Diversas campanhas de phishing em curso em Portugal com o objetivo de exfiltrar detalhes dos cartões de crédito das vítimas.

Desde o dia 6 de julho que foram registadas algumas entradas no 0xSI_f33d – um feed que compila ameaças no ciber-espaço Português – relativas a campanhas de phishing ativas no mesmo servidor de Internet, e com o objetivo de exfiltrar detalhes pessoais das vítimas e também referentes a cartões de crédito.

Foram registadas três diferentes campanhas alojadas no mesmo servidor de Internet que personificam três marcas em Portugal, nomeadamente: SAPO, MEO e Banco Santander.

Estas campanhas são disseminadas via phishing emails pelos criminosos como apresentado na figura seguinte.

Figura 1: Template emails das campanhas de phishing: SAPO, MEO e Banco Santander.

 

Os templates de email possuem ambos um chamariz, informando que a conta da vítima foi bloqueada ou que a conta foi classificada como inadequada. O objetivo destas mensagens é levar a vítima a clicar na hiperligação, conduzindo-a assim, para as respetivas landing pages das campanhas.

Como observado abaixo, ambas as campanhas têm o objetivo de recolher dados pessoais das vítimas e detalhes do cartão de crédito.

Figura 2: Landing pages da campanha maliciosa personificando a marca SAPO.

 

Figura 3: Landing pages da campanha maliciosa personificando a marca MEO.

 

Figura 4: Landing pages da campanha maliciosa personificando a marca Banco Santander.

 

Ambas as campanhas possuem no código fonte das landing-pages determinados textos sensíveis codificados em ascii-HTML – uma forma de evitar a sua deteção.

Figura 5: Conteúdo sensível ofuscado para evitar deteção, including nomes das marcas alvo, títulos das páginas, entre outros.

 

Ambas as landing pages no final do processo enviam a vítima para as páginas oficiais das marcas como meio de tornar a campanha o mais legítimo possível.

Uma das mais disseminadas campanhas em Portugal – e personificando uma das marcas aqui apresentada – é dissecada no vídeo abaixo.

Também uma campanha usando o nome da Universidade da Lisboa tem sido proliferada pelos criminosos juntamente com o malware Loki em anexo. O alerta foi dado pelo Abuse.ch no Twitter.

 

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Caso tenha sido enganado por este tipo de esquemas, deverá contactar as instituições bancárias para procederem de imediato ao cancelamento dos meios de pagamento ou homebanking. Na existência de transações concretizadas deverá apresentar queixa junto das autoridades policiais.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

hxxps://www.sestprevmedicina.]com.br/Santander.pt
hxxps://www.sestprevmedicina.]com.br/meo.pt/
hxxps://www.sestprevmedicina.]com.br/mail.sapo.pt/ 

162.214.67.]194

--Phishing lokibot--
C2: hxxp://195.69.140.]147/.op/cr.php/Gi4uJRts3jTJM

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *