Desde a tarde do dia 21 de abril de 2020 têm sido identificadas inúmeras SMS recebidas (smishing) entregando uma URL maliciosa personificando a plataforma Netflix.
Esta campanha tem o objetivo de exfiltrar os dados de acesso à conta Netflix das vítimas e também adicionalmente exfiltrar os detalhes dos cartões de pagamento.
Baseado no código fonte da página, é possível revelar a origem do esquema malicioso: Brazil.
A vítima ao submeter os dados relativos ao email e password de acesso ao Netflix, é direcionada para uma segunda página denominada alert.php.
No entanto, esse passo é realizado através de um redirecionamento HTTP 302, onde os criminosos utilizaram os cabeçalhos X_FORWARDED_FOR e REMOTE_ADDR para realizar esse processo. Adicionalmente, a página do FBI “ www.fbi.gov ” foi atribuída a outros campos do cabeçalho HTTP, como forma de evitar blacklists e deteções por parte de sistemas de monitorização.
Host: www.fbi.gov Origin: https://www.fbi.gov Referer: https://www.fbi.gov X-Forwarded-Host: www.fbi.gov
O processo aqui descrito pode ser observando na seguinte imagem.
HTTP/1.1 302 Found Date: Tue, 21 Apr 2020 19:17:14 GMT Server: www.fbi.gov Location: alert.php X-Content-Type: nosniff X_FORWARDED_FOR: 104.16.77.187 REMOTE_ADDR: 104.16.77.187 Connection: keep-alive, close Host: www.fbi.gov Origin: https://www.fbi.gov Referer: https://www.fbi.gov X-Forwarded-Host: www.fbi.gov X-Forwarded-Proto: https X-XSS-Protection: 1; mode=block Content-Type: text/html; charset=UTF-8 Content-Length: 3970
Depois do redirecionamento, é apresentada uma outra landing-page: alert.php. A mensagem apresentada tenta convencer a vítima que é necessário a validação da sua conta do Netflix.
Após clicar em “CONTINUAR“, é apresentada a landing-page relativa à recolha de detalhes do cartão de crédito: payment.php.
Em detalhe, são solicitados os seguintes detalhes:
- Nome do titular do cartão
- Número do cartão
- Data de validade; e
- Código de segurança.
O código fonte da página payment.php possui a maior parte do texto codificado em HTML ASCII – uma técnica que não é recente, mas utilizada em campanhas de phishing atuais com o objetivo de evitar a sua deteção.
De notar que muitos engines de inteligência computacional e threat hunting realizam varrimentos por palavras-chave nas páginas de phishing. Com este mecanismo, os criminosos conseguem manter a página de phishing online por um maior período de tempo, aumentando, assim, o número de utilizadores afetados.
Finalmente, e como meio de tornar o esquema “fidedigno” aos olhos das vítimas, é realizado um redirecionamento para a página oficial do Netflix.
Não é conhecido até ao momento, o número de vítimas da campanha fraudulenta.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromentimento (IOCs)
hxxps://netflix-pt.]info ---SMS--- Netflix A sua assinatura foi cancelada, reative assinatura aqui: https://netflix-pt.info/N8ER4/