Nos últimos dias foi identificada uma segunda vaga de um esquema malicioso relativo a lojas online falsas que visam atingir utilizadores de algumas marcas populares, incluindo a Puma (hxxxps://www.puma-portugal.]com).
De acordo com a Figura 1, é possível observar que os templates do website legitimo da marca e do sistema malicioso são muito similares; mais reais do que os templates apresentados no artigo aqui analisado e entitulado: Shopping trap: The online stores’ scam that hits users worldwide.
Figura 1: Template da loja oficial da marca alvo vs template malicioso (muito similares).
Ao analisar o código fonte do esquema foi possível detetar comentários ao longo do código em Chinês – um forte indicador associado ao autor da ameaça e que pode revelar a sua origem.
Também API endpoints com o mesmo full-path utilizado pelos criminosos nas landing-pages da campanha aqui escrutinada: Shopping trap: The online stores’ scam that hits users worldwide foram identificados. Este detalhe pode então corroborar que estas lojas são efetivamente uma versão 2.0 do esquema anterior. Uma versão 2.0 com um template mais próximo dos oficiais e que pode iludir os mais desatentos para este tipo de fraudes.
Figura 2: Comentários em Chinês observados no código-fonte da página assim como os mesmos API full-paths da API utilizados em outra campanha escrutinada neste blog.
five minutes and pwnd!
Dada a natureza da campanha e o pouco rigor dos autores da ameaça no desenvolvimento do esquema, foi possível o acesso à base de dados do esquema agora na sua versão 2.0 e identificar que os emails de testes na tabela “customers” e “admin” estão associados ao provedor qq.com, o mesmo utilizado na versão anterior. Realçar ainda o facto de a base de dados ainda não estar populada com os detalhes das vítimas, por esta análise foi efetuada antes da sua disseminação em massa.
Figura 3: Endereços de email de teste e administração utilizados pelos autores de ameça.
Como mencionado, observando os emails de teste da versão 1.0 deste scam, é possível identificar semelhanças nos emails e provedor utilizado.
Figura 4: Emails de teste utilizadores pelos autores de ameaça na verão 1.0 deste esquema malicioso (fonte).
Outros detalhes sobre o autor da ameça foram extraídos e complilados como apresentado abaixo.
email:[email protected]; [email protected] hostname: tYH-PC handler: haodi001
Figura 5: Detalhes sobre o autor da ameaça.
A versão relativa à base de dados MySQL é 5.7.37, e o schema pode ser visualizado abaixo.
Todos os IoCs foram submetidos no 0xSI_f33d de forma a que os restantes domínios maliciosos fossem igualmente classificados como maliciosos no VirusTotal e por outros vendors da indústria de cibersegurança. Mencionar ainda que, o esquema ainda não havia sido disseminado massivamente, e as bases de dados de clientes não estavam populadas com dados reais das vítimas.
puma-portugal.com camperportugal.com crocsoutletportugal.com
Submissões no 0xSI_f33d
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=8126
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=8128
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=8127
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza. Quanto às organizações alvo neste tipo de investidas, sugere-se também algum controlo no tipo de acessos às contas dos utilizadores, nomeadamente através:
- Controlo de acesso por endereço de IP; temos observado que alguns grupos criminosos realizam os acessos através de endereços de IP geo-localizados no Brasil, e em alguns casos, sem VPN e através dos endereços de IP residenciais de forma a evitar firewalls.
- criação de honey-accounts, de forma a que os criminosos pensem estar a realizar a operação maliciosa numa conta legítima. Ao mesmo tempo este tipo de abordagem permite capturar indicadores do grupo malicioso, incluindo a sua geolocalização, tipo de dispositivo de acesso etc.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.