Na madrugada do dia 17 de dezembro foi lançada por agentes de ameaça uma campanha de phishing envolvendo o banco BPI.
Os criminosos atingiram as vítimas via mensagens SMS enviadas para os seus smartphones pessoais.
Desta vez o alvo foi o NetFlix. No entanto, os agentes de ameaça parece terem utilizado a mesma origem para enviar as SMS maliciosas às vítimas, o que veio a denunciar o esquema malicioso e também a sua origem.
Como pode ser observado, ambas as SMS, tanto do esquema do BPI como do NetFlix foram agrupadas nos telemóveis das vítimas visto que ambas foram enviadas a partir do mesmo serviço origem, e com o mesmo nome como remetente: “BPINet“.
Este detalhe veio de certa forma desvendar o perfil malicioso da SMS logo na sua origem, o que faz com que muitos utilizadores tenham estado alerta para este cenário. Porém, este descuido dos agente de ameaça permite-nos associar ambas as campanhas à mesma origem/grupo malicioso.
Como em campanhas passadas, a mensagem alerta as vítimas que “a sua conta foi desativada, pois não foi realizado o pagamento. Para ativar a conta, a vítima tem de aceder ao URL distribuído e associado ao serviço bit.ly“.
Ao acederem à URL do bit.ly, a landing page no servidor remoto valida se a vítima está a aceder através de um browser de Internet via um computador ou através de um dispositivo móvel. Consoante o tipo de dispositivo, diferentes landing pages são apresentadas.
Ao introduzir detalhes sobre o seu email e credenciais de acesso à plataforma do Netflix, a vítima é direcionada para a página get_pay.php, e os detalhes introduzidos são transferidos para essa página através dos parâmetros PHP “is_email=” e “is_password=”.
GET /drupal/sites/default/files/Netflix/633f11c767be32132e421bab2c4696c6/get_pay.php?is_email=teste%40teste.xxx&is_password=123&is_enter=Entrar&sender=index HTTP/1.1
Esta nova página (get_pay.php) recolhe detalhes adicionais da vítima, nomeadamente:
- Nome completo;
- Cartão de cidadão;
- Data de Nascimento;
- Nome impresso no Cartão;
- Número do cartão de crédito, data de validade e código de segurança.
Após clicar em prosseguir, os detalhes são transferidos para a próxima página denominada: confirmação.php.
firstName=xxxx&cpf=xxxx&nasc=xxxx&lastName=xxx&creditCardNumber=xxxx&expMonth=1&expYear=2034&creditCardSecurityCode=123
Finalmente, a última landing page é apresentada à vítima. Informações adicionais são solicitadas, nomeadamente: número de telemóvel e palavra-passe do cartão.
Após a introdução dos detalhes, todos as informações introduzidas pela vítima são agora guardadas num ficheiro de texto (.txt), na diretoria “dados” no servidor comprometido que alberga o esquema.
O nome ficheiro de texto que armazena os detalhes da vítima é composto pelo prefixo “NET_” + “nº cartão de cidadão” + “.txt”.
Por fim, e para fechar este ciclo malicioso, a vítima é redirecionada para a página legítima do Netflix.
Depois de uma análise do SI-LAB, confirmamos que inúmeras contas de utilizadores estavam disponíveis no servidor e estão agora presas nos tentáculos dos criminosos.
As autoridades já foram informadas sobre o problema e a URL do bit.ly foi prontamente desativada.
Aos utilizadores sugere-se o cancelamentos dos cartões de pagamento o mais rápido possível, de forma a evitar que os criminosos os utilizem para realizar transações em seu nome.
Indicadores de Compromisso (IOCs)
hxxp://bit.ly/2tmvvwu hxxp://www.avisa-as.ir/sites/default/files/lerSMS.php hxxp://c83-253-170-71.bredband.comhem.se/ /get_pay.php?is_email= /confirmacao.php /atualizar.php