Un grupo de hackers ha seleccionado a los cuentahabientes mexicanos como sus víctimas. Caimán Manipulado (Manipulated Caiman) ha accedido a las cuentas bancarias de 4,000 personas en México, de acuerdo con un reporte de la firma de ciberseguridad israelí Perception Point. Este ciberataque sólo afecta a aquellas personas u organizaciones con una dirección de Internet (IP) localizada en México, por lo que sólo cuenta entre sus víctimas a usuarios de este país.
Perception Point detectó que una campaña masiva de phishing contra individuos y organizaciones que son clientes de cinco de los bancos más grandes en México tuvo lugar a finales de mayo de 2023. El objetivo final de esta campaña de hacking era acceder a las cuentas bancarias de las víctimas.
El phishing es una técnica de ingeniería social por medio de la cual los ciberatacantes buscan engañar a sus potenciales víctimas para obtener acceso o privilegios dentro de un sistema. El 59% de las organizaciones mexicanas ha registrado al menos un ataque de phishing en el año más reciente, según el Estudio sobre el estado global de la ciberseguridad 2023 de la firma estadounidense Infoblox.
Proceso del ciberataque
Los ciberatacantes engañaron a sus víctimas mediante un correo que les notificó de la supuesta entrega de un comprobante fiscal digital (CFDI), o factura, en un archivo con formato ZIP que simula contener un archivo PDF y otro XML.
Ese archivo ZIP contiene una dirección URL que ejecuta un código malicioso el cual despliega primero un mensaje de error para después hacer una solicitud a otra dirección URL.
Esta nueva dirección URL descarga dos archivos que solicitan información a la computadora o teléfono de la víctima, como la configuración de idioma y la ubicación de la dirección de Internet (llamada dirección IP).
Si la respuesta proviene de una dirección IP localizada en México, el código ejecuta el software malicioso; si proviene de una dirección fuera de México, el código redirecciona a otro sitio web y deja de ejecutarse (una práctica conocida como geofencing).
El código ejecutado analiza cuando en el dispositivo de la víctima se abre una ventana o aplicación con el nombre de los bancos objetivo y, en caso de ser así, descarga dos archivos ejecutables que son los que se encargan de acceder a la cuenta bancaria para extraer los recursos.
Perception Point dijo haber tenido acceso a los servidores de Caimán Manipulado, con lo que pudo conocer el número de usuarios infectados, junto con su balance, la fecha de infección, las transacciones más recientes y, en algunos casos, una captura de pantalla de sus cuentas bancarias.
“Al resumir todos los datos que pudimos recopilar de esos servidores C2, conseguimos encontrar más de 4K víctimas en total con unos posibles ingresos de 55 millones de dólares (atención: este cálculo se basa en el importe del saldo en el momento de la infección)”, aseguró la compañía a El Economista.
Caimán Manipulado
Los investigadores de Perception Point nombraron al grupo de ciberatacantes como Manipulated Caiman, debido a que encontraron un archivo llamado “Loader Manipulado” y a que identificaron el origen del ataque en la región de América Latina, que relacionaron con el reptil caimán. Además, Varias palabras dentro del código utilizado por el grupo están escritas en lengua portuguesa.
Para Hiram Camarillo, director ejecutivo de la firma mexicana de ciberseguridad Seekurity, este ataque es muy sofisticado para lograr eludir la seguridad de los dispositivos de las víctimas y para dificultar una posible investigación forense.
No obstante, los ciberatacantes cometieron errores básicos. “El desarrollador dejó en el código fuente de uno de los archivos el nombre de la computadora que usa. Eso no es el error de un experto. Se trata del nombre de un personaje del videojuego Call of Duty y tú puedes identificar a una persona por sus gustos”, dijo Camarillo en entrevista.
Este investigador de Seguridad recordó a otros grupos de ciberatacantes basados en América Latina, que tienen como objetivo el robo bancario hacia usuarios de la región, como el Cybercartel o el grupo Fénix, y aseguró que, junto con Caimán Manipulado y pese a sus errores, se trata de organizaciones con un buen nivel para comprometer los sistemas de terceros y provocar afectaciones.
“Creo que una de las ventajas que tienen estas personas es que, al final de cuentas, estos delitos no se persiguen tanto y mientras ellos puedan seguir robando dinero y no los detengan, eso les permite contratar la mejor infraestructura o gente para seguir desarrollando”, dijo.