Uma nova campanha de phishing personificando o banco Santander está em curso em Portugal desde o dia 05 de abril de 2020.

Desde o dia 05 de abril de 2020 (domingo) que tem sido verificada uma nova campanha de phishing em Portugal personificando o banco Santander.

Tal como em outras campanhas passadas,  os criminosos estão a difundir a ameaça através de smishing (SMS) em URL’s da plataforma bit.ly.

A landing-page da campanha é similar à das campanhas passadas, onde são solicitados os detalhes de acesso ao homebanking do banco.

 

Nesta página são solicitados o nome de utilizador e código de acesso à vítima.

Em detalhe, é possível validar que os criminosos estão utilizar código ascii para escrever determinado texto na página HTML – uma forma para evitar a deteção da página por parte de sistema de deteção de ameaças.

Adicionalmente, é possível verificar que a landing-page é carregada através de uma iframe na página principal (/media/00.htm).

 

 

Ao prosseguir com o ciclo de infeção, quando a vítima introduz os detalhes de acesso e clica em “Entrar”, o server-side emite um pedido à página “verificar”, onde é gerado um identificador adicional (protection_id=), e apresentada de imediato a nova página para recolha de detalhes adicionais.

 

 

Neste formulário são solicitados os seguintes dados (PII):

  • Nome completo
  • Endereço
  • Cidade
  • Distrito
  • Código-postal
  • Número de telefone; e
  • Data de nascimento.

 

Em seguida, uma terceira página é apresentada com o objetivo de recolhe dados do cartão de crédito da vítima, nomeadamente (i) Número do cartão, (ii) Data de expiração, e (iii) Código de segurança.

 

Finalmente, os detalhes recolhidos são enviados via método POST para a página status_1.php onde são depois enviados para os criminosos.

A página status_1.php, depois de receber os dados,  direciona o utilizador para a página terminar.php. Nesta página é apresentada uma mensagem de processamento à vítima de forma a tentar criar um cenário o mais legítimo possível, e finalmente envia a vítima para a página oficial do banco.

 

Em detalhe, o direcionamento acontece através do sistema nullrefer.com.

 

PoC

 

Em detalhe, é possível observar que os criminosos estão a utilizar do domínio particulares-verificado.com em campanhas fraudulentas desta natureza. Eles criam subdomínios associados (e.g., santander.particulares-verificado.com), e a partir daí executam diferentes campanhas de phishing.

 

Nesse sentido, não é de estranhar que nos próximos dias surjam campanhas de phishing penduradas nesse domínio.

Para finalizar, não é conhecido até ao momento, o número de vítimas desta campanha fraudulenta.

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI-f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

https://bitly].com/2V9FxeW
https:]//santander.particulares-verificado.]com/login.php
https:]//santander.particulares-verificado.]com/media/00.htm
https:]//santander.particulares-verificado.]com/verificar.php
https://santander.particulares-verificado].com/terminado].php
https:]//santander.particulares-verificado].com/status_1.php

 

 


2 Replies to “Alerta: Campanha de phishing em nome do banco Santander

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *