Ataques de malware Deepfakes: Tácticas avanzadas de GoldFactory
En el panorama en constante evolución de los ataques de malware Deepfakesha aparecido un conocido actor de amenazas llamado GoldFactory, que ha dejado tras de sí un rastro de troyanos bancarios muy sofisticados. El grupo, que opera desde al menos mediados de 2023, ha ganado notoriedad por sus técnicas avanzadas, en particular la introducción de un malware para iOS previamente indocumentado llamado GoldPickaxe.
Este software malicioso va más allá de los exploits típicos, ya que es capaz de recopilar datos confidenciales como documentos de identidad, datos de reconocimiento facial e interceptar mensajes SMS. Comprender la intrincada relación entre Deepfakes y las técnicas de malware es esencial para mitigar el creciente panorama de amenazas de ciberataques.
En este blog, nos adentraremos en el mundo de la ciberseguridad, arrojando luz sobre la creciente amenaza del ataques de malware Deepfakes y sus implicaciones para la seguridad y la privacidad en línea.
GoldPickaxe: Una amenaza multiplataforma
GoldPickaxe, parte del arsenal de GoldFactory, es una amenaza versátil que se dirige tanto a plataformas iOS como Android. Según un informe exhaustivo de Group-IB, con sede en Singapur, GoldFactory es un grupo cibercriminal bien organizado de habla china con estrechos vínculos con Gigabud.
La familia de malware incluye GoldDigger, GoldDiggerPlus y GoldKefu, cada uno de los cuales desempeña un papel específico en los elaborados planes del grupo. Las campañas de ingeniería social de GoldFactory se han dirigido estratégicamente a la región de Asia-Pacífico, centrándose específicamente en países como Tailandia y Vietnam.
Los atacantes emplean tácticas engañosas, haciéndose pasar por bancos locales y organizaciones gubernamentales para atraer a las víctimas. Los principales vectores incluyen smishing y mensajes de phishingque guían a los objetivos para que cambien la comunicación a aplicaciones de mensajería instantánea como LINE.
Posteriormente, las víctimas son inducidas a hacer clic en URL engañosas que inician el despliegue de GoldPickaxe en sus dispositivos.
Descifrado el malware Deepfakes
En el caso de los usuarios de Android, las aplicaciones maliciosas suelen alojarse en sitios web falsificados que se asemejan a páginas de Google Play Store o sitios web corporativos falsos. Por otro lado, GoldPickaxe para iOS adopta un enfoque diferente, utilizando la plataforma TestFlight de Apple y URLs trampa.
Estas URL piden a los usuarios que descarguen un perfil de gestión de dispositivos móviles (MDM), lo que les otorga un control total sobre los dispositivos iOS para la instalación de la aplicación fraudulenta. La sofisticación de GoldPickaxe se hace evidente en su capacidad para eludir las medidas de seguridad impuestas por Tailandia.
En respuesta a los requisitos de reconocimiento facial para transacciones de mayor envergadura, el malware pide a las víctimas que graben un vídeo dentro de la aplicación falsa. Este vídeo grabado se convierte en materia prima para crear vídeos deepfake, logrados mediante servicios de inteligencia artificial de intercambio de rostros.
Capacidad de doble plataforma y recopilación de información
Tanto la variante de Android como la de iOS de GoldPickaxe están equipadas para recopilar una amplia gama de información confidencial, como documentos de identidad, fotos, mensajes SMS interceptados y tráfico de proxy a través de dispositivos comprometidos. En particular, la variante de iOS presenta menos funcionalidades debido a la naturaleza cerrada del sistema operativo iOS y sus estrictos permisos.
GoldDigger y su evolución
GoldDigger, otra creación de GoldFactory, comparte similitudes a nivel de código con GoldPickaxe. Mientras que GoldDigger se centra principalmente en robar credenciales bancarias, GoldPickaxe se inclina por recopilar información personal de las víctimas.
