Nova/velha ameaça para roubar clientes de bancos
CLM e SentinelOne divulgam modus operandi do grupo Neo_Net, que tem roubado dinheiro e dados de milhares de vítimas em todo o mundo
A CLM, distribuidora latino-americana de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, divulga a pesquisa que venceu o primeiro Malware Research Challenge, realizado pela SentinelOne, especializada em tecnologias de cibersegurança baseada em IA (Inteligência Artificial) que abrange desde prevenção, detecção, resposta e caça aos ataques, em parceria com a vx-underground.
Smishing na verdade é todo Phishing que é distribuído por mensagens SMS em vez de e-mails. No Brasil os criminosos conseguem até centrais 0800 para dar mais credibilidade.
O vencedor do desafio foi Pol Thill, pesquisador da comunidade de segurança cibernética, com um estudo aprofundado e meticuloso sobre o Neo_Net, um agente de ameaças do cibercrime dirigido a milhares de clientes, que usam apps móveis de instituições financeira. Thill mostra, inclusive, o uso de uma plataforma de Smishing-as-a-Service, chamada de Ankarex, que além de ser usada pelo grupo é alugada para outros cibercriminosos, ampliando ainda mais o número de vítimas.
Francisco Camargo, CEO da CLM, que distribui as soluções da SentinelOne na América Latina, ressalta a importância desse tipo de competição por contribuir de forma significativa para a compreensão do cenário de segurança cibernética no mundo e a descoberta do modus operandi de grupos de cibercriminosos.
“A pesquisa sobre o Neo_Net conseguiu descrever o passo a passo dessa operação criminosa e como ela se ramifica. Sim, o submundo dos crimes cibernéticos virou uma franquia, com venda e aluguel de infraestruturas prontas para serem usadas. Eles têm estratégias, artifícios de negócios e propagandas para divulgar seus ‘serviços’ e obter lucro”, conta.
Pol Thill descobriu que as campanhas do Neo_Net são feitas em vários estágios: mensagens SMS de phishing direcionados a clientes de bancos, uso do Smishing-as-a-Service, links maliciosos para páginas falsas que se parecem muito com a dos apps dos bancos e criam a ilusão de autenticidade, enganando muitos correntistas. O objetivo, além de roubar dinheiro é exfiltrar dados.
Estudo
De acordo com o estudo de Thill, o Neo_Net tem conduzido uma extensa campanha de e-Crime direcionada a clientes de bancos importantes em todo o mundo, de junho de 2021 a abril de 2023. O foco principal dos criminosos são bancos espanhóis e chilenos, tanto que 30 das 50 instituições financeiras-alvo têm sede na Espanha ou no Chile, incluindo grandes bancos como Santander, BBVA e CaixaBank. Instituições-alvo em outras regiões incluem Deutsche Bank, Crédit Agricole e ING. Uma lista completa está no Apêndice A no final do texto.
Apesar de usar ferramentas relativamente pouco sofisticadas, o Neo_Net alcançou uma alta taxa de sucesso adaptando sua infraestrutura para alvos específicos, o que resultou no roubo de mais de 350 mil euros das contas bancárias das vítimas e comprometeu informações de identificação pessoal (Personally Identifiable Information - PII) como números de telefone, de identidade nacional e nomes de milhares delas.
O Neo_Net estabeleceu e alugou uma ampla infraestrutura, incluindo painéis de phishing, software de Smishing e trojans Android para vários afiliados; vendeu dados comprometidos de vítimas e lançou o Ankarex, uma oferta bem-sucedida de Smishing-as-a-Service, direcionada a vários países em todo o mundo.