Adam - stock.adobe.com
Smishing-as-a-Service es la nueva, y también vieja, amenaza para robar a clientes de bancos
CLM y SentinelOne revelan el modus operandi del grupo Neo_Net, que ha estado robando dinero y datos de miles de víctimas en todo el mundo. Neo_Net opera principalmente en países de habla hispana y se comunica predominantemente en español con sus afiliados.
CLM publica la investigación que ganó el primer Desafío de Investigación de Malware, realizado por SentinelOne en asociación con vx-underground.
El ganador del desafío fue Pol Thill, investigador de la comunidad de ciberseguridad, con un estudio profundo y meticuloso de Neo_Net, un agente de amenazas de cibercrimen dirigido a miles de clientes que utilizan aplicaciones móviles de instituciones financieras. Thill incluso muestra el uso de una plataforma Smishing-as-a-Service, llamada Ankarex, que además de ser utilizada por el grupo se alquila a otros ciberdelincuentes, ampliando aún más el número de víctimas.
El smishing es todo phishing que se distribuye por mensajes SMS en lugar de correos electrónicos. En Brasil los delincuentes consiguen hasta 0800 plantas para dar más credibilidad.
Francisco Camargo, CEO de CLM, compañía que distribuye las soluciones SentinelOne en América Latina, resalta la importancia de este tipo de competencias ya que contribuye significativamente a comprender el escenario de la ciberseguridad en el mundo y descubrir el modus operandi de los grupos cibercriminales. “La investigación de Neo_Net pudo describir paso a paso esta operación criminal y cómo se ramifica. Sí, el hampa del cibercrimen se ha convertido en una franquicia que vende y alquila infraestructura disponible en el mercado. Tienen estrategias, trucos comerciales y anuncios para dar a conocer sus 'servicios' y obtener ganancias”, afirma.
Según CLM, Pol Thill descubrió que las campañas de Neo_Net se realizan en varias etapas: mensajes SMS de phishing dirigidos a clientes del banco, uso de Smishing-as-a-Service, enlaces maliciosos a páginas falsas que se parecen mucho a las de las aplicaciones bancarias y crean la ilusión de autenticidad, engañando a muchos titulares de cuentas. El objetivo, además de robar dinero, es exfiltrar datos.
Neo_Net ha estado activo en la escena de la ciberseguridad al menos desde principios de 2021. Mantienen un perfil público en GitHub con el nombre “notsafety” y una cuenta de Telegram que muestra su trabajo y lo identifica como el fundador de Ankarex, una plataforma de smishing como servicio.
Ankarex ha estado activo al menos desde mayo de 2022. El canal de noticias Ankarex en Telegram, que anuncia el servicio, tiene actualmente 1700 suscriptores y publica periódicamente actualizaciones sobre el software, así como ofertas limitadas y obsequios.
Aspectos destacados del estudio
Según el estudio de Thill, Neo_Net ha estado llevando a cabo una extensa campaña de cibercrimen dirigida a clientes de los principales bancos de todo el mundo desde junio de 2021 hasta abril de 2023. El foco principal de los delincuentes son los bancos españoles y chilenos, hasta el punto de que 30 de los 50 objetivos financieros tienen su sede en España o Chile, incluidos grandes bancos como Santander, BBVA y CaixaBank. Las instituciones objetivo en otras regiones incluyen Deutsche Bank, Crédit Agricole e ING.
A pesar de utilizar herramientas relativamente poco sofisticadas, Neo_Net logró una alta tasa de éxito al adaptar su infraestructura a objetivos específicos, lo que resultó en el robo de más de 350.000 euros de las cuentas bancarias de las víctimas y la información de identificación personal comprometida (Información de identificación personal - PII), como números de teléfono, números de identidad nacionales y los nombres de miles de ellos.
Neo_Net estableció y arrendó una amplia infraestructura que incluye paneles de phishing, software de smishing y troyanos de Android a varios afiliados; vendió datos de víctimas comprometidos y lanzó Ankarex, una exitosa oferta de Smishing-as-a-Service dirigida a varios países de todo el mundo.
La campaña emplea una estrategia de ataque en varias etapas, comenzando con mensajes SMS de phishing dirigidos distribuidos por España y otros países, y utilizando el servicio propietario de Neo_Net, Ankarex, su plataforma Smishing-as-a-Service. Estos mensajes aprovecharon las identificaciones del remitente (SID) para crear una ilusión de autenticidad, imitando a instituciones financieras acreditadas para engañar a las víctimas.
Los mensajes SMS utilizan varias tácticas de miedo, como afirmar que se accedió a la cuenta de la víctima desde un dispositivo no autorizado o que el límite de su tarjeta se limitó temporalmente por motivos de seguridad. Los mensajes también contienen un hipervínculo a la página de phishing de un delincuente. Estas páginas están diseñadas para parecerse a aplicaciones bancarias genuinas, con animaciones para crear una fachada convincente.
Después de enviar las credenciales, la información de las víctimas se filtra ilícitamente en un chat de Telegram a través de la API de Telegram Bot, lo que otorga a los delincuentes acceso ilimitado a los datos robados, incluidas las direcciones IP de las víctimas y los datos de los usuarios.
La cantidad adquirida ilícitamente a las víctimas durante un año de operación ascendió al menos a 350.000 euros. Sin embargo, es probable que el monto real sea significativamente mayor ya que es posible que las operaciones y transacciones más antiguas que no involucran mensajes de confirmación por SMS no se hayan contabilizado en su totalidad debido a la visibilidad limitada.
Más información sobre Neo_Net
Los profesionales de CLM explican que, además del servicio de smishing, Neo_Net también ofrece clientes potenciales que incluyen nombres de víctimas, direcciones de correo electrónico, IBAN y números de teléfono a la venta en el canal Ankarex. También anunció su servicio de software espía SMS para Android para miembros seleccionados.
En el transcurso de su operación de un año, Neo_Net ha sido rastreado hasta varias direcciones IP únicas, lo que indica que actualmente reside en México. Neo_Net opera principalmente en países de habla hispana y se comunica predominantemente en español con sus afiliados. La comunicación en el Canal Ankarex se realiza casi exclusivamente en español.
Sin embargo, también se ha observado que Neo_Net colabora con personas que no hablan español, incluido otro cibercriminal identificado por Telegram como devilteam666. Esta operación en particular implicó el uso de Google Ads dirigido a propietarios de billeteras criptográficas, y devilteam666 continúa ofreciendo servicios maliciosos de Google Ads en su canal de Telegram.