Anel de crimes cibernéticos GXC Team desmantelado na Espanha, líder de 25 anos detido

Anel de crimes cibernéticos GXC Team desmantelado na Espanha, líder de 25 anos detido

Anel de crimes cibernéticos GXC Team desmantelado na Espanha, líder de 25 anos detido

A Guardia Civil da Espanha desmantelou o grupo de crimes cibernéticos “GXC Team” e prendeu seu líder brasileiro de 25 anos.

A Guardia Civil espanhola desmantelou o “Equipe GXC“, prendendo seu líder brasileiro de 25 anos “GoogleXcoder”. A gangue vendia kits de phishing com inteligência artificial, malware para Android e ferramentas de golpe de voz via Telegram e fóruns russos, tornando-se um grande fornecedor de ferramentas de roubo de credenciais na Espanha.

Em janeiro de 2024, Resecurity descobertouma facção cibercriminosa conhecida como “GXC Team”, especializada na criação de ferramentas para roubo de bancos online, engano de comércio eletrônico e golpes na Internet. Por volta de 11 de novembro de 2023, o líder do grupo “googleXcoder” fez vários anúncios noDark Web. Na véspera de Ano Novo, o grupo declarou reduções significativas de preços, oferecendo até 20% de desconto em seus produtos disponíveis na Dark Web.

Essas postagens introduziram uma nova ferramenta que incorpora Inteligência Artificial (IA) para criar faturas fraudulentas usadas para fraude eletrônica e Business E-Mail Compromise (BEC). De acordo com um relatório do FBI, golpes bem-sucedidos de comprometimento de e-mail comercial (BEC) (como fraude de fatura) resultaram em uma perda média de mais de US$ 120.000 por incidente, infligindo um custo financeiro impressionante de mais de US$ 2,4 bilhões às organizações.

Pouco antes do início de 2024, em 30 de dezembro, eles revelaram uma versão atualizada de sua ferramenta baseada em IA, chamada “Trocador de fatura comercial“.

Esta atualização foi transmitida através de seu canal oficial do Telegram da “Equipe GXC”. A ferramenta estava sendo oferecida em regime de aluguel, com planos de assinatura a partir de US$ 2.000 por semana ou uma taxa única de US$ 15.000 para acesso ilimitado.

Para que a ferramenta funcione, o operador deve inserir uma lista de contas de e-mail comprometidas a serem verificadas. Isso envolve especificar as credenciais, bem como os códigos IBAN e BIC que serão usados para o processo de ‘troca’ ou falsificação nos documentos. Vale ressaltar que a maioria das contas de vítimas identificadas eram predominantemente do Reino Unido e de vários países da UE, incluindo, entre outros, Espanha, França, Polônia, Itália, Alemanha e Suíça, entre outros.

De acordo com a Hunter Unit da Resecurity, anteriormente, a “Equipe GXC” ganhou notoriedade por criar uma ampla gama de ferramentas de fraude online, desde verificadores de dados de pagamento comprometidos até sofisticados kits de phishing e smishing. Eles foram considerados os mentores nesse campo ilícito, fornecendo a outros cibercriminosos um conjunto de ferramentas prontas para uso projetadas para fraudar consumidores inocentes em todo o mundo. Além disso, eles oferecem atualizações contínuas e suporte técnico para a realização de fraudes. Atualmente, as ferramentas criadas pela “Equipe GXC” são capazes de atingir mais de 300 entidades, incluindo as principais instituições financeiras, serviços governamentais, serviços postais, plataformas de criptomoedas, redes de pagamento e grandes mercados online internacionais, incluindo AMEX, Amazon, Binance, Coinbase, Office 365 (Microsoft), PayPal, ING, Deutsche Bank, Postbank, DKB AG (Das kann Bank), BBBank eG (anteriormente Badische Beamtenbank) e vários bancos sediados na Espanha, incluindo especificamente ABANCA, Banca March, Banco de Sabadell, Grupo Caja Rural, Unicaja Banco SA, Caixa Enginyers, Banco Mediolanum, Laboral Kutxa, Eurocaja Dynamic, BBVA e Santander.

Além da Inteligência Artificial para dimensionar as operações, em uma nova abordagem para contornar a autenticação de dois fatores (2FA), os criminosos criaram um código malicioso do Android que imita aplicativos bancários móveis oficiais. As vítimas são induzidas a instalar esse aplicativo falso sob o pretexto de confirmar sua OTP (senha de uso único), que é interceptada e transmitida para um servidor de comando e controle (C2C) gerenciado pelo invasor. As credenciais de login necessárias para sistemas bancários online são previamente coletadas por meio de um kit de phishing. Depois que o OTP é interceptado, o agente mal-intencionado pode acessar a conta bancária da vítima, utilizando proxies residenciais geograficamente relevantes para facilitar o acesso não autorizado.

A “Equipe GXC” também criou vários kits projetados para roubar informações de identidade de cidadãos australianos e espanhóis por meio do uso de sites falsos do governo. No caso da Austrália, os atores se passaram pelo portal “my.gov.au”, atraindo as vítimas para fornecer suas informações pessoais, que eram então maliciosasiously coletado. Essa tática ressalta seu compromisso com o roubo de identidade e a exploração de indivíduos desavisados por meios online enganosos. No caso da Espanha, a “Equipe GXC” criou uma página de destino falsificada que se passava pelo site GOB.ES. Essa página falsa afirmava oferecer suporte a pagamentos por meio de vários bancos, todos com o objetivo de ganhar a confiança da vítima, apresentando conteúdo que parecia ser originário de um site oficial do governo. Essa abordagem foi usada para enganar os indivíduos para que compartilhassem informações confidenciais com agentes mal-intencionados.

O Departamento de Crimes Cibernéticos da Unidade Operacional Central (UCO) da Guarda Civil rastreou e prendeu o “GoogleXcoder”, um desenvolvedor de CaaS por trás de kits de phishing que clonavam bancos e sites do governo para fraudes.

O suspeito, anteriormente desconhecido da polícia, evitou a detecção realocando-se frequentemente e usando identidades falsificadas, vivendo como um “nômade digital” com sua família.

“O indivíduo escondido por trás desse pseudônimo era completamente desconhecido para as agências de aplicação da lei, não apenas nacionalmente, mas também internacionalmente. No entanto, localizar esse indivíduo exigiu uma investigação operacional complexa, pois ele frequentemente se deslocava entre diferentes endereços em diferentes províncias da Espanha, usando linhas telefônicas e cartões de pagamento em nomes de identidades falsificadas para evitar a detecção. comunicado de imprensa publicado pela Guarda Civil da Espanha. “Sua atividade criminosa permitiu que ele mantivesse uma vida como um “nômade digital” com sua família.”

A polícia prendeu o “GoogleXCoder” em San Vicente de la Barquera e apreendeu dispositivos com kits de phishing, contas pessoais e bate-papos. A análise forense e cripto ao longo de um ano identificou seis indivíduos ligados à rede.

A investigação terminou com seis incursões em toda a Espanha, apreendendo dispositivos eletrônicos e recuperando fundos roubados das vítimas armazenados em várias plataformas digitais.

“A investigação está em andamento e outras ações não estão descartadas. Os canais do Telegram já foram desativados e as evidências digitais apreendidas estão sendo analisadas, o que pode levar a novas identificações ou prisões”, conclui o comunicado de imprensa.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–HackingEquipe GXC)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.