É phishing? Neste artigo são compiladas algumas campanhas de phishing a decorrer, e como os burlões estão a usar os seus dados pessoais na disseminação dessas campanhas para simplesmente o “confundir”.

Nos últimos meses, um largo grupo de utilizadores em Portugal tem recebido SMS maliciosas referentes a um pacote retido no “centro alfandegário”. A imagem pode ser observada na Figura 1 abaixo.

Figura 1: SMS enviada às vítimas de forma a disseminar a campanha de phishing (smishing).

 

Através do tracking dos utilizadores afetados e de artefactos extraídos da campanha em andamento, é provável que o número de telefone da primeira vaga de utilizadores afetados tenha sido extraído da violação de dados (data breach) do Facebook, partilhado algures no início de 2021. Naturalmente, por ser uma imensa coleção de dados; e grande parte ainda válida, os criminosos tenham maior probabilidade de sucesso na burla.

Algumas semanas depois, foram verificados números aleatórios de telefone que não constavam nessa lista, provavelmente contactos de vítimas de outras campanhas ou listas de números que os criminosos tenham criado especialmente para este tipo de campanhas maliciosas.

Na SMS enviada, seguia uma URL com um identificador único (a  vermelho  na imagem), que conduz a vítima para a primeira landing-page da campanha maliciosa. Esse primeiro serviço (esusit.]com na imagem) efetuava uma procura utilizando o click_id pelos dados para vítima. Nesse redirect seguiam os seguintes parâmetros, e então apresentada a fachada presente na Figura 2.

click_id = IDENTIFICADOR ÚNICO DA VÍTIMA
var4 = MORADA
var7 = ULTIMO NOME
var8 = PRIMEIRO NOME
var9 = TELEFONE
var10 = EMAIL

 

Figura 2: Landing-page maliciosa da campanha de phishing.

 

Clicando no botão de confirmação, são apresentadas animações e detalhes simulando um ambiente e processo próximo de um sistema legítimo, para na verdade  iludir a vítima que cálculos e verificações estão a ser efetuadas quando na verdade nada está acontecendo; o típico comportamento observado em campanhas desta natureza.

Passados alguns segundos, é apresentada uma outra página da campanha, onde são apresentados dados pessoais da vítima extraídos do data breach do Facebook, e outros pertencentes a bases de dados geridas pelos grupos criminosos.

Figura 3: Página maliciosa da campanha onde são utilizados dados pessoais da vítima para tornar o esquema os mais real possível.

 

No próximo passo do esquema, a vítima é redirecionada para um dos múltiplos websites de phishing onde são solicitados detalhes do cartão de crédito para desalfandegamento do produto. Os detalhes transferidos para esses websites são os mesmos apresentados na listagem acima, só que desta vez, esses websites estão por trás da CDN da CloudFlare como forma de mascarar a origem dos servidores operados pelos criminosos.

Finalmente, a vítima é direcionada uma última vez para múltiplos websites comprometidos que solicitam e verificam os detalhes do cartão de crédito das vítimas através da verificação por SMS. 

No final do ataque, no caso de sucesso, a vítima é redirecionada para websites de casas de apostas/casinos, possivelmente para os burlões conseguirem lucrar ainda mais com publicidade ao casino.

Através da lista de vítimas obtida nesta análise, foi possível concluir que a campanha já dura há mais de 8 meses, e que ao mesmo tempo, outros países estão a ser alvo de vagas de phishing desta linha, incluindo, Suécia, França, Bélgica, Canadá. Em Portugal esta campanha começou há quase 4 meses com maior intensidade.

Outros templates estão também a ser utilizados pelos criminosos globalmente, como é o caso do template personificando a marca Amazon e também e um esquema envolvendo criptomoedas que já dura à mais de um ano e continua em operação.

Figura 4: Template da Amazon e criptomoedas (bitcoin) utilizado pelos criminosos.

 

Juntamente a estas campanhas, é também entregue à vítima uma página para remover o seu email ou número de telefone da base de dados do serviço em questão. Esta página tem chegado a um grande número de vítimas através de smishing. Com este tipo de esquema, os criminosos conseguem angariar novos números de telefone para certamente incrementarem a sua base de dados de registos.

Figura 5: Imagem com processo “opt out” com o objetivo de recolher o número de telefone das vítimas.

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de  IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IoCs)

193[.]110[.]160[.]100
31[.]207[.]45[.]247
107[.]158[.]163[.]33
193[.]239[.]85[.]12
193[.]34[.]167[.]244
78[.]142[.]61[.]105
185[.]176[.]220[.]226
69[.]10[.]62[.]90
18[.]195[.]128[.]171

 

Autor: Sergio Razões, developer e entusiasta em cibersegurança
https://twitter.com/RazoesSergio
https://github.com/s-razoes