Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Depois do Phishing, agora é a vez do Smishing-as-a-Service

Share on linkedin
Share on twitter
Share on facebook

CLM e SentinelOne divulgam modus operandi do grupo Neo_Net, que tem roubado dinheiro e dados de milhares de vítimas em todo o mundo

CLM, distribuidora latino-americana de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, divulga a pesquisa que venceu o primeiro Malware Research Challenge, realizado pela SentinelOne, especializada em tecnologias de cibersegurança baseada em IA (Inteligência Artificial) que abrange desde prevenção, detecção, resposta e caça aos ataques, em parceria com a vx-underground.

Smishing na verdade é todo Phishing que é distribuído por mensagens SMS em vez de e-mails. No Brasil os criminosos conseguem até centrais 0800 para dar mais credibilidade.

O vencedor do desafio foi Pol Thill, pesquisador da comunidade de segurança cibernética, com um estudo aprofundado e meticuloso sobre o Neo_Net, um agente de ameaças do cibercrime dirigido a milhares de clientes, que usam apps móveis de instituições financeiras. Thill mostra, inclusive, o uso de uma plataforma de Smishing-as-a-Service, chamada de Ankarex, que além de ser usada pelo grupo é alugada para outros cibercriminosos, ampliando ainda mais o número de vítimas.

Francisco Camargo, CEO da CLM, que distribui as soluções da SentinelOne na América Latina, ressalta a importância desse tipo de competição por contribuir de forma significativa para a compreensão do cenário de segurança cibernética no mundo e a descoberta do modus operandi de grupos de cibercriminosos.

“A pesquisa sobre o Neo_Net conseguiu descrever o passo a passo dessa operação criminosa e como ela se ramifica. Sim, o submundo dos crimes cibernéticos virou uma franquia, com venda e aluguel de infraestruturas prontas para serem usadas. Eles têm estratégias, artifícios de negócios e propagandas para divulgar seus ‘serviços’ e obter lucro”, conta.


Oferta de Halloween com 15% de recursos extras ao recarregar a conta

Pol Thill descobriu que as campanhas do Neo_Net são feitas em vários estágios: mensagens SMS de phishing direcionados a clientes de bancos, uso do Smishing-as-a-Service, links maliciosos para páginas falsas que se parecem muito com a dos apps dos bancos e criam a ilusão de autenticidade, enganando muitos correntistas. O objetivo, além de roubar dinheiro é exfiltrar dados.
 
Estudo
De acordo com o estudo de Thill, o Neo_Net tem conduzido uma extensa campanha de e-Crime direcionada a clientes de bancos importantes em todo o mundo, de junho de 2021 a abril de 2023. O foco principal dos criminosos são bancos espanhóis e chilenos, tanto que 30 das 50 instituições financeiras-alvo têm sede na Espanha ou no Chile, incluindo grandes bancos como Santander, BBVA e CaixaBank. Instituições-alvo em outras regiões incluem Deutsche Bank, Crédit Agricole e ING. Uma lista completa está no Apêndice A no final do texto.
 
Apesar de usar ferramentas relativamente pouco sofisticadas, o Neo_Net alcançou uma alta taxa de sucesso adaptando sua infraestrutura para alvos específicos, o que resultou no roubo de mais de 350 mil euros das contas bancárias das vítimas e comprometeu informações de identificação pessoal (Personally Identifiable Information – PII) como números de telefone, de identidade nacional e nomes de milhares delas.
 
O Neo_Net estabeleceu e alugou uma ampla infraestrutura, incluindo painéis de phishing, software de Smishing e trojans Android para vários afiliados; vendeu dados comprometidos de vítimas e lançou o Ankarex, uma oferta bem-sucedida de Smishing-as-a-Service, direcionada a vários países em todo o mundo.
 
Detalhamento técnico
A seguir, encontra-se o relatório com detalhes das campanhas e os antecedentes do Neo_Net que esclarecem suas operações ao longo dos anos.
 
Campanha de eCrime contra instituições financeiras
A campanha emprega uma estratégia de ataque em vários estágios, começando com mensagens SMS de phishing direcionados, distribuídas pela Espanha e outros países, e usando o serviço proprietário da Neo_Net, o Ankarex, sua plataforma de Smishing-as-a-Service.
 
Essas mensagens aproveitavam IDs de remetente (SIDs) para criar uma ilusão de autenticidade, imitando instituições financeiras respeitáveis para enganar as vítimas.


