Se le conoce como 'Neo_Net', y el reputado blog de ciberseguridad SentinelOne le define como "el pez gordo del cibercrimen en España". Las investigaciones sobre su 'labor' desvelan una campaña de ciberestafas que ha estado activa, al menos, entre junio de 2021 y abril de este año.
Durante estos meses, se ha enfocado en suplantar a bancos de todo el mundo (pero, sobre todo, españoles) y se sabe que ha logrado robar al menos 350.000 euros —además de datos personales relevantes— de sus víctimas. Según explican en SentinelOne, nuestro protagonista ha empleado una estrategia de estafa basada en varios elementos.
En primer lugar, con un ataque de phishing por SMS que recurre al uso de identificadores de remitente (SIDs), lo cual permite que sus mensajes aparezcan en el mismo hilo que los SMS legítimos de los bancos, dotándolos de una engañosa apariencia de autenticidad.
El texto de dichos SMS fraudulentos hacen uso de un recurso habitual en estos casos: inducir urgencia a las decisiones de la víctima para que no piense claramente y caiga, así, en la trampa sin desconfiar.
Para ello, notifican que se ha accedido a la cuenta de la víctima desde un dispositivo no autorizado o que su tarjeta ha sido temporalmente limitada por razones de seguridad.
A continuación, ofrece a su víctima un enlace que la redirigirá a sitios web de phishing creados por el propio Neo_Net con el objetivo de imitar meticulosamente apps bancarias genuinas —incluyendo animaciones— que resultan muy convincentes.
No, no son las apps legítimas. Vía SentinelOne
Cuando las víctimas introducen sus credenciales en estas webs falsas, toda la información se envía de manera oculta a un determinado chat de Telegram, lo que le da a Neo_Net acceso a los datos robados, incluyendo las direcciones IP y a los user-agents de las víctimas.
Siendo, sin duda, grave, no sería tan preocupante si, Neo_Net no tuviera en la manga trucos para eludir los mecanismos de autenticación de múltiples factores (MFA) que usan las apps bancarias. Para ello, convence a sus víctimas para que instalen una supuesta app de seguridad en sus dispositivos Android… una app que no es sino un troyano con permisos para enviar y ver mensajes de SMS.
Así, una vez que los usuarios reciben los SMS con los códigos bancarios de un solo uso tras un intento de acceder a su cuenta, esa app 'de seguridad' intercepta su contenido y lo envía al citado chat de Telegram.
¿Qué bancos son los afectados por la campaña de Neo_Net? Pues, entre los españoles, estos: Santander, BBVA, CaixaBank, Sabadell, ING España, Unicaja, Kutxabank, Bankinter, Abanca, Laboral Kutxa, Ibercaja, BancaMarch, CajaSur, OpenBank, Grupo Caja Rural, Cajalmendralejo, MoneyGo, Cecabank, Cetelem, Colonya, Self Bank y Banca Pueyo.
Fuentes de ingresos
Pero el robo directo de cuentas no es, ni mucho menos, la única vía de ingresos de Neo_Net: y no es sólo porque esté vendiendo la información personal robada, sino porque la misma infraestructura (smishing + phishing + troyanos) que usa para sus propios ataques la alquila a otros criminales de menor nivel técnico.
¿Quién diría que es una plataforma de subcontratación de ciberdelincuencia? Vía SentinelOne
Así, su plataforma Ankarex es un caso de 'smishing-as-a-service' que permite lanzar campañas en numerosos países de todo el mundo y gestionar los pagos mediante transferencias de criptomonedas.
Habla en español, reside en México, y está vinculado a un foro tecnológico
Copia de seguridad de Macosfera en Archive.org / Captura de pantalla del navegador mostrando el foro como inaccesible
Cuenta con un perfil público de GitHub con el nombre "notsafety" ('inseguro'), pero se desconoce su nacionalidad: sólo se sabe que sus operaciones se centran principalmente en países de habla hispana y su comunicación con afiliados y clientes se realiza predominantemente en español. Eso, y que su rastro de direcciones IP le sitúan actualmente en México.
Por medio de sus publicaciones en su Telgram público, Neo_Net ha sido vinculado al foro en español 'macosfera.com', que lleva offline desde poco después de que SentinelOne hiciera público este hecho.
Los paneles que han desvelado la conexión entre foro y cibercriminal. Vía SentinelOne
Concretamente, se encontraron direcciones de e-mail registradas con el dominio del foro en relación con varios paneles de phishing creados por Neo_Net, dirigidos a bancos españoles. Estas direcciones de correo electrónico se usaron como nombres de usuario para los paneles, lo que sugiere que Neo_Net pudo haber colaborado con personas de este foro para configurar su infraestructura.
Fuente | SentinelOne
Imágenes | Marcos Merino mediante IA + SentinelOne
