Alerta: Autores da campanha de phishing do BPI lançam nova campanha desta vez atingindo o NETFLIX.

Na madrugada do dia 17 de dezembro foi lançada por agentes de ameaça uma campanha de phishing envolvendo o banco BPI.

Os criminosos atingiram as vítimas via mensagens SMS enviadas para os seus smartphones pessoais.

Desta vez o alvo foi o NetFlix. No entanto, os agentes de ameaça parece terem utilizado a mesma origem para enviar as SMS maliciosas às vítimas, o que veio a denunciar o esquema malicioso e também a sua origem.

 

Como pode ser observado, ambas as SMS, tanto do esquema do BPI como do NetFlix foram agrupadas nos telemóveis das vítimas visto que ambas foram enviadas a partir do mesmo serviço origem, e com o mesmo nome como remetente: “BPINet“.

Este detalhe veio de certa forma desvendar o perfil malicioso da SMS logo na sua origem, o que faz com que muitos utilizadores tenham estado alerta para este cenário. Porém, este descuido dos agente de ameaça permite-nos associar ambas as campanhas à mesma origem/grupo malicioso.

Como em campanhas passadas, a mensagem alerta as vítimas que “a sua conta foi desativada, pois não foi realizado o pagamento. Para ativar a conta, a vítima tem de aceder ao URL distribuído e associado ao serviço bit.ly“.

Ao acederem à URL do bit.ly, a landing page no servidor remoto valida se a vítima está a aceder através de um browser de Internet via um computador ou através de um dispositivo móvel. Consoante o tipo de dispositivo, diferentes landing pages são apresentadas.

 

Ao introduzir detalhes sobre o seu email e credenciais de acesso à plataforma do Netflix, a vítima é direcionada para a página get_pay.php, e os detalhes introduzidos são transferidos para essa página através dos parâmetros PHP “is_email=” e “is_password=”.

GET /drupal/sites/default/files/Netflix/633f11c767be32132e421bab2c4696c6/get_pay.php?is_email=teste%40teste.xxx&is_password=123&is_enter=Entrar&sender=index HTTP/1.1

 

Esta nova página (get_pay.php) recolhe detalhes adicionais da vítima, nomeadamente:

  • Nome completo;
  • Cartão de cidadão;
  • Data de Nascimento;
  • Nome impresso no Cartão;
  • Número do cartão de crédito, data de validade e código de segurança.

 

Após clicar em prosseguir, os detalhes são transferidos para a próxima página denominada: confirmação.php.

firstName=xxxx&cpf=xxxx&nasc=xxxx&lastName=xxx&creditCardNumber=xxxx&expMonth=1&expYear=2034&creditCardSecurityCode=123

 

Finalmente, a última landing page é apresentada à vítima. Informações adicionais são solicitadas, nomeadamente: número de telemóvel e palavra-passe do cartão.

 

Após a introdução dos detalhes, todos as informações introduzidas pela vítima são agora guardadas num ficheiro de texto (.txt), na diretoria “dados” no servidor comprometido que alberga o esquema.

O nome ficheiro de texto que armazena os detalhes da vítima é composto pelo prefixo “NET_” + “nº cartão de cidadão” + “.txt”.

Por fim, e para fechar este ciclo malicioso, a vítima é redirecionada para a página legítima do Netflix.

Depois de uma análise do SI-LAB, confirmamos que inúmeras contas de utilizadores estavam disponíveis no servidor e estão agora presas nos tentáculos dos criminosos.

 

As autoridades já foram informadas sobre o problema e a URL do bit.ly foi prontamente desativada.

Aos utilizadores sugere-se o cancelamentos dos cartões de pagamento o mais rápido possível, de forma a evitar que os criminosos os utilizem para realizar transações em seu nome.

 

Indicadores de Compromisso (IOCs)

hxxp://bit.ly/2tmvvwu
hxxp://www.avisa-as.ir/sites/default/files/lerSMS.php
hxxp://c83-253-170-71.bredband.comhem.se/
/get_pay.php?is_email=
/confirmacao.php
/atualizar.php