Smishing-as-a-Service es la nueva, y también vieja, amenaza para robar a clientes de bancos

Aspectos destacados del estudio

Según el estudio de Thill, Neo_Net ha estado llevando a cabo una extensa campaña de cibercrimen dirigida a clientes de los principales bancos de todo el mundo desde junio de 2021 hasta abril de 2023. El foco principal de los delincuentes son los bancos españoles y chilenos, hasta el punto de que 30 de los 50 objetivos financieros tienen su sede en España o Chile, incluidos grandes bancos como Santander, BBVA y CaixaBank. Las instituciones objetivo en otras regiones incluyen Deutsche Bank, Crédit Agricole e ING.

A pesar de utilizar herramientas relativamente poco sofisticadas, Neo_Net logró una alta tasa de éxito al adaptar su infraestructura a objetivos específicos, lo que resultó en el robo de más de 350.000 euros de las cuentas bancarias de las víctimas y la información de identificación personal comprometida (Información de identificación personal - PII), como números de teléfono, números de identidad nacionales y los nombres de miles de ellos.

Neo_Net estableció y arrendó una amplia infraestructura que incluye paneles de phishing, software de smishing y troyanos de Android a varios afiliados; vendió datos de víctimas comprometidos y lanzó Ankarex, una exitosa oferta de Smishing-as-a-Service dirigida a varios países de todo el mundo.

La campaña emplea una estrategia de ataque en varias etapas, comenzando con mensajes SMS de phishing dirigidos distribuidos por España y otros países, y utilizando el servicio propietario de Neo_Net, Ankarex, su plataforma Smishing-as-a-Service. Estos mensajes aprovecharon las identificaciones del remitente (SID) para crear una ilusión de autenticidad, imitando a instituciones financieras acreditadas para engañar a las víctimas.

Los mensajes SMS utilizan varias tácticas de miedo, como afirmar que se accedió a la cuenta de la víctima desde un dispositivo no autorizado o que el límite de su tarjeta se limitó temporalmente por motivos de seguridad. Los mensajes también contienen un hipervínculo a la página de phishing de un delincuente. Estas páginas están diseñadas para parecerse a aplicaciones bancarias genuinas, con animaciones para crear una fachada convincente.

Después de enviar las credenciales, la información de las víctimas se filtra ilícitamente en un chat de Telegram a través de la API de Telegram Bot, lo que otorga a los delincuentes acceso ilimitado a los datos robados, incluidas las direcciones IP de las víctimas y los datos de los usuarios.

La cantidad adquirida ilícitamente a las víctimas durante un año de operación ascendió al menos a 350.000 euros. Sin embargo, es probable que el monto real sea significativamente mayor ya que es posible que las operaciones y transacciones más antiguas que no involucran mensajes de confirmación por SMS no se hayan contabilizado en su totalidad debido a la visibilidad limitada.

Más información sobre Neo_Net

Los profesionales de CLM explican que, además del servicio de smishing, Neo_Net también ofrece clientes potenciales que incluyen nombres de víctimas, direcciones de correo electrónico, IBAN y números de teléfono a la venta en el canal Ankarex. También anunció su servicio de software espía SMS para Android para miembros seleccionados.

En el transcurso de su operación de un año, Neo_Net ha sido rastreado hasta varias direcciones IP únicas, lo que indica que actualmente reside en México. Neo_Net opera principalmente en países de habla hispana y se comunica predominantemente en español con sus afiliados. La comunicación en el Canal Ankarex se realiza casi exclusivamente en español.

Sin embargo, también se ha observado que Neo_Net colabora con personas que no hablan español, incluido otro cibercriminal identificado por Telegram como devilteam666. Esta operación en particular implicó el uso de Google Ads dirigido a propietarios de billeteras criptográficas, y devilteam666 continúa ofreciendo servicios maliciosos de Google Ads en su canal de Telegram.