribuir de forma significativa para a compreensão do cenário de segurança cibernética no mundo e a descoberta do modus operandi de grupos de cibercriminosos. “A pesquisa sobre o Neo_Net conseguiu descrever o passo a passo dessa operação criminosa e como ela se ramifica. Sim, o submundo dos crimes cibernéticos virou uma franquia, com venda e aluguel de infraestruturas prontas para serem usadas. Eles têm estratégias, artifícios de negócios e propagandas para divulgar seus ‘serviços’ e obter lucro”, conta.
Segundo a CLM, Pol Thill descobriu que as campanhas do Neo_Net são feitas em vários estágios: mensagens SMS de phishing direcionados a clientes de bancos, uso do Smishing-as-a-Service, links maliciosos para páginas falsas que se parecem muito com a dos apps dos bancos e criam a ilusão de autenticidade, enganando muitos correntistas. O objetivo, além de roubar dinheiro, é exfiltrar dados.
Neo_Net atua no cenário de cibersegurança pelo menos desde o início de 2021. Eles mantêm um perfil público no GitHub com o nome “notsafety” e uma conta no Telegram que mostra seu trabalho e o identifica como o fundador da Ankarex, uma plataforma de Smishing-as-a-Service.
Ankarex está ativa desde pelo menos maio de 2022. O Ankarex News Channel no Telegram, que anuncia o serviço, tem atualmente 1700 assinantes e publica regularmente atualizações sobre o software, bem como ofertas limitadas e brindes.
Destaques do estudo
De acordo com o estudo de Thill, o Neo_Net tem conduzido uma extensa campanha de e-Crime direcionada a clientes de bancos importantes em todo o mundo, de junho de 2021 a abril de 2023. O foco principal dos criminosos são bancos espanhóis e chilenos, tanto que 30 das 50 instituições financeiras-alvo têm sede na Espanha ou no Chile, incluindo grandes bancos como Santander, BBVA e CaixaBank. Instituições-alvo em outras regiões incluem Deutsche Bank, Crédit Agricole e ING.
Apesar de usar ferramentas relativamente pouco sofisticadas, o Neo_Net alcançou uma alta taxa de sucesso adaptando sua infraestrutura para alvos específicos, o que resultou no roubo de mais de 350 mil euros das contas bancárias das vítimas e comprometeu informações de identificação pessoal (Personally Identifiable Information - PII) como números de telefone, de identidade nacional e nomes de milhares delas.
O Neo_Net estabeleceu e alugou uma ampla infraestrutura, incluindo painéis de phishing, software de smishing e trojans Android para vários afiliados; vendeu dados comprometidos de vítimas e lançou o Ankarex, uma oferta bem-sucedida de Smishing-as-a-Service, direcionada a vários países em todo o mundo.
A campanha emprega uma estratégia de ataque em vários estágios, começando com mensagens SMS de phishing direcionados, distribuídas pela Espanha e outros países, e usando o serviço proprietário da Neo_Net, o Ankarex, sua plataforma de Smishing-as-a-Service. Essas mensagens aproveitavam IDs de remetente (SIDs) para criar uma ilusão de autenticidade, imitando instituições financeiras respeitáveis para enganar as vítimas.
As mensagens SMS usam várias táticas de intimidação, como alegar que a conta da vítima foi acessada por um dispositivo não autorizado ou que o limite do seu cartão foi temporariamente limitado devido a questões de segurança. As mensagens também contêm um hiperlink para uma página de phishing do criminoso. Essas páginas são projetadas para se assemelhar a aplicativos bancários genuínos, completos, com animações para criar uma fachada convincente.
Após o envio das credenciais, as informações das vítimas são exfiltradas ilicitamente para um bate-papo no Telegram por meio da API do Telegram Bot, concedendo aos criminosos acesso irrestrito aos dados roubados, incluindo os endereços IP e dados de usuário das vítimas.
O montante adquirido ilicitamente das vítimas durante um ano de operação totalizou, no mínimo, 350 mil euros. No entanto, é provável que o valor real seja significativamente maior, uma vez que operações e transações mais antigas, que não envolvem mensagens de confirmação por SMS, podem não ter sido totalmente contabilizadas devido à visibilidade limitada.
Saiba mais de Neo_Net
Os profissionais do CLM explicam que, além do serviço smishing, a Neo_Net também oferece leads, incluindo nomes de vítimas, endereços de e-mail, IBANs e números de telefone para venda no Ankarex Channel. Ele também anunciou seu serviço de spyware SMS para Android para membros selecionados.
Ao longo de sua operação de um ano, o Neo_Net foi rastreado até vários endereços IP exclusivos, indicando que ele atualmente reside no México. Neo_Net opera principalmente em países de língua espanhola e se comunica predominantemente em espanhol com suas afiliadas. A comunicação no Ankarex Channel é quase exclusivamente feita em espanhol.
No entanto, o Neo_Net também foi observado colaborando com pessoas que não falam espanhol, incluindo outro cibercriminoso identificado pelo Telegram como devilteam666. Essa operação em particular envolveu o uso do Google Ads visando proprietários de carteiras criptográficas, e o devilteam666 continua a oferecer serviços maliciosos do Google Ads em seu canal do Telegram.