Reading Time: 8 minutes

Scam de origem polaca vendendo ações da criptomeda TRON atinge cidadãos portugueses — relato na primeira pessoa.

Scams são uma constante nestes dias. Desde o inicio de setembro tem sido notado na Polónia um novo tipo de scam baseado na criptomeda TRON. Depois das vítimas preencherem um formulário de adesão ao serviço é enviado pelo correio o contrato por um estafeta malicioso (o scammer) onde é também recolhido o dinheiro investido pela vítima no golpe malicioso.

Um dos casos recentes, e ainda pouco conhecido internacionalmente, foi o de uma senhora na Polónia, que ao que parece perdeu cerca de 30.000 PLN nesta campanha maliciosa (cerca de 6,986.11 euros), segundo uma fonte polaca.

 

Entretanto em Portugal

Em Portugal foi registado ontem, 19 de setembro 2018, o primeiro caso relacionado com o scam (ou pelo menos o primeiro caso conhecido desta campanha).

O cenário descrito abaixo foi-nos relatado por uma fonte anónima e vítima deste golpe malicioso. As vítimas são simplesmente atraídas a investir na criptomoeda TRON de forma obterem um retorno efetivo e ganharem muito dinheiro em pouco tempo e com um baixíssimo investimento.

No website fraudulento, os scammers dizem o seguinte:

 “Amanhã obterá 50 €, daqui a 3 dias 250 € e daqui a 7 dias até mesmo 2500 €”

 

O endereço do website malicioso é o seguinte: https://invest-future.eu/351/tntxbv2/.

Figura 1: Mensagem inicial apresentada no website.

 

Ao navegar no website, a vítima pode ler alguns textos “isca” e testemunhos carregados de emoção de forma a aliciarem e captarem novas vítimas.

Quando começaram não tinham poupanças e muitas vezes não tinham dinheiro para pagar as contas. Hoje, podem viver como lhes apetece e sem preocupações. Podem ter as férias que querem, comprar carro novo, sair de casa dos pais e comprar todas as coisas boas a que tinham antes de renunciar. Os seus testemunhos foram sempre carregados de emoção.

 

2

Figura 2: Testemunhos falsos.

 

As vítimas são de tal forma bombardeadas com informação que quase parece um produto real. Um exemplo disso são as mensagens instantâneas que são apresentadas no fundo da tela do lado direito, que apresentam informação relativa a novas compras, nº de pessoas atualmente ligadas ao website, etc.

3

Figura 3: Exemplo de mensagem instantânea.

 

De acordo com o que a vítima partilhou com o blog seguranca-informatica.pt “quando navegava no website  noticiasaominuto.com foi-me apresentado um ads do scam. Eu cliquei, segui o processo, e perdi o meu dinheiro“.

Depois de concretizar a encomenda do produto via o formulário apresentado no website, a vítima foi informada que a encomenda estava em processamento. Na sexta-feira, por volta das 14:30h, “não existiram telefonemas — tocaram-me à campainha, e um fulano fazendo-se passar por estafeta dos CTT entregava-me um envelope selado dos CTT “.

O scammer entregou um envople selado e falso, com documentos que serviriam como prova da celebração de contrato, e no momento do pagamento disse à vitima que o terminal de pagamento multibanco estava com uma anomalia, e o que o pagamento teria de ser efetuado em dinheiro. A vítima entregou cerca de 1000 euros ao criminoso.

 

Timeline do Scam

– Enquanto a vítima navegava no website noticiasaominuto.com apareceram na aba lateral do website um ads que o conduziu até ao website fraudulento.

– A vítima ao ler a informação descrita no website fraudulento e os testemunhos falsos de outras pessoas, pensou que esta seria uma oportunidade de negócio e ganhar dinheiro (caiu no esquema).

– A vítima preencheu o formulário com os seus dados pessoais e o montante que desejava contratar.

– Um fulano não identificável passou na morada da vítima, com um automóvel também não identificável e personificando um estafeta dos CTT, e entregou um envelope selado com documentação ilícita – o suposto contrato do serviço.

– O scammer indicou que o terminal multibanco tinha uma anomalia e que o pagamento teria de ser efetuado com dinheiro.

– A vítima pagou cerca de 1000 euros.

– O scammer fez saber que iriam contactar a vítima relativamente aos próximos passos.

– A viatura não foi identificada e a vítima não foi contactada.

 

O golpe ocorreu na sexta-feira, por volta das 14:30h.

A vítima efetuou uma denuncia junto da Polícia Judiciária. De acordo com o que a vítima nos contou, foi-lhe informado que “de momento, não havia nada de ilegal neste caso, uma vez que ele adquiriu um serviço e o estafeta cobrou o serviço” — provavelmente as autoridades não estariam a par do caso e pensariam que estavam perante a cobrança de um serviço lícito.

Pelo que foi analisado, este esquema trata-se de um scam com origem polaca.

As autoridades portuguesas já foram informadas sobre a ocorrência.

 

Detalhes sobre o Scam

O endereço do website ainda não se encontra registado em blacklists internacionais de abuso, nem no serviço VirusTotal.

virus-total-TRON

Figura 4: Análise da campanha maliciosa – VirusTotal.

 

O domínio malicioso tem associado o endereço de IP 87.98.244.198, localizado num datacenter na Alemanha, perto de Berlim.

berlim

Figura 5: Localização da máquina que hospeda o website malicioso.

 

Ao analisar o DNS do domínio, é possível validar que estão agulhados dois registos do tipo A. O segundo endereço de IP também está hospedado no mesmo datacenter.

;; ANSWER SECTION:
invest-future.eu.	30	IN	A	87.98.244.198
invest-future.eu.	30	IN	A	87.98.246.61

 

Os endereços de IP apresentam ser de uma organização francesa que disponibiliza serviços de Internet e Cloud, alojamentos, VPS, etc  (OVH GmbH).

Os dois endereços de IP ainda não foram flagged em qualquer blacklist de abusing.

5

Figura 6: Os endereços de IP não foram flagged em abuse lists.

 

Segundo o que conseguimos analisar, existem atualmente 76 domínios nas mãos dos criminosos a apontar para estes servidores com clones do website da campanha de scam.

Domain	Last Resolved Date
ahkezarabapeniaze.com	2018-09-18
banipentrutine.info	2018-09-18
best-market.net	2018-09-17
cashinvestore.com	2018-09-18
cashtv24.com	2018-09-18
cryptocurrency-world.eu	2018-09-18
csstigusordebani.com	2018-09-18
dinero-del-futuro.com	2018-09-18
e-cointime.com	2018-09-18
e-currencyforyou.com	2018-08-01
e-currencymagazine.com	2018-09-18
e-currencynews.com	2018-08-01
earning-magazine.com	2018-07-20
earning-world.com	2018-09-18
enkeltepengertjener.com	2018-09-18
enklapengartjana.com	2018-09-18
extra-salary.com	2018-07-20
facilganardinero.com	2018-09-18
fast-money-earning.com	2018-09-18
fast-salary.com	2018-09-18
financesknowledge.com	2018-08-31
future-in-e-currencies.com	2018-08-01
gagnerdelargentfacile.eu	2018-09-18
guadagni-facili.com	2018-09-18
helpporahaaansaita.com	2018-09-18
informace-pro-investora.com	2018-08-29
investice-budoucnosti.com	2018-09-12
investicni-skoleni.com	2018-09-12
investicnicasopis.com	2018-08-01
investimenti-del-futuro.com	2018-09-18
investment-guide.info	2018-09-18
investment-rules.com	2018-09-05
investovat-s-nami.com	2018-08-01
konnyupenztkeres.com	2018-09-18
leichtesgeldverdienen.com	2018-09-18
libre-coin.biz	2018-09-15
libre-coin.com	2018-09-18
libre-coin.eu	2018-09-18
libre-coin.org	2018-09-15
librecoin.com.pl	2018-09-14
librecoin.pl	2018-09-14
magazine-for-investors.com	2018-08-01
money-of-future.com	2018-09-18
money-to-money.com	2018-09-18
moneyforyou.net	2018-09-17
moneymagazine.co	2018-05-19
nemmepengetjener.com	2018-09-18
novy-vyrobce-penez.com	2018-09-18
onlineinvestice.com	2018-09-12
orderconfirmations24.com	2018-09-18
orderconfirmations4you.com	2018-09-18
penizeprovas.info	2018-09-18
penzneked.info	2018-09-18
pieniadze-przyszlosci.com	2018-09-18
pruvodceinvestorem.com	2018-08-01
rahaasinulle.info	2018-09-18
rivistadisoldi.com	2018-09-18
rychle-vydelavani.com	2018-08-01
sms2gays.com	2014-07-05
soldi-del-futuro.com	2018-09-18
supereasymoney.eu	2018-09-18
superhelpporahaa.biz	2018-09-15
superjednoduchepenize.biz	2018-09-15
superusordebani.biz	2018-09-15
swissinvests.com	2018-09-18
szuperkonnyupenz.biz	2018-09-15
theglobenews24.com	2018-09-18
time-for-money.com	2018-09-18
vydelavejte-s-nami.com	2018-08-29
vynasobtepenize.com	2018-09-12
world-currency-news.com	2018-09-18
world-of-currencies.com	2018-09-18
world-of-earnings.com	2018-09-05
world-of-money.eu	2018-09-18
yourmoneyonline.info	2018-09-18
yourquickmoney.eu	2018-09-18

 

O outro endereço de IP presente no DNS (87.98.246.61), consegue resolver  84 domínios maliciosos, mais 8 que o anterior.

O website  detém um certificado SSL obtido via Let’s Encrypt, uma CA que não tem custos e que tem sido usada para ataques in-the-wild.

8

Figura 7: Certificado SSL do website malicioso obtido via Let’s Encript.

 

Acedendo ao código-fonte da página maliciosa, é possivel validar que as mensagens instantâneas apresentadas à vitima não são dados geradas em tempo real e são geradas por funções Javascript.

<script type="text/javascript">
    <!--
    function dtime(d,type)
    {
        var dayNames;

        if(type==1)
            dayNames=new Array("domingo", "segunda-feira", "terça-feira", "quarta-feira", "quinta-feira", "sexta-feira", "sábado");
        else
            dayNames=new Array ("até domingo", "até segunda-feira", "até terça-feira", "até quarta-feira", "até quinta-feira", "até sexta-feira", "até sábado");

        var now = new Date();
        var month=now.getMonth()+1;
        now.setDate(now.getDate() + d + 1);
        document.write(dayNames[now.getDay()]+' '+now.getDate()+"."+month+"."+now.getFullYear());
    }
    //-->

    // 1.	Ostatni zakup nastąpił 7 minut temu; Lokalizacja: Warszawa
    // 2.	Ostatni zakup nastąpił 3 minuty temu przez panią Anię z Katowic
    // 3.	38 osób z Twojej okolicy dokonało zakupu w ciągu ostatnich 15 minut
    // 4.	W tym momencie na stronie jest 275 użytkowników
    // 5.	Ten suplement został oceniony 9,5/10 przez naszych klientów -> przy najechaniu na kup teraz
    // 6.	W artykule pojawia się dymek z treścią: Diana XXX napisała: „kupiłabym, ale nie mam kasy, może pożyczę od koleżanki”

    var stack_bottomright = {"dir1": "up", "dir2": "up", "push": "top"};
    $(document).ready(function()
    {

