A CLM divulgou a pesquisa que venceu o primeiro Malware Research Challenge, realizado pela SentinelOne, especializada em tecnologias de cibersegurança baseada em IA (Inteligência Artificial) que abrange desde prevenção, detecção, resposta e caça aos ataques, em parceria com a vx-underground.
Smishing na verdade é todo Phishing que é distribuído por mensagens SMS em vez de e-mails. No Brasil os criminosos conseguem até centrais 0800 para dar mais credibilidade.
O vencedor do desafio foi Pol Thill, pesquisador da comunidade de segurança cibernética, com um estudo aprofundado e meticuloso sobre o Neo_Net, um agente de ameaças do cibercrime dirigido a milhares de clientes, que usam apps móveis de instituições financeiras. Thill mostra, inclusive, o uso de uma plataforma de Smishing-as-a-Service, chamada de Ankarex, que além de ser usada pelo grupo é alugada para outros cibercriminosos, ampliando ainda mais o número de vítimas.
Francisco Camargo, CEO da CLM, ressalta a importância desse tipo de competição por contribuir de forma significativa para a compreensão do cenário de segurança cibernética no mundo e a descoberta do modus operandi de grupos de cibercriminosos.
“A pesquisa sobre o Neo_Net conseguiu descrever o passo a passo dessa operação criminosa e como ela se ramifica. Sim, o submundo dos crimes cibernéticos virou uma franquia, com venda e aluguel de infraestruturas prontas para serem usadas. Eles têm estratégias, artifícios de negócios e propagandas para divulgar seus ‘serviços’ e obter lucro”, conta.
Pol Thill descobriu que as campanhas do Neo_Net são feitas em vários estágios: mensagens SMS de phishing direcionados a clientes de bancos, uso do Smishing-as-a-Service, links maliciosos para páginas falsas que se parecem muito com a dos apps dos bancos e criam a ilusão de autenticidade, enganando muitos correntistas. O objetivo, além de roubar dinheiro é exfiltrar dados.
Estudo
De acordo com o estudo de Thill, o Neo_Net tem conduzido uma extensa campanha de e-Crime direcionada a clientes de bancos importantes em todo o mundo, de junho de 2021 a abril de 2023. O foco principal dos criminosos são bancos espanhóis e chilenos, tanto que 30 das 50 instituições financeiras-alvo têm sede na Espanha ou no Chile, incluindo grandes bancos como Santander, BBVA e CaixaBank. Instituições-alvo em outras regiões incluem Deutsche Bank, Crédit Agricole e ING. Uma lista completa está no Apêndice A no final do texto.
Apesar de usar ferramentas relativamente pouco sofisticadas, o Neo_Net alcançou uma alta taxa de sucesso adaptando sua infraestrutura para alvos específicos, o que resultou no roubo de mais de 350 mil euros das contas bancárias das vítimas e comprometeu informações de identificação pessoal (Personally Identifiable Information – PII) como números de telefone, de identidade nacional e nomes de milhares delas.
O Neo_Net estabeleceu e alugou uma ampla infraestrutura, incluindo painéis de phishing, software de Smishing e trojans Android para vários afiliados; vendeu dados comprometidos de vítimas e lançou o Ankarex, uma oferta bem-sucedida de Smishing-as-a-Service, direcionada a vários países em todo o mundo.
Detalhamento técnico
A campanha emprega uma estratégia de ataque em vários estágios, começando com mensagens SMS de phishing direcionados, distribuídas pela Espanha e outros países, e usando o serviço proprietário da Neo_Net, o Ankarex, sua plataforma de Smishing-as-a-Service.
Essas mensagens aproveitavam IDs de remetente (SIDs) para criar uma ilusão de autenticidade, imitando instituições financeiras respeitáveis para enganar as vítimas.
As mensagens SMS usam várias táticas de intimidação, como alegar que a conta da vítima foi acessada por um dispositivo não autorizado ou que o limite do seu cartão foi temporariamente limitado devido a questões de segurança. As mensagens também contêm um hiperlink para uma página de phishing do criminoso.
As páginas de phishing são meticulosamente configuradas usando os painéis do Neo_Net, PRIV8, e implementam diversas medidas de defesa, incluindo o bloqueio de solicitações de usuários que acessavam por dispositivos não móveis e a ocultação das páginas de bots e scanners de rede. Essas páginas são projetadas para se assemelhar a aplicativos bancários genuínos, completos, com animações para criar uma fachada convincente.
Após o envio das credenciais, as informações das vítimas são exfiltradas ilicitamente para um bate-papo no Telegram por meio da API do Telegram Bot, concedendo aos criminosos acesso irrestrito aos dados roubados, incluindo os endereços IP e dados de usuário das vítimas.
