Uma nova campanha de phishing desta vez personificando o Netflix está em curso em Portugal com indicadores do FBI no cabeçalho HTTP.

Desde a tarde do dia 21 de abril de 2020 têm sido identificadas inúmeras SMS recebidas (smishing) entregando uma URL maliciosa personificando a plataforma Netflix.

Esta campanha tem o objetivo de exfiltrar os dados de acesso à conta Netflix das vítimas e também adicionalmente exfiltrar os detalhes dos cartões de pagamento.

 

Baseado no código fonte da página, é possível revelar a origem do esquema malicioso: Brazil.

 

A vítima ao submeter os dados relativos ao email e password de acesso ao Netflix, é direcionada para uma segunda página denominada alert.php.

No entanto, esse passo é realizado através de um redirecionamento HTTP 302, onde os criminosos utilizaram os cabeçalhos  X_FORWARDED_FOR  e  REMOTE_ADDR  para realizar esse processo. Adicionalmente, a página do FBI www.fbi.gov ” foi atribuída a outros campos do cabeçalho HTTP, como forma de evitar blacklists e deteções por parte de sistemas de monitorização.

Host: www.fbi.gov
Origin: https://www.fbi.gov
Referer: https://www.fbi.gov
X-Forwarded-Host: www.fbi.gov

 

O processo aqui descrito pode ser observando na seguinte imagem.

HTTP/1.1 302 Found
Date: Tue, 21 Apr 2020 19:17:14 GMT
Server: www.fbi.gov
Location: alert.php
X-Content-Type: nosniff
X_FORWARDED_FOR: 104.16.77.187
REMOTE_ADDR: 104.16.77.187
Connection: keep-alive, close
Host: www.fbi.gov
Origin: https://www.fbi.gov
Referer: https://www.fbi.gov
X-Forwarded-Host: www.fbi.gov
X-Forwarded-Proto: https
X-XSS-Protection: 1; mode=block
Content-Type: text/html; charset=UTF-8
Content-Length: 3970

 

Depois do redirecionamento, é apresentada uma outra landing-page: alert.php. A mensagem apresentada tenta convencer a vítima que é necessário a validação da sua conta do Netflix.

Após clicar em “CONTINUAR“, é apresentada a landing-page relativa à recolha de detalhes do cartão de crédito: payment.php.

Em detalhe, são solicitados os seguintes detalhes:

  • Nome do titular do cartão
  • Número do cartão
  • Data de validade; e
  • Código de segurança.

 

O código fonte da página payment.php possui a maior parte do texto codificado em HTML ASCII – uma técnica que não é recente, mas utilizada em campanhas de phishing atuais com o objetivo de evitar a sua deteção.

De notar que muitos engines de inteligência computacional e threat hunting realizam varrimentos por palavras-chave nas páginas de phishing. Com este mecanismo, os criminosos conseguem manter a página de phishing online por um maior período de tempo, aumentando, assim, o número de utilizadores afetados.

 

Finalmente, e como meio de tornar o esquema “fidedigno” aos olhos das vítimas, é realizado um redirecionamento para a página oficial do Netflix.

Não é conhecido até ao momento, o número de vítimas da campanha fraudulenta.

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

 

Indicadores de Compromentimento (IOCs)

hxxps://netflix-pt.]info

---SMS---
Netflix
A sua assinatura foi cancelada, reative assinatura aqui: https://netflix-pt.info/N8ER4/