Demonstração da funcionalidade SID da Ankarex no Ankarex News Channel

 
As mensagens SMS usam várias táticas de intimidação, como alegar que a conta da vítima foi acessada por um dispositivo não autorizado ou que o limite do seu cartão foi temporariamente limitado devido a questões de segurança.
 
As mensagens também contêm um hiperlink para uma página de phishing do criminoso.
 
As páginas de phishing são meticulosamente configuradas usando os painéis do Neo_Net, PRIV8, e implementam diversas medidas de defesa, incluindo o bloqueio de solicitações de usuários que acessavam por dispositivos não móveis e a ocultação das páginas de bots e scanners de rede. Essas páginas são projetadas para se assemelhar a aplicativos bancários genuínos, completos, com animações para criar uma fachada convincente:


Páginas de phishing do BBVA e do Santander

 
Após o envio das credenciais, as informações das vítimas são exfiltradas ilicitamente para um bate-papo no Telegram por meio da API do Telegram Bot, concedendo aos criminosos acesso irrestrito aos dados roubados, incluindo os endereços IP e dados de usuário das vítimas.


Afiliados da Neo_Net discutindo as credenciais capturadas e a conta bancária correspondente

 
Posteriormente, os invasores empregaram várias técnicas para contornar os mecanismos de autenticação multifator (MFA) comumente usados por aplicativos bancários. Uma dessas abordagens envolve persuadir as vítimas a instalar um suposto aplicativo de segurança para sua conta bancária em seus dispositivos Android.
 


Aplicativo Android representando ING

 
No entanto, este aplicativo não serve a nenhum propósito de segurança legítimo e apenas solicita permissões para enviar e visualizar mensagens SMS.


App BBVA – solicitação de permissão por SMS após a vítima clicar no botão “Atualizar”

 
Na realidade, esses trojans do Android funcionavam como versões modificadas do spyware de SMS para Android, disponível publicamente, conhecido como SMS Eye. Alguns atores de ameaças ofuscaram ainda mais o trojan usando empacotadores públicos para evitar a detecção por soluções antimalware. Esses trojans exfiltraram secretamente as mensagens SMS recebidas para um bate-papo exclusivo do Telegram.
 


Mensagens de telegrama mostrando OTPs BBVA exfiltrados

 
As mensagens exfiltradas são usadas então para ignorar o MFA nas contas de destino, capturando senhas descartáveis (OTPs). Além disso, os criminosos também foram observados fazendo ligações telefônicas diretas para as vítimas, possivelmente para se passar por representantes do banco e enganá-las para que instalem o spyware do Android ou divulguem suas OTPs.
 
O montante adquirido ilicitamente das vítimas durante um ano de operação totalizou, no mínimo, 350 mil euros. No entanto, é provável que o valor real seja significativamente maior, uma vez que operações e transações mais antigas, que não envolvem mensagens de confirmação por SMS, podem não ter sido totalmente contabilizadas devido à visibilidade limitada.
 

Neo_Net

Neo_Net, o ator proeminente responsável pela campanha global de crimes cibernéticos, atua no cenário de cibersegurança pelo menos desde o início de 2021. Eles mantêm um perfil público no GitHub com o nome “notsafety” e uma conta no Telegram que mostra seu trabalho e o identifica como o fundador da Ankarex, uma plataforma de Smishing-as-a-Service.


Perfil do Neo_Net no Telegram

 
Por meio de suas contribuições no Telegram, o Neo_Net foi vinculado ao fórum “macosfera.com”, um fórum de TI em espanhol. Endereços de e-mail registrados com o domínio do fórum foram encontrados em relação a vários painéis de phishing criados pela Neo_Net, cujos alvos eram espanhóis e outras instituições. Esses endereços de e-mail foram usados como nomes de usuário para os painéis, sugerindo que Neo_Net pode ter colaborado com indivíduos deste fórum para configurar sua infraestrutura. Os painéis de phishing também indicam claramente o Neo_Net como o criador, com sua assinatura no topo dos arquivos php.


Painéis de phishing com links para macosfera[.]com (VirusTotal)

Ankarex

A principal criação do Neo_Net é a plataforma Ankarex Smishing-as-a-Service, que está ativa desde pelo menos maio de 2022. O Ankarex News Channel no Telegram, que anuncia o serviço, tem atualmente 1700 assinantes e publica regularmente atualizações sobre o software, bem como ofertas limitadas e brindes.
 
O serviço ser acessado em ankarex[.]net e, uma vez registrado, o usuário pode fazer upload de recursos usando transferências de criptomoeda e então lançar suas próprias campanhas Smishing especificando o conteúdo do SMS e os números de telefone de destino. Atualmente, a Ankarex tem como alvo nove países, mas historicamente opera em outras regiões.
 


