Desde o dia 31 de março de 2020 que tem sido identificada uma campanha de phishing em curso em Portugal, desta vez personificando o banco Crédito Agrícola.
Os criminosos estão a utilizar uma landing-page que mimetiza a página de autenticação do home-banking do Crédito Agrícola e estão a distribuí-la uma vez mais por email e sms (smishing).
O sistema malicioso possui um certificado digital associado, desta vez assinado pelo cPanel – uma plataforma para sharing hosting. O certificado é emitido por três meses, algo que acontece com certificados SSL sem custos, como é o caso do Let’s Encrypt.
Embora não tenha sido possível identificar e “seguir” o fluxo de comprometimento da aplicação web maliciosa, foi possível identificar as diferentes landing-pages disponibilizadas quando uma potencial vítima acede ao website.
Em detalhe, essas landing-pages foram obtidas devido a um lapso cometido pelos criminosos durante a fase de implantação do esquema de phishing no servidor remoto.
Foi possível num dos casos, identificar que algumas páginas HTML se encontravam disponíveis num diretório que deveria apenas incluir ficheiros CSS.
pagedelta.html: Telefone residência, telefone empresa, fax e email são recolhidos .
pagedetal2.html: PIN da aplicação é recolhido.
pagedelta3.html: Código recebido por SMS é recolhido (bypass 2FA).
pagedelta3.php: Versão PHP da página anterior.
loading.html(.php): página responsável por carregar internamente as diferentes landing-pages durante o fluxo de comprometimento.
pagedelta.html
pagedelta2.html
pagedelta3.html (.php)
Em suma, são recolhidos os seguintes dados pessoais das vítimas (PII):
- Telefone Residência;
- Telefone Empresa;
- Fax;
- Email;
- Número de Adesão;
- PIN
- 2FA enviado por SMS à vítima.
Ao analisar a página “pagedelta.html“, foi verificado que a solicitação POST com os dados da vítima são enviados para um ficheiro PHP denominado denx.php ( o orquestrador ), disponível no diretório funcs.
<form name="form1" id="form1" action="../../funcs/denx.php?id=<?php echo(md5(date('m:s:d:D:h:ss'))); ?>" method="post">
O parâmetro ID recebe uma hash key com o valor MD5 da hora atual em que é executado o pedido.
Em seguida, o orquestrador da campanha (denx.php) valida o request, e envia a vítima para a próxima landing-page. No exemplo abaixo, fomos enviados para a página smsver.php, e foi conseguido assim, ingressar no fluxo de comprometimento de uma infeção.
<script> window.top.location.href="../loading.php?page=smsver.php"; </script>
No final, a vítima é enviada para a página legitima do banco, ou para a página do “google.com”, caso seja detetada alguma violação durante o fluxo.
Não é conhecido até ao momento, o número de vítimas desta campanha fraudulenta.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.
Indicadores de Compromisso (IOCs)
DNS: agricola-caonline-pt[.]com PATH: /CA-Online/0020470905200/data/pt/ IP: 3.24.40.204 Whois: Domain Name: AGRICOLA-CAONLINE-PT.COM Registry Domain ID: 2509367444_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.arq.group Registrar URL: http://www.melbourneit.com.au Updated Date: 2020-03-30T19:48:11Z Creation Date: 2020-03-30T19:47:33Z Registry Expiry Date: 2021-03-30T19:47:33Z Registrar: Arq Group Limited DBA Melbourne IT Registrar IANA ID: 13 Registrar Abuse Contact Email: [email protected] Registrar Abuse Contact Phone: +61.386242300 Domain Status: ok https://icann.org/epp#ok Name Server: NS1.SERVER-CPANEL.COM Name Server: NS2.SERVER-CPANEL.COM -- detalhes internos extraídos -- ../loading.php?page=smsver.php"; action="../../funcs/denx.php?id=<?php echo(md5(date('m:s:d:D:h:ss'))); ?>" method="post" pagedelta.html pagedelta2.html pagedelta3.html pagedelta3.php loading.html loading.php atrib.php funcs/denx.php https[:]//agricola-caonline-pt[.com/CA-Online/0020470905200/data/pt/ad53a/funcs/