Un grupo de cibercrimen de habla hispana llamado Equipo GXC Se ha observado que agrupa kits de phishing con aplicaciones maliciosas de Android, llevando las ofertas de malware como servicio (MaaS) al siguiente nivel.
La empresa de ciberseguridad de Singapur Group-IB, que ha estado rastreando al actor del cibercrimen desde enero de 2023, describió la solución de crimeware como una “sofisticada plataforma de phishing como servicio impulsada por IA” capaz de apuntar a usuarios de más de 36 bancos y gobiernos españoles. agencias y 30 instituciones en todo el mundo.
El kit de phishing cuesta entre $150 y $900 por mes, mientras que el paquete que incluye el kit de phishing y el malware de Android está disponible mediante suscripción por alrededor de $500 por mes.
Los objetivos de la campaña incluyen usuarios de instituciones financieras españolas, así como servicios gubernamentales y fiscales, empresas de comercio electrónico, bancos e intercambios de criptomonedas en EE. UU., Reino Unido, Eslovaquia y Brasil. Hasta la fecha se han identificado hasta 288 dominios de phishing vinculados a esta actividad.
La gama de servicios ofrecidos también incluye la venta de credenciales bancarias robadas y esquemas de codificación personalizados a otros grupos de ciberdelincuentes que apuntan a negocios bancarios, financieros y de criptomonedas.
«A diferencia de los desarrolladores de phishing tradicionales, el equipo de GXC combinó kits de phishing con malware de robo de OTP de SMS, cambiando un escenario de ataque de phishing clásico en una dirección ligeramente nueva», dijeron los investigadores Anton Ushakov y Martijn van den Berk. dicho en un informe del jueves.
Lo que es notable aquí es que los actores de amenazas, en lugar de usar directamente una página falsa para recolectar credenciales, alientan a las víctimas a descargar una aplicación bancaria basada en Android para evitar ataques de phishing. Estas páginas se distribuyen mediante smishing y otros métodos.
Una vez instalada, la aplicación solicita permisos para configurarse como la aplicación de SMS predeterminada, lo que permite interceptar contraseñas de un solo uso y otros mensajes y filtrarlos a un bot de Telegram bajo su control.
«En el paso final, la aplicación abre el sitio web de un banco real en WebView, lo que permite a los usuarios interactuar con él normalmente», dijeron los investigadores. “Luego, cada vez que el atacante activa el mensaje OTP, el malware de Android recibe y transmite silenciosamente mensajes SMS con códigos OTP al chat de Telegram controlado por el actor malicioso. »
Otros servicios anunciados por el actor de amenazas en un canal dedicado de Telegram incluyen herramientas de llamadas de voz con inteligencia artificial que permiten a sus clientes generar llamadas de voz a objetivos potenciales basándose en una serie de indicaciones directamente desde el kit de phishing.
Por lo general, estas llamadas fingen ser de un banco y les piden que proporcionen sus códigos de autenticación de dos factores (2FA), instalen aplicaciones maliciosas o realicen otras acciones arbitrarias.
«El uso de este mecanismo simple pero eficaz hace que el escenario de estafa sea aún más convincente para sus víctimas y demuestra con qué rapidez y facilidad los delincuentes adoptan e implementan herramientas de inteligencia artificial en sus esquemas, transformando escenarios de tácticas de fraude tradicionales en tácticas nuevas y más sofisticadas», afirman los investigadores. anotado.
En un informe reciente, Mandiant, propiedad de Google, reveló cómo la clonación de voz impulsada por IA tiene la capacidad de imitar el habla humana con “precisión sobrenatural”, lo que permite esquemas de phishing (o vishing) más auténticos que facilitan el acceso inicial, la escalada de privilegios y el movimiento lateral.
«Los actores de amenazas pueden hacerse pasar por ejecutivos, compañeros de trabajo o incluso personal de soporte de TI para engañar a las víctimas para que revelen información confidencial, otorguen acceso remoto a sistemas o transfieran fondos», dijo la compañía de inteligencia de amenazas. dicho.
“La confianza inherente asociada a una voz familiar puede explotarse para manipular a las víctimas para que realicen acciones que normalmente no harían, como hacer clic en enlaces maliciosos, descargar malware o revelar datos confidenciales. »
Los kits de phishing, que también cuentan con capacidades de adversario en el medio (AiTM), se han vuelto cada vez más populares a medida que reducen la barrera técnica de entrada para realizar campañas de phishing a gran escala.
El investigador de seguridad Sr. D0X, en un relación publicado el mes pasado, dijo que es posible que los malos actores aprovechen las aplicaciones web progresivas (PWA) para diseñar páginas de inicio de sesión convincentes con fines de phishing manipulando elementos de la interfaz de usuario para mostrar una barra de URL falsa.
Además, estos kits de phishing AiTM también se pueden utilizar para ingresar a cuentas protegidas con contraseña en varias plataformas en línea mediante el llamado ataque de redacción de método de autenticación, que se aprovecha del hecho de que estos servicios aún ofrecen un método de autenticación menos seguro. un mecanismo de respaldo incluso cuando se han configurado claves de acceso.
“Dado que AitM puede manipular la vista presentada al usuario cambiando HTML, CSS e imágenes o JavaScript en la página de inicio de sesión, tal como se le presenta al usuario, en última instancia, puede controlar el flujo de autenticación y eliminar todas las referencias a la autenticación de clave de acceso, ”, dice la empresa de ciberseguridad eSentire dicho.
Esta revelación se produce en medio de un aumento reciente en las campañas de phishing que incorporan URL ya codificadas utilizando herramientas de seguridad como Secure Email Gateways (SEG) en un intento de ocultar enlaces de phishing y evadir el análisis, según Redes Barracuda Y Cofense.
También se han observado ataques de ingeniería social, que emplean métodos inusuales en los que se engaña a los usuarios para que visiten sitios web aparentemente legítimos y luego se les pide que copien, peguen y ejecuten manualmente código ofuscado en una terminal PowerShell con el pretexto de solucionar problemas de contenido que muestra en un navegador web. .
ReliaQuest y Proofpoint ya han documentado los detalles del método de entrega del malware. McAfee Labs rastrea la actividad bajo el nombre ClickFix.
«Al incorporar scripts codificados en Base64 en mensajes de error aparentemente legítimos, los atacantes engañan a los usuarios para que realicen una serie de acciones que resultan en la ejecución de comandos PowerShell maliciosos», explican los investigadores Yashvi Shah y Vignesh Dhatchanamoorthy. dicho.
“Estos comandos generalmente descargan y ejecutan cargas útiles, como archivos HTA, desde servidores remotos, y luego implementan malware como puerta oscura y Lumma Stealer. «
