Desde o dia 05 de abril de 2020 (domingo) que tem sido verificada uma nova campanha de phishing em Portugal personificando o banco Santander.
Tal como em outras campanhas passadas, os criminosos estão a difundir a ameaça através de smishing (SMS) em URL’s da plataforma bit.ly.
A landing-page da campanha é similar à das campanhas passadas, onde são solicitados os detalhes de acesso ao homebanking do banco.
Nesta página são solicitados o nome de utilizador e código de acesso à vítima.
Em detalhe, é possível validar que os criminosos estão utilizar código ascii para escrever determinado texto na página HTML – uma forma para evitar a deteção da página por parte de sistema de deteção de ameaças.
Adicionalmente, é possível verificar que a landing-page é carregada através de uma iframe na página principal (/media/00.htm).
Ao prosseguir com o ciclo de infeção, quando a vítima introduz os detalhes de acesso e clica em “Entrar”, o server-side emite um pedido à página “verificar”, onde é gerado um identificador adicional (protection_id=), e apresentada de imediato a nova página para recolha de detalhes adicionais.
Neste formulário são solicitados os seguintes dados (PII):
- Nome completo
- Endereço
- Cidade
- Distrito
- Código-postal
- Número de telefone; e
- Data de nascimento.
Em seguida, uma terceira página é apresentada com o objetivo de recolhe dados do cartão de crédito da vítima, nomeadamente (i) Número do cartão, (ii) Data de expiração, e (iii) Código de segurança.
Finalmente, os detalhes recolhidos são enviados via método POST para a página status_1.php onde são depois enviados para os criminosos.
A página status_1.php, depois de receber os dados, direciona o utilizador para a página terminar.php. Nesta página é apresentada uma mensagem de processamento à vítima de forma a tentar criar um cenário o mais legítimo possível, e finalmente envia a vítima para a página oficial do banco.
Em detalhe, o direcionamento acontece através do sistema nullrefer.com.
PoC
Em detalhe, é possível observar que os criminosos estão a utilizar do domínio particulares-verificado.com em campanhas fraudulentas desta natureza. Eles criam subdomínios associados (e.g., santander.particulares-verificado.com), e a partir daí executam diferentes campanhas de phishing.
Nesse sentido, não é de estranhar que nos próximos dias surjam campanhas de phishing penduradas nesse domínio.
Para finalizar, não é conhecido até ao momento, o número de vítimas desta campanha fraudulenta.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI-f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
https://bitly].com/2V9FxeW https:]//santander.particulares-verificado.]com/login.php https:]//santander.particulares-verificado.]com/media/00.htm https:]//santander.particulares-verificado.]com/verificar.php https://santander.particulares-verificado].com/terminado].php https:]//santander.particulares-verificado].com/status_1.php
2 Replies to “Alerta: Campanha de phishing em nome do banco Santander”