En el transcurso del mes de julio, los investigadores de Perception Point observaron un aumento en las campañas de correo electrónico de phishing creadas en portugués y español. Los correos electrónicos son creados por un grupo brasileño de ciberamenazas al que llaman “GeoMetrix”.
De acuerdo con Perception Point, este grupo es responsable de ejecutar varias campañas de phishing, principalmente dirigidas a personas en Brasil y España. También es probable que se beneficien de sus herramientas de phishing vendiéndolas a otros ciberdelincuentes.
En un blog muy ilustrativo, los investigadores explican que los correos electrónicos de GeoMetrix están diseñados para hacerse pasar por instituciones bancarias españolas y brasileñas legítimas. El objetivo final es engañar a los usuarios desprevenidos para que hagan clic en un enlace incrustado contenido en un correo electrónico que dice que el destinatario ha sido seleccionado para convertirse en cliente de Bradesco Prime, o un correo electrónico del Banco do Brasil, advirtiendo al lector que tiene cierta cantidad de monedas digitales a punto de caducar.
Si el usuario hace clic en el URL incluido, es redirigido a un sitio malicioso, desde donde se determina la ubicación de la posible víctima. “Si la ubicación del usuario se alinea con la geografía objetivo del actor de amenazas, los datos críticos del usuario (dirección IP, ubicación física y dirección de correo electrónico) se registran en el “panel de clic” del atacante”, explica el blog.
Después, el usuario puede ser víctima de una descarga de malware bancario, o puede ser redireccionado a un sitio fraudulento de phishing que aparenta ser un banco de América Latina, o una página de Trust Wallet. Ahí se le solicita una clave y una contraseña con el objetivo de robar información bancaria personal. En el caso del mail de Banco do Brasil, también se solicita el Código BB, una característica de esta institución para hacer que las transferencias de dinero sean más fáciles y seguras. “Los ciberdelincuentes detrás de la campaña de phishing han explotado esta característica, usándola para engañar a las víctimas para que les transfieran dinero directamente. Al hacer que el proceso parezca fácil y seguro, han identificado una forma convincente de robar dinero a víctimas desprevenidas”, advierte Perception Point.
Los investigadores estiman que la cantidad de usuarios infectados ha superado las 15,000 víctimas, y consideran que GeoMetrix puede estar beneficiándose de uno de los siguientes modelos comerciales:
1. Phishing-as-a-Service (PhaaS): es concebible que GeoMetrix podría estar ofreciendo un servicio en el que se cobra a los clientes por cada clic exitoso, un modelo que recuerda al Malware-as-a-Service (MaaS), en el que los proveedores normalmente se cobra por infección.
2. Venta de kits de phishing: Estos kits, listos para usar, suelen incluir elementos esenciales, como un panel de phishing, un dominio y una lista de objetivos de spam.
Desde Perception Point alertan sobre los riesgos que representa el grupo GeoMetrix: “Parece ser más que un mero actor de amenazas y existe una gran posibilidad de que sirva como una plataforma que permita a otros realizar actividades maliciosas, incluido el phishing y la distribución de malware. Esto subraya la complejidad cada vez mayor del panorama de amenazas cibernéticas y enfatiza la necesidad de defensas cibernéticas mejoradas. Mientras lidiamos con estas amenazas multidimensionales, debemos actualizar continuamente nuestro conocimiento, mejorar nuestras defensas y permanecer alerta a nuevas tácticas”, concluyen los investigadores.
Pueden consultar la información completa de esta amenaza en el blog de Perception Point
This article first appeared in ComputerWeekly.es, written by Lizzette B. Pérez Arbesu on August 9, 2023.