Uma recente campanha em nome da Segurança Social está a ser disseminada em Portugal. Os criminosos estão a solicitar dados pessoais incluindo detalhes associados a cartões de crédito no golpe (uma farsa) e a enviar os dados para um domínio há vários meses ativo e ainda a operar sem classificação maliciosa ou suspeita.

Como pode ser observado, a pagina é muito similar à página oficial da Segurança Social Direta, no entanto, alguns detalhes podem ser facilmente identificados de forma a categorizar a página como “phishing”.

 

Analisando o domínio “pt-appsessn.]top” facilmente detetamos que este não é o oficial. Porém, podemos e devemos sempre analisar os certificados SSL emitidos e a sua Certificate Authority (CA). Mais detalhes podem ser visualizados na imagem a seguir.

 

Analisando o código fonte da página também é possível detetar a fraude, pois a landing page maliciosa é apenas composta por 33 linhas de código e com um trecho de código bastante suspeito onde é feita a recolha do endereço de IP da vítima.

Destacando o ficheiro “urlCojnfig.json” é possível observar parte da configuração do esquema malicioso, onde o domínio C2 está disponível e não marcado como malicioso ou suspeito em listas de segurança no momento da análise.

 

Detalhes sobre o json é deixado em baixo visto que pode ser útil como lista de IoC em análises futuras.

var url={
    //设置你的java后台域名,结尾不要带/
    "serviceURL":"https://putaoyaht.top",
    //防红开关,设置为0可以优化访问速度,不再限制地区访问次数等,只有剩核心动态防红,对整体防红影响不大
    "redSwitch":0,
    //设置每个ip最大访问次数,每个页面刷新算一次,网银建议设置不超过30,次数过多容易红
    "Visits":30,
    //设置可以访问的地区,AU:加拿大,CN:中国
    "country":"CN,PT",
    //1 为服务器查询访问地区,服务器被墙可能不可用,无法加载页面,可尝试修改成2
    "config":1,
    //设置跳转地址
    "CPCurl":"https://app.seg-social.pt/",
    //设置你的TG机器人API和chat_id,开启tg同步上鱼
    "TGAPI":"6295131673:AAHaMVc6FMwPzEMc-GYNvoKfAEY6KdkFrm0",
    "TGchat_id":"5692343334"
}

 

Em seguida é também entregue o ficheiro de configuração com tradução para inglês dos comentários. Seguramente este é um phishkit utilizado pelo grupo criminosos e agora adaptado com o template da Segurança Social Direta.

 

Também o IDentificador  e API do Telegram pode ser encontrado no final da configuração.

(h/t @RazoesSergio)

 

Durante o esquema, dados pessoais da vítima são recolhidos, incluindo, Personal Identificable Information, detalhes do banco, cartões de crédito, etc.

Como pode ser observado, em cada formulário de recolha de dados a landing-page comunica em background com o C2 e envia uma listagem com os dados da vítima.

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza. Quanto às organizações alvo neste tipo de investidas, sugere-se também algum controlo no tipo de acessos às contas dos utilizadores, nomeadamente através:

  • Controlo de acesso por endereço de IP; temos observado que alguns grupos criminosos realizam os acessos através de endereços de IP geo-localizados no Brasil, e em alguns casos, sem VPN e através dos endereços de IP residenciais de forma a evitar firewalls.
  • criação de honey-accounts, de forma a que os criminosos pensem estar a realizar a operação maliciosa numa conta legítima. Ao mesmo tempo este tipo de abordagem permite capturar indicadores do grupo malicioso, incluindo a sua geolocalização, tipo de dispositivo de acesso etc.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.

 

Indicadores de Compromisso (IoCs)

URL "pt-appsessn.]top"
"serviceURL":"https://putaoyaht.top",
"TGAPI":"6295131673:AAHaMVc6FMwPzEMc-GYNvoKfAEY6KdkFrm0", "TGchat_id":"5692343334"