Desde o passado dia 23 de março de 2020 que não se registavam campanhas de phishing atingindo os clientes da Caixa Geral Depósitos com base nos dados disponíveis no 0xSI_f33d – um feed que compila campanhas de phishing e malware a decorrer ou ocorridas em Portugal.
Durante a tarde do dia 23 de abril registou-se mais uma campanha atingindo a CGD. A landing-page maliciosa é uma cópia muito perfeita do homebanking legítimo, e pode levar a que muitos utilizadores acreditem estar a usar a página real do banco.
É curioso observar que esta primeira landing-page é responsiva, o que faz com que se ajuste rapidamente a cada disposito móvel em particular.
O website falso tem instalado um certificado HTTPS o que permite aumentar a sua confiança perante a vítima. Este certificado é gratuito e emitido pela CA “Cpanel, Inc“, um gestor de servidores de websites.
Ao introduzir o número de contrato, a vítima é direcionada para outra página onde é solicitada a palavra-asse de acesso ao homebanking.
Nesta landing-page são notadas algumas falhas de design, p.ex., o backgound é repetido infinitas vezes dependendo do tamanho do ecrã. Esta é uma falha que denuncia o esquema malicioso.
Outro detalhe interessante é que a página “/func/dex.php“, já observada como indicador de outras campanhas, é o orquestrador de todo o ciclo de infeção.
<form id="loginForm" name="loginForm" method="post" action="./func/denx.php?4b3f19c5301989de90fbac82ab107772" enctype="application/x-www-form-urlencoded">
Com base no identificador de acesso da vítima, uma chave de hash, esta é enviada para as restantes páginas da campanha e identificada internamente pelos criminosos que operam o serviço em back-end.
Quando a vítima introduz a palavra-passe de acesso (somente possível através do teclado virtual), é enviada para uma terceira landing-page (datos.php) que simula a área privada do homebanking da CGD.
Esta landing-page é muito similar a página interna do homebanking. Como é possível observar, é simulado que a vítima tem 7 mensagens por ler, os menus básicos do homebanking constam do lado esquerdo da tela, e é inclusive apresentado no canto superior direito o nome da vítima – o que torna esta campanha fradulenta muito próxima do modus operandi do sistema real do banco.
Também o detalhe do email com **** é apresentado – tal como o homebanking real.
Nesta landing-page são recolhidos os detalhes do cartão de crédito da vítima.
Em seguida, ao clicar em “CONFIRMAR“, a vítima é encaminhada para a página datos2.php.
Após a chegada a esta página, os criminosos estão a operar em back-office efetuando a autenticação no sistema real.
Depois disso, a vítima recebe o token de acesso no seu dispositivo móvel. Este token é enviado pelo sistema do próprio banco, uma vez que os criminosos estão a efetuar o processo de autenticação com os dados da vítima.
Ao receber o token e introduzi-lo neste formulário, os criminosos avançam com o processo de infeção e exfiltração de informação.
Caso seja introduzido um código não aceite pelo sistema malicioso, é despoletada uma mensagem de erro prontamente.
De notar que a campanha maliciosa foi colocada no ar às 16:24h do dia 23 de abril, como é possível observar pela hora de upload no servidor remoto.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Comprometimento (IOCs)
GET /Pages/Particulares_v2.aspx/600058014209/conferma-online/login.php?id=xxxxxx HTTP/1.1 hxxps://caixportugal-pt.]com/Pages/Particulares_v2.aspx/600058014209/conferma-online/login.php?id=xxxx hxxps://caixportugal-pt.]com/Pages/Particulares_v2.aspx/600058014209/conferma-online/datos2.php?index2=xxxx
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.