Uma campanha de phishing personificando o banco Crédito Agrícola está em curso desde o dia 31 de março de 2020.

Desde o dia 31 de março de 2020 que tem sido identificada uma campanha de phishing em curso em Portugal, desta vez personificando o banco Crédito Agrícola.

Os criminosos estão a utilizar uma landing-page que mimetiza a página de autenticação do home-banking do Crédito Agrícola e estão a distribuí-la uma vez mais por email e sms (smishing).

O sistema malicioso possui um certificado digital associado, desta vez assinado pelo cPanel  – uma plataforma para sharing hosting. O certificado é emitido por três meses, algo que acontece com certificados SSL sem custos, como é o caso do Let’s Encrypt.

 

Embora não tenha sido possível identificar e “seguir” o fluxo de comprometimento da aplicação web maliciosa, foi possível identificar as diferentes landing-pages disponibilizadas quando uma potencial vítima acede ao website.

Em detalhe, essas landing-pages foram obtidas devido a um lapso cometido pelos criminosos durante a fase de implantação do esquema de phishing no servidor remoto.

Foi possível num dos casos, identificar que algumas páginas HTML se encontravam disponíveis num diretório que deveria apenas incluir ficheiros CSS.

pagedelta.html:  Telefone residência, telefone empresa, fax e email são recolhidos .
pagedetal2.html:  PIN da aplicação é recolhido. 
pagedelta3.html: Código recebido por SMS é recolhido (bypass 2FA). 
pagedelta3.php:  Versão PHP da página anterior. 
loading.html(.php):  página responsável por carregar internamente as diferentes landing-pages durante o fluxo de comprometimento. 

pagedelta.html

pagedelta2.html

pagedelta3.html (.php)

 

Em suma, são recolhidos os seguintes dados pessoais das vítimas (PII):

  • Telefone Residência;
  • Telefone Empresa;
  • Fax;
  • Email;
  • Número de Adesão;
  • PIN
  • 2FA enviado por SMS à vítima.

 

Ao analisar a página “pagedelta.html“, foi verificado que a solicitação POST com os dados da vítima são enviados para um ficheiro PHP denominado denx.php ( o orquestrador ), disponível no diretório funcs.

<form name="form1" id="form1" action="../../funcs/denx.php?id=<?php echo(md5(date('m:s:d:D:h:ss'))); ?>" method="post">

O parâmetro ID recebe uma hash key com o valor MD5 da hora atual em que é executado o pedido.

Em seguida, o orquestrador da campanha (denx.php) valida o request, e envia a vítima para a próxima landing-page. No exemplo abaixo, fomos enviados para a página smsver.php, e foi conseguido assim, ingressar no fluxo de comprometimento de uma infeção.

<script> window.top.location.href="../loading.php?page=smsver.php"; </script>

No final, a vítima é enviada para a página legitima do banco, ou para a página do “google.com”, caso seja detetada alguma violação durante o fluxo.

 

Não é conhecido até ao momento, o número de vítimas desta campanha fraudulenta.

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.

 

Indicadores de Compromisso (IOCs)

DNS: agricola-caonline-pt[.]com
PATH: /CA-Online/0020470905200/data/pt/
IP: 3.24.40.204

Whois:
Domain Name: AGRICOLA-CAONLINE-PT.COM
   Registry Domain ID: 2509367444_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.arq.group
   Registrar URL: http://www.melbourneit.com.au
   Updated Date: 2020-03-30T19:48:11Z
   Creation Date: 2020-03-30T19:47:33Z
   Registry Expiry Date: 2021-03-30T19:47:33Z
   Registrar: Arq Group Limited DBA Melbourne IT
   Registrar IANA ID: 13
   Registrar Abuse Contact Email: [email protected]
   Registrar Abuse Contact Phone: +61.386242300
   Domain Status: ok https://icann.org/epp#ok
   Name Server: NS1.SERVER-CPANEL.COM
   Name Server: NS2.SERVER-CPANEL.COM

-- detalhes internos extraídos --
../loading.php?page=smsver.php";
action="../../funcs/denx.php?id=<?php echo(md5(date('m:s:d:D:h:ss'))); ?>" method="post"
pagedelta.html
pagedelta2.html
pagedelta3.html
pagedelta3.php
loading.html
loading.php
atrib.php
funcs/denx.php
https[:]//agricola-caonline-pt[.com/CA-Online/0020470905200/data/pt/ad53a/funcs/

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *