Phishing bancário em andamento em Portugal e tirando partido de falhas conhecidas como open-redirect em portais de sistemas legítimos do Google para evitar a sua deteção.

Se acha que o modus operandi de phishing bancário em Portugal se mantém sem atualização por parte dos criminosos, pois está ligeiramente errado.

Desde o final de domingo, dia 13 de junho de 2021, que uma nova vaga de phishing personificando a entidade MillenniumBCP está a ser disseminada via email pelos criminosos. Esta recente campanha tira partido de uma cadeia de redirecionamentos em sistemas legítimos do Google para evitar a deteção do website malicioso por parte de sistemas de monitorização de rede, firewalls, SIEMs, e até mesmo sistemas de deteção de malware como antivírus e EDRs.

A Figura 1 abaixo exibe o template de email disseminado pelos criminosos nos últimos dias, com uma mensagem sobre a atualização de alguns dados, inclusive o seu número de telefone. No corpo do email está presente a mensagem “Precisamos que você confirme algumas informações, para ficar por dentro das novidades e deixar sua conta mais segura“.

Figura 1: Template de email malicioso personificando a organização MillenniumBCP.

O vetor para a disseminação deste tipo de campanhas é uma vez mais o phishing – alavancado através de uma técnica bem conhecida: email-spoofing. Este é um problema ainda de difícil resolução por parte das organizações, e que depende sempre de uma validação meticulosa por parte do servidor de receção de emails, verificando por exemplo alguns detalhes incluindo: SPF, DMARC, Secure Email Gateway, DKIM e S/MIME. Ou seja, o ónus está sempre do lado de quem recebe o email, e nunca do lado do emissor.

Em seguida é apresentado o prefixo utilizado pelos criminosos associado ao domínio da organização.

centroatencaoaocliente21461341@millenniumbcp.]pt

Saltitando sobre os sistemas legítimos do Google

Ao clicar sobre a hiperligação disponibilizada no corpo do email malicioso, a vítima é conduzida até a um mecanismo de redirecionamento implantado num website comprometido que depois direciona a vítima para a landing-page final (num outro domínio).

Este é um comportamento que tem sido observado nos últimos meses e é utilizado tanto para a distribuição de campanhas de phishing como de malware em Portugal. No entanto, é interessante notar que para construir esse mecanismo de redirecionamento, os criminosos tiram partido de falhas conhecidas como open-redirect em serviços legítimos até chegarem à URL maliciosa pretendida.

Figura 2: Falhas open-redirect utilizadas pelos criminosos para a disseminação de phishing bancário em Portugal.

Com esta cadeia maliciosa em operação, este tipo de abordagem mostra-se eficaz quando analisada por sistemas de monitorização de ameaças, uma vez que são utilizados serviços legítimos do Google para efetuar os saltos entre portais até chegar ao domínio alvo, onde está alojado um redirecionador que direciona a vítima para a landing-page final num domínio específico sob a operação dos criminosos.

Os sistemas que albergam o redirecionador são geralmente websites legítimos que os criminosos comprometem para seu próprio usufruto. Por exemplo, utilizam uma vulnerabilidade conhecida num componente do website, ou até mesmo fazendo uso de ataques de password-stuffing, para acederem ao website e obterem uma condição de execução remota de código.

Para esse efeito, é comum encontrar ficheiros php.ini criados pelos criminosos e que permitem emitir novas configurações ao servidor web PHP em tempo de execução. Com isso, os criminosos conseguem p.ex., executar código através de chamadas shell_exec(), e ainda desabilitar validações de segurança.

safe_mode = Off
disable_functions = NONE
safe_mode_gid = OFF
open_basedir = OFF
exec = ON 
shell_exec = ON

Quando o pedido HTTP da vítima é analisado pelo verificador, e também pela landing-page final, é testado se o endereço de IP da vítima se encontra numa blacklist previamente atualizada pelos criminosos e também se o browser-agent está dentro dos alvos aceites pelo sistema malicioso.

Figura 3: Black-list de endereços de IP não aceites pelos esquemas de phishing bancário em Portugal.

Finalmente, validadas todas essas restrições, a landing-page final é apresentada à vítima.

Figura 4: Landing-page maliciosa personificando o sistema legítimo do banco.

Como pode ser observado, o sistema malicioso está a correr sobre HTTPs, e como habitual, os criminosos emitiram um certificado na CA Let’s Encrypt para o domínio falso.

Figura 5: Certificado malicioso emitido através da CA Let’s Encrypt.

Em destaque é possível verificar a data de criação do certificado, 13 de junho de 2021, que coincide com a data da disseminação da campanha e também data/hora em que os ficheiros maliciosos da landing-page foram carregados para o servidor controlado pelos criminosos (ver abaixo).

Figura 6: Parte dos ficheiros de suporte à landing-page maliciosa.

Ofuscação para evitar deteção

De forma a aumentar a longevidade da ameaça, o código fonte das landing-pages é codificado em JavaScript. Realizado a decodificação do HTML, é possível visualizar o código bem formatado para uma melhor compreensão.

Figura 7: Código fonte das landing-pages codificado via JavaScript.

Outras rotinas que permitem o funcionamento da campanha maliciosa extraídas do website malicioso são também visíveis na Figura 8 abaixo.

Figura 8: Código extraído do sistema malicioso.

Em seguida, são apresentadas um conjunto de páginas maliciosas com o intuito de recolher dados sensíveis da vítima para acesso posterior ao portal legítimo do banco – tal como já observado em campanhas passadas desta natureza.

Figura 9: Páginas maliciosas apresentadas durante o processo malicioso de recolha de dados da vítima.

Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza. Sugere-se mais uma vez alguma sensibilidade e análise a este tipo de situações.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

Indicadores de Compromisso (IOCs)

https://www.padstow-lifeboat.]org.uk/wp-content/--/https:/ind.millenniumbcp.]pt/[email protected]
http://8736-bcp.]com 
https://millennium.8736-bcp.]com/site/log.php

0xSI_f33d submission: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2384

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.