Uma nova campanha envolvendo o BPI está novamente em marcha. Esta campanha iniciou-se às 01 horas da madrugada do dia 17 de dezembro de 2019.
A mensagem foi-nos enviada por uma das vítimas desta campanha passados alguns minutos depois de receber a mensagem no seu smartphone pessoal.
Uma vez mais os malfeitores utilizam o bitly como meio de mascarar a landing page da campanha maliciosa.
Os criminosos referem que a vítima “tem de aceder à URL para voltar a ativar o seu cartão. Para tal, precisa de registar as suas coordenadas matriz e o seu telemóvel na landing page“.
Esta campanha funciona como as anteriores. Depois de a vítima clicar na short URL, o servidor verifica o dispositivo de acesso. Caso este seja um smartphone, a vítima é direcionada para uma landing page mobile, caso contrário, é direcionada para a landing page web.
A página lerEmail.php é responsável pelo primeiro redirecionamento.
<script language="JavaScript"> function isMobile(){ var a = navigator.userAgent||navigator.vendor||window.opera; if(/android|avantgo|blackberry|blazer|compal|elaine|fennec|hiptop|ip(hone|od|ad)|iris|kindle|lge |maemo|midp|mmp|mobile|o2|opera m(ob|in)i|palm( os)?|p(ixi|re)\/|plucker|pocket|psp|smartphone|symbian|treo|up\.(browser|link)|vodafone|wap|windows ce; (iemobile|ppc)|xiino/i.test(a)||/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|e\-|e\/|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|xda(\-|2|g)|yas\-|your|zeto|zte\-/i.test(a)) return true; else return false; } if (isMobile()) { window.location = "m/index.php"; } else { window.location = "particulares.php?hash=510a3609db773f069c0ae36474cb5646&content=E-TU7gwKS18uHRofsDOfRkWMhQrB-dOPZ29RvOIZ"; }
Nesta campanha, os criminosos voltaram a usar o software HTTrack Website Copier para realizar um clone da página original do banco.
Ao contrário do que aconteceu com campanhas anteriores, os criminosos não estão a carregar recursos web da página do banco. Resolveram todas as dependências e carregaram todos os ficheiros para o servidor malicioso .
Com esta abordagem, evitam que os agentes de monitorização do banco detetem a campanha numa fase ainda prematura, permitindo, assim, atingir um número maior de utilizadores.
Na landing page inicial, apenas existe um recurso dinâmico – o formulário do BPI Net onde a vítima insere o número de adesão.
<form action="BPINET/Login.php?hash=510a3609db773f069c0ae36474cb5646&content=XSHtkgQIV7S2tNumcPJge0xHtG#wfDRcPPM/JDVE" id="login-users-form" method="POST" name="login-users-form" target="_blank">
Após o acesso à área de autenticação, a vítima é então direcionada para uma segunda landing page onde são solicitados o número de adesão e código de acesso.
Após a vítima introduzir os dados, o seguinte pedido é enviado e este conduz a vítima para a seguinte landing page.
USERID=123&PASSWORD=123&b_acesso=Entrar&TipoBrowser=&h_ScreenHeight=&h_ScreenWidth=&h_Linguagem=&h_LinguaEscolha=&h_ImgInfo=&h_MostraImgSeg=0
Nesta landing page, são solicitados detalhes à vitima, nomeadamente:
- Nº de Telemóvel;
- Nº Fiscal/Contribuinte; e
- Data da Nascimento.
Após a introdução dos detalhes, se a vítima prosseguir com o esquema e clicar no botão Continuar, é então levada à página final onde são recolhidos os dados do seu cartão matriz. A página responsável por efetuar esse processo é “VerificaCoordenadas.php“.
POST /BPINet/BPINET/VerificaCoordenadas.php?hash=510a3609db773f069c0ae36474cb5646&content=rL7yc5S6g8wAlDfJQrjVFNZiZUXeUHzJxkjpTMn8 HTTP/1.1
Nesta página é solicitado que a vítima introduza todos os dígitos do seu cartão matriz, e ainda o número do próprio cartão.
Após clicar no botão “Continuar“, todos os dados são enviados e guardados em ficheiros de texto no servidor.
POST /BPINet/BPINET/Sucesso.php?hash=510a3609db773f069c0ae36474cb5646&content=keabSlxksiY6wXf1lhCFldiKMTzLQ86hc/qYHBtM HTTP/1.1 Host: 185.136.232.167 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: pt-PT,pt;q=0.8,en;q=0.5,en-US;q=0.3 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Content-Length: 1052 Origin: http://185.136.232.167 Connection: close Referer: http://185.136.232.167/BPINet/BPINET/VerificaCoordenadas.php?hash=510a3609db773f069c0ae36474cb5646&content=rL7yc5S6g8wAlDfJQrjVFNZiZUXeUHzJxkjpTMn8 Cookie: DEVICE_TYPE=desktop; pageLoadedFromBrowserCache=true; RT=s=1576545619735&r=http%3A%2F%2F185.136.232.167%2FBPINet%2FBPINET%2FVerificaCoordenadas.php%3Fhash%3D510a3609db773f069c0ae36474cb5646%26content%3DrL7yc5S6g8wAlDfJQrjVFNZiZUXeUHzJxkjpTMn8 Upgrade-Insecure-Requests: 1 n1=111&chave1=1111&n2=111&chave2=1111&n3=111&chave3=1111&n4=111&chave4=1111&n5=111&chave5=1111&n6=111&chave6=1111&n7=111&chave7=1111&n8=111&chave8=1111&n9=111&chave9=1111&n10=111&chave10=1111&n11=111&chave11=1111&n12=111&chave12=1111&n13=111&cahve13=1111&n14=111&cahve14=1111&n15=111&chave15=1111&n16=111&chave16=1111&n17=111&chave17=1111&n18=111&chave18=1111&n19=111&chave19=1111&n20=111&chave20=1111&n21=111&cahve21=1111&n22=111&chave22=1111&n23=111&chave23=1111&n24=111&cahve24=1111&n25=111&chave25=1111&n26=111&chave26=1111&n27=111&chave27=1111&n28=111&chave28=1111&n29=111&chave29=1111&n30=111&chave30=1111&n31=111&chave31=1111&n32=111&chave32=1111&n33=111&chave33=1111&n34=111&chave34=1111&n35=111&chave35=1111&n36=111&chave36=1111&n37=111&chave37=1111&n38=111&chave38=1111&n39=111&chave39=1111&n40=111&chave40=1111&n41=111&chave41=1111&n42=111&chave42=1111&n43=111&chave43=1111&n44=111&chave44=1111&n45=111&chave45=1111&n46=111&chave46=1111&n47=111&chave47=1111&n48=111&chave48=1111&n49=111&chave49=1111&n50=111&chave50=1111&txtNumCartao=1111111
Esses ficheiros são mais tarde recolhidos pelos criminosos. Como observado abaixo, o ficheiro visitas.txt regista o IP de todas a vítimas que acederam à landing page. Já a diretoria “dados” contém 3 ficheiros por endereço de IP, com os detalhes introduzidos pela vítima.
A diretoria “dados” possui os seguintes ficheiros:
- IP-vítima-2019-12-16(Tabela).txt: Dados do cartão matriz;
- IP-vítima-2019-12-16(Telemovel).txt: Dados do telemóvel e data de nascimento e NIF da vítima; e
- IP-vítima-219-12-16(Utilizador).txt: Dados referentes ao número da conta, data de nascimento e telemóvel.
No momento da partilha desta notícia, sensivelmente 1h depois das primeiras SMSs terem sido recebidas pelas vítimas, apenas 2 acessos ao website foram notados pelo SI-LAB. Nenhum dado sensível ainda havia sido introduzido à exceção da entrada de teste apresentada nesta publicação.
O caso foi reportado às autoridades, no entanto, o website da campanha ainda se encontra online às 02:10 da madrugada do dia 17 de dezembro de 2019.
Aos utilizadores em geral, recomenda-se o máximo de atenção quando confrontados com situações desta natureza. A banca nunca solicita a atualização das coordenadas do cartão matriz e dados confidenciais através de formulários online deste tipo.
Em caso de dúvida, nunca clique! Contacte as autoridades ou o próprio banco.
Este tipo de scams iniciam-se normalmente através de uma simples mensagem de texto enviada para os telemóveis, ou na maior parte das vezes, por emails especialmente criados também eles enviados para a inbox dos utilizadores.
Por fim, é necessário uma forte consciencialização da população para este tipo de esquemas que estão caminhando para um serviço malicioso muito próximo daquilo que é o serviço fidedigno.
Indicadores de Compromisso (IOCs)
hxxp://bitly.com/2rGG3X3 185[.]136.232.167 m/index.php particulares.php lerEmail.php /BPINET/Login.php?hash= /BPINet/BPINET/VerificaTelemovel.php?hash= /BPINet/BPINET/VerificaCoordenadas.php?hash= /BPINet/BPINET/Sucesso.php?hash=</pre>
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.