Campanhas de phishing em nome da marca Continente e Worten atualmente a serem disseminadas em Portugal.

Estão a ser partilhadas via SMS (smishing) campanhas personificando as marcas Continente e Worten. Esta vaga tem sido notada nos últimos dias, e tem como objetivo recolher detalhes das vítimas, potencialmente para depois os dados serem utilizados em campanhas futuras e direcionadas (spear-phishing).

Figura 1: SMS recebida pelas vítimas através de ataque de engenharia social (smishing).

 

A mensagem tenta convencer a vítima que esta irá receber um produto pelo correio, e que para consultar o estado da encomenda, precisa de clicar na URL endereçada na mensagem.

Em detalhe, a URL fornecida é composta por dois parâmetros interessantes:

  •  /pt5/ “: página responsável por enviar o utilizador para a landing-page da campanha fraudulenta do Continente; e
  •  ?n=xxx “: parece indicar um valor que está associado à vítima para que o tracking seja possível do lado dos malfeitores.

 

Iterando o primeiro valor – que direciona a vítima para a respetiva landing-page da campanha do Continente entregue na SMS – foi possível identificar que também uma campanha em nome da Worten se encontrava em curso (“ /pt1/ “). As respetivas landing-pages de ambas as campanhas são apresentadas abaixo.

 

Figura 2: Landing page personificando a marca Continente e Worten. É solicitado à vítima que clique sobre a hiperligação endereçada.

 

O servidor que direciona as vítimas para as landing-pages alvo e apresentadas na Figura 2, foi registado junto da Namecheap, Inc., atualizado no passado dia 3 de agosto, e está hospedado atualmente na DigitalOcean, LLC.

Esse servidor possui ainda configurados outros domínios que também são utilizados para disseminar as campanhas aqui descritas. A listagem completa encontra-se abaixo.

potenciais parametros: {/pt1/ ; /pt5/}

IP: 46.101.106.]44

Domains:
flex.deviceonchip.]com
www.bjng.]app
www.lna.]life
www.lno.]life
www.rde.]life
kapweg.webhub.]de

 

Resposta dos domínios da listagem acima, com o redirecionamento para a respetiva campanha destacada(s) na Figura 3.

Figure 3: Redirecionamento dos domínios para as landing pages finais das campanhas personificando o Continente e a Worten.

 

Alguma investigação adicional veio a confirmar que esta vaga de ataques via smishing não é apenas direcionada a marcas e organizações Portuguesas. Como pode ser analisado na Figura 4, outras marcas e países estão sendo alvo desta campanha, como Espanha, Estados Unidos da América, Canadá, Reino Unido, Hungria entre outros.

 

Figura 4: Outros países e marcas internacionais atingidos pela campanha.

 

Os domínios sob análise têm sido disseminados in-the-wild às vítimas, e à primeira vista, ainda não estão a ser bloqueados pelos produtos de segurança, firewalls, IDSs, antivirus, spamlists, etc. Em baixo podem ser observados alguns ecrãs recolhidos do VirusTotal.

Figura 5: Domínios malicioso com status “Clean” no VirusTotal, e com isso saltando a sua deteção por parte dos mecanismos de deteção de ameaças.

 

Todas as campanhas partilham o mesmo modus operandi: recolher dados sensíveis das vítimas. Esses dados serão mais tarde potencialmente utilizados em futuras campanhas desta natureza, mas dessa vez, direcionadas às vítimas através de engenharia social para alavancar novas vagas de phishing ou possivelmente campanhas envolvendo malware.

Quando a vítima prossegue na campanha, outros ecrãs são apresentados como pode ser observado abaixo. O fluxo apresentado é referente à campanha personificando a marca Continente em Portugal.

URL da landing-page final: https://www.bluehilt.]com/PT/PT_ipcwow/second/?uclick=2tusgxa0fe&n=xxxxx

Figura 6: Ecrãs referentes a campanha personificando a marca Continente (1).

 

Seguidamente, é simulado que o pacote está pronto para ser entregue. É utilizado pelos malfeitores a marca CTT como meio de fortalecer a confiança da vítima.

Figura 7: Ecrãs referentes a campanha personificando a marca Continente e CTT (2).

 

Figura 8: Ecrãs referentes a outras campanhas em curso (3).

 

Finalmente, são solicitados detalhes adicionais às vítimas, incluindo:

  • Nome
  • Endereço de email
  • Número de telefone
  • Morada; e
  • Data de nascimento.

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de  IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

potenciais parametros: {/pt1/ ; /pt5/}

IP: 46.101.106.]44

Domains:
flex.deviceonchip.]com
www.bjng.]app
www.lna.]life
www.lno.]life
www.rde.]life
kapweg.webhub.]de

URL da landing-page final: 
https://www.bluehilt.]com/PT/PT_ipcwow/second/?uclick=2tusgxa0fe&n=xxxxx

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *