Categoria: Inteligência de malwareTipo/família: BotnetIndústria: Finanças e bancosRegião: GlobalFonte*: C3

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• O bot Apollo OTP foi anunciado no fórum de crimes cibernéticos.
• Bot baseado em Discord capaz de fazer chamadas falsas usando o Google Voice.

• O OTP capturado pode ser usado para ignorar o 2FA e obter acesso completo às contas bancárias.

• Implemente tecnologias e algoritmos de detecção de bots.
• Verifique a legitimidade do chamador antes de fornecer informações vitais.

Análise e atribuição

Informações do Post

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobri uma postagem em um fórum de crimes cibernéticos anunciando o Apollo OTP Bot.
• O serviço de bot iniciou suas operações no Telegram em março de 2022 e conquistou muitos seguidores entre os cibercriminosos.
• O bot oferece os mesmos recursos que os outros bots do mercado, como o Generaly OTP Bot. Isso inclui o roubo de OTP e o uso de uma infraestrutura legítima para conduzir operações.
• O bot usa vários módulos para facilitar os serviços: segmentação de aplicativos criptográficos, lojas de comércio eletrônico etc.
• O ator citou um preço inicial de USD 20 por hora para os serviços do bot.

[caption id="attachment_20834" align="alignnone” width="1375"] O anúncio do agente da ameaça no fórum [/caption]

Leia também Geralmente, a configuração do OTP Bot para o MFA Bypass afeta os serviços P2P

Informações de uma fonte confidencial

Uma fonte confidencial em contato com o agente da ameaça conseguiu obter algumas amostras de bot do ator e verificou o seguinte modus operandi:

Modus Operandi

• O ator fornece as informações da vítima ao bot. Nesse caso, o número de telefone é inserido (usando um comando bot).
• Um roteiro personalizado selecionado pelo ator é usado para guiar a conversa. Vários scripts estão disponíveis para seleção.
• O ator precisará saber o seguinte:
  • Comprimento do código OTP
  • Nome da vítima
  • Nome da empresa (usado para se disfarçar de empresa legítima).
• O bot se faz passar por uma entidade legítima (banco, loja de comércio eletrônico etc.) ao fazer uma ligação falsa do número gratuito de atendimento ao cliente para o alvo pretendido.
• A vítima é instruída a pressionar '1' no celular.
• Quando a vítima confia no bot e insere a OTP a partir do SMS, ela é recebida pelo bot.
• O OTP é capturado e exibido com sucesso na tela do bot do Discord.

Características do Bot

O bot é capaz de realizar as seguintes operações:

• Falsificação de números - A vítima vê uma mensagem de texto “Sem identificação de chamadas” em vez de um número de telefone.
• Usando uma voz de bot personalizada (Exemplo de comando - /voice en-USJennyNeural).
• Usando sotaques diferentes, um dos outros ofertas de voz dos operadores do bot.
• Verificação da operadora (.transportadora) - O bot obtém e exibe as seguintes informações básicas do número alvo inserido pelo agente da ameaça.
  • Nome da operadora de telecomunicações
  • Se o número é fixo
  • Se o número está portado
• Realizando chamadas de voz como qualquer empresa (facilitada pelo Google Voice).
• Detecção de correio de voz - Se uma chamada feita pelo bot for para o correio de voz, a chamada será desconectada.
• Discador internacional
• Módulo de desvio PGP (.call PGP) - É usado para ligar para a vítima com um número falsificado e encaminhar a chamada para o bot, sem que a vítima saiba.
• Módulo de recuperação (.call recall) - Para recuperar um número.
• Chave OTP (chave de API) - usada para operar o bot. As chaves são reabastecidas e colocadas à venda, sempre que um ator as exige.
• Modos de roubo de CVV e Pin que representam ameaças ao setor bancário e financeiro.
• Segmentando o mecanismo de autorização do Google (com o comando - /modo de chamada gauth) - O bot liga para a vítima e solicita que ela insira o código GAuth que é transmitido ao atacante e usado para obter acesso à conta do Google da vítima.
• Realizar transferências bancárias sem qualquer indício de suspeita para as contas.
• Realização de compras em sites de comércio eletrônico. Várias pessoas que atestam o bot mostram evidências do mesmo.
• Lançar ataques aos usuários de aplicativos de pagamento (como Paypal, Venmo, Coinbase (criptomoeda), Quadpay, etc.), considerando a conta e o número de vítimas associadas à conta como entrada.
• O bot também fornece os serviços de bombardeiros de SMS e registros de e-mail.

