La empresa de ciberseguridad Cleafy ha alertado sobre una campaña de fraude bancario dirigida a entidades financieras de España, Italia y Reino Unido, de la que realizaron un seguimiento desde finales de 2023 hasta las primeras semanas de 2024.
Los actores de amenazas habrían adoptado un enfoque híbrido, que incluye técnicas de ingeniería social y componentes de malware para llevar a cabo transferencias bancarias no autorizadas (a través de pagos instantáneos) o una red bien organizada de cuentas bancarias (mula de dinero).
En este caso los ciberdelincuentes se han servido de la ingeniería social para distribuir el troyano bancario Copybara, que suele implicar técnicas de smishing o vishing y aprovecha operadores nativos.
La distribución se hace utilizando aplicaciones aparentemente legítimas, logotipos de bancos conocidos y nombres que suenan auténticos, como Caixa Sign Nueva, BBVA Codigo o Sabade Codigo.
Cibermalos organizados
La compañía que ha identificado esta amenaza explica que los adversarios han usado una manera estructurada de gestionar todas las campañas de phising en curso mediante un panel web centralizado conocido como Mr.Robot.
Con dicho panel los actores de amenazas pueden habilitar y gestionar todas las campañas contra distintas instituciones financieras según sus necesidades, según revela Cleafy.
Los piratas informáticos abusan del servicio Reverse Proxy ofrecido por Cloudflare para enmascarar la ubicación real de sus servidores y garantizar una mayor protección contra ataques DDOS (denegación de servicio distribuida) y solicitudes de eliminación.
No todos los dominios activos presentan un kit de phishing para una institución bancaria específica; algunos parecen implementarse únicamente para servir muestras de Copybara (.apk). Es posible que los actores de amenazas ya dispongan de datos válidos sobre víctimas potenciales (por ejemplo, detalles personales, números de teléfono, información de inicio de sesión) provenientes de campañas de phishing anteriores.
En definitiva, Copybara es capaz de realizar fraude en el dispositivo (ODF) e iniciar transferencias de dinero no autorizadas directamente desde el terminal de la víctima. Este enfoque ODF ha hecho que las contramedidas antifraude convencionales resulten en gran medida ineficaces.