Cash App Phishing Kit distribuido en especie, cortesía de 16Shop

El desarrollador de la plataforma de phishing 16Shop ha agregado un nuevo componente que se dirige a los usuarios del popular servicio de pago móvil Cash App.

La implementación del nuevo producto 16Shop comenzó tan pronto como estuvo disponible, engañando a las víctimas potenciales para que proporcionaran detalles confidenciales que hubieran permitido a los estafadores acceder a la cuenta y a la información de pago asociada.

16Shop es un complejo kit de phishing de un desarrollador conocido como DevilScream, que ha establecido un mecanismo para proteger contra el uso sin licencia y la actividad de búsqueda.

El kit está disponible comercialmente y localizado en varios idiomas. Hasta hace poco, proporcionaba códigos y plantillas para robar credenciales de inicio de sesión y detalles de tarjetas de pago para PayPal, Amazon, Apple y American Express.

Lanzado inmediatamente después del lanzamiento

Sin embargo, a fines de febrero, una nueva opción estuvo disponible en la tienda 16Shop con una etiqueta de $ 70 que apunta a las cuentas de Cash App. La aplicación es inmensamente popular, con más de 10 millones de instalaciones en Android y más de 1,6 millones de calificaciones que le dan 4.7 de 5 estrellas en la App Store.

Los investigadores de seguridad de la empresa de ciberseguridad ZeroFOX obtuvieron el nuevo Cash App Phishing Kit el 25 de febrero, solo un día después del tiempo de compilación final.

Parece que los estafadores se apresuraron a obtenerlo y distribuirlo, ya que los investigadores detectaron múltiples implementaciones en un día de 16Shop que ofrece el Cash App Phishing Kit.

Esta es una fuerte indicación de que la tienda de estafas tiene muchos clientes que confían en 16Shop lo suficiente como para aprovechar todas las oportunidades que ofrece para robar información confidencial de servicios populares.

Misma receta que antes

ZeroFOX dice que el kit tiene el mismo código base que los demás y que la plantilla reproduce el sitio legítimo de la aplicación Cash y el flujo de trabajo de inicio de sesión lo más fielmente posible.

Llevar a las víctimas a la página de phishing se realiza a través de correos electrónicos y mensajes SMS que alertan sobre un problema de seguridad que provocó el bloqueo de la cuenta de la aplicación Cash.

Un clic en el enlace fraudulento activa una serie de comprobaciones antes de cargar la página de phishing. La dirección IP del visitante, el agente de usuario y los detalles del ISP se recopilan y procesan para determinar una asociación con una acción automatizada (controles de seguridad, rastreador web) o una víctima potencial.

Las defensas de desarrollo contra los bots y la actividad de indexación están presentes en el kit de phishing Cash App como en los otros kits de 16Shop. La siguiente imagen muestra cómo el código PHP llama al servicio antibot, que proporciona controles de bloqueo para bots y rastreadores web.

Pretexto para la confirmación de identidad

Si la víctima muerde el anzuelo y proporciona su dirección de correo electrónico solo para ver una notificación de seguridad sobre una actividad inusual que provocó el bloqueo de la cuenta.

Para recuperar el acceso, la víctima debe proporcionar información confidencial "para confirmar su identidad". Esto incluye lo siguiente:

  • PIN de la aplicación de efectivo
  • dirección de correo electrónico
  • contraseña
  • nombre completo y dirección
  • Número de seguridad social
  • detalles de la tarjeta de pago
  • un documento de identidad (cédula de identidad, carnet de conducir)

La plataforma de phishing 16Shop se dirige a los ciberdelincuentes poco calificados que buscan una forma rápida y fácil de recopilar cuentas confidenciales, que pueden vender en foros clandestinos. Pueden configurar el kit directamente desde la tienda con los parámetros para la URL de phishing, las defensas contra los análisis de seguridad y dónde recibir los datos recopilados.

Opsec falla

Los detalles sobre la identidad de su desarrollador se han publicado en el pasado, según sus rutas en línea. Todos apuntan a un indonesio llamado Riswanda Noor Saputra, que tiene un historial de desfigurar sitios web, desarrollar otros kits de phishing y lanzar herramientas de piratería.

Un error del autor del kit de phishing Cash App parece confirmar el mismo nombre, encontraron los investigadores de ZeroFOX. Después de estudiar el código, descubrieron que cuando aparece la alerta de actividad inusual de la cuenta, la dirección de correo electrónico del desarrollador está presente, oculta detrás del cuadro de diálogo.

Los investigadores de Lookout siguieron la rastro de errores opsec El desarrollador de 16Shop hizo y descubrió que ganó un concurso de diseño de sitios web en 2017. Concluyeron que Riswanda es muy bueno inventando y manteniendo una identidad falsa o haciendo un mal trabajo protegiendo la verdadera.

Una mirada a la actividad de Riswanda en las redes sociales revela que le gusta mostrar su riqueza al mundo y también publica detalles sobre próximas actualizaciones y nuevos kits. En la siguiente imagen, muestra el desarrollo del kit American Express 16 Shop.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings