Durante o fim de semana prolongado diversas foram as campanhas de phishing identificadas na tentativa de personificarem a marca legítima, e com isso, tirar partido da desatenção dos utilizadores para “sacar” informações sensíveis e credenciais de acesso dos sistemas reais. Uma das campanhas foi aquela que personificava o banco BPI e também analisada por Segurança-Informática.
Uma outra campanha em destaque foi disseminada em nome da marca Worten, e está descrita ao longo deste artigo.
O domínio registado pelos malfeitores poderia passar ao lado dos menos preocupados com a segurança digital, uma vez que parece personificar – em cheio – a marca Worten, e fazendo referência um acontecimento da época, falamos da Black Friday.
 |  |
Como pode ser observado nas imagens acima, a landing-page é muito semelhante à página legítima da marca, e a URL (domínio de Internet) poderia convencer os menos preocupados com este tema da cibersegurança e dos ataques de engenharia social em particular.
Um cenário bem a favor dos criminosos é que estes domínios recém criados não são classificados como maliciosos tão rápido como o esperado, e o atraso nesse processo permiti que muitas vítimas cedam os seus dados neste tipo de campanhas. Como visível na imagem baixo, a campanha ainda não era marcada como maliciosa por nenhum EDR e antivírus presente na lista do VirusTotal às 12:30h do dia 02 de dezembro de 2020.
Detalhes da campanha maliciosa
Olhando para os detalhes cuidadosamente é possível encontrar comportamentos que devem levantar suspeitas (caso elas ainda não tenham surgido – logo comecando pelo domínio muito duvidoso).
No código fonte da página é possível visualizar uma referência no logotipo ao endereço localhost, o que refere que os malfeitores não alteraram este endpoint durante a passagem da landing-page para o servidor online.
Outro aspeto interessante é a quantidade de produtos disponíveis na landing-page. O potencial utilizador/vítima apenas tem disponíveis uma quantidade limitada de produtos. Através da imagem abaixo é possível observar que o número de imagens referentes aos produtos numa das pastas do servidor malicioso é muito limitada.
Ao clicar num produto em específco na landing-page, a vítima é então conduzida até à página especifica do produto, onde são apresentados os seus detalhes e caraterísticas.
hxxps://www.]blackfriday-worten.]com/produto.php?prod=samsung-galaxy-s20
Para que a campanha continue, a vítima tem de clicar no botão “COMPRAR AGORA” destacado na imagem acima – logo abaixo do preço do produto. A URL da próxima página é a seguinte: checkout_enter.php.
Nesta página são solicitados os primeiros detalhes à vítima, incluindo:
- Primeiro e último nome;
- Endereço de email (do portal Worten); e
- Palavra-passe (do portal Worten).
Para prosseguir com o ciclo de phishing, é necessário clicar no botão “CRIAR CONTA“. Em seguida, a próxima página e apresentada no navegador de Internet.
Nesta nova página são pedidos detalhes adicionais à vitima:
- Código-postal;
- Cidade;
- NIF;
- País;
- Morada; e
- Número de telefone/telemóvel.
Todos os detalhes são validados diretamente na landing-page. P.ex, o nome tem de ser composto por pelo menos por 5 carateres, e o email 8 carateres e ainda conter o simbolo “@”.
<script>
function checkLogin(){
const nome = document.getElementById('is_name');
const apelido = document.getElementById('is_apelido');
const email = document.getElementById('is_email');
const senha = document.getElementById('is_passwd');
if(nome.value.length < 4){
alert("Introduza seu nome corretamente. Tente novamente!");
nome.value = '';
nome.focus();
return false;
}else if(apelido.value.length < 4){
alert("Apelido muito curto, utilize outro apelido mais completo.");
apelido.value = '';
apelido.focus();
return false;
}else if(email.value.length < 7 || email.value.indexOf("@") === -1){
alert("O e-mail informado não esta correto. Tente novamente!");
email.value = '';
email.focus();
return false;
}else if(senha.value.length < 4){
alert("Necessário uma palavra passe com mais digitos!");
senha.value = '';
senha.focus();
return false;
}
}
</script>
Ao clicar no botão “COMPRAR” a vítíma é então enviada para a próxima página maliciosa (checkout_pagamento.php).
De notar que apenas é possível selecionar um método de pagamento: “Referência Multibanco”. Após clicar no método de pagamento, é apresentada uma mensagem na janela:
Após confirmação da encomenda, iremos apresentar os dados para que possas pagar esta encomenda. Irás ainda receber um e-mail com estes dados. Dispões de até 24 horas para efetuar o pagamento. Findo este prazo, a encomenda será cancelada automaticamente.
Finalmente, clicando no botão “FINALIZAR ENCOMENDA“, somos redirecionados para a última página, onde são guardados ou enviados os detalhes para o lado dos criminosos. Para terminar, é apresentada uma mensagem informando que a encomenda foi efetuada com sucesso, é disponibilizado um número de pedido falso assim como uma referência multibanco para pagamento (um valor estático e disponibilizado em todas as potenciais compras).
Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza. Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
hxxps://www.blackfriday-worten.]com
Referência 0xSI_F33d: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1651
Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks. He is also Freelance Writer.
Read more here.