Un grupo de ciberdelincuencia de habla hispana llamado Equipo GXC<\/strong> Se ha observado que los kits de phishing se agrupan con aplicaciones maliciosas de Android, llevando las ofertas de malware como servicio (MaaS) al siguiente nivel.<\/p>\n La empresa de ciberseguridad de Singapur Group-IB, que ha estado rastreando al actor del crimen electr\u00f3nico desde enero de 2023, describi\u00f3 la soluci\u00f3n de crimeware como una “sofisticada plataforma de phishing como servicio impulsada por IA” capaz de atacar a usuarios de m\u00e1s de 36 bancos espa\u00f1oles, organismos gubernamentales y 30 instituciones en todo el mundo. <\/p>\n El kit de phishing tiene un precio de entre 150 y 900 d\u00f3lares al mes, mientras que el paquete que incluye el kit de phishing y el malware para Android est\u00e1 disponible mediante suscripci\u00f3n por unos 500 d\u00f3lares al mes.<\/p>\n Entre los objetivos de la campa\u00f1a se encuentran usuarios de entidades financieras espa\u00f1olas, as\u00ed como servicios tributarios y gubernamentales, comercio electr\u00f3nico, bancos y casas de cambio de criptomonedas de Estados Unidos, Reino Unido, Eslovaquia y Brasil. Hasta el momento se han identificado hasta 288 dominios de phishing vinculados a la actividad.<\/p>\n Tambi\u00e9n forma parte del espectro de servicios ofrecidos la venta de credenciales bancarias robadas y esquemas de codificaci\u00f3n personalizados por encargo para otros grupos cibercriminales que apuntan a empresas bancarias, financieras y de criptomonedas.<\/p>\n “A diferencia de los desarrolladores de phishing t\u00edpicos, el equipo GXC combin\u00f3 kits de phishing junto con un malware ladr\u00f3n de OTP de SMS, lo que hizo que un escenario de ataque de phishing t\u00edpico tomara una direcci\u00f3n ligeramente nueva”, afirmaron los investigadores de seguridad Anton Ushakov y Martijn van den Berk. dicho<\/a> en un informe del jueves.<\/p>\n Lo que llama la atenci\u00f3n aqu\u00ed es que los actores de amenazas, en lugar de utilizar directamente una p\u00e1gina falsa para obtener las credenciales, instan a las v\u00edctimas a descargar una aplicaci\u00f3n bancaria basada en Android para evitar ataques de phishing. Estas p\u00e1ginas se distribuyen mediante smishing y otros m\u00e9todos.<\/p>\n Una vez instalada, la aplicaci\u00f3n solicita permisos para ser configurada como la aplicaci\u00f3n de SMS predeterminada, lo que permite interceptar contrase\u00f1as de un solo uso y otros mensajes y exfiltrarlos a un bot de Telegram bajo su control.<\/p>\n “En la etapa final, la aplicaci\u00f3n abre el sitio web de un banco genuino en WebView, lo que permite a los usuarios interactuar con \u00e9l con normalidad”, dijeron los investigadores. “Despu\u00e9s de eso, cada vez que el atacante activa el mensaje OTP, el malware para Android recibe y reenv\u00eda silenciosamente mensajes SMS con c\u00f3digos OTP al chat de Telegram controlado por el actor de la amenaza”.<\/p>\n Entre otros servicios publicitados por el actor de amenazas en un canal dedicado de Telegram se encuentran herramientas de llamadas de voz con inteligencia artificial que permiten a sus clientes generar llamadas de voz a posibles objetivos bas\u00e1ndose en una serie de indicaciones directamente desde el kit de phishing.<\/p>\n Estas llamadas generalmente se hacen pasar por provenientes de un banco y les piden que proporcionen sus c\u00f3digos de autenticaci\u00f3n de dos factores (2FA), instalen aplicaciones maliciosas o realicen otras acciones arbitrarias.<\/p>\n “El uso de este mecanismo simple pero efectivo mejora a\u00fan m\u00e1s el escenario de estafa para sus v\u00edctimas y demuestra con qu\u00e9 rapidez y facilidad los delincuentes adoptan e implementan herramientas de IA en sus esquemas, transformando los escenarios de fraude tradicionales en t\u00e1cticas nuevas y m\u00e1s sofisticadas”, se\u00f1alaron los investigadores.