O pesquisador de segurança Pol Thill identificou um hacker baseado no México conhecido como Neo_Net como o cérebro por trás de uma série de ataques cibernéticos direcionados a bancos globais. De acordo com as descobertas do pesquisador, publicadas pela SentinelOne, após um Malware Research Challenge em colaboração com a vx-underground, o Neo_Net utilizou malware sofisticado para Android para comprometer a segurança de várias instituições financeiras em todo o mundo.
A campanha durou de junho de 2021 a abril deste ano, focando especificamente em bancos proeminentes em vários países, principalmente instituições financeiras espanholas e chilenas. Alvos notáveis do cibercriminoso incluem Santander, BBVA e CaixaBank.
Apesar de empregar ferramentas relativamente pouco sofisticadas, a Neo_Net alcançou um sucesso notável, roubando mais de € 350 mil (cerca de US$ 382.153) das contas bancárias das vítimas e comprometendo as informações pessoais de milhares de indivíduos.
A estratégia de ataque do hacker girava em torno da implantação de mensagens SMS de phishing disfarçadas como comunicações legítimas de instituições financeiras respeitáveis. Essas mensagens cuidadosamente elaboradas enganaram as vítimas para que revelassem suas credenciais confidenciais. O Neo_Net também desenvolveu e distribuiu trojans Android disfarçados de aplicativos de segurança, explorando a confiança de vítimas inocentes para obter acesso às suas informações bancárias.
Thill explicou que a operação da Neo_Net se destaca por sua plataforma smishing-as-a-service chamada Ankarex, que lhe permitiu alugar sua infraestrutura para várias afiliadas. Essa estratégia possibilitou que o cibercriminoso expandisse seu alcance e executasse ataques bem-sucedidos em vários países. Além disso, o Neo_Net monetizou ainda mais suas atividades criminosas vendendo dados de vítimas comprometidos a terceiros interessados.
Veja isso
Hackers chineses tentam se infiltrar em ministérios europeus
Hackers usam redes proxy para invadir servidores SSH vulneráveis
“O sucesso de suas campanhas pode ser atribuído à natureza altamente direcionada de suas operações, muitas vezes focando em um único banco e copiando suas comunicações para se passar por agentes bancários”, escreveu a SentinelOne. “Além disso, devido à simplicidade do spyware SMS, pode ser difícil detectá-lo, pois requer apenas permissão para enviar e visualizar mensagens SMS.”
De acordo com a SentinelOne, essas campanhas destacam a vulnerabilidade da autenticação multifator (MFA) ao contar com SMS, enfatizando a necessidade de proteções mais robustas, como tokens físicos ou aplicativos externos, para garantir melhor proteção contra fraudes.
