Campanhas de phishing MEO, Netflix e Worten em curso em Portugal.

Nos últimos dias têm sido recorrentes campanhas de phishing personificando diversas marcas em Portugal.

Durante o dia de hoje (5 de maio de 2020 -11h da manhã), foram detetadas 3 campanhas de marcas com negócio em Portugal – Meo, Netflix e Worten,

Ambas as três campanhas têm o objetivo de recolher dados das vítimas, nomeadamente:

  • Dados pessoais, .e.g.,  nome, morada, telefone, data de nascimento ;
  • Detalhes de autenticação nos respetivos portais das marcas ( username-email e palavra-passe ); e
  • Detalhes dos  cartões de crédito  das vítimas.

 

Ao analisar estas campanhas em particular foram detetados indicadores muito fortes que sugerem que deve ser o mesmo grupo malicioso responsável pelas campanhas dos últimos dias. Estes detalhes foram observados nos domínios comprometidos e adequiridos pelo grupo para alavancar as campanhas, e também baseado no código fonte das landing-pages de phishing (aqui com um alto grau de confiança).

 

Campanha fraudulenta: Meo

Tal como aconteceu na campanha maliciosa do Sapo, esta campanha apenas se espalhou via email. À primeira vista, até o template de email é muito similar.

 

Com base nos indicadores recolhidos, é possível confirmar que estas campanhas parecem usar o mesmo phishkit mas para diferentes marcas alvo.

Como observado, esta campanha possui o popup de cookies, carregado diretamento do servidor legítimo do serviço, incluindo outros recursos, como ficheiros de estilo CSS, imagens, e Javascript.

 

Ao introduzir os detalhes de autenticação a vítima é direcionada para a landing-page de recolha de dados do cartão de crédito.

 

Finalmente, a vítima é direcionada para a página legítima do serviço.

De notar que o domínio comprometido foi o mesmo utilizado na campanha em nome do Sapo também publicada no blog.

 

Campanha fraudulenta: Netflix

Esta é outra campanha ativa, utilizando um domínio já observado e o modus operandi da campanha baseia-se no mesmo principio:

  • Obter detalhes de autenticação da conta netflix; e
  • Detalhes do cartão de crédito.

 

 

No final do processo de infeção, a vítima é automaticamente direcioanda para a página legitima do serviço.

O modus operandi e phishkit foi analisado em dezembro 2019 no artigo abaixo.

SI-LAB: Campanha do NETFLIX em detalhe e similaridades com a campanha do banco BPI

 

 

Campanha fraudulenta: Worten

Também a marca Worten foi alvo de ataque em campanhas desta linha.

A landing-page inicial é muito similar ao serviço legítmo, o que levou muitos utilizadores a acreditarem nesta farsa. Durante a análise, o SI-Lab identificou que mais de 250 utilizadores acederam num curto espaço de tempo à página maliciosa.

No entanto, não foram recolhidos indicadores de como esta campanha foi distribuída (phishing ou smishing).

 

Ao selecionar um produto, a vítima poderá consultar detalhes adiconais, inclusive os detalhes do produto e seus comentários.

 

De notar que não existem produtos no carrinho (imagem acima). No entanto, se a vítima prosseguir com a campanha e clicar no botão “Adicionar ao carrinho” é direcionada para a proxima landing-page onde são recolhidos dados de autenticação e do cartão de crédito.

Em detalhe, o número de produtos no carrinho é alterado, e a maior parte dos recursos da página, nomeadamente ficheiros de estilo CSS e javascript e imagens são carregados diretamente do serviço legítimo.

 

 

Ao cair na próxima landing-page, são solicitados os seguintes detalhes:

  • Primeiro nome
  • Apelido
  • NIF
  • Morada
  • Código Postal
  • Cidade
  • País
  • Número de telefone

 

Em seguida, são solicitados detalhes do cartão de crédito.

 

Interessante nesta campanha, que permite o pagamento via referência multibanco.

 

Finalmente é realizada a confirmação da encomenda.

 

No final de todas as campanhas, as vítimas são sempre direcionadas para as páginas legítimas das marcas.

É importante ainda realçar que os phishkits por trás dos últimos esquemas de phishing analisados são muito similares aos serviços reais a nível gráfico e de experiência de utilização, e por isso muitos utilizadores podem mesmo acreditar estar a usar o serviço legítimo.

Existe uma preocupação evidente na arquitetura destas campanhas, e de notar que a maior parte dos recursos são sempre carregados dos serviços oficiais, o fluxo e interface são user-friendly, e até a fonte utilizada é a mesma.

O mesmo acontece às mensagens e texto, em geral, embebidos nas campanhas. Não tem sido habitual encontrar palavras em pt-br, mas sim pt-pt, o que demostra uma preocupação adicional dos criminosos em aperfeicoar os seus phishkits. No entanto, importa realçar que a origem das campanhas é o Brasil.

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Caso tenha sido enganado por este tipo de esquemas, deverá contactar as instituições bancárias para procederem de imediato ao cancelamento dos meios de pagamento ou homebanking. Na existência de transações concretizadas deverá apresentar queixa junto das autoridades policiais.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

 

Indicadores de Compromisso (IOCs)

atendimento-pg-series.joomla.]com/br/netflix/index.]php
hxxps://wortenpromocoes.]com
hxxps://1oficioverde.]com.]br/meo.pt/

--twitter--
https://twitter.]com/sirpedrotavares/status/1257617362079137792
https://twitter.]com/sirpedrotavares/status/1257604609536921600