Organización de phishing, persigue a usuarios de PayPal

Una prolífica banda de phishing, conocida como 16Shop, ha añadido a los clientes de PayPal a su grupo objetivo.

De acuerdo con los investigadores de ZeroFOX Alpha Team, la última versión del kit de phishing del grupo está diseñada con un número de características que tienen como objetivo robar tanta información de identificación personal (PII) como sea posible de los usuarios del popular servicio de transferencia de dinero, incluyendo credenciales de inicio de sesión, geolocalización, dirección de correo electrónico, información de tarjetas de crédito, número de teléfono y más.

Al investigar la infraestructura del kit, los investigadores descubrieron que para establecer contacto, el kit envía una solicitud POST a un servidor de comando y control (C2), con una contraseña, un dominio y una ruta como forma de seguridad operativa. La información robada se extrae posteriormente a través de SMTP a un buzón de correo electrónico controlado por el atacante. Puede utilizarse para crear páginas de phishing en inglés, japonés, español, alemán y tailandés.

Los expertos pudieron interceptar el tráfico entre el kit y el servidor C2, y obtener acceso al panel del servidor que 16Shop alquila a los usuarios. Encontraron que es tan fácil de usar que los usuarios pueden utilizarlo para desplegar páginas de phishing sin necesidad de comprender ninguno de los protocolos o tecnologías subyacentes.

“Al igual que un producto SaaS [software como servicio], la experiencia del usuario y el análisis del panel son claves para el éxito”, dijo ZeroFOX en una publicación sobre el nuevo kit, el martes. “El panel del kit 16Shop está hecho profesionalmente, con elementos reactivos y actualización de datos en tiempo real. Ya sea que sus credenciales de acceso sean recolectadas, correos electrónicos recolectados, tarjetas de crédito, bots o clics, los operadores del kit son capaces de ver el éxito de su operación de una manera rápida y eficiente”.

El análisis también mostró que 16Shop está usando tres características diferentes de anti-bot y anti-indexación. La idea es bloquear los rastreadores automatizados utilizados por los proveedores de seguridad, así como los indexadores web, para limitar la exposición del kit.

“La primera [característica de detección-evasión] es un simple archivo de lista negra bajo seguridad, con un archivo llamado blacklist.dat”, explicaron los investigadores. “En segundo lugar, usan una biblioteca antirrastre de código abierto llamada CrawlerDetect. Las últimas versiones también emplean una integración con antibot.pw”.

Antibot tiene un punto final de API donde los operadores de la 16Shop pueden cargar una clave de API en el kit, y el kit enviará el User-Agent del visitante a Antibot para ver si el visitante es un “bot o no”. Antibot también ofrece servicios de acortamiento de enlaces, clickthrough y seguimiento de enlaces, así como la comprobación del número de identificación bancaria (BIN).

“Los autores también hacen un intento honesto de bloquear tantos motores de escaneo e indexación de seguridad como sea posible, ya que cuanto más rápido estas herramientas automatizadas descubran los sitios web de phishing, más rápido serán eliminados”, señaló ZeroFOX.

Como se ha señalado, 16Shop se distribuye en un modelo de malware como servicio, con operadores probablemente ubicados en el sudeste asiático.

“16Shop ha sido públicamente atribuido a un grupo llamado Ejército Cibernético de Indonesia, y específicamente, uno de los autores, DevilScreaM, tiene su apodo pegado sobre el código del kit y la red de distribución”, dijeron los investigadores.

El kit se dirigió inicialmente a los usuarios de Apple, pero luego se trasladó a Amazon, en 2019, según el escrito. ZeroFOX también vio evidencias de que 16Shop está trabajando en añadir American Express a su kit también.

“Estos autores del kit utilizan las características de los productos y las tácticas de marketing de los productos SaaS para anunciar, vender, desplegar, mantener y actualizar sus productos”, concluyó ZeroFOX.

Con información de: Threat Post.