Foi detetada uma nova campanha de phishing a circular em Portugal desta vez personificando o Novo Banco.
Inicialmente, é endereçado às vítimas uma short URL do bit[.]ly, que leva aos utilizadores a um website WordPress comprometido pelos malfeitores, e que por sua vez, conduz a vítima até à landing-page. Na página principal da campanha é solicitado à vítima que introduza o número de adesão de acesso à aplicação homebanking.
Prosseguindo, o detalhe inserido é então enviado via métido POST para a página seguinte: 2.php. Como é possível observar abaixo, o conteúdo do número de adesão é enviado através do parâmetro: nadesao.
A próxima página solicita à vítima o PIN de acesso com a mensagem destacada: “Por Favor, introduza o seu PIN.”
Através do código fonte de página é possível encontrar a tag language do HTML, com o valor “pt-BR“. Este indicador poderá aqui desvendar a origem geográfica da campanha.
<!DOCTYPE html> <html lang="pt-BR"> <head>
O conteúdo do PIN é enviado para a página seguinte (3.php) através do parâmetro npin como destacado na imagem a seguir.
Finalmente é solicitado o número de telefone à vitima.
O valor do telefone é enviado através do último parâmetro denominado: telm.
Para fechar o ciclo, a vítima é direcionada para a página legítima do banco como apresentado na imagem acima através do header “Location:“.
Adicionalmente, o servidor onde a campanha está hospedada é um shared-host geolocalizado na Russia. O servidor tem sido flagado nos últimos meses e utilizado para disseminar campanhas maliciosas de phishing e malware in-the-wild.
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
http://www.bit.]ly/32FP5BY https://mwhs-eu.]net/wp-admin/rHl3k00cqZN.php?k234k432mlk424jk3n32jk2n4jh4b23hj4hg3v21 http://s302583.]smrtp.]ru/nrJ3qu1pahBTzEdEn2s6t5CMAumXLl30SDtAzkqOHri7wCBa4uWo/App029331c/ IP: 188.127.225.2 - Russia
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.