Campanhas de phishing em curso em nome dos bancos MillenniumBCP e Montepio.

Desde o dia de ontem, 12 de feveireiro de 2020, têm sido notadas duas campanhas de phishing em Portugal, desta vez em nome dos bancos MillenniumBCP e Montepio.

As duas campanhas são bastante diferentes partindo da sua génese. A campanha em nome do banco MillenniumBCP opera com base numa landing page maliciosa com o objetivo de recolher dados sensíveis das vítimas.

Por outro lado, a campanha em nome do banco Montepio convida o utilizador a descarregar uma aplicação android (.apk), que confere aos agentes maliciosos o controlo do seu dispositivo móvel.

Indicadores da campanha maliciosa do Montepio

 

Ao aceder à URL maliciosa, é solicitado ao utilizador o download de um ficheiro .apk e a posterior instalação. Este apk tem o objetivo de exfiltrar informação do dispositivo, controlar o envio de mensagens, e ainda capturar alguma informação durante a utilização do telemóvel por parte da vítima.

No momento da partilha deste artigo, o provedor onde o serviço estava hospedado NameCheap, já havia bloqueado o endereço impossibilitando, assim, a proliferação da aplicação maliciosa.

 

Indicadores da campanha maliciosa do MillenniumBCP

A campanha ainda em curso em nome do banco MillenniumBCP opera com base numa landing page com o objetivo de recolher dados pessoais dos utilizadores, e ao mesmo tempo, permite aos criminosos a autenticação no portal do banco saltando o processo de segundo fator de autenticação.

 

Nesta landing page, são solicitados detalhes como o código do utilizador e ainda três posições do código de acesso ao portal.

Como pode ser observado, o nome das páginas PHP do servidor são compostas por carateres aleatórios para dificultar a sua identificação.

 

Após a introdução dos detalhes na primeira landing page, a vítima é direcionada para uma segunda página (load00ruqs98bfhqdvgdphx0ppjounwuet8nz5lvdnswgaxch0c5517u4kjcq5p8bdwdj0k8osrckjupoad111ml59c10n3ewd0vzk6qd4y0c.php) onde é apresentado um countdown de forma a tornar o mais realista possível o cenário malicioso. Mas existe uma razão muito forte para esta demora!

<script type="text/javascript">
    var timeoutHandle;
    function countdown(minutes, seconds) {
        function tick() {
            var counter = document.getElementById("timer");
            counter.innerHTML =
                minutes.toString() + ":" + (seconds < 10 ? "0" : "") + String(seconds);
            seconds--;
            if (seconds >= 0) {
                timeoutHandle = setTimeout(tick, 1000);
            } else {
                if (minutes >= 1) {
                    // countdown(mins-1);   never reach “00″ issue solved:Contributed by Victor Streithorst
                    setTimeout(function () {
                        countdown(minutes - 1, 59);
                    }, 1000);
                }
            }
        }
        tick(); 
        
    }

    countdown(0, 45);
</script>
<a style="color:white;" href="smdxkic2b4aqygzuoqsfdtwjokt2cu3tm3gj8inpebfnibjtphewu23b8ebjkf5um6n0qn6pq97w2gf46u64.php">go</a>

 

Finalmente, a vítima é direcionada para a página final, onde é solicitado o código recebido por SMS de acesso ao portal (OTP).

 

Este código é crucial para os agentes de ameaça, uma vez que lhes permite o acesso em tempo real ao serviço legítimo do banco saltando assim a validação 2FA.

O valor do countdown de 40 segundos é o tempo suficiente para que em background os agentes maliciosos:

  • realizem uma autenticação no portal legítimo do banco;
  • a mensagem de validação (OTP) seja enviada para o dispositivo móvel da vítima;
  • à vitima, pensando estar perante o serviço do banco, entrega o código aos criminosos através desta landing page; e
  • os criminosos, agora na posse do código OTP, acedem ao portal do Millennium BCP em nome da vítima.

Por fim, depois da vítima prosseguir com o cenário malicioso aqui descrito, é direcionada para a página final da campanha.

 

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.

 

Indicadores de Compromisso (IOCs)

-- MillenniumBCP --
hxxps[://millenniiumbcp].com/me/millen/acces/indxkic2b4aqygzuoqsfdtwjokt2cu3tm3gj8inpebfnibjtphewu23b8ebjkf5um6n0qn6pq97w2gf46u64.]php
indxkic2b4aqygzuoqsfdtwjokt2cu3tm3gj8inpebfnibjtphewu23b8ebjkf5um6n0qn6pq97w2gf46u64.php
load00ruqs98bfhqdvgdphx0ppjounwuet8nz5lvdnswgaxch0c5517u4kjcq5p8bdwdj0k8osrckjupoad111ml59c10n3ewd0vzk6qd4y0c.php
/me/millen/acces/smdxkic2b4aqygzuoqsfdtwjokt2cu3tm3gj8inpebfnibjtphewu23b8ebjkf5um6n0qn6pq97w2gf46u64.php

-- Montepio --
hxxps[://net24apk.]website