Fraude: Nova campanha personificando o Novo Banco em curso em Portugal.

Foi detetada uma nova campanha de phishing a circular em Portugal desta vez personificando o Novo Banco.

Inicialmente, é endereçado às vítimas uma short URL do bit[.]ly, que leva aos utilizadores a um website WordPress comprometido pelos malfeitores, e que por sua vez, conduz a vítima até à landing-page. Na página principal da campanha é solicitado à vítima que introduza o número de adesão de acesso à aplicação homebanking.

 

Prosseguindo, o detalhe inserido é então enviado via métido POST para a página seguinte: 2.php. Como é possível observar abaixo, o conteúdo do número de adesão é enviado através do parâmetro: nadesao.

A próxima página solicita à vítima o PIN de acesso com a mensagem destacada: “Por Favor, introduza o seu PIN.”

 

Através do código fonte de página é possível encontrar a tag language do HTML, com o valor “pt-BR“. Este indicador poderá aqui desvendar a origem geográfica da campanha.

<!DOCTYPE html>
<html lang="pt-BR">
<head>

 

 

O conteúdo do PIN é enviado para a página seguinte (3.php) através do parâmetro npin como destacado na imagem a seguir.

 

Finalmente é solicitado o número de telefone à vitima.

 

O valor do telefone é enviado através do último parâmetro denominado: telm.

 

Para fechar o ciclo, a vítima é direcionada para a página legítima do banco como apresentado na imagem acima através do header “Location:“.

Adicionalmente, o servidor onde a campanha está hospedada é um shared-host geolocalizado na Russia. O servidor tem sido flagado nos últimos meses e utilizado para disseminar campanhas maliciosas de phishing e malware in-the-wild.

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de  IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

http://www.bit.]ly/32FP5BY 
https://mwhs-eu.]net/wp-admin/rHl3k00cqZN.php?k234k432mlk424jk3n32jk2n4jh4b23hj4hg3v21
http://s302583.]smrtp.]ru/nrJ3qu1pahBTzEdEn2s6t5CMAumXLl30SDtAzkqOHri7wCBa4uWo/App029331c/
IP: 188.127.225.2 - Russia

 

 


3 Replies to “Fraude: Nova campanha personificando o Novo Banco em curso em Portugal

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *