Desde a madrugada do dia 09 de setembro de 2020 que os utilizadores estão a receber mensagens fraudulentas em nome do Novo Banco. Este vetor de ataque utliizado pelo criminosos (smishing), tenta iludir a vítima com as seguintes mensagens:
Mensagem enviada entre as 3 e 5 da madrugada:
NOVOBANCO: Seus canais digitais foram desactivados. Para ativar sua adesao aceda em: [URL-maliciosa do bit.ly].
Mensagem enviada de seguida – entre as 5 e 6 da madrugada:
NOVOBANCO: O seu N. de Adesao e PIN foram desactivados. Para activar agora aceda em:[URL-maliciosa do bit.ly].
Figura 1: Mensagem fraudulenta enviada para os dispositivos móveis das vítimas (smishing).
Inicialmente a URL do bit.ly conduz a vítima para uma página de redirecionamento num sistema online comprometido pelos criminosos. Geralmente estes sistemas são sistemas legítimos com vulnerabilidades conhecidas e explorados in-the-wild pelos criminosos. O objetivo é direcionar a vítima para o domínio malicioso, adquirido durante a madrugada do dia em que a campanha é despoletada, e onde é apresentada a landing-page inicial da campanha fraudulenta.
Redirector: hxxps://thebbps.]com/wp-content/plugins/lerSMS.php Landing-page final: https://novobanco.]mobi/appxxx/?hash=xxxx
Como observado abaixo, as landing-pages atualmente, seja qual for a campanha de phishing relativa à banca, apresentam um grau de design e interação com utilizador muito similar aos sistemas legítimos. Neste cenário em específico, é apresentada tanto uma versão móvel como desktop com um teclado virtual à semelhança da plataforma ebanking.
Figura 2: Versão móvel e desktop da landing-page maliciosa.
Analisando o código fonte da página, é possível validar que um ficheiro JavaScript denominado “ESColors.js” com algumas funções criptográficas utilizadas durante a renderização da página.
Figura 3: Ficheiro JavaScript utilizado durante a renderização da landing-page no navegador.
Ao intoduzir os detalhes solicitados pelos criminosos, N. adesão e PIN, estes são enviados para a página seguinte telemovel.php.
Figura 4: Detalhes enviados para o lado do servidor.
Em detalhe, são enviados para o lado do servidor os seguintes detalhes:
- Cookie: NotCont – Variável que guarda o endereço de IP remoto da vítima. Este cookie garante que apenas um utilizador é comprometido por endereço de IP. Como resposta à dupla tentativa de acesso, é apresentada uma página 404.html.
- SRV=00101 – Potencialmente algum parametro de rooting, indicando qual o servidor destino disponível para onde serão enviados os dados. Esse código deverá estar codificado nas landing-pages.
- selo: um parâmetro arbitrário.
- ad: um parâmetro arbitrário.
- adesao: N. de adesão da vítima.
- AvisaBrowser=true – parâmetro boolean (true e false).
- pin: número PIN da vítima.
- nx: não definido.
Figura 5: Formulário da página telemovel.php.
Aqui, são solicitados outros detalhes à vítima, incluindo:
- N. de Contribuinte (NIF)
- N. de cidadão
- Data de nascimento; e
- N. de telemóvel.
Ao analisar os recursos disponíveis nesta página telemovel.php, é possível identificar que este phishkit foi especialmente desenhado para o NovoBanco. A prova disso é o nome dos ficheiros incluídos, por exemplo: nb.preload.min.js, nb.stats-ext.min.js e v7.nb.min.js.
Figura 5: Ficheiros Javascript com as iniciais do banco, confirmando que o phishkit foi especialmente desenhado para o banco não sendo, assim, um template genérico. Este indicador tenta também aumentar a credibilidade do sistema malicioso.
Interessante notar que os dados das landing-page anteriores são sempre guardados nas novas páginas PHP em campos escondidos – potencialmente para serem enviados ou guardados no servidor no final da cadeia maliciosa.
Figura 6: Detalhes da vítima guardados em campos escondidos ao longo da cadeia maliciosa.
Em seguida, são solicitadas fotografias do cartão matriz e do cartão de debito à vítima. Esses ficheiros são depois guardados no lado do servidor ou enviados para o email dos criminosos.
Figura 7: Página responsáveis por recolher fotografias no formato JPEG e PNG do cartão matriz e cartão de débito.
No final, os dados são enviados para o lado dos criminosos como apresentado na Figura 8 abaixo.
Figura 8: Detalhes da vítima enviados para o lado dos criminosos.
No final de completar todas as etapas, é apresentada a seguinte mensagem à vítima.
Mensagem para os utilizadores em geral
Em suma, detalhes com esta sensibilidade nunca serão solicitados pela sua entidade bancária, muito menos fotografias do cartão matriz e cartão de débito/credito através de uma página na Internet.
Sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
hxxps://bitly.[com/33dMoaS hxxps://thebbps.]com/wp-content/plugins/lerSMS.php hxxps://novobanco.]mobi/appxxx/sucesso.php?hash=xxx