Desde o dia 6 de julho que foram registadas algumas entradas no 0xSI_f33d – um feed que compila ameaças no ciber-espaço Português – relativas a campanhas de phishing ativas no mesmo servidor de Internet, e com o objetivo de exfiltrar detalhes pessoais das vítimas e também referentes a cartões de crédito.
Foram registadas três diferentes campanhas alojadas no mesmo servidor de Internet que personificam três marcas em Portugal, nomeadamente: SAPO, MEO e Banco Santander.
Estas campanhas são disseminadas via phishing emails pelos criminosos como apresentado na figura seguinte.
Figura 1: Template emails das campanhas de phishing: SAPO, MEO e Banco Santander.
Os templates de email possuem ambos um chamariz, informando que a conta da vítima foi bloqueada ou que a conta foi classificada como inadequada. O objetivo destas mensagens é levar a vítima a clicar na hiperligação, conduzindo-a assim, para as respetivas landing pages das campanhas.
Como observado abaixo, ambas as campanhas têm o objetivo de recolher dados pessoais das vítimas e detalhes do cartão de crédito.
Figura 2: Landing pages da campanha maliciosa personificando a marca SAPO.
Figura 3: Landing pages da campanha maliciosa personificando a marca MEO.
Figura 4: Landing pages da campanha maliciosa personificando a marca Banco Santander.
Ambas as campanhas possuem no código fonte das landing-pages determinados textos sensíveis codificados em ascii-HTML – uma forma de evitar a sua deteção.
Figura 5: Conteúdo sensível ofuscado para evitar deteção, including nomes das marcas alvo, títulos das páginas, entre outros.
Ambas as landing pages no final do processo enviam a vítima para as páginas oficiais das marcas como meio de tornar a campanha o mais legítimo possível.
Uma das mais disseminadas campanhas em Portugal – e personificando uma das marcas aqui apresentada – é dissecada no vídeo abaixo.
Também uma campanha usando o nome da Universidade da Lisboa tem sido proliferada pelos criminosos juntamente com o malware Loki em anexo. O alerta foi dado pelo Abuse.ch no Twitter.
Malspam impersonating Universidade de Lisboa, distributing #Loki in Portugal 🇵🇹
/cc @sirpedrotavares pic.twitter.com/SrfNRtaAZS
— abuse.ch (@abuse_ch) July 7, 2020
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Caso tenha sido enganado por este tipo de esquemas, deverá contactar as instituições bancárias para procederem de imediato ao cancelamento dos meios de pagamento ou homebanking. Na existência de transações concretizadas deverá apresentar queixa junto das autoridades policiais.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
hxxps://www.sestprevmedicina.]com.br/Santander.pt hxxps://www.sestprevmedicina.]com.br/meo.pt/ hxxps://www.sestprevmedicina.]com.br/mail.sapo.pt/ 162.214.67.]194 --Phishing lokibot-- C2: hxxp://195.69.140.]147/.op/cr.php/Gi4uJRts3jTJM
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.