Alerta Phishing: Campanha com tema da Caixa Geral Depósitos em curso em Portugal.

Desde o passado dia 23 de março de 2020 que não se registavam campanhas de phishing atingindo os clientes da Caixa Geral Depósitos com base nos dados disponíveis no 0xSI_f33d – um feed que compila campanhas de phishing e malware a decorrer ou ocorridas em Portugal.

Durante a tarde do dia 23 de abril registou-se mais uma campanha atingindo a CGD. A landing-page maliciosa é uma cópia muito perfeita do homebanking legítimo, e pode levar a que muitos utilizadores acreditem estar a usar a página real do banco.

É curioso observar que esta primeira landing-page é responsiva, o que faz com que se ajuste rapidamente a cada disposito móvel em particular.

 

O website falso tem instalado um certificado HTTPS o que permite aumentar a sua confiança perante a vítima. Este certificado é gratuito e emitido pela CA “Cpanel, Inc“, um gestor de servidores de websites.

 

Ao introduzir o número de contrato, a vítima é direcionada para outra página onde é solicitada a palavra-asse de acesso ao homebanking.

 

Nesta landing-page são notadas algumas falhas de design, p.ex., o backgound é repetido infinitas vezes dependendo do tamanho do ecrã. Esta é uma falha que denuncia o esquema malicioso.

Outro detalhe interessante é que a página “/func/dex.php“, já observada como indicador de outras campanhas, é o orquestrador de todo o ciclo de infeção.

<form id="loginForm" name="loginForm" method="post" action="./func/denx.php?4b3f19c5301989de90fbac82ab107772" enctype="application/x-www-form-urlencoded">

 

Com base no identificador de acesso da vítima, uma chave de hash, esta é enviada para as restantes páginas da campanha e identificada internamente pelos criminosos que operam o serviço em back-end.

 

 

Quando a vítima introduz a palavra-passe de acesso (somente possível através do teclado virtual), é enviada para uma terceira landing-page (datos.php) que simula a área privada do homebanking da CGD.

 

Esta landing-page é muito similar a página interna do homebanking. Como é possível observar, é simulado que a vítima tem 7 mensagens por ler, os menus básicos do homebanking constam do lado esquerdo da tela, e é inclusive apresentado no canto superior direito o nome da vítima – o que torna esta campanha fradulenta muito próxima do modus operandi do sistema real do banco.

Também o detalhe do email com **** é apresentado – tal como o homebanking real.

 

Nesta landing-page são recolhidos os detalhes do cartão de crédito da vítima.

 

Em seguida, ao clicar em “CONFIRMAR“, a vítima é encaminhada para a página datos2.php.

 

Após a chegada a esta página, os criminosos estão a operar em back-office efetuando a autenticação no sistema real.

Depois disso, a vítima recebe o token de acesso no seu dispositivo móvel. Este token é enviado pelo sistema do próprio banco, uma vez que os criminosos estão a efetuar o processo de autenticação com os dados da vítima.

Ao receber o token e introduzi-lo neste formulário, os criminosos avançam com o processo de infeção e exfiltração de informação.

Caso seja introduzido um código não aceite pelo sistema malicioso, é despoletada uma mensagem de erro prontamente.

 

De notar que a campanha maliciosa foi colocada no ar às 16:24h do dia 23 de abril, como é possível observar pela hora de upload no servidor remoto.

 

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Comprometimento (IOCs)

GET /Pages/Particulares_v2.aspx/600058014209/conferma-online/login.php?id=xxxxxx HTTP/1.1
hxxps://caixportugal-pt.]com/Pages/Particulares_v2.aspx/600058014209/conferma-online/login.php?id=xxxx
hxxps://caixportugal-pt.]com/Pages/Particulares_v2.aspx/600058014209/conferma-online/datos2.php?index2=xxxx