Uma campanha maliciosa em nome da Worten foi identificada. O template da landing-page é muito similar ao website legítimo. Não se deixe enganar com esta farsa.

Durante o fim de semana prolongado diversas foram as campanhas de phishing identificadas na tentativa de personificarem a marca legítima, e com isso, tirar partido da desatenção dos utilizadores para “sacar” informações sensíveis e credenciais de acesso dos sistemas reais. Uma das campanhas foi aquela que personificava o banco BPI e também analisada por Segurança-Informática.

Uma outra campanha em destaque foi disseminada em nome da marca Worten, e está descrita ao longo deste artigo.

O domínio registado pelos malfeitores poderia passar ao lado dos menos preocupados com a segurança digital, uma vez que parece personificar – em cheio – a marca Worten, e fazendo referência um acontecimento da época, falamos da Black Friday.

Como pode ser observado nas imagens acima, a landing-page é muito semelhante à página legítima da marca, e a URL (domínio de Internet) poderia convencer os menos preocupados com este tema da cibersegurança e dos ataques de engenharia social em particular.

Um cenário bem a favor dos criminosos é que estes domínios recém criados não são classificados como maliciosos tão rápido como o esperado, e o atraso nesse processo permiti que muitas vítimas cedam os seus dados neste tipo de campanhas. Como visível na imagem baixo, a campanha ainda não era marcada como maliciosa por nenhum EDR e antivírus presente na lista do VirusTotal às 12:30h do dia 02 de dezembro de 2020.

Detalhes da campanha maliciosa

Olhando para os detalhes cuidadosamente é possível encontrar comportamentos que devem levantar suspeitas (caso elas ainda não tenham surgido – logo comecando pelo domínio muito duvidoso).

No código fonte da página é possível visualizar uma referência no logotipo ao endereço localhost, o que refere que os malfeitores não alteraram este endpoint durante a passagem da landing-page para o servidor online.

Outro aspeto interessante é a quantidade de produtos disponíveis na landing-page. O potencial utilizador/vítima apenas tem disponíveis uma quantidade limitada de produtos. Através da imagem abaixo é possível observar que o número de imagens referentes aos produtos numa das pastas do servidor malicioso é muito limitada.

Ao clicar num produto em específco na landing-page, a vítima é então conduzida até à página especifica do produto, onde são apresentados os seus detalhes e caraterísticas.

hxxps://www.]blackfriday-worten.]com/produto.php?prod=samsung-galaxy-s20

Para que a campanha continue, a vítima tem de clicar no botão “COMPRAR AGORA” destacado na imagem acima – logo abaixo do preço do produto. A URL da próxima página é a seguinte: checkout_enter.php.

Nesta página são solicitados os primeiros detalhes à vítima, incluindo:

Primeiro e último nome;
Endereço de email (do portal Worten); e
Palavra-passe (do portal Worten).

Para prosseguir com o ciclo de phishing, é necessário clicar no botão “CRIAR CONTA“. Em seguida, a próxima página e apresentada no navegador de Internet.

Nesta nova página são pedidos detalhes adicionais à vitima:

Código-postal;
Cidade;
NIF;
País;
Morada; e
Número de telefone/telemóvel.

Todos os detalhes são validados diretamente na landing-page. P.ex, o nome tem de ser composto por pelo menos por 5 carateres, e o email 8 carateres e ainda conter o simbolo “@”.

<script>
        function checkLogin(){
            const nome = document.getElementById('is_name');
            const apelido = document.getElementById('is_apelido');
            const email = document.getElementById('is_email');
            const senha = document.getElementById('is_passwd');

            if(nome.value.length < 4){
                alert("Introduza seu nome corretamente. Tente novamente!");
                nome.value = '';
                nome.focus();
                return false;
            }else if(apelido.value.length < 4){
                alert("Apelido muito curto, utilize outro apelido mais completo.");
                apelido.value = '';
                apelido.focus();
                return false;
            }else if(email.value.length < 7 || email.value.indexOf("@") === -1){
                alert("O e-mail informado não esta correto. Tente novamente!");
                email.value = '';
                email.focus();
                return false;
            }else if(senha.value.length < 4){
                alert("Necessário uma palavra passe com mais digitos!");
                senha.value = '';
                senha.focus();
                return false;
            }
        }
    </script>

Ao clicar no botão “COMPRAR” a vítíma é então enviada para a próxima página maliciosa (checkout_pagamento.php).

De notar que apenas é possível selecionar um método de pagamento: “Referência Multibanco”. Após clicar no método de pagamento, é apresentada uma mensagem na janela:

Após confirmação da encomenda, iremos apresentar os dados para que possas pagar esta encomenda. Irás ainda receber um e-mail com estes dados.
Dispões de até 24 horas para efetuar o pagamento. Findo este prazo, a encomenda será cancelada automaticamente.

Finalmente, clicando no botão “FINALIZAR ENCOMENDA“, somos redirecionados para a última página, onde são guardados ou enviados os detalhes para o lado dos criminosos. Para terminar, é apresentada uma mensagem informando que a encomenda foi efetuada com sucesso, é disponibilizado um número de pedido falso assim como uma referência multibanco para pagamento (um valor estático e disponibilizado em todas as potenciais compras).

Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza. Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

Indicadores de Compromisso (IOCs)

hxxps://www.blackfriday-worten.]com

Referência 0xSI_F33d: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1651

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.