<\/p>\n En un informe reciente, Mandiant, propiedad de Google, revel\u00f3 c\u00f3mo la clonaci\u00f3n de voz impulsada por IA tiene la capacidad de imitar el habla humana con una “precisi\u00f3n asombrosa”, lo que permite esquemas de phishing (o vishing) que suenan m\u00e1s aut\u00e9nticos y facilitan el acceso inicial, la escalada de privilegios y el movimiento lateral.<\/p>\n “Los actores de amenazas pueden hacerse pasar por ejecutivos, colegas o incluso personal de soporte de TI para enga\u00f1ar a las v\u00edctimas para que revelen informaci\u00f3n confidencial, otorguen acceso remoto a los sistemas o transfieran fondos”, dijo la firma de inteligencia de amenazas. dicho<\/a>.<\/p>\n “La confianza inherente asociada con una voz familiar puede ser explotada para manipular a las v\u00edctimas para que realicen acciones que normalmente no realizar\u00edan, como hacer clic en enlaces maliciosos, descargar malware o divulgar datos confidenciales”.<\/p>\n Los kits de phishing, que tambi\u00e9n vienen con capacidades de adversario en el medio (AiTM), se han vuelto cada vez m\u00e1s populares a medida que reducen la barrera t\u00e9cnica de entrada para realizar campa\u00f1as de phishing a gran escala.<\/p>\n El investigador de seguridad mr.d0x, en un informe<\/a> publicado el mes pasado, dec\u00eda que es posible que actores maliciosos aprovechen las aplicaciones web progresivas (PWA) para dise\u00f1ar p\u00e1ginas de inicio de sesi\u00f3n convincentes con fines de phishing manipulando los elementos de la interfaz de usuario para mostrar una barra de URL falsa.<\/p>\n Es m\u00e1s, estos kits de phishing AiTM tambi\u00e9n se pueden utilizar para entrar en cuentas protegidas por claves de acceso en varias plataformas en l\u00ednea mediante lo que se denomina un ataque de redacci\u00f3n del m\u00e9todo de autenticaci\u00f3n, que aprovecha el hecho de que estos servicios todav\u00eda ofrecen un m\u00e9todo de autenticaci\u00f3n menos seguro como mecanismo de respaldo incluso cuando se han configurado claves de acceso.<\/p>\n “Dado que AitM puede manipular la vista presentada al usuario modificando HTML, CSS e im\u00e1genes o JavaScript en la p\u00e1gina de inicio de sesi\u00f3n, a medida que se transmite al usuario final, pueden controlar el flujo de autenticaci\u00f3n y eliminar todas las referencias a la autenticaci\u00f3n con clave de acceso”, dijo la empresa de ciberseguridad eSentire. dicho<\/a>.<\/p>\n La revelaci\u00f3n se produce en medio de un aumento reciente de campa\u00f1as de phishing que incorporan URL que ya est\u00e1n codificadas utilizando herramientas de seguridad como Secure Email Gateways (SEG) en un intento de enmascarar los enlaces de phishing y evadir el escaneo, seg\u00fan Redes Barracuda<\/a> y Cofensa<\/a>.<\/p>\n Tambi\u00e9n se han observado ataques de ingenier\u00eda social que recurren a m\u00e9todos inusuales en los que se induce a los usuarios a visitar sitios web aparentemente leg\u00edtimos y luego se les pide que copien, peguen y ejecuten manualmente un c\u00f3digo ofuscado en una terminal de PowerShell con el pretexto de solucionar problemas con la visualizaci\u00f3n de contenido en un navegador web.<\/p>\n ReliaQuest y Proofpoint ya han documentado los detalles del m\u00e9todo de distribuci\u00f3n del malware. McAfee Labs est\u00e1 rastreando la actividad bajo el nombre de ClickFix.<\/p>\n “Al incorporar scripts codificados en Base64 dentro de mensajes de error aparentemente leg\u00edtimos, los atacantes enga\u00f1an a los usuarios para que realicen una serie de acciones que resultan en la ejecuci\u00f3n de comandos maliciosos de PowerShell”, dijeron los investigadores Yashvi Shah y Vignesh Dhatchanamoorthy. dicho<\/a>.<\/p>\n “Estos comandos normalmente descargan y ejecutan cargas \u00fatiles, como archivos HTA, desde servidores remotos, y luego implementan malware como Puerta oscura<\/a> y el ladr\u00f3n de Lumma.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Este-servicio-contra-delitos-ciberneticos-basado-en-inteligencia-artificial-combina.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n