Foi detetada uma nova campanha de phishing a circular em Portugal desta vez personificando o Novo Banco.
Inicialmente, é endereçado às vítimas uma short URL do bit[.]ly, que leva aos utilizadores a um website WordPress comprometido pelos malfeitores, e que por sua vez, conduz a vítima até à landing-page. Na página principal da campanha é solicitado à vítima que introduza o número de adesão de acesso à aplicação homebanking.
Prosseguindo, o detalhe inserido é então enviado via métido POST para a página seguinte: 2.php. Como é possível observar abaixo, o conteúdo do número de adesão é enviado através do parâmetro: nadesao.
A próxima página solicita à vítima o PIN de acesso com a mensagem destacada: “Por Favor, introduza o seu PIN.”
Através do código fonte de página é possível encontrar a tag language do HTML, com o valor “pt-BR“. Este indicador poderá aqui desvendar a origem geográfica da campanha.
<!DOCTYPE html> <html lang="pt-BR"> <head>
O conteúdo do PIN é enviado para a página seguinte (3.php) através do parâmetro npin como destacado na imagem a seguir.
Finalmente é solicitado o número de telefone à vitima.
O valor do telefone é enviado através do último parâmetro denominado: telm.
Para fechar o ciclo, a vítima é direcionada para a página legítima do banco como apresentado na imagem acima através do header “Location:“.
Adicionalmente, o servidor onde a campanha está hospedada é um shared-host geolocalizado na Russia. O servidor tem sido flagado nos últimos meses e utilizado para disseminar campanhas maliciosas de phishing e malware in-the-wild.
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
http://www.bit.]ly/32FP5BY https://mwhs-eu.]net/wp-admin/rHl3k00cqZN.php?k234k432mlk424jk3n32jk2n4jh4b23hj4hg3v21 http://s302583.]smrtp.]ru/nrJ3qu1pahBTzEdEn2s6t5CMAumXLl30SDtAzkqOHri7wCBa4uWo/App029331c/ IP: 188.127.225.2 - Russia
3 Replies to “Fraude: Nova campanha personificando o Novo Banco em curso em Portugal”