Nos últimos dias foi registada uma nova vaga de phishing a decorrer em Portugal utilizando um novo servidor command and control (C2) geolocalizado no Brasil. Segundo o que foi possível indagar através dos indicadores obtidos da análise, o phiskit utilizado pelo grupo de malfeitores sofreu pequenas alterações a nível de layout, mas o modus operandi mantém-se igual ao já escrutinado na análise: TAKING THE BAIT: THE MODUS OPERANDI OF MASSIVE SOCIAL ENGINEERING WAVES IMPACTING BANKS IN PORTUGAL.
Em suma, o grupo criminoso cria novos domínios com o endereço muito similar aos endereços reais das organizações alvo – uma técnica conhecida por domain typosquatting – e hospeda o phiskit front-end em diversos servidores que recebem e enviam a informação através de um modelo de orquestração para o seu servidor de comando e controlo (C2).
Durante o mês de fevereiro o grupo criminosos parece ter atualizado o esquema malicioso, adicionando algumas alterações a nível de layout de forma a solicitar informação adicional às vítimas, e o próprio C2 server foi agora migrado para um serviço a correr numa máquina Windows via IIS 10.0 server, ao contrário do anterior, que rodava num sistema Linux Ubuntu com Apache + MySQL.
Detalhes da cadeia de phishing
Como tem sido habitual, a campanha inicia-se com uma SMS maliciosa indicando à vítima para aceder ao URL fornecido de forma a evitar que a sua conta bancária seja bloqueada – uma farsa. De notar que o remetente da SMS assemelha-se a uma fonte potencialmente legítima – NOVOBANCO, porém muitos serviços pagos de SMS gateway permitem personalizar esse campo no protocolo de envio de mensagems.
Figura 1: SMS de phishing bancário em Portugal – março de 2022.
Após clicar na URL distribuída junto da SMS, a vítima é encaminhada para o phiskit front-end disponível num dos servidores preparados pelos malfeitores. Como apresentado na Figura 2, a landing-page é muito similar a nível gráfico à página de autenticação do sistema real.
Figura 2: Landing-page maliciosa personificando uma entidade da banca em Portugal – março 2022.
Como já escrutinado no artigo: TAKING THE BAIT: THE MODUS OPERANDI OF MASSIVE SOCIAL ENGINEERING WAVES IMPACTING BANKS IN PORTUGAL, este tipo de phishkit não usufrui de diferentes páginas e tipos de layout para captura de dados. Ao invés, uma página singular disponível em “site_malicioso_._/web/control.php” é utilizada para receber os formulários alvo, assim como para enviar para o orquestrador os detalhes das vítimas.
Como pode ser observado a seguir, quando os detalhes são introduzidos na landing-page, eles são enviados via uma função PHP para o orquestrador, e uma outra função com um time-sleeping aguarda a receção do próximo passo – uma operação manual realizada pelos operadores maliciosos no servidor de comando e controlo (C2).
Figura 3: Landing-page aguardando instruções (next-step) do C2 server.
Após o envio dos detalhes para o orquestrador (C2 server) como visível na Figura 4, o operador seleciona o próximo passo. Esse processo permite enviar de volta um pacote de código HTML + JavaScript + CSS + PHP para recolha de detalhes adicionais. Todo o processo é baseado nesse modus operandi.
Figura 4: Exemplo de pedido onde os detalhes da vítima são enviados para o servidor de comando e controlo (C2).
Figura 5: Landing-page seguinte apresentada à vitima – um novo template não observado em campanhas anteriores.
De realçar que esta recente campanha denota bastante impecabilidade por parte do grupo criminoso, por exemplo, na validade dos campos de texto e da informação introduzida das vítimas – também uma forma de evitar sistemas de spam ou sistemas automatizados de deteção de ciber-ameaças. Corroborar ainda que, estes trechos de código capazes de validar/sanitizar a informação introduzida nos diferentes formulários é enviado diretamente pelo orquestrador. A página “control.php” é somente uma página PHP capaz de renderizar a informação recebida do orquestrador.
Figura 6: Código JavaScript de validação/sanitização da landing-page referente ao cartão de débito.
Sempre que a vítima submete os dados nos diferentes formulários, o operador necessita decidir qual o próximo passo. Esse passo tem sempre uma depêndencia ao sistema legítimo, uma vez que o malfeitor, em segundo plano, está a realizar a operação no sistema real, simulando, este, ser a vítima no acesso ao portal homebanking.
Figura 7: Landing-page utilizada como elemento de sleeping entre comunicação phishkit – C2 server.
O orquestrador (C2) desta nova campanha foi alterado desde o último ano. O C2 mantém-se geolocalizado no Brasil, mas num diferente ISP. Algumas informação relativas ao servidor abaixo.
Figura 8: Detalhes do orquestrador (C2 server).
200.9.18.210 HTTP NTLM Info: OS: Windows 10/Windows Server 2019 OS Build: 10.0.17763 Target Name: ALGOSOFT NetBIOS Domain Name: ALGOSOFT NetBIOS Computer Name: WIN-PA1466OPKEV DNS Domain Name: algosoft.com.br DNS Tree Name: algosoft.com.br FQDN: WIN-PA1466OPKEV.algosoft.com.br
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza. Quanto às organizações alvo neste tipo de investidas, sugere-se também algum controlo no tipo de acessos às contas dos utilizadores, nomeadamente através:
- Controlo de acesso por endereço de IP; temos observado que alguns grupos criminosos realizam os acessos através de endereços de IP geo-localizados no Brasil, e em alguns casos, sem VPN e através dos endereços de IP residenciais de forma a evitar firewalls.
- criação de honey-accounts, de forma a que os criminosos pensem estar a realizar a operação maliciosa numa conta legítima. Ao mesmo tempo este tipo de abordagem permite capturar indicadores do grupo malicioso, incluindo a sua geolocalização, tipo de dispositivo de acesso etc.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.