Las fuerzas del orden españolas arrestaron el miércoles a 16 personas pertenecientes a una red criminal en relación con la operación de dos troyanos bancarios como parte de una campaña de ingeniería social dirigida a instituciones financieras en Europa.
Las detenciones se han producido en Ribeira (A Coruña), Madrid, Parla y Móstoles (Madrid), Seseña (Toledo), Villafranca de los barros (Badajoz) y Aranda de Duero (Burgos) tras una investigación de un año de duración denominada «Aguas Vivas». «, dijo la Guardia Civil en un comunicado.
«A través de un software malicioso, instalado en el ordenador de la víctima mediante la técnica conocida como ‘email spoofing’, [the group] habría logrado desviar grandes cantidades de dinero a sus cuentas”, señalaron las autoridades.
Se confiscaron equipos informáticos, teléfonos móviles y documentos, y se analizaron más de 1.800 correos electrónicos no deseados, lo que permitió a las fuerzas del orden bloquear con éxito intentos de transferencia por un total de 3,5 millones de euros. Se dice que la campaña ha aportado a los actores 276 470 €, de los cuales 87 000 € se han recuperado con éxito.
Como parte de un esfuerzo por dar credibilidad a sus ataques de phishing, los operadores trabajaron enviando correos electrónicos bajo la apariencia de servicios legítimos de entrega de paquetes y entidades gubernamentales como el Tesoro, instando a los destinatarios a hacer clic en un enlace que descargaba sigilosamente software malicioso en el sitio web. sistemas
El malware – denominado «Mekotio«y»Grandoreiro«- funcionó interceptando transacciones en un sitio web bancario para desviar fondos de forma no autorizada a cuentas bajo el control de los atacantes. Al menos 68 cuentas de correo electrónico pertenecientes a organismos oficiales fueron infectadas con tales transferencias fraudulentas.
“Después se diversificó el dinero enviándolo a otras cuentas, o sacando efectivo en cajeros automáticos, transferencias con tarjetas BIZUM, REVOLUT, etc., con el fin de dificultar la posible investigación policial”, señala la Guardia Civil.
Grandoreiro y Mekotio (también conocido como Melcoz) son parte de un «Tetrade» de troyanos bancarios brasileños, como lo detalló la firma de seguridad cibernética Kaspersky en julio de 2020, mientras que las tácticas en evolución de este último fueron reveladas por ESET en agosto de 2020, lo que implicaba mostrar ventanas emergentes falsas. a sus víctimas en un intento de atraerlas para que divulguen información confidencial.
“Estas ventanas están cuidadosamente diseñadas para apuntar a los bancos latinoamericanos y otras instituciones financieras”, señaló la empresa de ciberseguridad eslovaca.
Operativo desde al menos 2016, Grandoreiro tiene un historial de señalar a Brasil, México, España, Portugal y Turquía, «con los atacantes mejorando regularmente las técnicas, esforzándose por permanecer sin ser detectados y activos durante períodos de tiempo más largos». Mekotio, por otro lado, se ha observado en ataques dirigidos a Brasil desde 2018, antes de expandirse a Chile, México y España.
«[Mekotio] «Roba contraseñas de los navegadores y de la memoria del dispositivo, proporcionando acceso remoto para capturar el acceso a la banca por Internet», explicaron los investigadores de Kaspersky en un informe publicado el miércoles. «También incluye un módulo de robo de billetera Bitcoin».
Para evitar ser víctima de este tipo de ataques, la agencia recomienda que los destinatarios de correos electrónicos y SMS analicen los mensajes detenidamente, especialmente si se trata de entidades con solicitudes urgentes, promociones u ofertas muy atractivas, al mismo tiempo que toman medidas para estar atentos a los errores gramaticales. y asegurar la autenticidad del remitente del mensaje.
