Tres presuntos miembros de un grupo de ciberdelincuencia nigeriano responsable de la distribución de malware, el lanzamiento de campañas de phishing y extensas estafas de Business Email Compromise (BEC) han sido arrestados en Lagos tras una investigación conjunta de un largo año denominada 'Operación Falcon', llevada a cabo por Interpol en cooperación con Grupo-IB y Policía de Nigeria.
Según Interpol, se cree que la pandilla ha comprometido a más de 500.000 empresas gubernamentales y del sector privado en más de 150 países desde 2017. La investigación aún está en curso, Interpol dijo que hasta ahora se han identificado unas 50.000 víctimas objetivo.
Los tres sospechosos con las iniciales «OC» (32 años), «IO» (34 años) y «OI» (35 años) estaban presuntamente involucrados en el desarrollo de enlaces de phishing, dominios y campañas de correo masivo en las que se hicieron pasar por representantes de organizaciones. En estas campañas, los ciberdelincuentes distribuían malware, spyware y RAT, incluidos AgentTesla, Loki, Azorult, Spartan y los troyanos Nanocore y Remcos. Usando estas herramientas, los delincuentes comprometieron y monitorearon los sistemas de las organizaciones de víctimas e individuos antes de lanzar estafas y desviar fondos.
“El análisis de sus operaciones reveló que la banda se centra en masa de correo electrónico de phishing campañas de distribución de malware populares bajo la apariencia de las órdenes de compra, las investigaciones del producto, e incluso ayuda COVID-19 suplantar empresas legítimas,” Grupo IB- dijo . “Los atacantes utilizan Gammadyne Mailer y Turbo-Mailer para enviar correos electrónicos de phishing. MailChimp se usa para rastrear si la víctima del destinatario ha abierto el mensaje ".
También se observó que los piratas informáticos utilizaban una cuenta de correo electrónico comprometida anteriormente para impulsar una nueva ronda de intentos de phishing, con mensajes redactados en inglés, ruso, español y otros idiomas, según la lista de objetivos de los estafadores.
“El objetivo de sus ataques es robar datos de autenticación de navegadores, correo electrónico y clientes FTP. En el transcurso de sus operaciones, la pandilla logró infectar a organizaciones de todo el mundo, incluidos los EE. UU., El Reino Unido, Singapur, Japón e incluso en Nigeria ”, según Group-IB.