Durante os últimos dois dias foram identificadas duas campanhas personificando a banca em Portugal. As campanhas de phishing disseminadas pelos malfeitores usam o nome do serviço MBWAY e também do banco Crédito Agrícola com o objetivo de exfiltrar informação sensível e credenciais de acesso às vítimas.
Ambas as campanhas utilizam certificados SSL assinados por CA’s frequentemente utilizadas pelos malfeitores, como é o caso do serviço Let’s Encrypt.
Tal como em campanhas já publicadas, incluindo o artigo referente à ANUBIS-NETWORK, depois da vítima introduzir as credenciais de acesso ao homebanking na landing-page maliciosa, os dados são enviados para um backoffice controlado pelos criminosos em tempo real.
De forma a manter a vítima na página, é apresentada uma imagem de loading que representa o tempo necessário que os criminosos têm para fazer o acesso ao sistema real com os dados da vítima.
Por outro lado, também o serviço MBWAY tem sido alvo constante de ataques desta natureza, geralmente disseminados por email mas também por SMS.
As landing-pages das campanhas relacionadas ao MBWAY solicitam o número de telefone e código de acesso ao MBWAY – detalhes sensíveis que nunca serão solicitados por serviços fidedignos.
Como já observado em outras campanhas referentes ao MBWAY, as mensagens no código fonte das landing-pages estão codificadas com Web Open Font Format, que em tempo de execução renderiza a fonte para o texto original.
Mais detalhes sobre esse comportamento na publicação abaixo referente a outra vaga passada.
Como observado, detalhes das vítimas são recolhidos pelos criminosos, incluindo:
- Detalhes do cartão de crédito
- Número de telefone da vítima
- SMS code – depois utilizado para fazer a gestão da conta MB Way; e também valida a autenticidade da operação.
De notar que este tipo de campanhas têm sido muito utilizadas por grupos hacktivistas em Portugal para persuadir as vítimas, e fazer com que estas forneçam os seus segredos. Outro detalhe são pedidos de pagamento recebidos na sua conta MB WAY. Se não realizou qualquer compra no no preciso momento em que recebeu o pedido, então é fraude.
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
dobuy-online.]com/M-B-Way/ ads-credit.]com/choose.php ZÉROFAUTES - [email protected]
One Reply to “Campanhas de phishing MBWAY e Crédito Agrícola em curso em Portugal”