Fraude personificando o MBWAY em curso.

Desde as últimas horas que tem sido identificada uma campanha de phishing personificando o serviço de pagamentos online – MB WAY.

A campanha tem sido disseminada via email e SMS (smishing) e atingindo um número de utilizadores Portugueses ainda não conhecido. A campanha foi criada pelos criminosos no dia 17 de agosto de 2020 pelas 17:44 PM.

 

Phishing email: 21-09-2020:

Image

 

A landing-page da campanha é totalmente responsiva e por isso adapta-se ao dispositivo alvo da vítima, seja ela um smartphone ou um computador.

 

Landing-page responsiva – versão móvel

 

Landing-page responsiva – versão desktop

 

Em detalhe, todas as páginas da campanha carregam um ficheiro JavaScript (style.js) responsável por efetuar algumas operações ao nível do funcionamento da campanha.

 

No cabeçalho desse ficheiro e possível identificar o autor do PhishKit utilizado nesta campanha.

 

/*==========================================================================
* +-+-+-+-+-+-+-+-+-+-+ Author Name      : ZÉROFAUTES
* |Z|É|R|O|F|A|U|T|E|S| Author E-Mail    : [email protected]
* +-+-+-+-+-+-+-+-+-+-+ Template Version : V.1.1
===========================================================================*/

 

Certamente, este indicador diz apenas respeito ao criador do PhishKit sob análise. Na seguinte listagem podem ser consultados emails associados a Phishkits observados nos últimos tempos, e o “Author Name” aqui destacado encontra-se nessa lista (referência ProofPoint).

[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected][.]com
[email protected][.]com”

 

Mensagens ofuscadas no código-fonte

No código fonte da campanha, pode ser validado que todas as mensagens estão ofuscadas, mas são apresentadas na forma readable pelo navegador. Em detalhe, a ofuscação das mensagens é feita através da fonte: Web Open Font Format, uma forma de manter as campanhas de phishing ativas por um maior período de tempo e evitar a sua deteção. Esta técnica tem sido utilizada in-the-wild por outros grupos de ameça, e tem tem sido observada em várias campanhas desta natureza nos últimos meses.

A landing-page utiliza uma fonte customizada que faz com que o navegador renderize as mensagens codificadas (ciphertext) em plain-text. Como a Web Open Font Format (WOFF) espera receber  texto no formato standard – o alfabeto conhecido – ela faz a substituição on-the-fly dos carateres do dicionário.

Como vísivel na imagem acima, o ficheiro WOFF2 referente à fonte está códificado inline numa string base64 decoded em tempo de execução. O interessante nesta técnica é que o texto original nunca existe na landing-page, mas é desofuscado quando a página é carregada e interpretada pelo navegador. Dessa forma, a sua deteção é mais demorada, e um sistema automatizado e baseado em rankings está sujeito a falhas quando confrontados com cenários deste tipo.

 

 

Detalhe sensíveis recolhidos na campanha

Como pode ser observado nos seguintes ecrãs, detalhes das vítimas são recolhidos pelos criminosos, incluindo:

  • Detalhes do cartão de crédito
  • Número de telefone da vítima
  • SMS code – depois utilizado para fazer a gestão da conta MB Way; e também valida a autenticidade da operação.

 

 

De notar que este tipo de campanhas têm sido muito utilizadas por grupos hacktivistas em Portugal para persuadir a vítima, e fazer com que esta forneça detalhes sensíveis. Outro detalhe que deve ter em atenção são pedidos de pagamente recebidos na sua conta MB WAY. Se não realizou qualquer compra no no preciso momento em que recebeu o pedido, então é fraude.

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de  IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

Short URL: https://bit.]ly/2DZh4Eg

Landing page:
http://twackbeetroots.]net
http://twackbeetroots.]net/MB-multibanco.service/login.php 

ZÉROFAUTES - [email protected]