Um grupo de crimes cibernéticos de língua espanhola chamado Equipe GXC foi observado agrupando kits de phishing com aplicativos maliciosos para Android, levando as ofertas de malware como serviço (MaaS) ao próximo nível.
A empresa de segurança cibernética de Cingapura Group-IB, que monitora o criminoso eletrônico desde janeiro de 2023, descreveu a solução de crimeware como uma “plataforma sofisticada de phishing como serviço com tecnologia de IA”, capaz de atingir usuários de mais de 36 bancos espanhóis, órgãos governamentais e 30 instituições em todo o mundo.
O equipment de phishing custa entre US$ 150 e US$ 900 por mês, enquanto o pacote que inclui o equipment de phishing e o malware para Android está disponível por assinatura por cerca de US$ 500 por mês.
Os alvos da campanha incluem usuários de instituições financeiras espanholas, bem como serviços fiscais e governamentais, comércio eletrônico, bancos e bolsas de criptomoedas nos Estados Unidos, Reino Unido, Eslováquia e Brasil. Até o momento, foram identificados 288 domínios de phishing vinculados à atividade.
Também faz parte do espectro de serviços oferecidos a venda de credenciais bancárias roubadas e esquemas de codificação personalizada para outros grupos cibercriminosos que têm como alvo negócios bancários, financeiros e de criptomoedas.
“Diferentemente dos desenvolvedores típicos de phishing, a equipe GXC combinou kits de phishing com um malware roubador de SMS OTP, levando um cenário típico de ataque de phishing a uma direção ligeiramente nova”, disseram os pesquisadores de segurança Anton Ushakov e Martijn van den Berk em um relatório de quinta-feira.
O que é notável aqui é que os agentes da ameaça, em vez de usar diretamente uma página falsa para obter as credenciais, incitam as vítimas a baixar um aplicativo bancário baseado em Android para evitar ataques de phishing. Essas páginas são distribuídas por meio de smishing e outros métodos.
Uma vez instalado, o aplicativo solicita permissões para ser configurado como o aplicativo de SMS padrão, possibilitando assim interceptar senhas de uso único e outras mensagens e repassá-las para um bot do Telegram sob seu controle.
“No estágio remaining, o aplicativo abre um website de banco genuíno no WebView, permitindo que os usuários interajam com ele normalmente”, disseram os pesquisadores. “Depois disso, sempre que o invasor aciona o immediate OTP, o malware do Android silenciosamente recebe e encaminha mensagens SMS com códigos OTP para o chat do Telegram controlado pelo agente da ameaça.”
Entre os outros serviços anunciados pelo agente da ameaça em um canal dedicado do Telegram estão ferramentas de chamada de voz com infusão de IA que permitem que seus clientes gerem chamadas de voz para possíveis alvos com base em uma série de avisos diretamente do equipment de phishing.
Essas chamadas geralmente se passam por originárias de um banco, instruindo-os a fornecer seus códigos de autenticação de dois fatores (2FA), instalar aplicativos maliciosos ou executar outras ações arbitrárias.
“Empregar esse mecanismo simples, mas eficaz, torna o cenário de golpe ainda mais convincente para as vítimas e demonstra a rapidez e a facilidade com que as ferramentas de IA são adotadas e implementadas pelos criminosos em seus esquemas, transformando cenários de fraude tradicionais em táticas novas e mais sofisticadas”, ressaltaram os pesquisadores.
Em um relatório recente, a Mandiant, de propriedade do Google, revelou como a clonagem de voz com tecnologia de IA tem a capacidade de imitar a fala humana com “precisão incrível”, permitindo assim esquemas de phishing (ou vishing) mais autênticos que facilitam o acesso inicial, a escalada de privilégios e a movimentação lateral.
“Os agentes de ameaças podem se passar por executivos, colegas ou até mesmo pessoal de suporte de TI para induzir as vítimas a revelar informações confidenciais, conceder acesso remoto aos sistemas ou transferir fundos”, disse a empresa de inteligência de ameaças.
“A confiança inerente associada a uma voz acquainted pode ser explorada para manipular as vítimas e fazê-las tomar ações que normalmente não tomariam, como clicar em hyperlinks maliciosos, baixar malware ou divulgar dados confidenciais.”
Os kits de phishing, que também vêm com recursos de adversário intermediário (AiTM), tornaram-se cada vez mais populares, pois reduzem a barreira técnica de entrada para a realização de campanhas de phishing em grande escala.
O pesquisador de segurança mr.d0x, em um relatório publicado no mês passado, disse que é possível que criminosos aproveitem os aplicativos da net progressivos (PWAs) para criar páginas de login convincentes para fins de phishing, manipulando os elementos da interface do usuário para exibir uma barra de URL falsa.
Além disso, esses kits de phishing AiTM também podem ser usados para invadir contas protegidas por chaves de acesso em várias plataformas on-line por meio do que é chamado de ataque de redação de método de autenticação, que aproveita o fato de que esses serviços ainda oferecem um método de autenticação menos seguro como um mecanismo de fallback, mesmo quando chaves de acesso foram configuradas.
“Como o AitM pode manipular a visualização apresentada ao usuário modificando HTML, CSS e imagens ou JavaScript na página de login, à medida que é transmitida ao usuário remaining, eles podem controlar o fluxo de autenticação e remover todas as referências à autenticação por senha”, disse a empresa de segurança cibernética eSentire.
A divulgação ocorre em meio a um aumento recente em campanhas de phishing que incorporam URLs já codificadas usando ferramentas de segurança como Safe Electronic mail Gateways (SEGs) em uma tentativa de mascarar hyperlinks de phishing e evitar a varredura, de acordo com a Barracuda Networks e a Cofense.
Ataques de engenharia social também foram observados recorrendo a métodos incomuns, nos quais os usuários são induzidos a visitar websites aparentemente legítimos e, então, são solicitados a copiar, colar e executar manualmente código ofuscado em um terminal do PowerShell, sob o pretexto de corrigir problemas de visualização de conteúdo em um navegador da net.
Detalhes do método de entrega do malware foram documentados anteriormente pela ReliaQuest e Proofpoint. O McAfee Labs está rastreando a atividade sob o apelido ClickFix.
“Ao incorporar scripts codificados em Base64 em prompts de erro aparentemente legítimos, os invasores enganam os usuários para que realizem uma série de ações que resultam na execução de comandos maliciosos do PowerShell”, disseram os pesquisadores Yashvi Shah e Vignesh Dhatchanamoorthy.
“Esses comandos normalmente baixam e executam cargas úteis, como arquivos HTA, de servidores remotos, posteriormente implantando malware como DarkGate e Lumma Stealer.”
