O esquema malicioso em curso é muito similar a campanhas passadas.
Atualmente os criminosos não estão a recolher dados massivos das vítimas, ao invés disso, eles recolhem apenas os códigos de acesso ao portal homebanking que, via um processo manual/semi-automatizado, lhes confere o acesso ao portal dobanco fazendo assim o bypass ao segundo fator de autenticação exigido durante a autenticação.
Até ao momento, ainda é desconhecida a forma como as mensagens de phishing estão a ser distribuídas, o que geralmente acontece através de mensagens de email ou SMS.
A vítima ao aceder à landing-page maliciosa, é direcionada para a área “Particulares” ou “Empresas“.
Como analisado em campanhas desta natureza nos últimos meses, o código fonte da landing-page parece ser de origem brasileira (“Acessar“), e os ficheiros Javascript carregados por cada página, em específico, são exatamente aqueles também encontrados em campanhas passadas.
Os próprios nomes de domínio sugeram quanto à origem da ameaça: “cgd-cadastro“.
Nesta segunda página, a vítima é encorajada a introduzir os dados de acesso, nomeadamente o nº. de contrato e respetivo código de acesso.
A partir desse momento, os dados são enviados para um backoffice gerido pelos criminosos, que de forma manual/semi-automatizada validam o acesso dos dados da vítima na página oficial do banco.
Caso os dados introduzidos pela vítima sejam os corretos, os criminosos autenticam com sucesso no sistema em segundo plano, e solicitam informações adicionais às vitimas.
O serviço malicioso possui instalado um certificado SSL Let’s Encript usualmente utilizados pelos criminosos como meio para aumentar a confiança do serviço perante as vítimas.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.
Indicadores de Compromisso (IOCs)
cgdparticulares[.]online https://cgd-cadastro}.site/site/choose[.php cgdparticulares[.]site cgd-cadastro}.site
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.