Campanha fraudulenta em nome dos CTT em circulação em Portugal.

Desde a manhã do dia 9 de novembro 2020 que uma recente campanha desta vez em nome dos CTT está em circulação em Portugal. A campanha fraudulenta tem sido entregue via email às vítimas, e a mensagem maliciosa refere-se ao pagamento de uma fatura para receção de um pacote retido pelos CTT.

 

A hiperligação maliciosa está codificada sob a mensagem “Enviar Pacote“. Quando a vítima clica é direcionada para a landing-page fraudulenta via uma short-URL.

short-URL: hxxps://t.]co/vrlQvbk1pQ?amp=1
landing-page:hxxps://cttepost.does-it.]net/v/ko/

 

Landing-page

Na landing-page maliciosa são solicitados detalhes da vítima, incluindo:

  • Email
  • Número de telefone
  • Primeiro e último nome
  • Detalhes do cartão de crédito

 

Como forma de tornar o processo de recolha de dados o mais fidedigno possível, e também para evitar a submissão arbitrária de valores, todos os campos do formulário malicioso são validados via funções JavaScript. Em seguida, seguem alguns detalhes sobre validações dos campos referentes ao cartão de crédito.

 

Ao preencher o formulário malicioso e submeter os detalhes, a vítima é direcionada para a página load.php?id=. Nesta página é atribuído um identificador à vítima que é passado no parâmetro id.

 

 

No código fonte desta página é possível observar alguns detalhes de interesse.

  1. A utilização da ferramenta “WYSIWYG  Web Bulder 14” para a geração da landing-page maliciosa.
  2. A utlização de recursos do servidor legítimo dos CTT.
  3. Um redirecionamento com duração de 10 segundos para a última página: mms.php.

 

Depois do processo de loading, a vítima é direcionada para a última landing-page: mms.php. Nessa página é solicitado o código de segurança recebido no dispositivo móvel. 

 

Finalmente, e como destacado acima, é realizado um direcionamento para  a página send3.php, e os detalhes da vítima são enviados para o lado do criminosos. Durante o trabalho de análise foi possível identificar que os detalhes obtidos da vítima são enviados para o servidor destacado na figura abaixo, e alojado pela “inMotion Hosting Inc“.

 

No momento em que a análise foi realizada, nenhum endpoint de segurança nem antivírus identificava a URL maliciosa onde a campanha estava alojada.

 

A URL foi prontamente submetida para o 0xSI_f33d que compila todas as ameaças impactando utilizadores portugueses numa base diária.

URL: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1574

 

Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza.  Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

Subject: Seu pacote foi devolvido
Sender Email: [email protected]]de
Server Hostname: mo4-p04-ob.smtp.rzone.]de
Server IP: 81.169.146.176 | 81.]169.146.223

Link Malicioso: hxxps://t.]co/vrlQvbk1pQ?amp=1
hxxps://cttepost.does-it.]net/v/ko/