Microsoft, Meta y el Departamento de Justicia de EE.UU. actúan en varios países
Meta Platforms, Microsoft y el Departamento de Justicia de Estados Unidos (DoJ) han anunciado acciones independientes para abordar el ciberdelito e interceptar los servicios que posibilitan estafas, fraudes y ataques de phishing.
Con ese fin, la Unidad de Delitos Digitales (DCU) de Microsoft afirmó haber incautado 240 sitios web fraudulentos asociados con un facilitador de delitos cibernéticos con sede en Egipto llamado Abanoub Nady (también conocido como MRxC0DER y mrxc0derii), que anunciaba la venta de un kit de phishing llamado ONNX. Se dice que la operación delictiva de Nady se remonta a 2017.
"Numerosos actores cibercriminales y de amenazas en línea compraron estos kits y los usaron en campañas de phishing generalizadas para eludir medidas de seguridad adicionales e ingresar en las cuentas de clientes de Microsoft", dijo Steven Masada de Microsoft DCU.
"Si bien todos los sectores están en riesgo, el sector de los servicios financieros ha sido un blanco frecuente de ataques debido a la sensibilidad de los datos y las transacciones que maneja. En estos casos, un ataque de phishing exitoso puede tener devastadoras consecuencias en el mundo real para las víctimas".
ONNX, ofrecido bajo el modelo de phishing como servicio (PhaaS) por entre $150 por mes y $550 por seis meses, fue documentado a principios de junio por EclecticIQ, detallando la capacidad del kit de phishing para servir códigos QR incrustados en archivos PDF que finalmente dirigen a las víctimas a falsas páginas de inicio de sesión de Microsoft 365.
Cabe señalar que DarkAtlas expuso la identidad de Nady casi al mismo tiempo, lo que los llevó a cesar abruptamente sus actividades. Microsoft ha estado rastreando al propietario y operador de ONNX bajo el nombre de Storm-0867.
Posteriormente, también fue objeto de una alerta de la Autoridad Reguladora de la Industria Financiera de Estados Unidos (FINRA), que advirtió que las instituciones financieras estaban siendo atacadas por el kit ONNX, afirmando que puede eludir la autenticación de dos factores (2FA) interceptando solicitudes de 2FA.
Según Microsoft, la plataforma PhaaS también tenía otros nombres como Caffeine y FUHRER, lo que permitía a los clientes realizar campañas de phishing a gran escala. Los kits, promocionados, vendidos y configurados casi exclusivamente a través de Telegram, contenían plantillas de phishing y la infraestructura técnica asociada.
El gigante tecnológico dijo que obtuvo una orden judicial civil en el Distrito Este de Virginia para neutralizar la infraestructura técnica maliciosa, cortando efectivamente el acceso de los actores de amenazas y evitando que estos dominios se utilicen para ataques de phishing en el futuro.
El codemandante de Microsoft en su lucha legal es LF (Linux Foundation) Projects, LLC, que es el propietario de la marca registrada de ONNX, abreviatura de Open Neural Network Exchange, un entorno de ejecución de código abierto para representar modelos de aprendizaje automático.
Este avance se produce luego de que el Departamento de Justicia hiciera público el cierre de PopeyeTools, un mercado que se dedicaba a la venta de tarjetas de crédito robadas y otras herramientas para llevar a cabo fraudes financieros. Al mismo tiempo, se han presentado cargos contra tres de sus administradores de Pakistán y Afganistán: Abdul Ghaffar, de 25 años; Abdul Sami, de 35; y Javed Mirza, de 37.
Los tres individuos han sido acusados de conspiración para cometer fraude de dispositivos de acceso, tráfico de dispositivos de acceso y solicitud a otra persona con el fin de proporcionar dispositivos de acceso. Si son declarados culpables, se enfrentarán a una pena máxima de 10 años de prisión por cada uno de los tres delitos relacionados con dispositivos de acceso.
El mercado (www.PopeyeTools.com, www.PopeyeTools.co.uk y www.PopeyeTools.to), según el Departamento de Justicia, funcionó como un centro en línea para la venta de datos financieros confidenciales y otras herramientas ilícitas desde 2016, atrayendo a miles de usuarios de todo el mundo, incluidos aquellos asociados con la actividad de ransomware.
Se estima que PopeyeTools vendió dispositivos de acceso e información personal identificable (PII) de al menos 227.000 personas y generó al menos 1,7 millones de dólares en ingresos. Su lema era "Creemos en la calidad, no en la cantidad".
Algunos de los servicios publicitados incluían datos de tarjetas de pago no autorizadas para realizar transacciones fraudulentas, información de cuentas bancarias robadas, listas de correo no deseado, plantillas para estafas, guías educativas y tutoriales.
"Para atraer miembros al mercado, PopeyeTools supuestamente prometió reembolsar o reemplazar las tarjetas de crédito compradas que ya no fueran válidas en el momento de la venta", dijo el Departamento de Justicia. “Además, en diferentes momentos, PopeyeTools proporcionó a los clientes acceso a servicios que podían usarse para verificar la validez de los números de cuentas bancarias, tarjetas de crédito o tarjetas de débito ofrecidos a través del sitio web”.
El departamento dijo además que obtuvo autorización judicial para incautar aproximadamente 283.000 dólares en criptomonedas de una cuenta de criptomonedas administrada por Sami.
Coincidiendo con las incautaciones de ONNX y PopeyeTools, Meta anunció que había eliminado más de dos millones de cuentas asociadas a centros de estafa en Camboya, Myanmar, Laos, Emiratos Árabes Unidos y Filipinas que se utilizaban para llevar a cabo planes de 'estafas de pig butchering'.
Las operaciones fraudulentas, que se llevan a cabo en complejos de estafas en el sudeste asiático, están dirigidas por sindicatos del crimen organizado y a menudo implican la construcción de relaciones personales y románticas de confianza en línea con posibles objetivos en todo el mundo utilizando plataformas de redes sociales y aplicaciones de citas, manipulándolos para que depositen sus fondos duramente ganados en inversiones falsas.
"Estos centros de estafas criminales atraen a solicitantes de empleo, a menudo desprevenidos, con anuncios de trabajo demasiado buenos para ser ciertos en bolsas de trabajo locales, foros y plataformas de reclutamiento para luego obligarlos a trabajar como estafadores en línea, a menudo bajo la amenaza de abuso físico", dijo Meta.
En mayo, la empresa se asoció con Coinbase, Ripple y Match Group, propietario de Tinder y Hinge, para formar una coalición llamada Tech Against Scams que busca encontrar formas de contrarrestar la amenaza transnacional y otras formas de fraude en línea. Google, por su parte, se ha asociado con la Global Anti-Scam Alliance (GASA) y la DNS Research Federation (DNS RF) con objetivos similares en mente.