Alerta: Campanhas de phishing em nome do Montepio e Millennium BCP em curso.

Durante a manhã do dia de hoje (20 de janeiro de 2020) duas campanhas de phishing personificando os bancos Montepio e Millennium BCP foram detetadas.

Os criminosos estão a utilizar mais uma vez o serviço bit[.]ly para disseminar a URL maliciosa via SMS.

À semelhança dos incidentes registados no dia 14 de janeiro, as landing pages desta nova campanha apenas são apresentadas à vitítima se o acesso for concretizado através de um dispositivo móvel. Em caso contrário, a vítima é direcionada para a página google[.].br.

Este é um indicador que demonstra a origem geográfica dos criminosos, e que o objetivo é unicamente exfiltrar detalhes das vítimas que acedem ao serviço através de dispositivos móveis.

No momento da publicação desta notícia, 277 utilizadores haviam acedido à página maliciosa em nome do banco Millennium BCP.

Quanto à campanha em nome do banco Montepio, não é possível obter o número de acessos.

No entanto, desta vez os criminosos estão a utilizar uma abordagem diferente para recolher os detalhes das vítimas. Quando solicitam os detalhes do cartão matriz, permitem à vitima enviar uma fotografia do próprio cartão ao invés da introdução manual da matriz.

Depois da introdução do “utilizador” e “PIN do montepio“, a vítima é direcionada para próxima landing page: telemovel.php.

Neste formulário são solicitados detalhes adicionais, nomeadamente:

Número de telemóvel;
Número Fiscal (NIF);
Número Cartão Cidadão (CC); e
Data de Nascimento.

Esses detalhes são enviados via uma solicitação HTTP-POST para a próxima landing page: matriz.php.

Desta vez os criminosos estão a solicitar à vitíma o upload de uma imagem ao invés do tradicional método de preenchimento de uma matriz.

Todos os detalhes, incluindo:

Utilizador;
PIN de acesso;
Número de telemóvel;
Número Fiscal (NIF);
Número Cartão Cidadão (CC); e
Data de Nascimento.

são guardados em caixas de texto escondidas no formulário que são enviadas para a página “message.php” após o upload da imagem com o cartão matriz.

Após a submissão da imagem com o suposto cartão matriz, todos os dados são enviados através de uma solicitação HTTP-POST (ver exemplo abaixo).

POST /home-mobile/clientes/message.php HTTP/1.1
Host: particularesnet24-mobile56452314-online.umbler.net
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://particularesnet24-mobile56452314-online.umbler.net/home-mobile/clientes/matriz.php
Content-Type: multipart/form-data; boundary=---------------------------208422415918226139671016607316
Content-Length: 960
Origin: http://particularesnet24-mobile56452314-online.umbler.net
Connection: close
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache

-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="username"
teste

-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="password"
teste123

-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="telemovel"

999999999
-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="nif"

99999999
-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="nasc"

11/12/1111
-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="cartao_cidadao"

99999
-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="arquivo"; filename="test.gif"
Content-Type: image/gif

GIF89a
echo "hey dude!"
-----------------------------208422415918226139671016607316--

Finalmente, é apresentada uma página, indicando que o processo foi realizado com sucesso. Os criminosos direcionam em seguida a vítima para a página legítima do banco.

Mais uma vez os dados são guardados no servidor e encontram-se disponíveis em ficheiros de texto.

Aos utilizadores, sugere-se mais uma vez alguma cautela e análise quando confrontados com situações desta linha.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.

Indicadores de Compromisso (IOCs)

hxxps[://bitly{.}com/2RDspg2
hxxps[:]//bitly[.]com/2R7RuRg

particularesnet24-mobile56452314-online[.]umbler.net
hxxp://particularesnet24-mobile56452314-online].umbler[.net/home-mobile/clientes/telemovel.php
hxxp://particularesnet24-mobile56452314-online[.umbler.]net/home-mobile/clientes/matriz.php
POST /home-mobile/clientes/message.php 

hxxps://www.mobilebcp].online

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.