Uma nova campanha de phishing personificando o banco Santander está em curso em Portugal desde o dia 05 de abril de 2020.

Desde o dia 05 de abril de 2020 (domingo) que tem sido verificada uma nova campanha de phishing em Portugal personificando o banco Santander.

Tal como em outras campanhas passadas, os criminosos estão a difundir a ameaça através de smishing (SMS) em URL’s da plataforma bit.ly.

A landing-page da campanha é similar à das campanhas passadas, onde são solicitados os detalhes de acesso ao homebanking do banco.

Nesta página são solicitados o nome de utilizador e código de acesso à vítima.

Em detalhe, é possível validar que os criminosos estão utilizar código ascii para escrever determinado texto na página HTML – uma forma para evitar a deteção da página por parte de sistema de deteção de ameaças.

Adicionalmente, é possível verificar que a landing-page é carregada através de uma iframe na página principal (/media/00.htm).

Ao prosseguir com o ciclo de infeção, quando a vítima introduz os detalhes de acesso e clica em “Entrar”, o server-side emite um pedido à página “verificar”, onde é gerado um identificador adicional (protection_id=), e apresentada de imediato a nova página para recolha de detalhes adicionais.

Neste formulário são solicitados os seguintes dados (PII):

Nome completo
Endereço
Cidade
Distrito
Código-postal
Número de telefone; e
Data de nascimento.

Em seguida, uma terceira página é apresentada com o objetivo de recolhe dados do cartão de crédito da vítima, nomeadamente (i) Número do cartão, (ii) Data de expiração, e (iii) Código de segurança.

Finalmente, os detalhes recolhidos são enviados via método POST para a página status_1.php onde são depois enviados para os criminosos.

A página status_1.php, depois de receber os dados, direciona o utilizador para a página terminar.php. Nesta página é apresentada uma mensagem de processamento à vítima de forma a tentar criar um cenário o mais legítimo possível, e finalmente envia a vítima para a página oficial do banco.

Em detalhe, o direcionamento acontece através do sistema nullrefer.com.

PoC

Em detalhe, é possível observar que os criminosos estão a utilizar do domínio particulares-verificado.com em campanhas fraudulentas desta natureza. Eles criam subdomínios associados (e.g., santander.particulares-verificado.com), e a partir daí executam diferentes campanhas de phishing.

Nesse sentido, não é de estranhar que nos próximos dias surjam campanhas de phishing penduradas nesse domínio.

Para finalizar, não é conhecido até ao momento, o número de vítimas desta campanha fraudulenta.

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI-f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

Indicadores de Compromisso (IOCs)

https://bitly].com/2V9FxeW
https:]//santander.particulares-verificado.]com/login.php
https:]//santander.particulares-verificado.]com/media/00.htm
https:]//santander.particulares-verificado.]com/verificar.php
https://santander.particulares-verificado].com/terminado].php
https:]//santander.particulares-verificado].com/status_1.php

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.