        var locali_mian = new Array("Lisboa", "Porto", "Faro", "Braga", "Sintra", "Leiria", "Beja", "Faro", "Setúbal", "Coimbra", "Lagos", "Aveiro", "Viseu", "Vila Real" , "Guimarães", "Viana do Castelo" ,"Bragança", "Figueira da Foz", "Peniche", "Guarda", "Castelo Branco", "Fátima", "Évora");
        var locali_dop = new Array("de Pombal", "de Sesimbra", "do Montijo", "de Almada", "da Nazaré", "de Tomar", "de Lisboa", "de Albufeira", "de Tavira", "de Loures", "de Miranda do Douro", "de Mirandela", "da Maia", "de Pinhal Novo" , "do Estoril", "de Cascais", "de Portimão", "de Cuba" , "das Caldas da Rainha", "de Mira" , "da Marinha Grande",
            "de Lisboa", "do Porto", "de Estremoz", "de Braga", "de Sesimbra", "de Leiria", "de Beja", "de Faro", "de Setúbal", "de Coimbra", "de Lagos", "de Aveiro", "de Viseu", "de Vila Real" , "de Guimarães", "de Viana do Castelo" ,"de Bragança", "da Figueira da Foz",  "da Guarda", "de Castelo Branco", "de Évora");
        var locali_ppl2 = new Array("Ana", "Catarina", "Maria", "Mariana", "Inês", "Vitória", "Sara", "Débora", "Verónica", "Sofia", "Ana Maria", "Carina", "Liliana", "Cristina", "Cláudia", "Bárbara", "Carlota",
            "Carlos", "Henrique", "Alfonso", "Marco", "Fábio", "Bruno", "José", "João Bruno", "Pedro", "João"
        );
        var locali_ppl = new Array(
            "Ana", "Carina", "Andreia", "Beatriz",
            "Bárbara", "Carlota",
            "Ana Maria",
            "Susana", "Carolina",
            "Vitória", "Cátia", "Rita",
            "Sara",
            "Raquel", "Helena",
            "Cláudia", "Isabel", "Soraia",
            "Cristina", "Catarina",
            "Débora",
            "Maria", "Mariana", "Inês",
            "Carmo",
            "Liliana",
            "Sónia",
            "Teresa",
            "Anabela",
            "Verónica",
            "Sofia", "Susana",
            "Fernando", "Mário",
            "Bernardo", "Francisco",
            "Fábio",
            "Eduardo",
            "Henrique",
            "João", "José António",
            "Carlos", "Afonso", "Marco", "Bruno",
            "Pedro", "Paulo",
            "José",
            "João Bruno"
        );

        var init_usrs = Math.floor((Math.random()*100)+200);
        var buyers = new Array();

        function generateMsg()
        {
            init_usrs = Math.floor((Math.random()*100)+200);
            var init_usrs_buy = Math.floor((Math.random()*10)+10);
            var msg ='';
            var type = Math.floor((Math.random()*4)+1);

            switch(type)
            {
                case 1:
                    var when = Math.floor((Math.random()*5)+1);
                    var city = Math.floor((Math.random()*locali_mian.length));
                    msg ="Última compra há"+when+" "+"minutos atrás; Localidade:"+locali_mian[city];
                    break;
                case 2:
                    var when = Math.floor((Math.random()*5)+1);
                    var city = Math.floor((Math.random()*locali_dop.length));
                    var who = Math.floor((Math.random()*locali_ppl.length));
                    msg ="Última compra há"+when+' '+"minutos atrás por" + locali_ppl[who] +' '+ locali_dop[city];
                    break;

                case 3:
                    var peopl_diff = Math.floor((Math.random()*10));
                    msg = (init_usrs_buy+peopl_diff)+' '+"pessoas da sua área efetuaram a compra nos últimos 15 minutos";
                    break;

                case 4:
                    var peopl_diff = Math.floor((Math.random()*40));
                    msg ="Neste momento, na página estão"+('&nbsp')+(init_usrs+peopl_diff)+' '+"utilizadores";
                    break;
                default:

            }

            return msg;
        }

3

 

No código Javascript acima é possível observar alguns comentários em polaco que provavelmente não foram removidos pelo scammer durante a conversão do conteúdo para língua portuguesa.

//-->

    // 1.	Ostatni zakup nastąpił 7 minut temu; Lokalizacja: Warszawa
    // 2.	Ostatni zakup nastąpił 3 minuty temu przez panią Anię z Katowic
    // 3.	38 osób z Twojej okolicy dokonało zakupu w ciągu ostatnich 15 minut
    // 4.	W tym momencie na stronie jest 275 użytkowników
    // 5.	Ten suplement został oceniony 9,5/10 przez naszych klientów -> przy najechaniu na kup teraz
    // 6.	W artykule pojawia się dymek z treścią: Diana XXX napisała: „kupiłabym, ale nie mam kasy, może pożyczę od koleżanki”

 

Traduzindo os comentários para português parece que são as mensagens target e que são entregues às vítimas durante a navegação no website.

