Fraude: Campanha de phishing personificando o NovoBanco solicitando detalhes da conta, fotografias do cartão matriz e de débito.

Desde a madrugada do dia 09 de setembro de 2020 que os utilizadores estão a receber mensagens fraudulentas em nome do Novo Banco. Este vetor de ataque utliizado pelo criminosos (smishing), tenta iludir a vítima com as seguintes mensagens:

Mensagem enviada entre as 3 e 5 da madrugada:

NOVOBANCO: Seus canais digitais foram desactivados. Para ativar sua adesao aceda em: [URL-maliciosa do bit.ly].

 

Mensagem enviada de seguida – entre as 5 e 6 da madrugada:

NOVOBANCO: O seu N. de Adesao e PIN foram desactivados. Para activar agora aceda em:[URL-maliciosa do bit.ly].

Figura 1: Mensagem fraudulenta enviada para os dispositivos móveis das vítimas (smishing).

 

Inicialmente a URL do bit.ly conduz a vítima para uma página de redirecionamento num sistema online comprometido pelos criminosos. Geralmente estes sistemas são sistemas legítimos com vulnerabilidades conhecidas e explorados in-the-wild pelos criminosos. O objetivo é direcionar a vítima para o domínio malicioso, adquirido durante a madrugada do dia em que a campanha é despoletada, e onde é apresentada a landing-page inicial da campanha fraudulenta.

Redirector: hxxps://thebbps.]com/wp-content/plugins/lerSMS.php
Landing-page final: https://novobanco.]mobi/appxxx/?hash=xxxx

 

Como observado abaixo, as landing-pages atualmente, seja qual for a campanha de phishing relativa à banca, apresentam um grau de design e interação com utilizador muito similar aos sistemas legítimos. Neste cenário em específico, é apresentada tanto uma versão móvel como desktop com um teclado virtual à semelhança da plataforma ebanking.

Figura 2: Versão móvel e desktop da landing-page maliciosa.

 

Analisando o código fonte da página, é possível validar que um ficheiro JavaScript denominado “ESColors.js” com algumas funções criptográficas utilizadas durante a renderização da página.

Figura 3: Ficheiro JavaScript utilizado durante a renderização da landing-page no navegador.

 

Ao intoduzir os detalhes solicitados pelos criminosos, N. adesão e PIN, estes são enviados para a página seguinte telemovel.php.

Figura 4: Detalhes enviados para o lado do servidor.

 

Em detalhe, são enviados para o lado do servidor os seguintes detalhes:

  • Cookie: NotCont – Variável que guarda o endereço de IP remoto da vítima. Este cookie garante que apenas um utilizador é comprometido por endereço de IP. Como resposta à dupla tentativa de acesso, é apresentada uma página 404.html.
  • SRV=00101 – Potencialmente algum parametro de rooting, indicando qual o servidor destino disponível para onde serão enviados os dados. Esse código deverá estar codificado nas landing-pages.
  • selo: um parâmetro arbitrário.
  • ad: um parâmetro arbitrário.
  • adesao: N. de adesão da vítima.
  • AvisaBrowser=true – parâmetro boolean (true e false).
  • pin: número PIN da vítima.
  • nx: não definido.

 

Figura 5: Formulário da página telemovel.php.

 

Aqui, são solicitados outros detalhes à vítima, incluindo:

  • N. de Contribuinte (NIF)
  • N. de cidadão
  • Data de nascimento; e
  • N. de telemóvel.

 

Ao analisar os recursos disponíveis nesta página telemovel.php, é possível identificar que este phishkit foi especialmente desenhado para o NovoBanco. A prova disso é o nome dos ficheiros incluídos, por exemplo: nb.preload.min.js, nb.stats-ext.min.js e v7.nb.min.js.

 

Figura 5: Ficheiros Javascript com as iniciais do banco, confirmando que o phishkit foi especialmente desenhado para o banco não sendo, assim,  um template genérico. Este indicador tenta também aumentar a credibilidade do sistema malicioso.

 

Interessante notar que os dados das landing-page anteriores são sempre guardados nas novas páginas PHP em campos escondidos – potencialmente para serem enviados ou guardados no servidor no final da cadeia maliciosa.

Figura 6: Detalhes da vítima guardados em campos escondidos ao longo da cadeia maliciosa.

 

Em seguida, são solicitadas fotografias do cartão matriz e do cartão de debito à vítima. Esses ficheiros são depois guardados no lado do servidor ou enviados para o email dos criminosos.

Figura 7: Página responsáveis por recolher fotografias no formato JPEG e PNG do cartão matriz e cartão de débito.

 

No final, os dados são enviados para o lado dos criminosos como apresentado na Figura 8 abaixo.

Figura 8: Detalhes da vítima enviados para o lado dos criminosos.

 

No final de completar todas as etapas, é apresentada a seguinte mensagem à vítima.

 

Mensagem para os utilizadores em geral

Em suma, detalhes com esta sensibilidade nunca serão solicitados pela sua entidade bancária, muito menos fotografias do cartão matriz e cartão de débito/credito através de uma página na Internet.

Sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

hxxps://bitly.[com/33dMoaS
hxxps://thebbps.]com/wp-content/plugins/lerSMS.php
hxxps://novobanco.]mobi/appxxx/sucesso.php?hash=xxx

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *