O esquema malicioso em curso é muito similar a campanhas passadas.
Atualmente os criminosos não estão a recolher dados massivos das vítimas, ao invés disso, eles recolhem apenas os códigos de acesso ao portal homebanking que, via um processo manual/semi-automatizado, lhes confere o acesso ao portal dobanco fazendo assim o bypass ao segundo fator de autenticação exigido durante a autenticação.
Até ao momento, ainda é desconhecida a forma como as mensagens de phishing estão a ser distribuídas, o que geralmente acontece através de mensagens de email ou SMS.
A vítima ao aceder à landing-page maliciosa, é direcionada para a área “Particulares” ou “Empresas“.
Como analisado em campanhas desta natureza nos últimos meses, o código fonte da landing-page parece ser de origem brasileira (“Acessar“), e os ficheiros Javascript carregados por cada página, em específico, são exatamente aqueles também encontrados em campanhas passadas.
Os próprios nomes de domínio sugeram quanto à origem da ameaça: “cgd-cadastro“.
Nesta segunda página, a vítima é encorajada a introduzir os dados de acesso, nomeadamente o nº. de contrato e respetivo código de acesso.
A partir desse momento, os dados são enviados para um backoffice gerido pelos criminosos, que de forma manual/semi-automatizada validam o acesso dos dados da vítima na página oficial do banco.
Caso os dados introduzidos pela vítima sejam os corretos, os criminosos autenticam com sucesso no sistema em segundo plano, e solicitam informações adicionais às vitimas.
O serviço malicioso possui instalado um certificado SSL Let’s Encript usualmente utilizados pelos criminosos como meio para aumentar a confiança do serviço perante as vítimas.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.
Indicadores de Compromisso (IOCs)
cgdparticulares[.]online https://cgd-cadastro}.site/site/choose[.php cgdparticulares[.]site cgd-cadastro}.site
Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks. He is also Freelance Writer.
Read more here.