Desde a madrugada do dia 09 de setembro de 2020 que os utilizadores estão a receber mensagens fraudulentas em nome do Novo Banco. Este vetor de ataque utliizado pelo criminosos (smishing), tenta iludir a vítima com as seguintes mensagens:
Mensagem enviada entre as 3 e 5 da madrugada:
NOVOBANCO: Seus canais digitais foram desactivados. Para ativar sua adesao aceda em: [URL-maliciosa do bit.ly].
Mensagem enviada de seguida – entre as 5 e 6 da madrugada:
NOVOBANCO: O seu N. de Adesao e PIN foram desactivados. Para activar agora aceda em:[URL-maliciosa do bit.ly].
Figura 1: Mensagem fraudulenta enviada para os dispositivos móveis das vítimas (smishing).
Inicialmente a URL do bit.ly conduz a vítima para uma página de redirecionamento num sistema online comprometido pelos criminosos. Geralmente estes sistemas são sistemas legítimos com vulnerabilidades conhecidas e explorados in-the-wild pelos criminosos. O objetivo é direcionar a vítima para o domínio malicioso, adquirido durante a madrugada do dia em que a campanha é despoletada, e onde é apresentada a landing-page inicial da campanha fraudulenta.
Redirector: hxxps://thebbps.]com/wp-content/plugins/lerSMS.php Landing-page final: https://novobanco.]mobi/appxxx/?hash=xxxx
Como observado abaixo, as landing-pages atualmente, seja qual for a campanha de phishing relativa à banca, apresentam um grau de design e interação com utilizador muito similar aos sistemas legítimos. Neste cenário em específico, é apresentada tanto uma versão móvel como desktop com um teclado virtual à semelhança da plataforma ebanking.
Figura 2: Versão móvel e desktop da landing-page maliciosa.
Analisando o código fonte da página, é possível validar que um ficheiro JavaScript denominado “ESColors.js” com algumas funções criptográficas utilizadas durante a renderização da página.
Figura 3: Ficheiro JavaScript utilizado durante a renderização da landing-page no navegador.
Ao intoduzir os detalhes solicitados pelos criminosos, N. adesão e PIN, estes são enviados para a página seguinte telemovel.php.
Figura 4: Detalhes enviados para o lado do servidor.
Em detalhe, são enviados para o lado do servidor os seguintes detalhes:
- Cookie: NotCont – Variável que guarda o endereço de IP remoto da vítima. Este cookie garante que apenas um utilizador é comprometido por endereço de IP. Como resposta à dupla tentativa de acesso, é apresentada uma página 404.html.
- SRV=00101 – Potencialmente algum parametro de rooting, indicando qual o servidor destino disponível para onde serão enviados os dados. Esse código deverá estar codificado nas landing-pages.
- selo: um parâmetro arbitrário.
- ad: um parâmetro arbitrário.
- adesao: N. de adesão da vítima.
- AvisaBrowser=true – parâmetro boolean (true e false).
- pin: número PIN da vítima.
- nx: não definido.
Figura 5: Formulário da página telemovel.php.
Aqui, são solicitados outros detalhes à vítima, incluindo:
- N. de Contribuinte (NIF)
- N. de cidadão
- Data de nascimento; e
- N. de telemóvel.
Ao analisar os recursos disponíveis nesta página telemovel.php, é possível identificar que este phishkit foi especialmente desenhado para o NovoBanco. A prova disso é o nome dos ficheiros incluídos, por exemplo: nb.preload.min.js, nb.stats-ext.min.js e v7.nb.min.js.
Figura 5: Ficheiros Javascript com as iniciais do banco, confirmando que o phishkit foi especialmente desenhado para o banco não sendo, assim, um template genérico. Este indicador tenta também aumentar a credibilidade do sistema malicioso.
Interessante notar que os dados das landing-page anteriores são sempre guardados nas novas páginas PHP em campos escondidos – potencialmente para serem enviados ou guardados no servidor no final da cadeia maliciosa.
Figura 6: Detalhes da vítima guardados em campos escondidos ao longo da cadeia maliciosa.
Em seguida, são solicitadas fotografias do cartão matriz e do cartão de debito à vítima. Esses ficheiros são depois guardados no lado do servidor ou enviados para o email dos criminosos.
Figura 7: Página responsáveis por recolher fotografias no formato JPEG e PNG do cartão matriz e cartão de débito.
No final, os dados são enviados para o lado dos criminosos como apresentado na Figura 8 abaixo.
Figura 8: Detalhes da vítima enviados para o lado dos criminosos.
No final de completar todas as etapas, é apresentada a seguinte mensagem à vítima.
Mensagem para os utilizadores em geral
Em suma, detalhes com esta sensibilidade nunca serão solicitados pela sua entidade bancária, muito menos fotografias do cartão matriz e cartão de débito/credito através de uma página na Internet.
Sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
hxxps://bitly.[com/33dMoaS hxxps://thebbps.]com/wp-content/plugins/lerSMS.php hxxps://novobanco.]mobi/appxxx/sucesso.php?hash=xxx
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.