Gallagher descubrió que el sitio web que usaban los estafadores para distribuir sus aplicaciones maliciosas estaba configurado para hacerse pasar por una compañía financiera japonesa real y tenía un dominio .com. Incluso era visible en Google como uno de los mejores resultados, dice Gallagher, por lo que las víctimas podían encontrarlo si intentaban hacer una investigación básica. “Para alguien que no tenga mucho conocimiento sobre estas cosas, esa parte sería bastante convincente”, dice Gallagher.
Los atacantes, que Sophos sospecha que tienen su sede en Hong Kong, desarrollaron aplicaciones para Windows, Android e iOS a partir de un servicio comercial legítimo de una empresa de software rusa. Conocido como MetaTrader 4, los investigadores de Sophos han visto ejemplos anteriores de uso indebido y abuso de la plataforma para cometer fraude. Como parte de unirse a la plataforma, las víctimas tenían que revelar detalles personales, incluidos números de identificación fiscal y fotos de documentos de identificación del gobierno, y luego comenzar a transferir efectivo a su cuenta.
Como suele ser el caso en una amplia gama de estafas, los atacantes estaban distribuyendo su aplicación iOS usando un certificado comprometido para el programa de administración de dispositivos empresariales de Apple. Sin embargo, los investigadores de Sophos encontraron recientemente aplicaciones relacionadas con la matanza de cerdos que sortearon las defensas de Apple para colarse en la App Store oficial de la compañía.
La segunda estafa que siguió Gallagher parece haber sido dirigida por un sindicato del crimen chino fuera de Camboya. La tecnología para el esquema era menos elegante e impresionante, pero aun así expansiva. El grupo ejecutó una aplicación falsa de comercio de criptomonedas para Android e iOS que se hizo pasar por el servicio legítimo de seguimiento del mercado TradingView. Pero el esquema tenía un brazo de ingeniería social mucho más desarrollado y sofisticado para atraer a las víctimas y hacerles sentir que tenían una relación real con el estafador sugiriendo que invirtieran dinero.
“Empieza diciendo: ‘Oye, Jane, ¿sigues en Boston?’ así que respondí: ‘Lo siento, número equivocado’ y tuvimos un intercambio estándar desde allí”, dice Gallagher. La conversación comenzó en SMS y luego pasó a Telegram.
La persona afirmaba ser una mujer malaya que vivía en Vancouver, Columbia Británica. Dijo que dirigía un negocio de vinos y envió una foto de sí misma parada junto a un bar, aunque el bar estaba mayormente abastecido de licores, no de vino. Gallagher finalmente pudo identificar el bar en la foto como uno en el Hotel Rosewood en la capital de Camboya, Phnom Penh.
Cuando se le preguntó, Gallagher dijo una vez más que era un investigador de amenazas de seguridad cibernética, pero el estafador no se desanimó. Agregó que su compañía tenía una oficina en Vancouver y repetidamente trató de sugerir una reunión en persona. Sin embargo, los estafadores estaban comprometidos con la artimaña y Gallagher recibió algunos mensajes de audio y video de la mujer de la foto. Eventualmente incluso chateó por video con ella.
“Su dominio del inglés era bastante bueno, estaba en un lugar muy anodino, parecía una habitación con almohadillas acústicas en las paredes, como una oficina o una sala de conferencias”, dice Gallagher. «Ella me dijo que estaba en casa, y nuestra conversación se dirigió rápidamente hacia si iba a hacer el comercio de criptomonedas de alta frecuencia con ellos».
Las billeteras de criptomonedas asociadas con la estafa recibieron aproximadamente $ 500,000 en un solo mes de las víctimas, según el monitoreo de Sophos.
Los investigadores informaron sus hallazgos sobre ambas estafas a las plataformas de criptomonedas relevantes, las empresas tecnológicas y los equipos de respuesta de ciberseguridad global, pero ambas operaciones aún están activas y pudieron establecer continuamente una nueva infraestructura cuando sus aplicaciones o billeteras fueron eliminadas.
Sophos está eliminando todas las imágenes de personas de ambas estafas en sus informes, porque los ataques de matanza de cerdos a menudo se realizan con mano de obra forzada, y los participantes pueden estar trabajando en contra de su voluntad. Gallagher dice que lo más siniestro de los ataques es cómo su evolución y crecimiento significan más trabajos forzados además de víctimas más devastadas y arruinadas financieramente. Sin embargo, a medida que las fuerzas del orden de todo el mundo se esfuerzan por contrarrestar la amenaza, los detalles detallados de la mecánica de los esquemas muestran cómo funcionan y cuán resbaladizos y adaptables pueden ser.