هکر مکزیکی با یک کمپین بدافزار موبایل اندرویدی مرتبط می باشد که موسسات مالی را در سطح جهانی را با تمرکز ویژه بر بانک های اسپانیایی و شیلی، از ژوئن ۲۰۲۱ تا آوریل ۲۰۲۳ هدف قرار داده است.

به گزارش سرویس بین الملل پایگاه خبری عدل البرز به نقل از thehackernews ، به گفته محقق امنیتی پل تیل، این فعالیت به عاملی با اسم رمز Neo_Net نسبت داده می شود.

تیل گفت: “با وجود استفاده از ابزارهای نسبتاً ساده، Neo_Net با تنظیم زیرساخت های خود به سمت اهداف خاص به نرخ موفقیت بالایی دست یافته است که منجر به سرقت بیش از ۳۵۰۰۰۰ یورو از حساب های بانکی قربانیان و به خطر انداختن اطلاعات شناسایی شخصی (PII) هزاران قربانی شده است.”

برخی از اهداف اصلی، شامل بانک هایی مانند Santander، BBVA، CaixaBank، Deutsche Bank، Crédit Agricole و ING می شوند. Neo_Net که اسپانیایی زبان و ساکن مکزیک می باشد.، خود را به عنوان یک جنایتکار سایبری با تجربه نشان داده است. او در فروش پنل‌های فیشینگ، داده‌های قربانیان که به دست اشخاص ثالث فروخته می‌شود، و ارائه خدمات کلاهبرداری پیامکی با عنوان سرویس به نام Ankarex، که طراحی شده تا به تعدادی از کشورها در سراسر جهان حمله کند، مشارکت دارد.

نقطه ورود اولیه برای حمله چند مرحله‌ای، فیشینگ پیامکی می باشد که در آن عامل تهدید از تاکتیک‌های ترساندن مختلفی استفاده می‌کند تا گیرندگان ناخواسته را فریب دهند که بر روی صفحات فرود جعلی کلیک کنند. بدین ترتیب اطلاعات آنها از طریق یک ربات تلگرام جمع‌آوری و بهره برداری می شود.

صفحات فیشینگ با استفاده از پنل‌های PRIV8 از Neo_Net با دقت و با جزئیات راه‌اندازی شده‌اند. همچنین، اقدامات دفاعی متعددی نیز انجام شده است که شامل مسدود کردن درخواست‌ها از عوامل کاربر غیر موبایل و مخفی کردن صفحات از ربات‌ها و اسکنرهای شبکه می‌شود. این اقدامات به منظور جلوگیری از تشخیص صفحات فیشینگ توسط برنامه‌های خودکار و ابزارهای اسکنر شبکه استفاده شده است.

 این صفحات به گونه‌ای طراحی شده‌اند که شباهت زیادی به برنامه‌های بانکی واقعی داشته باشند، حتی دارای انیمیشن‌هایی برای ایجاد یک نمای متقاعدکننده هم هستند.

همچنین، مشاهده شده است که عوامل تهدید نیز مشتریان بانک را به نصب برنامه‌های ناامن اندروید با عنوان نرم‌افزار امنیتی فریب می‌دهند. بعد از نصب این برنامه‌ها، مجوزهای پیامکی (SMS) را درخواست می‌دهند تا بتوانند کدهای تأیید دو عاملی مبتنی بر پیامک که بانک ارسال می‌کند را ثبت و از آنها سوء استفاده کنند.

پلتفرم Ankarex به نوبه خود از ماه می ۲۰۲۲ فعال بوده است. این پلتفرم به طور فعال در کانال تلگرامی که حدود ۱۷۰۰ مشترک دارد، تبلیغ می شود.

تیل گفت: «این سرویس به خودی خود در ankarex[.]Net قابل دسترسی است و پس از ثبت نام، کاربران می توانند با استفاده از انتقال ارز رمزنگاری شده، وجوه خود را آپلود کنند و کمپین Smishing (کلاهبرداری پیامکی) خود را با مشخص کردن محتوای پیامک و شماره تلفن های مورد نظر راه اندازی کنند.

این توسعه در حالی رخ داد که شرکت ThreatFabric یک کمپین تروجان بانکی جدید با نام Anatsa (معروف به TeaBot) را توضیح داد که از اوایل ماه مارس ۲۰۲۳ تاکنون به اهدافی مانند مشتریان بانکی در ایالات متحده آمریکا، انگلستان، آلمان، اتریش و سوئیس حمله کرده است.

پایان پیام/