Campanhas visando a banca com recentes open_redirs (julho 2024).

A constante evolução das ameaças exige uma vigilância contínua e uma compreensão profunda das técnicas utilizadas por cibercriminosos. Recentemente, foram identificados diversos open redirects que estão a ser explorados de forma maliciosa para distribuir uma ampla gama de domínios finais, especificamente direcionados aos bancos em Portugal e distribuídos massivamente via email (phishing).

Estes open redirects, encontrados em sites legítimos, estão a ser utilizados como veículos para conduzir as vítimas até páginas maliciosas. Estas páginas são meticulosamente criadas para imitar as interfaces de autenticação dos homebankings, com o objetivo de exfiltrar credenciais de login e, eventualmente, obter acesso não autorizado às contas bancárias das vítimas.

Segue a lista de open redirects utilizados em campanhas desta natureza:

https://visit.guinness-storehouse.]com/account/logout?redirectUrl=malicous_URL
https://netforumpro.]com/eweb/Logout.aspx?Site=NATCO&WebCode=Logout&RedirectURL=malicous_URL
https://api.apontador.]com.br/v2/logout?redirectUrl=malicious_URL

 

Evitar cair neste tipo de armadilha?

  • Evitar o uso de encurtadores de URLs (shortURLs) sempre que possível, e quando necessário, utilizar serviços que ofereçam pré-visualização dos links.
  • Analisar se a URL agrega duas URLs e uma não tem nada a ver com a outra.

 

Existem porém serviços populares que permitem este tipo de funcionalidade de forma legítima como é o caso do Google. No entanto, é sempre exibida uma mensagem confirmando se é desejado avançar até à página final.

https://www.google.com/url?sa=t&url=url

 

Landing-pages associadas a esta campanha (julho 2024)

 

Indicadores de Comprometimento (IOCs)

accountegypt].com;
acecostumes].com;
acess-client-web].world;
acessclientweb].world;
acessoportugal].world;
adjhgf].com;
aimeemundo].com;
audio-freaks].com;
balancedisease].com;
bikini-women].com;
bjxiaochengxv].com;
bzdzyqj].com;
callmanning].com;
campkrugercattery].com;
cdswee].com;
chuangmingjing].com;
client-websector].world;
clientsector-site].world;
clientweb-sector].world;
comedobusiness].com;
cunlinail].com;
deliverygay].com;
deliveryholland].com;
deliverypersonal].com;
deliveryporno].com;
deliveryproperty].com;
deliveryregister].com;
dream-ex].com;
drugcamera].com;
drugcamping].com;
dtcirldx].com;
ebayreopenready].com;
ebuyfootball].com;
elhijodelcometa].com;
email-eportual].world;
ercanarikli].com;
fvwjpasbah].com;
gdgqtyre].com;
henanlvke].com;
hixrentals].com;
hklasvegas].com;
hnjrd].com;
hourglasscath].com;
indiadiscussion].com;
jlbeifang].com;
jljwjiutehui].com;
jlsdaz].com;
jmsshangbiao].com;
jnxff].com;
jshtgc].com;
jusajang].com;
khmerannussa].com;
kulfqpur].com;
laiandersondesign].com;
linghouexpress].com;
liquidaspirin].com;
littletreestherapy].com;
lkyqeeqz].com;
longfeelzh].com;
madridpeople].com;
mariandjames].com;
mfrmarketing].com;
momusfilms].com;
mymariegold].com;
mystarcrew].com;
mzrocvvvcg].com;
newspapervirginia].com;
nonlindyn].com;
nyrlz].com;
ochomeexpo].com;
outvdi].com;
payrollxl].com;
pdaairlines].com;
persuasionclients].com;
phatroosterales].com;
pizzahutvideo].com;
po7nds2pocket].com;
polishartsongs].com;
portugal-acesso].world;
pounxstopocket].com;
qucklbdt].com;
richmondweekend].com;
rukashsalon].com;
sarhotline].com;
screenriter].com;
sdemmhm].com;
sdvedu].com;
sector-cliente].world;
sectorcliente].world;
summeritcamp].com;
szdomino].com;
thedancelens].com;
thenewsaturnbingo].com;
trangamusic].com;
treecareomaha].com;
u-teh].com;
unisonroad].com;
webacess].world;
weldingpueblo].com;
wendtelectricllc].com;
whytyvdu].com;
workernet].world;
www].acess-client-web].world;
www].acessclientweb].world;
www].acessoportugal].world;
www].client-websector].world;
www].clientsector-site].world;
www].clientweb-sector].world;
www].clientwebsector].world;
www].portugal-acesso].world;
www].sector-cliente].world;
youdawuliu].com;
zxwjjg].com;

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.

 

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *