La empresa Group-IB de Singapur ha estado monitoreando al grupo de ciberdelincuentes GXC Team desde enero de 2023. Este grupo ha sido observado ofreciendo kits de phishing con aplicaciones maliciosas para Android, llevando sus ofertas de malware como servicio (MaaS) a un nivel superior.
Según Group-IB, el software malicioso se describe como una «plataforma sofisticada de phishing como servicio impulsada por inteligencia artificial (IA)» capaz de apuntar a usuarios de más de 36 bancos españoles, organismos gubernamentales y 30 instituciones a nivel mundial.
El precio del kit de phishing varía entre $150 y $900 al mes, mientras que el paquete que incluye el kit de phishing y el malware para Android está disponible por unos $500 mensuales.
Los objetivos incluyen usuarios de instituciones financieras españolas, servicios fiscales y gubernamentales, comercio electrónico, bancos y casas de cambio de criptomonedas en EE. UU., Reino Unido, Eslovaquia y Brasil. Hasta la fecha, se han identificado 288 dominios de phishing vinculados a la actividad.
Además de la creación de kits de phishing, el GXC Team ofrece la venta de credenciales bancarias robadas y esquemas de codificación personalizada a pedido para otros grupos de ciberdelincuentes que atacan a empresas bancarias, financieras y de criptomonedas.
Según los investigadores de seguridad Anton Ushakov y Martijn van den Berk, «Contrariamente a los desarrolladores de phishing típicos, el GXC Team combinó kits de phishing con un malware robador de SMS OTP, cambiando ligeramente la escena de un ataque de phishing típico.»
Los atacantes instan a las víctimas a descargar una aplicación bancaria para Android para evitar ataques de phishing. Una vez instalada, la aplicación extrae mensajes y contraseñas de un solo uso y los envía a un bot de Telegram bajo el control de los atacantes.
En un canal de Telegram dedicado, el actor de amenazas ofrece herramientas de llamadas de voz infundidas con IA que permiten a sus clientes generar llamadas de voz a objetivos potenciales utilizando el kit de phishing.
Estas llamadas, que suelen hacerse pasar por originadas desde un banco, instruyen a las víctimas a proporcionar sus códigos de autenticación de dos factores (2FA), instalar aplicaciones maliciosas u realizar otras acciones arbitrarias.
La clonación de voz impulsada por IA tiene el potencial de imitar el habla humana con «una precisión inquietante», lo que facilita esquemas de phishing con un sonido más auténtico para obtener acceso inicial, escalada de privilegios y movimiento lateral.
Los kits de phishing, que también cuentan con capacidades de atacante en el medio (AiTM), se han vuelto cada vez más populares ya que reducen la barrera técnica para llevar a cabo campañas de phishing a escala.
Los actores maliciosos pueden aprovechar las aplicaciones web progresivas (PWAs) para diseñar páginas de inicio de sesión convincentes con fines de phishing, manipulando los elementos de la interfaz de usuario para mostrar una barra de direcciones falsa.
Este aumento en las campañas de phishing se produce en medio de métodos inusuales de ingeniería social donde los usuarios son incitados a visitar sitios web aparentemente legítimos y luego se les pide copiar, pegar y ejecutar código obfuscado en una terminal de PowerShell.
El método de entrega de malware ha sido documentado por varias empresas de ciberseguridad, rastreando la actividad bajo seudónimos como ClickFix.
Al incorporar secuencias de comandos codificadas en Base64 dentro de indicaciones de error aparentemente legítimas, los atacantes engañan a los usuarios para que realicen una serie de acciones que resultan en la ejecución de comandos maliciosos de PowerShell, desplegando malware como DarkGate y Lumma Stealer.’
Vía The Hacker News