Alerta: Phishing bancário com novo template a circular em Portugal.

Nos últimos dias, um novo template de phishing bancário foi observado a circular em Portugal. O modus operandi dessa campanha é muito similar a tantas outras já escrutinadas neste blog, no entanto o template da landing-page foi ligeiramente alterado de forma a simular a área privada homebanking do banco alvo.

hxxp://banconovopt.]com/xcr/

Figura 1: Landing-page principal simulando o portal homebanking legítimo.

 

É importante notar que a landing-page maliciosa e a página de autenticação do sistema legítimo são muito similares. No entanto, existe um conjunto de detalhes que revelam no imediato que o portal sob análise é uma fraude. A URL base onde esta landing-page está localizada: “domain.TLD/xcr“. Indiscutivelmente a análise do path destes phishkits podem revelar à cabeça que os sistemas representam uma fraude. Como observado abaixo, é totalmente diferente da path do sistema legítimo (particulares/login).

Embora muitos phishkits já introduzam este detalhe, a análise do certificado de SSL do sistema falha. Os criminosos tipicamente utilizam a CA “Let’s Encrypt” – uma entidade que permite efetuar a emissão de certificados SSL com prazo de validade de 3 meses de forma gratuita (lado esquerdo abaixo).

Em caso de dúvida, os certificados digitais de ambos os portais “fraudulento e legítimo” devem ser verificados – caso ainda tenha dúvidas da validade do sistema onde pretende introduzir os seus detalhes de acesso.

Figura 2: Comparação certificado digital do sistema fraudulento vs sistema legítimo.

 

Em último caso, a validação do código fonte de página pode também ser um elemento importante nessa fase de triagem. P.ex., este sistema fraudulento apresenta no código fonte uma pasta local denominada “cria” de onde são carregados os recursos CSS e algumas imagens do template; para além de outras diferenças bem notórias relativamente ao sistema legítimo.

Figura 3: Opendir de diretórios com ficheiros CSS e imagens que suportam o template do scam. 

 

Após introduzir o número de adesão, a vítima é direcionada para uma segunda página denominada “login.php“. Os autores do phishkit são apenas desastrosos e pouco rigorosos, pois o nome da página destacado abaixo (1) não está definido corretamente.

Figura 4: Detalhes adicionais destacando a malicia do esquema e o pouco rigor dos criminosos.

 

Depois da vítima introduzir um PIN, é então redirecionada para a página “xcr/aguarde.php“. Esta campanha apresenta então uma página com  potencialmente dados populados (são estáticos :D), semelhante ao homebanking legítimo.

Figura 5: Página simulando a área privada do sistema legítimo.

 

Em detalhe, a janela sobreposta a branco na imagem da Figura 5 é o local onde será renderizada a solicitação de coordenadas do cartão matriz da vítima. Este processo, como habitual, é efetuado através de um backoffice pelo operador da campanha, no estilo “callcenter”.

Figura 6: Criminosos em segundo plano a solicitar detalhes à vítima enquanto se autenticação ou efetuam operações no sistema legítimo.

 

Five-min and pwnd!

Como habitual neste tipo de campanhas, os autores das ameaças são pouco rigorosos no desenvolvimento deste tipo de esquemas.

Como pode ser observado a seguir, o backoffice utilizado neste esquema ainda não havia sido escrutinado em analises anteriores, e apresenta as seguintes opções.

Figura 7: Backoffice e IP utilizado pelo criminosos para testar o esquema no dia 22 de março de 2022.

 

O grau de rigor é escasso, e os endereços de IP são deixados na base de dados do sistema fraudulento, como tem sido habitual. Um endereço de IP residencial associado à TELEFONICA BRASIL S.A; provavelmente utilizado pelo grupo para validar as funcionalidades e operacionalidade da campanha antes da sua disseminação em massa.

Figura 8: Potencial geolocalização do autor de ameaça.

 

Ficheiros de texto são criados no servidor com os detalhes introduzidos das vítimas, mas o sistema é suportado por uma base de dados MySQL. Outra escolha sem sentido.

Figura 8: Base de dados MySQL que suporta todo o esquema malicioso.

 

O servidor utilizado pelo grupo para hospedar todo o sistema está geolocalizado nos Estados Unidos.

199.188.101.174

 

Aquando da análise desta campanha, outros domínios também agulhados nesse servidor ainda não se encontravam bloqueados. Todos os IoCs foram submetidos no 0xSI_f33d de forma a que os restantes domínios maliciosos fossem igualmente classificados como maliciosos no VirusTotal e por outros vendors da indústria de cibersegurança.

www.newbankpt.org
newbankpt.org
www.banconovopt.com
banconovopt.com
novbanco.org
www.novbanco.org

 

Submissões no 0xSI_f33d

https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=7829
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=7831
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=7833
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=7834
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=7835
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=7836

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza. Quanto às organizações alvo neste tipo de investidas, sugere-se também algum controlo no tipo de acessos às contas dos utilizadores, nomeadamente através:

  • Controlo de acesso por endereço de IP; temos observado que alguns grupos criminosos realizam os acessos através de endereços de IP geo-localizados no Brasil, e em alguns casos, sem VPN e através dos endereços de IP residenciais de forma a evitar firewalls. 
  • criação de honey-accounts, de forma a que os criminosos pensem estar a realizar a operação maliciosa numa conta legítima. Ao mesmo tempo este tipo de abordagem permite capturar indicadores do grupo malicioso, incluindo a sua geolocalização, tipo de dispositivo de acesso etc.

 

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *