Meta Platforms, Microsoft y el Departamento de Justicia de EE. UU. (DoJ) han anunciado acciones independientes para abordar el delito cibernético e interrumpir los servicios que permiten estafas, fraudes y ataques de phishing.
Con ese fin, la Unidad de Delitos Digitales (DCU) de Microsoft dijo que confiscó 240 sitios web fraudulentos asociados con un facilitador de delitos cibernéticos con sede en Egipto llamado Abanoub Nady (también conocido como MRxC0DER y mrxc0derii), que anunciaba la venta de un kit de phishing llamado ONNX. Se dice que la operación criminal de Nady se remonta a 2017.
“Numerosos cibercriminales y actores de amenazas en línea compraron estos kits y los utilizaron en campañas de phishing generalizadas para eludir medidas de seguridad adicionales e ingresar a las cuentas de los clientes de Microsoft”, dijo Steven Masada de Microsoft DCU.
“Si bien todos los sectores están en riesgo, la industria de servicios financieros ha sido fuertemente atacada debido a los datos y transacciones confidenciales que manejan. En estos casos, un phishing exitoso puede tener consecuencias devastadoras en el mundo real para las víctimas”.
ONNX, ofrecido bajo el modelo de phishing como servicio (PhaaS) por entre $150 por mes y $550 por seis meses, fue documentado a principios de junio por EclecticIQ, detallando la capacidad del kit de phishing para servir códigos QR incrustados en archivos PDF que en última instancia, dirige a las víctimas a páginas de inicio de sesión falsas de Microsoft 365.
Vale la pena señalar que DarkAtlas expuso la identidad de Nady casi al mismo tiempo, lo que los llevó a cesar abruptamente sus actividades. Microsoft ha estado rastreando al propietario y operador de ONNX bajo el nombre de Storm-0867.
Posteriormente, también fue objeto de una alerta de la Autoridad Reguladora de la Industria Financiera de EE. UU. (FINRA), que advirtió que las instituciones financieras estaban siendo atacadas por el kit ONNX, afirmando que puede eludir la autenticación de dos factores (2FA) al interceptar solicitudes 2FA.
Según Microsoft, la plataforma PhaaS también recibió otros nombres como Caffeine y FUHRER, lo que permitió a los clientes realizar campañas de phishing a escala. Los kits, promocionados, vendidos y configurados casi exclusivamente a través de Telegram, contenían plantillas de phishing y la infraestructura técnica asociada.
El gigante tecnológico dijo que obtuvo una orden judicial civil en el Distrito Este de Virginia para neutralizar la infraestructura técnica maliciosa, cortando efectivamente el acceso de los actores de amenazas e impidiendo que estos dominios se utilicen para ataques de phishing en el futuro.
El co-demandante de Microsoft en su lucha legal es LF (Linux Foundation) Projects, LLC, propietaria de la marca ONNX, abreviatura de Open Neural Network Exchange, un tiempo de ejecución de código abierto para representar modelos de aprendizaje automático.
El desarrollo se produce cuando el Departamento de Justicia publicó el cierre de PopeyeTools, un mercado que incursionaba en la venta de tarjetas de crédito robadas y otras herramientas para llevar a cabo fraude financiero. Al mismo tiempo, se han revelado cargos contra tres de sus administradores de Pakistán y Afganistán: Abdul Ghaffar, de 25 años; Abdul Sami, 35 años; y Javed Mirza, de 37 años.
Los tres individuos han sido acusados de conspiración para cometer fraude de dispositivos de acceso, tráfico de dispositivos de acceso y solicitud de otra persona con el fin de proporcionar dispositivos de acceso. Si son declarados culpables, enfrentan una pena máxima de 10 años de prisión por cada uno de los tres delitos de dispositivos de acceso.
El mercado (www.PopeyeTools.com, www.PopeyeTools.co.uk y www.PopeyeTools.to), según el Departamento de Justicia, funcionó como un centro en línea para vender datos financieros confidenciales y otras herramientas ilícitas desde 2016, atrayendo a miles de usuarios. en todo el mundo, incluidos aquellos asociados con la actividad de ransomware.
Se estima que PopeyeTools vendió los dispositivos de acceso y la información de identificación personal (PII) de al menos 227.000 personas y generó al menos 1,7 millones de dólares en ingresos. Su lema era “Creemos en la calidad, no en la cantidad”.
Algunos de los servicios anunciados incluían datos de tarjetas de pago no autorizadas para realizar transacciones fraudulentas, información de cuentas bancarias robadas, listas de correo no deseado, plantillas de estafas, guías educativas y tutoriales.
“Para atraer miembros al mercado, PopeyeTools supuestamente prometió reembolsar o reemplazar las tarjetas de crédito compradas que ya no eran válidas en el momento de la venta”, dijo el Departamento de Justicia. “Además, en diferentes momentos, PopeyeTools brindó a los clientes acceso a servicios que podían usarse para verificar la validez de los números de cuentas bancarias, tarjetas de crédito o débito ofrecidos a través del sitio web”.
El departamento dijo además que obtuvo autorización judicial para confiscar aproximadamente 283.000 dólares en criptomonedas de una cuenta de criptomonedas administrada por Sami.
Coincidiendo con las incautaciones de ONNX y PopeyeTools, Meta anunció que había eliminado más de dos millones de cuentas asociadas con centros de estafa en Camboya, Myanmar, Laos, los Emiratos Árabes Unidos y Filipinas que se utilizaban para llevar a cabo planes de matanza de cerdos.
Las operaciones fraudulentas, que se llevan a cabo en complejos de estafas en el sudeste asiático, están dirigidas por sindicatos del crimen organizado y, a menudo, implican la creación de relaciones personales y románticas de confianza en línea con posibles objetivos en todo el mundo utilizando plataformas de redes sociales y aplicaciones de citas, manipulándolos para depositar sus dineros duros. fondos ganados en inversiones falsas.
“Estos centros de estafas criminales atraen a buscadores de empleo a menudo desprevenidos con anuncios de trabajo demasiado buenos para ser verdad en bolsas de trabajo, foros y plataformas de reclutamiento locales para luego obligarlos a trabajar como estafadores en línea, a menudo bajo amenaza de abuso físico”. Dijo Meta.
En mayo, la compañía se asoció con Coinbase, Ripple y Match Group, propietario de Tinder y Hinge, para formar una coalición llamada Tech Against Scams que tiene como objetivo idear formas de contrarrestar la amenaza transnacional y otras formas de fraude en línea. Google, por su parte, se ha asociado con la Global Anti-Scam Alliance (GASA) y la DNS Research Federation (DNS RF) con objetivos similares en mente.