A constante evolução das ameaças exige uma vigilância contínua e uma compreensão profunda das técnicas utilizadas por cibercriminosos. Recentemente, foram identificados diversos open redirects que estão a ser explorados de forma maliciosa para distribuir uma ampla gama de domínios finais, especificamente direcionados aos bancos em Portugal e distribuídos massivamente via email (phishing).
Estes open redirects, encontrados em sites legítimos, estão a ser utilizados como veículos para conduzir as vítimas até páginas maliciosas. Estas páginas são meticulosamente criadas para imitar as interfaces de autenticação dos homebankings, com o objetivo de exfiltrar credenciais de login e, eventualmente, obter acesso não autorizado às contas bancárias das vítimas.
Segue a lista de open redirects utilizados em campanhas desta natureza:
https://visit.guinness-storehouse.]com/account/logout?redirectUrl=malicous_URL https://netforumpro.]com/eweb/Logout.aspx?Site=NATCO&WebCode=Logout&RedirectURL=malicous_URL https://api.apontador.]com.br/v2/logout?redirectUrl=malicious_URL
Evitar cair neste tipo de armadilha?
- Evitar o uso de encurtadores de URLs (shortURLs) sempre que possível, e quando necessário, utilizar serviços que ofereçam pré-visualização dos links.
- Analisar se a URL agrega duas URLs e uma não tem nada a ver com a outra.
Existem porém serviços populares que permitem este tipo de funcionalidade de forma legítima como é o caso do Google. No entanto, é sempre exibida uma mensagem confirmando se é desejado avançar até à página final.
https://www.google.com/url?sa=t&url=url
Landing-pages associadas a esta campanha (julho 2024)
![]() | ![]() | ![]() |
![]() | ![]() | ![]() |
Indicadores de Comprometimento (IOCs)
accountegypt].com; acecostumes].com; acess-client-web].world; acessclientweb].world; acessoportugal].world; adjhgf].com; aimeemundo].com; audio-freaks].com; balancedisease].com; bikini-women].com; bjxiaochengxv].com; bzdzyqj].com; callmanning].com; campkrugercattery].com; cdswee].com; chuangmingjing].com; client-websector].world; clientsector-site].world; clientweb-sector].world; comedobusiness].com; cunlinail].com; deliverygay].com; deliveryholland].com; deliverypersonal].com; deliveryporno].com; deliveryproperty].com; deliveryregister].com; dream-ex].com; drugcamera].com; drugcamping].com; dtcirldx].com; ebayreopenready].com; ebuyfootball].com; elhijodelcometa].com; email-eportual].world; ercanarikli].com; fvwjpasbah].com; gdgqtyre].com; henanlvke].com; hixrentals].com; hklasvegas].com; hnjrd].com; hourglasscath].com; indiadiscussion].com; jlbeifang].com; jljwjiutehui].com; jlsdaz].com; jmsshangbiao].com; jnxff].com; jshtgc].com; jusajang].com; khmerannussa].com; kulfqpur].com; laiandersondesign].com; linghouexpress].com; liquidaspirin].com; littletreestherapy].com; lkyqeeqz].com; longfeelzh].com; madridpeople].com; mariandjames].com; mfrmarketing].com; momusfilms].com; mymariegold].com; mystarcrew].com; mzrocvvvcg].com; newspapervirginia].com; nonlindyn].com; nyrlz].com; ochomeexpo].com; outvdi].com; payrollxl].com; pdaairlines].com; persuasionclients].com; phatroosterales].com; pizzahutvideo].com; po7nds2pocket].com; polishartsongs].com; portugal-acesso].world; pounxstopocket].com; qucklbdt].com; richmondweekend].com; rukashsalon].com; sarhotline].com; screenriter].com; sdemmhm].com; sdvedu].com; sector-cliente].world; sectorcliente].world; summeritcamp].com; szdomino].com; thedancelens].com; thenewsaturnbingo].com; trangamusic].com; treecareomaha].com; u-teh].com; unisonroad].com; webacess].world; weldingpueblo].com; wendtelectricllc].com; whytyvdu].com; workernet].world; www].acess-client-web].world; www].acessclientweb].world; www].acessoportugal].world; www].client-websector].world; www].clientsector-site].world; www].clientweb-sector].world; www].clientwebsector].world; www].portugal-acesso].world; www].sector-cliente].world; youdawuliu].com; zxwjjg].com;
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.