Estrutura de preços

• Os operadores do bot usam vários fóruns de crimes cibernéticos para promover suas ofertas. Um exemplo de seu anúncio foi observado em um mercado de internet livre.
• A seguinte estrutura de preços foi fornecida pelas operadoras.

[caption id="attachment_20835" align="alignnone” width="891"] Estrutura de preços do Apollo Bot [/caption]

Infraestrutura do Discord

Os operadores do bot têm um servidor Discord dedicado para fazer consultas e usar o bot em tempo real. O servidor Discord tem 392 membros, no momento da elaboração deste relatório. O servidor tinha os seguintes canais:

• #vouches - um canal dedicado para os usuários darem suas avaliações sobre o bot. A alta taxa de sucesso dos acessos OTP foi comprovada por vários clientes.
• #support - um canal usado por clientes em potencial para abrir tickets para levantar dúvidas. O operador do bot (um usuário chamado 'donkey') responde a essas consultas.
• #redeem - um canal usado por agentes de ameaças para obter acesso ao bot após pagar pelo plano de compra.
• #code -sucesso - um canal para exibir o OTP capturado. Para evitar confusão, o bot especifica o nome de usuário do usuário que estava operando o bot naquele momento específico e para quem esse OTP roubado é útil.

Leia também Modus Operandi improvisado para atingir clientes bancários indianos por meio de malware de encaminhamento de SMS

Atividade e classificação do ator de ameaças

Perfil do ator de ameaçasAtivo desde março de 2022 ReputationBow (Várias reclamações e preocupações no fórum) Status atualActiveHistoryTem um histórico válido de venda de listas combinadas e serviços de configuração de jogos. Ponto de contato Telegram e Discord. Inicialmente, as operadoras usaram o Telegram, como um meio para enviar atualizações diárias sobre o bot. Atualmente, o grupo tem 1.051 membros. Este grupo tem atividades limitadas, agora que todas as discussões ativas ocorrem no Discord.ratingC3 (C: Razoavelmente confiável; 3: Possivelmente verdadeiro)

Impacto e mitigação

ImpactoMitigação

• A OTP capturada pelo bot pode ser usada indevidamente para realizar retiradas, manter a persistência, etc.
• O bot pode ser usado para contornar os mecanismos de 2FA e obter acesso completo às contas online/bancárias.

• Implemente tecnologias e algoritmos de detecção de bots para evitar casos de fraude automatizada.
• Crie consciência contra as táticas de engenharia social.
• Faça as perguntas certas e verifique a legitimidade da pessoa que está ligando antes de fornecer informações vitais ou confidenciais

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_20836" align="aligncenter” width="1384"] Anúncios do serviço em outros fóruns de crimes cibernéticos - onde o agente da ameaça tem uma grande reputação, ajudam a gerar mais vendas [/caption] [caption id="attachment_20837" align="alignnone” width="697"] Feedback do usuário sobre o bot Apollo [/caption] [caption id="attachment_20838" align="alignnone” width="743"] O canal #support para os clientes abrirem tickets ou responderem a qualquer dúvida [/caption] [caption id="attachment_20839" align="alignnone” width="784"] O canal #redeem é usado pelo agente da ameaça para obter acesso ao bot, depois de pagar pelo plano de compra [/caption]

[caption id="attachment_20840" align="alignnone” width="407"] O canal #code -success captura e exibe o código OTP que foi roubado [/caption] [caption id="attachment_20841" align="alignnone” width="943"] Ponto de contato para o Threat Actor [/caption] [caption id="attachment_20842" align="alignnone” width="887"] Informações de vozes pré-construídas [/caption] [caption id="attachment_20843" align="alignnone” width="551"] Instruções para o uso do script personalizado [/caption] [caption id="attachment_20844" align="alignnone” width="1044"] Transação de comércio eletrônico de USD 1.700 realizada usando a função de desvio OTP do bot [/caption] [caption id="attachment_20845" align="alignnone” width="552"] Uma instância em que o bot detectou que a chamada foi para o correio de voz, em vez de ser atendida por um ser humano real. A duração da chamada durou menos de 1 segundo [/caption] [caption id="attachment_20846" align="alignnone” width="592"] Comandos do bot Apollo [/caption] [caption id="attachment_20847" align="alignnone” width="295"] Uma captura de tela das atividades conduzidas pelo bot, durante sua operação [/caption] [caption id="attachment_20848" align="alignnone” width="435"] Publicidade de bombardeiros de SMS e registros de e-mail [/caption]