10/08/2023 às 15h45min - Atualizada em 11/08/2023 às 02h02min

Depois do Phishing, agora é a vez do Smishing-as-a-Service

CLM e SentinelOne divulgam modus operandi do grupo Neo_Net, que tem roubado dinheiro e dados de milhares de clientes de bancos em todo o mundo

MakingNews

https://clm.tech/

SentinelOne

A CLM, distribuidora latino-americana de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, divulga a pesquisa que venceu o primeiro Malware Research Challenge, realizado pela SentinelOne, especializada em tecnologias de cibersegurança baseada em IA (Inteligência Artificial) que abrange desde prevenção, detecção, resposta e caça aos ataques, em parceria com a vx-underground.

Smishing na verdade é todo Phishing que é distribuído por mensagens SMS em vez de e-mails. No Brasil os criminosos conseguem até centrais 0800 para dar mais credibilidade.

O vencedor do desafio foi Pol Thill, pesquisador da comunidade de segurança cibernética, com um estudo aprofundado e meticuloso sobre o Neo_Net, um agente de ameaças do cibercrime dirigido a milhares de clientes, que usam apps móveis de instituições financeira. Thill mostra, inclusive, o uso de uma plataforma de Smishing-as-a-Service, chamada de Ankarex, que além de ser usada pelo grupo é alugada para outros cibercriminosos, ampliando ainda mais o número de vítimas.

Francisco Camargo, CEO da CLM, que distribui as soluções da SentinelOne na América Latina, ressalta a importância desse tipo de competição por contribuir de forma significativa para a compreensão do cenário de segurança cibernética no mundo e a descoberta do modus operandi de grupos de cibercriminosos.

“A pesquisa sobre o Neo_Net conseguiu descrever o passo a passo dessa operação criminosa e como ela se ramifica. Sim, o submundo dos crimes cibernéticos virou uma franquia, com venda e aluguel de infraestruturas prontas para serem usadas. Eles têm estratégias, artifícios de negócios e propagandas para divulgar seus ‘serviços’ e obter lucro”, conta.

Oferta de Halloween com 15% de recursos extras ao recarregar a conta

Pol Thill descobriu que as campanhas do Neo_Net são feitas em vários estágios: mensagens SMS de phishing direcionados a clientes de bancos, uso do Smishing-as-a-Service, links maliciosos para páginas falsas que se parecem muito com a dos apps dos bancos e criam a ilusão de autenticidade, enganando muitos correntistas. O objetivo, além de roubar dinheiro é exfiltrar dados.

Estudo
De acordo com o estudo de Thill, o Neo_Net tem conduzido uma extensa campanha de e-Crime direcionada a clientes de bancos importantes em todo o mundo, de junho de 2021 a abril de 2023. O foco principal dos criminosos são bancos espanhóis e chilenos, tanto que 30 das 50 instituições financeiras-alvo têm sede na Espanha ou no Chile, incluindo grandes bancos como Santander, BBVA e CaixaBank. Instituições-alvo em outras regiões incluem Deutsche Bank, Crédit Agricole e ING. Uma lista completa está no Apêndice A no final do texto.

Apesar de usar ferramentas relativamente pouco sofisticadas, o Neo_Net alcançou uma alta taxa de sucesso adaptando sua infraestrutura para alvos específicos, o que resultou no roubo de mais de 350 mil euros das contas bancárias das vítimas e comprometeu informações de identificação pessoal (Personally Identifiable Information - PII) como números de telefone, de identidade nacional e nomes de milhares delas.

O Neo_Net estabeleceu e alugou uma ampla infraestrutura, incluindo painéis de phishing, software de Smishing e trojans Android para vários afiliados; vendeu dados comprometidos de vítimas e lançou o Ankarex, uma oferta bem-sucedida de Smishing-as-a-Service, direcionada a vários países em todo o mundo.

Detalhamento técnico
A seguir, encontra-se o relatório com detalhes das campanhas e os antecedentes do Neo_Net que esclarecem suas operações ao longo dos anos.

Campanha de eCrime contra instituições financeiras

A campanha emprega uma estratégia de ataque em vários estágios, começando com mensagens SMS de phishing direcionados, distribuídas pela Espanha e outros países, e usando o serviço proprietário da Neo_Net, o Ankarex, sua plataforma de Smishing-as-a-Service.

Essas mensagens aproveitavam IDs de remetente (SIDs) para criar uma ilusão de autenticidade, imitando instituições financeiras respeitáveis para enganar as vítimas.

Demonstração da funcionalidade SID da Ankarex no Ankarex News Channel

As mensagens SMS usam várias táticas de intimidação, como alegar que a conta da vítima foi acessada por um dispositivo não autorizado ou que o limite do seu cartão foi temporariamente limitado devido a questões de segurança.

As mensagens também contêm um hiperlink para uma página de phishing do criminoso.

As páginas de phishing são meticulosamente configuradas usando os painéis do Neo_Net, PRIV8, e implementam diversas medidas de defesa, incluindo o bloqueio de solicitações de usuários que acessavam por dispositivos não móveis e a ocultação das páginas de bots e scanners de rede. Essas páginas são projetadas para se assemelhar a aplicativos bancários genuínos, completos, com animações para criar uma fachada convincente:

Páginas de phishing do BBVA e do Santander

Após o envio das credenciais, as informações das vítimas são exfiltradas ilicitamente para um bate-papo no Telegram por meio da API do Telegram Bot, concedendo aos criminosos acesso irrestrito aos dados roubados, incluindo os endereços IP e dados de usuário das vítimas.

Afiliados da Neo_Net discutindo as credenciais capturadas e a conta bancária correspondente

Posteriormente, os invasores empregaram várias técnicas para contornar os mecanismos de autenticação multifator (MFA) comumente usados por aplicativos bancários. Uma dessas abordagens envolve persuadir as vítimas a instalar um suposto aplicativo de segurança para sua conta bancária em seus dispositivos Android.

Aplicativo Android representando ING

No entanto, este aplicativo não serve a nenhum propósito de segurança legítimo e apenas solicita permissões para enviar e visualizar mensagens SMS.

App BBVA - solicitação de permissão por SMS após a vítima clicar no botão “Atualizar”

Na realidade, esses trojans do Android funcionavam como versões modificadas do spyware de SMS para Android, disponível publicamente, conhecido como SMS Eye. Alguns atores de ameaças ofuscaram ainda mais o trojan usando empacotadores públicos para evitar a detecção por soluções antimalware. Esses trojans exfiltraram secretamente as mensagens SMS recebidas para um bate-papo exclusivo do Telegram.

As mensagens exfiltradas são usadas então para ignorar o MFA nas contas de destino, capturando senhas descartáveis (OTPs). Além disso, os criminosos também foram observados fazendo ligações telefônicas diretas para as vítimas, possivelmente para se passar por representantes do banco e enganá-las para que instalem o spyware do Android ou divulguem suas OTPs.

O montante adquirido ilicitamente das vítimas durante um ano de operação totalizou, no mínimo, 350 mil euros. No entanto, é provável que o valor real seja significativamente maior, uma vez que operações e transações mais antigas, que não envolvem mensagens de confirmação por SMS, podem não ter sido totalmente contabilizadas devido à visibilidade limitada.

Neo_Net

Neo_Net, o ator proeminente responsável pela campanha global de crimes cibernéticos, atua no cenário de cibersegurança pelo menos desde o início de 2021. Eles mantêm um perfil público no GitHub com o nome “notsafety” e uma conta no Telegram que mostra seu trabalho e o identifica como o fundador da Ankarex, uma plataforma de Smishing-as-a-Service.

Ankarex

A principal criação do Neo_Net é a plataforma Ankarex Smishing-as-a-Service, que está ativa desde pelo menos maio de 2022. O Ankarex News Channel no Telegram, que anuncia o serviço, tem atualmente 1700 assinantes e publica regularmente atualizações sobre o software, bem como ofertas limitadas e brindes.

O serviço ser acessado em ankarex[.]net e, uma vez registrado, o usuário pode fazer upload de recursos usando transferências de criptomoeda e então lançar suas próprias campanhas Smishing especificando o conteúdo do SMS e os números de telefone de destino. Atualmente, a Ankarex tem como alvo nove países, mas historicamente opera em outras regiões.

Além do serviço Smishing, a Neo_Net também oferece leads, incluindo nomes de vítimas, endereços de e-mail, IBANs e números de telefone para venda no Ankarex Channel. Ele também anunciou seu serviço de spyware SMS para Android para membros selecionados. Notavelmente, todo canal criado para exfiltrar as mensagens SMS capturadas têm o Neo_Net listado como administrador, e vários nomes de pacotes dos trojans do Android aludem ao seu criador com nomes como com.neonet.app.reader. É provável que Neo_Net tenha alugado sua infraestrutura para afiliados, alguns dos quais foram observados trabalhando com ele em várias campanhas exclusivas, permitindo que eles conduzissem phishing e transferências de recursos de forma independente.

Apêndice A: Instituições Financeiras Alvo

Espanha: Santander, BBVA, CaixaBank, Sabadell, ING España, Unicaja, Kutxabank, Bankinter, Abanca, Laboral Kutxa, Ibercaja, BancaMarch, CajaSur, OpenBank, Grupo Caja Rural, Cajalmendralejo, MoneyGo, Cecabank, Cetelem, Colonya, Self Bank, Banca Pueyo
França: Crédit Agricole, Caisse d’Epargne, La Banque postale, Boursorama, Banque de Bretagne
Grécia: National Bank of Greece
Alemanha: Sparkasse, Deutsche Bank, Commerzbank
Reino Unido: Santander UK
Áustria: BAWAG P.S.K.
Países Baixos: ING
Polônia: PKO Bank Polski
Chile: BancoEstado, Scotiabank (Cencosud Scotiabank), Santander (officebanking), Banco Ripley, Banco de Chile, Banco Falabella, Banco de Crédito e Inversiones, Itaú CorpBanca
Colômbia: Bancolombia
Venezuela: Banco de Venezuela
Peru: BBVA Peru
Equador: Banco Pichincha
Panamá: Zinli
EUA: Prosperity Bank, Greater Nevada Credit Union
Austrália: CommBank