Lista de preços e países-alvo da Ankarex

 
Além do serviço Smishing, a Neo_Net também oferece leads, incluindo nomes de vítimas, endereços de e-mail, IBANs e números de telefone para venda no Ankarex Channel. Ele também anunciou seu serviço de spyware SMS para Android para membros selecionados. Notavelmente, todo canal criado para exfiltrar as mensagens SMS capturadas têm o Neo_Net listado como administrador, e vários nomes de pacotes dos trojans do Android aludem ao seu criador com nomes como com.neonet.app.reader. É provável que Neo_Net tenha alugado sua infraestrutura para afiliados, alguns dos quais foram observados trabalhando com ele em várias campanhas exclusivas, permitindo que eles conduzissem phishing e transferências de recursos de forma independente.


Neo_Net demonstrando Ankarex em seu próprio telefone e exibindo notável OPSEC ao longo de suas campanhas

 
Ao longo de sua operação de um ano, o Neo_Net foi rastreado até vários endereços IP exclusivos, indicando que ele atualmente reside no México. Neo_Net opera principalmente em países de língua espanhola e se comunica predominantemente em espanhol com suas afiliadas. A comunicação no Ankarex Channel é quase exclusivamente feita em espanhol.
 
No entanto, o Neo_Net também foi observado colaborando com pessoas que não falam espanhol, incluindo outro cibercriminoso identificado pelo Telegram como devilteam666. Essa operação em particular envolveu o uso do Google Ads visando proprietários de carteiras criptográficas, e o devilteam666 continua a oferecer serviços maliciosos do Google Ads em seu canal do Telegram.
 
Apêndice A: Instituições Financeiras Alvo
 

  • Espanha: Santander, BBVA, CaixaBank, Sabadell, ING España, Unicaja, Kutxabank, Bankinter, Abanca, Laboral Kutxa, Ibercaja, BancaMarch, CajaSur, OpenBank, Grupo Caja Rural, Cajalmendralejo, MoneyGo, Cecabank, Cetelem, Colonya, Self Bank, Banca Pueyo
  • França: Crédit Agricole, Caisse d’Epargne, La Banque postale, Boursorama, Banque de Bretagne
  • Grécia: National Bank of Greece
  • Alemanha: Sparkasse, Deutsche Bank, Commerzbank
  • Reino Unido: Santander UK
  • Áustria: BAWAG P.S.K.
  • Países Baixos: ING
  • Polônia: PKO Bank Polski
  • Chile: BancoEstado, Scotiabank (Cencosud Scotiabank), Santander (officebanking), Banco Ripley, Banco de Chile, Banco Falabella, Banco de Crédito e Inversiones, Itaú CorpBanca
  • Colômbia: Bancolombia
  • Venezuela: Banco de Venezuela
  • Peru: BBVA Peru
  • Equador: Banco Pichincha
  • Panamá: Zinli
  • EUA: Prosperity Bank, Greater Nevada Credit Union
  • Austrália: CommBank