La versión para Android de GoldDigger, considerada sucesora evolutiva de GoldDiggerPlus, se hace pasar por varias aplicaciones del gobierno, el sector financiero y las empresas de servicios públicos de Tailandia para robar credenciales de inicio de sesión.
Deepfakes y fraude financiero
GoldDigger destaca por explotar los servicios de accesibilidad de Android, lo que le permite registrar las pulsaciones del teclado y extraer contenido de la pantalla. Se dirige a más de 50 aplicaciones de empresas financieras vietnamitas, guardando el texto mostrado o escrito en la interfaz de usuario, incluidas las contraseñas. La versión base de GoldDigger, descubierta en junio de 2023ha allanado el camino a variantes mejoradas como GoldDiggerPlus, que incorpora otro componente troyano llamado GoldKefu.
Tácticas engañosas de GoldKefu
Tácticas engañosas de GoldKefu Integrado con el kit de desarrollo de software (SDK) Agora, GoldKefu permite realizar llamadas de voz y vídeo interactivas que mejoran su funcionalidad. Engaña a las víctimas para que se pongan en contacto con un servicio de atención al cliente bancario inventado mediante el envío de alertas falsas, creando una falsa sensación de urgencia sobre una transferencia de fondos ficticia. El troyano de Android utiliza superposiciones falsas para recopilar información de inicio de sesión cuando la aplicación abierta más recientemente pertenece a la lista de objetivos.
Un reto constante para el malware móvil
Este hecho pone de manifiesto la persistente amenaza que representa el malware para móviles. Los ciberdelincuentes, como GoldFactory, siguen encontrando formas de eludir las medidas defensivas erigidas por los bancos para contrarrestar tales amenazas de ciberseguridad de Deepfakes. La naturaleza dinámica de los esquemas de ingeniería social se suma al desafío, mostrando la necesidad de una vigilancia constante.
Mitigación de los ataques de malware Deepfakes
La seguridad bancaria y los Deepfakes se entrecruzan en el cambiante panorama de la ciberseguridad, planteando nuevos retos tanto a las entidades financieras como a los usuarios. Para mitigar los riesgos que plantean los ataques de malware Deepfakes de GoldFactory y su suite de malware bancario para móviles, se recomienda encarecidamente a los usuarios que eviten hacer clic en enlaces sospechosos.
Además, también deben abstenerse de instalar apps de sitios no fiables, vectores habituales de malware. Por otra parte, revisar periódicamente los permisos de las apps, especialmente los que solicitan los servicios de accesibilidad de Android, es crucial para mantener la seguridad.
Un adversario ingenioso y adaptable
A medida que los ciberdelincuentes se vuelven cada vez más expertos en ocultar sus actividades, el reto de detectar Deepfakes en el malware es cada vez más complejo. GoldFactory emerge como un adversario ingenioso y adaptable, que demuestra su pericia en diversas tácticas, como la suplantación de identidad, el keylogging de accesibilidad, los sitios web bancarios falsos, las alertas bancarias falsas, las pantallas de llamada falsas y la recopilación de datos de identidad y reconocimiento facial.
Los procesos bien definidos y la madurez operativa del grupo, junto con las constantes mejoras de su conjunto de herramientas, demuestran una gran competencia en el desarrollo de malware. La prevención del malware con Deepfakes requiere un enfoque polifacético que combine técnicas de detección avanzadas con medidas de seguridad proactivas.
Conclusión
La aparición de ciberamenazas sofisticadas, como los troyanos bancarios y los ataques de malware Deepfakessubraya la urgente necesidad de mejorar las medidas de ciberseguridad. Como los ciberdelincuentes siguen innovando y adaptándose, es imperativo que las personas y las organizaciones se mantengan a la vanguardia.
Al comprender las tácticas empleadas por los actores de amenazas como GoldFactory e implementar medidas de seguridad robustaspodemos mitigar colectivamente los riesgos de ciberseguridad de Deepfakes y salvaguardar nuestros activos digitales.
Las fuentes de este artículo incluyen artículos en The Hacker News y Mundo Seguro.