Posteriormente, os invasores empregaram várias técnicas para contornar os mecanismos de autenticação multifator (MFA) comumente usados por aplicativos bancários. Uma dessas abordagens envolve persuadir as vítimas a instalar um suposto aplicativo de segurança para sua conta bancária em seus dispositivos Android.
No entanto, este aplicativo não serve a nenhum propósito de segurança legítimo e apenas solicita permissões para enviar e visualizar mensagens SMS.
Na realidade, esses trojans do Android funcionavam como versões modificadas do spyware de SMS para Android, disponível publicamente, conhecido como SMS Eye. Alguns atores de ameaças ofuscaram ainda mais o trojan usando empacotadores públicos para evitar a detecção por soluções antimalware. Esses trojans exfiltraram secretamente as mensagens SMS recebidas para um bate-papo exclusivo do Telegram.
As mensagens exfiltradas são usadas então para ignorar o MFA nas contas de destino, capturando senhas descartáveis (OTPs). Além disso, os criminosos também foram observados fazendo ligações telefônicas diretas para as vítimas, possivelmente para se passar por representantes do banco e enganá-las para que instalem o spyware do Android ou divulguem suas OTPs.
O montante adquirido ilicitamente das vítimas durante um ano de operação totalizou, no mínimo, 350 mil euros. No entanto, é provável que o valor real seja significativamente maior, uma vez que operações e transações mais antigas, que não envolvem mensagens de confirmação por SMS, podem não ter sido totalmente contabilizadas devido à visibilidade limitada.
Neo_Net
O Neo_Net, ator proeminente responsável pela campanha global de crimes cibernéticos, atua no cenário de cibersegurança pelo menos desde o início de 2021. Eles mantêm um perfil público no GitHub com o nome “notsafety” e uma conta no Telegram que mostra seu trabalho e o identifica como o fundador da Ankarex, uma plataforma de Smishing-as-a-Service.
Por meio de suas contribuições no Telegram, o Neo_Net foi vinculado ao fórum “macosfera.com”, um fórum de TI em espanhol. Endereços de e-mail registrados com o domínio do fórum foram encontrados em relação a vários painéis de phishing criados pela Neo_Net, cujos alvos eram espanhóis e outras instituições.
Esses endereços de e-mail foram usados como nomes de usuário para os painéis, sugerindo que Neo_Net pode ter colaborado com indivíduos deste fórum para configurar sua infraestrutura. Os painéis de phishing também indicam claramente o Neo_Net como o criador, com sua assinatura no topo dos arquivos php.
Ankarex
A principal criação do Neo_Net é a plataforma Ankarex Smishing-as-a-Service, que está ativa desde pelo menos maio de 2022. O Ankarex News Channel no Telegram, que anuncia o serviço, tem atualmente 1700 assinantes e publica regularmente atualizações sobre o software, bem como ofertas limitadas e brindes.
O serviço ser acessado em ankarex[.]net e, uma vez registrado, o usuário pode fazer upload de recursos usando transferências de criptomoeda e então lançar suas próprias campanhas Smishing especificando o conteúdo do SMS e os números de telefone de destino. Atualmente, a Ankarex tem como alvo nove países, mas historicamente opera em outras regiões.
Além do serviço Smishing, a Neo_Net também oferece leads, incluindo nomes de vítimas, endereços de e-mail, IBANs e números de telefone para venda no Ankarex Channel. Ele também anunciou seu serviço de spyware SMS para Android para membros selecionados. Notavelmente, todo canal criado para exfiltrar as mensagens SMS capturadas têm o Neo_Net listado como administrador, e vários nomes de pacotes dos trojans do Android aludem ao seu criador com nomes como com.neonet.app.reader.
É provável que Neo_Net tenha alugado sua infraestrutura para afiliados, alguns dos quais foram observados trabalhando com ele em várias campanhas exclusivas, permitindo que eles conduzissem phishing e transferências de recursos de forma independente.
Ao longo de sua operação de um ano, o Neo_Net foi rastreado até vários endereços IP exclusivos, indicando que ele atualmente reside no México. Neo_Net opera principalmente em países de língua espanhola e se comunica predominantemente em espanhol com suas afiliadas. A comunicação no Ankarex Channel é quase exclusivamente feita em espanhol.
No entanto, o Neo_Net também foi observado colaborando com pessoas que não falam espanhol, incluindo outro cibercriminoso identificado pelo Telegram como devilteam666. Essa operação em particular envolveu o uso do Google Ads visando proprietários de carteiras criptográficas, e o devilteam666 continua a oferecer serviços maliciosos do Google Ads em seu canal do Telegram.