Uma nova campanha fraudulenta personificando a marca Continente está a ser disseminada em Portugal poucos dias antes do final do mês de agosto de 2021. Os malfeitores utilizam uma landing page totalmente responsiva a dispositivos móveis com uma mensagem referente à comemoração dos 40º aniversário da marca Continente.
A Figura 1 abaixo apresenta a landing-page da campanha capturada no dia 26 de agosto de 2021.
Figura 1: Landing page da campanha maliciosa personificando a marca Continente (26-08-2021).
Os malfeitores deixam uma mensagem principal como isco e escrita em bom português:
De forma a estabelecer um traço de legitimidade, são deixados também comentários falsos de maneira a motivar a vítima a prosseguir com o processo de recolha de dados.
Seguidamente, são apresentadas 4 questões à vítima, mas o seu conteúdo parece não ser capturada pela página; no fundo faz parte do chamariz do esquema.
Figura 2: Questões entregues à vítima pelos malfeitores de forma a tornar o esquema o mais real possível.
Pode observar-se que nesta fase já são identificáveis traços de uma gramática e escrita de origem brasileira. Após concluir esta etapa, é apresentado um ecrã indicando que a vítima ganhou um vale de compras em cartão no total de 800 euros.
No entanto, para prosseguir, a vítima terá que “compartilhar com 5 grupos / 20 amigos” a campanha maliciosa através da sua aplicação WhatsApp instalada no smartphone.
A cada clique no botão “WhatsApp“, é enviado um pedido através da aplicação WhatsApp com a URL da campanha como apresentado abaixo.
“whatsapp://send?text=https://URL”
Figura 3: Disseminação da campanha maliciosa através do WhatsApp.
Após concluir a partilha um determinado número de vezes, o botão “Prosseguir” ficará ativo. Um trecho de código em JavaScript é responsável por incrementar o valor de uma variável denominada contador que compara o valor dessa variável com o limite de partilhas definido pelos malfeitores. Quando esse valor é atingido, o botão fica ativo no layout da aplicação.
Finalmente, a vítima é direcionada para a última página da campanha, a ponte com outras páginas maliciosas, onde é efetuada a recolha adicional de dados pessoais da vítima, cliques em anúncios, promoções, etc – uma forma de os malfeitores lucrarem efetivamente com esquemas desta natureza.
Figura 4: Última página da campanha maliciosa, e onde a vítima é direcionada para outras páginas onde é realizada a recolha de dados pessoais, ads, etc.
Curiosamente, esta não é uma campanha direcionada exclusivamente ao Continente e disseminada apenas em Portugal. Na Figura 5, podemos analisar que uma campanha com os mesmo traços está também em andamento, alojada no mesmo servidor, e utilizando o mesmo modus operandi.
Figura 5: Campanha maliciosa na língua inglesa disseminada pelos malfeitores.
Todas as URLs e IoCs referentes a esta campanha foram submetidas no 0xSI_f33d.
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.
Indicadores de Compromisso (IoCs)
hxxps://deviceviolin]top/continente/tb.php?_t=1629815531162981581497 hxxps://benignvan]xyz/Kpvn2uPU/continente/?_t=1630011784243#16300117 hxxps://weddingknock]top/continente/index.php hxxps://developmandate]top/continente/tb.php?_t=16298810331629881191 hxxps://fascinatingquick]top/continente/tb.php?_t=162970844616297091 hxxps://chickenempty]top/continente/ hxxps://daringdevelop]top/continente/tb.php?_t=162997318216299734416
Submissões no 0xSI_f33d
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2863
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2858
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2859
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2860
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2861
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2862
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2863
2 Replies to “Fraude personificando a marca Continente espalha-se através do WhatsApp: Não se deixe enganar!”