Uma campanha maliciosa em nome da Worten foi identificada. O template da landing-page é muito similar ao website legítimo. Não se deixe enganar com esta farsa.

Durante o fim de semana prolongado diversas foram as campanhas de phishing identificadas na tentativa de personificarem a marca legítima, e com isso, tirar partido da desatenção dos utilizadores para “sacar” informações sensíveis e credenciais de acesso dos sistemas reais. Uma das campanhas foi aquela que personificava o banco BPI e também analisada por Segurança-Informática.

Uma outra campanha em destaque foi disseminada em nome da marca Worten, e está descrita ao longo deste artigo.

O domínio registado pelos malfeitores poderia passar ao lado dos menos preocupados com a segurança digital, uma vez que parece personificar – em cheio – a marca Worten, e fazendo referência um acontecimento da época, falamos da Black Friday.

 

Como pode ser observado nas imagens acima, a landing-page é muito semelhante à página legítima da marca, e a URL (domínio de Internet) poderia convencer os menos preocupados com este tema da cibersegurança e dos ataques de engenharia social em particular.

Um cenário bem a favor dos criminosos é que estes domínios recém criados não são classificados como maliciosos tão rápido como o esperado, e o atraso nesse processo permiti que muitas vítimas cedam os seus dados neste tipo de campanhas. Como visível na imagem baixo, a campanha ainda não era marcada como maliciosa por nenhum EDR e antivírus presente na lista do VirusTotal às 12:30h do dia 02 de dezembro de 2020.

 

 

Detalhes da campanha maliciosa

Olhando para os detalhes cuidadosamente é possível encontrar comportamentos que devem levantar suspeitas (caso elas ainda não tenham surgido – logo comecando pelo domínio muito duvidoso).

No código fonte da página é possível visualizar uma referência no logotipo ao endereço localhost, o que refere que os malfeitores não alteraram este endpoint durante a passagem da landing-page para o servidor online.

 

Outro aspeto interessante é a quantidade de produtos disponíveis na landing-page. O potencial utilizador/vítima apenas tem disponíveis uma quantidade limitada de produtos. Através da imagem abaixo é possível observar que o número de imagens referentes aos produtos numa das pastas do servidor malicioso é muito limitada.

 

Ao clicar num produto em específco na landing-page, a vítima é então conduzida até à página especifica do produto, onde são apresentados os seus detalhes e caraterísticas.

hxxps://www.]blackfriday-worten.]com/produto.php?prod=samsung-galaxy-s20

 

 

Para que a campanha continue, a vítima tem de clicar no botão “COMPRAR AGORA” destacado na imagem acima – logo abaixo do preço do produto. A URL da próxima página é a seguinte: checkout_enter.php.

 

Nesta página são solicitados os primeiros detalhes à vítima, incluindo:

  • Primeiro e último nome;
  • Endereço de email (do portal Worten); e
  • Palavra-passe (do portal Worten).

 

Para prosseguir com o ciclo de phishing,  é necessário clicar no botão “CRIAR CONTA“. Em seguida, a próxima página e apresentada no navegador de Internet.

 

Nesta nova página são pedidos detalhes adicionais à vitima:

  • Código-postal;
  • Cidade;
  • NIF;
  • País;
  • Morada; e
  • Número de telefone/telemóvel.

 

Todos os detalhes são validados diretamente na landing-page. P.ex, o nome tem de ser composto por pelo menos por 5 carateres, e o email 8 carateres e ainda conter o simbolo “@”.

<script>
        function checkLogin(){
            const nome = document.getElementById('is_name');
            const apelido = document.getElementById('is_apelido');
            const email = document.getElementById('is_email');
            const senha = document.getElementById('is_passwd');

            if(nome.value.length < 4){
                alert("Introduza seu nome corretamente. Tente novamente!");
                nome.value = '';
                nome.focus();
                return false;
            }else if(apelido.value.length < 4){
                alert("Apelido muito curto, utilize outro apelido mais completo.");
                apelido.value = '';
                apelido.focus();
                return false;
            }else if(email.value.length < 7 || email.value.indexOf("@") === -1){
                alert("O e-mail informado não esta correto. Tente novamente!");
                email.value = '';
                email.focus();
                return false;
            }else if(senha.value.length < 4){
                alert("Necessário uma palavra passe com mais digitos!");
                senha.value = '';
                senha.focus();
                return false;
            }
        }
    </script>

 

Ao clicar no botão “COMPRAR” a vítíma é então enviada para a próxima página maliciosa (checkout_pagamento.php).

 

De notar que apenas é possível selecionar um método de pagamento: “Referência Multibanco”. Após clicar no método de pagamento, é apresentada uma mensagem na janela:

Após confirmação da encomenda, iremos apresentar os dados para que possas pagar esta encomenda. Irás ainda receber um e-mail com estes dados.
Dispões de até 24 horas para efetuar o pagamento. Findo este prazo, a encomenda será cancelada automaticamente.

 

Finalmente, clicando no botão “FINALIZAR ENCOMENDA“, somos redirecionados para a última página, onde são guardados ou enviados os detalhes para o lado dos criminosos. Para terminar, é apresentada uma mensagem informando que a encomenda foi efetuada com sucesso, é disponibilizado um número de pedido falso assim como uma referência multibanco para pagamento (um valor estático e disponibilizado em todas as potenciais compras).

 

Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza.  Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

hxxps://www.blackfriday-worten.]com

 

Referência 0xSI_F33d: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1651