Estão a ser partilhadas via SMS (smishing) campanhas personificando as marcas Continente e Worten. Esta vaga tem sido notada nos últimos dias, e tem como objetivo recolher detalhes das vítimas, potencialmente para depois os dados serem utilizados em campanhas futuras e direcionadas (spear-phishing).
Figura 1: SMS recebida pelas vítimas através de ataque de engenharia social (smishing).
A mensagem tenta convencer a vítima que esta irá receber um produto pelo correio, e que para consultar o estado da encomenda, precisa de clicar na URL endereçada na mensagem.
Em detalhe, a URL fornecida é composta por dois parâmetros interessantes:
- “ /pt5/ “: página responsável por enviar o utilizador para a landing-page da campanha fraudulenta do Continente; e
- “ ?n=xxx “: parece indicar um valor que está associado à vítima para que o tracking seja possível do lado dos malfeitores.
Iterando o primeiro valor – que direciona a vítima para a respetiva landing-page da campanha do Continente entregue na SMS – foi possível identificar que também uma campanha em nome da Worten se encontrava em curso (“ /pt1/ “). As respetivas landing-pages de ambas as campanhas são apresentadas abaixo.
Figura 2: Landing page personificando a marca Continente e Worten. É solicitado à vítima que clique sobre a hiperligação endereçada.
O servidor que direciona as vítimas para as landing-pages alvo e apresentadas na Figura 2, foi registado junto da Namecheap, Inc., atualizado no passado dia 3 de agosto, e está hospedado atualmente na DigitalOcean, LLC.
Esse servidor possui ainda configurados outros domínios que também são utilizados para disseminar as campanhas aqui descritas. A listagem completa encontra-se abaixo.
potenciais parametros: {/pt1/ ; /pt5/} IP: 46.101.106.]44 Domains: flex.deviceonchip.]com www.bjng.]app www.lna.]life www.lno.]life www.rde.]life kapweg.webhub.]de
Resposta dos domínios da listagem acima, com o redirecionamento para a respetiva campanha destacada(s) na Figura 3.
Figure 3: Redirecionamento dos domínios para as landing pages finais das campanhas personificando o Continente e a Worten.
Alguma investigação adicional veio a confirmar que esta vaga de ataques via smishing não é apenas direcionada a marcas e organizações Portuguesas. Como pode ser analisado na Figura 4, outras marcas e países estão sendo alvo desta campanha, como Espanha, Estados Unidos da América, Canadá, Reino Unido, Hungria entre outros.
Figura 4: Outros países e marcas internacionais atingidos pela campanha.
Os domínios sob análise têm sido disseminados in-the-wild às vítimas, e à primeira vista, ainda não estão a ser bloqueados pelos produtos de segurança, firewalls, IDSs, antivirus, spamlists, etc. Em baixo podem ser observados alguns ecrãs recolhidos do VirusTotal.
Figura 5: Domínios malicioso com status “Clean” no VirusTotal, e com isso saltando a sua deteção por parte dos mecanismos de deteção de ameaças.
Todas as campanhas partilham o mesmo modus operandi: recolher dados sensíveis das vítimas. Esses dados serão mais tarde potencialmente utilizados em futuras campanhas desta natureza, mas dessa vez, direcionadas às vítimas através de engenharia social para alavancar novas vagas de phishing ou possivelmente campanhas envolvendo malware.
Quando a vítima prossegue na campanha, outros ecrãs são apresentados como pode ser observado abaixo. O fluxo apresentado é referente à campanha personificando a marca Continente em Portugal.
URL da landing-page final: https://www.bluehilt.]com/PT/PT_ipcwow/second/?uclick=2tusgxa0fe&n=xxxxx
Figura 6: Ecrãs referentes a campanha personificando a marca Continente (1).
Seguidamente, é simulado que o pacote está pronto para ser entregue. É utilizado pelos malfeitores a marca CTT como meio de fortalecer a confiança da vítima.
Figura 7: Ecrãs referentes a campanha personificando a marca Continente e CTT (2).
Figura 8: Ecrãs referentes a outras campanhas em curso (3).
Finalmente, são solicitados detalhes adicionais às vítimas, incluindo:
- Nome
- Endereço de email
- Número de telefone
- Morada; e
- Data de nascimento.
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
potenciais parametros: {/pt1/ ; /pt5/} IP: 46.101.106.]44 Domains: flex.deviceonchip.]com www.bjng.]app www.lna.]life www.lno.]life www.rde.]life kapweg.webhub.]de URL da landing-page final: https://www.bluehilt.]com/PT/PT_ipcwow/second/?uclick=2tusgxa0fe&n=xxxxx