elpost

Investigación, análisis e información.

Clientes de la banca mexicana en la mira del grupo de hackers “Caimán manipulado”

Foto: Especial

22 agosto 2023

De acuerdo con información de periódico El Economista, un grupo de atacantes cibernéticos, que se sospecha son originarios de algún país de América Latina, han afectado a unos 4,000 usuarios del sistema bancario mexicano, según un informe de la firma de ciberseguridad israelí, Perception Point.

Apodado “Caimán Manipulado”, este grupo de piratas informáticos ha obtenido acceso a las cuentas bancarias de aproximadamente 4.000 personas en México. El ataque cibernético se dirige específicamente a individuos u organizaciones con una dirección de Protocolo de Internet (IP) local, limitando a sus víctimas a usuarios dentro del país.

Perception Point identificó una campaña de phishing a gran escala dirigida a personas y organizaciones que son clientes de cinco importantes bancos mexicanos, que tuvo lugar a fines de mayo de 2023. El objetivo final de esta campaña de piratería era obtener acceso a las cuentas bancarias de las víctimas.

El phishing es una técnica de ingeniería social mediante la cual los atacantes cibernéticos intentan engañar a sus víctimas potenciales para obtener acceso o privilegios dentro de un sistema. Según el informe “Estado de Ciberseguridad Global 2023” de la firma estadounidense Infoblox, el 59 por ciento de las organizaciones mexicanas reportaron al menos un ataque de phishing en el último año.

Proceso de ataque

Los atacantes engañaron a sus víctimas con correos electrónicos notificándoles la entrega de un supuesto comprobante fiscal digital (CFDI) en un archivo ZIP que pretende contener un archivo PDF y XML.

Este archivo ZIP contiene una URL que ejecuta código malicioso y muestra inicialmente un mensaje de error antes de enviar una solicitud a otra URL.

La nueva URL descarga dos archivos que solicitan información de la computadora o el teléfono de la víctima, como la configuración de idioma y la ubicación de IP.

Si la respuesta proviene de una dirección IP mexicana, el código ejecuta software malicioso. Si la IP se encuentra fuera de México, el código redirige a otro sitio web y deja de ejecutarse, práctica conocida como geofencing.

El código ejecutado analiza cuando el dispositivo de la víctima abre una ventana o aplicación con el nombre de los bancos atacados. Si ocurre una coincidencia, el código descarga dos archivos ejecutables que acceden a la cuenta bancaria de la víctima para extraer recursos.

Perception Point afirmó haber obtenido acceso a los servidores de Caimán Manipulado, lo que les permitió determinar la cantidad de usuarios infectados, los saldos de sus cuentas, las fechas de infección, las transacciones recientes y, en algunos casos, capturas de pantalla de sus cuentas bancarias.

“Al resumir todos los datos que pudimos recopilar de estos servidores C2, encontramos más de 4K víctimas en total con posibles ingresos de 55 millones de dólares (nota: este cálculo se basa en el monto del saldo en el momento de la infección)”, afirmó la compañía. .

Caimán manipulado

Los investigadores de Perception Point llamaron a este grupo de atacantes cibernéticos “Caimán manipulado” debido al descubrimiento de un archivo llamado “Cargador manipulado” y vinculando el origen del ataque a la región de América Latina, asociado con el reptil caimán. Además, varias palabras dentro del código del grupo están escritas en portugués.

Según Hiram Camarillo, director ejecutivo de la firma mexicana de ciberseguridad Seekurity, este ataque es altamente sofisticado, evade la seguridad del dispositivo de las víctimas y complica la posible investigación forense.

Sin embargo, los atacantes cibernéticos cometieron errores básicos. “El desarrollador dejó el nombre de la computadora que usa en el código fuente de uno de los archivos. Este no es el error de un experto. Es el nombre de un personaje del videojuego Call of Duty, y puedes identificar un persona por sus preferencias”, afirmó Camarillo en una entrevista.

Camarillo recordó otros grupos de atacantes cibernéticos con sede en América Latina, como Cybercartel o el grupo Fénix, que apuntan al robo de bancos regionales. A pesar de sus errores, afirmó que Caimán Manipulado, al igual que estos otros grupos, demuestra un alto nivel de competencia para comprometer sistemas de terceros y causar daños.

“Yo creo que una de las ventajas que tiene esta gente es que al final no se persiguen tanto estos delitos, y mientras puedan seguir robando dinero sin que los pillen, les permite contratar la mejor infraestructura o gente para seguir en desarrollo”, dijo.