El grupo criminal ‘Fénix’, dedicado a cometer delitos cibernéticos, clonó los portales oficiales del Servicio de Administración Tributaria (SAT), la Secretaria de Relaciones Exteriores (SRE) y del Registro Público Vehicular (REPUVE) en México, así como el Servicio de Impuestos Internos (SII) en Chile y WhatsApp Web en ambos países para robar datos de usuarios latinoamericanos.
Te puede interesar: SAT recaudó 4% más en el primer semestre
De acuerdo con una investigación de la plataforma de ciberseguridad integral para empresas en Latinoamérica, Metabase Q, ‘Fénix’, que se dedica al ‘ransomware’ o ‘secuestro de datos’, encontró un mercado rentable en la región de los países de América con habla hispana para cometer estos delitos.
Sin embargo, la compañía asegura que el grupo ‘Fénix’ no trabaja solo, ya que necesitan actores de la región que les proporcionen el acceso inicial a las empresas latinas, creando campañas de ‘phishing’, método que recopila información personal usando correos electrónicos y sitios web engañosos.
Usan temporada de impuestos y mes del testamento para robar datos
‘Fénix’ y sus aliados utiliza este método durante todo el año en las temporadas de impuestos, el mes del testamento y hasta en el Buen Fin o Black Friday para que los grupos de ‘ransomware’ como Lockbit, Medusa y Darkside puedan tener acceso a los datos.
El equipo de Inteligencia de Amenazas de Metabase Q descubrió esta nueva ‘botnet’ o ‘red zombi’ creada por un conjunto de redes o bots informáticos llamada ‘Fénix’, que se dedica a robar los datos de usuarios que acceden a servicios gubernamentales, en especial de personas que pagan impuestos en México y Chile.
‘Fénix’ fue descubirta ya que aprovechó la temporada de impuestos en ambos países, la cual se realizó durante el mes de abril redirigiendo a las víctimas a sitios web fraudulentos que imitan los portales oficiales del SAT, SRE, REPUVE y el SII, pidiendole a los usuarios que descarguen una supuesta herramienta de seguridad para “mejorar” la seguridad de la navegación en los portales.
Cuando los usuarios realizan la descarga que supuestamente mejorará la ciberseguridad del portal del SAT en México o el SII en Chile, en realidad se instala automáticamente la fase inicial del malware, lo que permite el robo de información de las víctimas, desde sus nombres hasta sus identificaciones y credenciales.
¿Cuál es la trampa de ‘Fénix’ para robar datos a los latinos?
La plataforma asegura que ‘Fénix’ está activo desde octubre de 2022 realizando “campañas” en estas instituciones en las que tienen como objetivo instalar un ‘infostealer’ o creador de identificaciones falsas para quedarse con las credenciales de los usuarios que acceden a estos sitios.
De febrero a abril de 2023, Metabase Q recopiló algunos de los sitios web que se han visto afectados por ‘Fénix’ en donde destaca el portal de citas del SAT; el portal de citas, trámites y consulta de la Clave Única de Registro de Población (CURP) de la SRE; y el portal del REPUVE en México; el portal del SII en Chile; y el portal de WhatsApp Web en ambas naciones.
De acuerdo con la compañía de ciberseguridad, en cuando a México, en la botnet Fenix participan desarrolladores mexicanos, pese a que también se encuentra en Chile, tiene un alto nivel de familiaridad con las instituciones gubernamentales locales de América Latina, en la que su principal estrategia de “infección” es engañar al usuario para que descargue la falsa herramienta de seguridad.
En el caso del portal del SAT, aparece el siguiente anuncio: “AVISO IMPORTANTE. Para garantizar la seguridad de tus datos mientras utilizas nuestro portal, te recomendamos instalar nuestra innovadora herramienta de seguridad. El proceso es sencillo y rápido, llevándote tan solo unos minutos”.