Ao longo do ano temos vindo a analisar diversas campanhas de phishing envolvendo organizações e entidades Portuguesas. Neste artigo expomos uma recente landing-page desta vez relacionada com o banco Santander.
De acordo com a imagem apresentada acima, este é um novo phishkit in-the-wild com o objetivo de capturar dados de acesso ao portal ebanking e outros detalhes adicionais das vítimas. O template foi alterado, e está de acordo com o template legítimo de acesso ao portal ebanking do banco.
De forma a tornar o esquema o mais próximo possível do sistema real, os agentes de ameaça geraram um certificado digital através da CA Let’s Encrypt, e instalaram-no do lado do servidor que serve a landing-page.
É sugerido que os utilizadores verifiquem sempre a autenticidade e o nome do emissor do certificado digital associado ao sistema com o qual pretendem interagir. Este é um processo válido para qualquer tipo de acesso a sistemas na Internet.
Se realizarmos uma comparação entre o certificado malicioso (acima), e o certificado legítimo do banco Santander, as diferenças são claras (ver abaixo).
Quando a vítima introduz os dados de acesso: nome de utilizador e código de acesso, é direcionado para a landing-page seguinte (telemovel.php). Nessa página são solicitados detalhes adicionais, nomeadamente:
- Nº telemóivel
- Data de Nascimento
- Nº Fiscal/Contribuinte
- Nº Cartão de Cidadão
Esta landing-page pretende simular a área autenticada do portal legítimo, solicitando então os detalhes pessoais apresentados anteriormente.
Finalmente, ao clicar no botão “CONFIRMAR“, todos os detalhes são guardados em ficheiros de texto no próprio servidor sob o controlo dos criminosos.
O ficheiro ajax.php e a seguinte rotina JavaScript, são responsáveis por executar esse processo.
$.ajax({ url: '../ajax.php', data : $('#frmLogin').serialize(), method: "POST", dataType: "json", complete: function(data) { location.href = "https://www.empresas.santander.pt/canalempresas/finance/login.jsp"; }, });
Esta rotina é invocada por duas vezes durante o ciclo. A primeira depois de a vítima introduzir os dados de acesso ao portal ebanking. Nesse caso, é criado o ficheiro de texto no servidor, e guardados os detalhes de acesso. Por fim, é invocada novamente depois de a vítima introduzir os detalhes adicionais solicitados.
Como visível no código fonte, o campo data recolhe os dados do formulário “frmLogin“, que possui os detalhes introduzidos pela vítima, envia-os e guarda-os no servidor, e finalmente, redireciona a vítima para o portal legítimo do banco.
Os detalhes da vítima são guardados em ficheiros de texto separados por “utilizador”, e utilizando o seguinte formato:
SantaEmpresa – [nome_da_vitima].txt
Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza. Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
netbanco.]site netbancoempresas.]site loginempresas.]site/canalempresas --0xSI_f33d - submission IDs-- https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1672 https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1673 https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1675