 
Apêndice B
Indicadores de comprometimento
 

APK SHA1 HashesNome da atividade principalInstituição personificada
de8929c1a0273d0ed0dc3fc55058e0cb19486b3ccom.neonet.app.reader.MainActivityBBVA
b344fe1bbb477713016d41d996c0772a308a5146com.neonet.app.reader.MainActivityLaboral Kutxa
8a099af61f1fa692f45538750d42aab640167fd2com.neonet.app.reader.MainActivityCorreos
ab14161e243d478dac7a83086ed4839f8ad7ded8com.neonet.app.reader.MainActivityBBVA
ded2655512de7d3468f63f9487e16a0bd17818ffcom.neonet.app.reader.MainActivityCaixaBank
a5208de82def52b4019a6d3a8da9e14a13bc2c43com.neonet.app.reader.MainActivityCaixaBank
21112c1955d131fa6cab617a3d7265acfab783c2com.neonet.app.reader.MainActivityOpenbank
6ea53a65fe3a1551988c6134db808e622787e7f9com.neonet.app.reader.MainActivityUnicaja
62236a501e11d5fbfe411d841caf5f2253c150b8com.neonet.app.reader.MainActivityBBVA
7f0c3fdbfcdfc24c2da8aa3c52aa13f9b9cdda84com.neonet.app.reader.MainActivityBBVA
f918a6ecba56df298ae635a6a0f008607b0420b9com.neonet.app.reader.MainActivitySantander
ffbcdf915916595b96f627df410722cee5b83f13com.neonet.app.reader.MainActivityBBVA
7b4ab7b2ead7e004c0d93fe916af39c156e0bc61com.neonet.app.reader.MainActivityCajaSur
34d0faea99d94d3923d0b9e36ef9e0c48158e7a0com.neonet.app.reader.MainActivityBBVA
e6c485551d4f209a0b7b1fa9aa78b7efb51be49bcom.neonet.app.reader.MainActivityBBVA
1df3ed2e2957efbd1d87aac0c25a3577318b8e2acom.neonet.app.reader.MainActivityBBVA
6a907b8e5580a5067d9fb47ef21826f164f68f3fcom.neonet.app.reader.MainActivityGrupo Caja Rural
5d1c7ff3d16ec770cf23a4d82a91358b9142d21acom.neonet.app.reader.MainActivityGrupo Caja Rural
86ad0123fa20b7c0efb6fe8afaa6a756a86c9836com.neonet.app.reader.MainActivityGrupo Caja Rural
14a36f18a45348ad9efe43b20d049f3345735163com.neonet.app.reader.MainActivityCajalmendralejo
b506503bb71f411bb34ec8124ed26ae27a4834b9com.neonet.app.reader.MainActivityBBVA
afe84fa17373ec187781f72c330dfb7bb3a42483com.cannav.cuasimodo.jumper.actividadesBBVA
445468cd5c298f0393f19b92b802cfa0f76c32d4com.cannav.cuasimodo.jumper.actividadesBBVA
8491ff15ad27b90786585b06f81a3938d5a61b39com.cannav.cuasimodo.jumper.actividadesBBVA
2714e0744ad788142990696f856c5ffbc7173cf4com.cannav.cuasimodo.jumper.actividadesBBVA
1ce0afe5e09b14f8aee6715a768329660e95121ecom.cannav.cuasimodo.jumper.actividadesBBVA
96a3600055c63576be9f7dc97c5b25f1272edd2bcom.cannav.cuasimodo.jumper.actividadesBBVA
9954ae7d31ea65cd6b8cbdb396e7b99b0cf833f4com.cannav.cuasimodo.jumper.actividadesBBVA
07159f46a8adde95f541a123f2dda6c49035aad1com.cannav.cuasimodo.jumper.actividadesBBVA
ab19a95ef3adcb83be76b95eb7e7c557812ad2f4com.cannav.cuasimodo.jumper.actividadesBBVA
db8eeab4ab2e2e74a34c47ad297039485ff75f22com.cannav.cuasimodo.jumper.actividadesBBVA
dbf0cec18caabeb11387f7e6d14df54c808e441dcom.cannav.cuasimodo.jumper.actividadesBBVA
69d38eed5dc89a7b54036cc7dcf7b96fd000eb92com.cannav.cuasimodo.jumper.actividadesBBVA
c38107addc00e2a2f5dcb6ea0cbce40400c23b49com.cannav.cuasimodo.jumper.actividadesBBVA
279048e07c25fd75c4cef7c64d1ae741e178b35bcom.uklapon.mafin.chinpiling.actividadesBankinter
ef8c5d639390d9ba138ad9c2057524ff6e1398de BBVA
e7c2d0c80125909d85913dfb941bdc373d677326 ING
145bd67f94698cc5611484f46505b3dc825bd6cd BancoEstado

Domínios de phishing

bbva.info-cliente[.]net
santander.esentregas[.]ga
bbva.esentregas[.]ga
correos.esentregas[.]ga

Apêndice C: tags MITRE ATT&CK

IDTécnicaExplicação
T1406.002Obfuscated Files or Information: Software PackingSome APK files are packed and drop the unpacked dex file once executed
T1633.001Virtualization/Sandbox Evasion: System ChecksSome APK files have been modified and initially check for common sandbox names before unpacking
T1426System Information DiscoveryThe Sms Eye trojan collects the brand and model of the infected phone
T1636.004Protected User Data: SMS MessagesThe Sms Eye trojan collects incoming SMS messages
T1437.001Application Layer Protocol: Web ProtocolsThe Sms Eye trojan exfiltrates SMS messages over HTTPS
T1481.003Web Service: One-Way CommunicationThe Sms Eye trojan uses the Telegram Bot API to exfiltrate SMS messages
T1521.002Encrypted Channel: Asymmetric CryptographyThe C2 channel is encrypted by TLS
T1646Exfiltration Over C2 ChannelThe SMS messages are exfiltrated over the C2 channel