// -> // 1. A última compra ocorreu há 7 minutos; Localização: Varsóvia 
// 2. A última compra ocorreu há 3 minutos pela Sra. Ania de Katowice 
// 3. 38 pessoas na sua área compraram nos últimos 15 minutos 
// 4. No momento existem 275 usuários no site 
// 5. Este suplemento foi classificado como 9.5 / 10 pelos nossos clientes -> quando você passa o mouse sobre comprar agora 
// 6. No artigo há um balão com o conteúdo: Diana XXX escreveu: "Eu compraria, mas não tenho dinheiro, talvez eu pegue emprestado de um amigo"

 

Ao que aparenta, este webiste parece consistir num scam-as-a-service, um clone de um scam com origem polaca onde uma senhora foi atingida no inicio do mês de setembro e as perdas atingiram quase 7 mil euros (http://kryptoarena.cz/recenze-profesor-adam-peterson-a-balicky-kryptomeny-tron-jde-o-podvod/).

vse-se-tvari-jako-neuveritelna-nabidka-554x600

Figura 8: Outro website da mesma campanha de scam com origem na Polónia.

 

Depois de introduzir informações falsas no formulário disponibilizado na página maliciosa são apresentadas as seguinte páginas, onde os scammers apresentam novas mensagens com o intuito de incrementar o investimento inicial das vítimas no produto.

9

Figura 9: Formulário incial.

 

10

Figura 10: Processo da aquisição do produto (formulário 2).

 

Figura 11: Processo da aquisição do produto (formulário 3).

 

Neste formulário acima, é solicitado à vitima para validar os dados introduzidos inicialmente no formulário inicial.

Por último, são apresentadas as seguintes páginas à vitima.

12

Figura 12: Processo da aquisição do produto (formulário 4).

 

13-1

Figura 13: Processo de conclusão da encomenda.

 

Os dados da vítima são então enviados via POST para uma página chamada jsdata.php.

function postback_core(fname, fid) {
        var element =  document.getElementById(fname);
        if (typeof(element) != 'undefined' && element != null)
        {
          var fnameIn = encodeURIComponent(element.value);
          if(fnameIn != '')
          {
            var xmlHttpReq = false;
            var self = this;
            var _urlv = typeof vid !== 'undefined' ? '&vid='+vid : '';
            // Mozilla/Safari
            if (window.XMLHttpRequest) {
              self.xmlHttpReq = new XMLHttpRequest();
            }
            // IE
            else if (window.ActiveXObject) {
              self.xmlHttpReq = new ActiveXObject("Microsoft.XMLHTTP");
            }
            self.xmlHttpReq.open('POST', 'jsdata.php', true);
            self.xmlHttpReq.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
            self.xmlHttpReq.send('action=single'+'&ffield='+fname+'&fname='+fnameIn+'&fid='+fid+_urlv);
          }
        }

 

Se a vítima tentar fechar a  página web antes de terminar o processo é ainda entregue uma página para forçar a vítima a terminar a processo de compra e assim entregar o dinheiro aos criminosos.

 

6

Figura 14: Página alertando a vítima para adquirir o produto malicioso.

 

Endereço: https://invest-future.eu/351/tntxbv2/index2.php#angebot.

 

O ads do scam foi também identificado em websites internacionais como o Wall Street Maganize.

 

IOCs — DNS maliciosos a apontar para o mesmo servidor

DomainLast Resolved Date
ahkezarabapeniaze.com2018-09-18
banipentrutine.info2018-09-18
best-market.net2018-09-17
cashinvestore.com2018-09-18
cashtv24.com2018-09-18
cryptocurrency-world.eu2018-09-18
csstigusordebani.com2018-09-18
dinero-del-futuro.com2018-09-18
e-cointime.com2018-09-18
e-currencyforyou.com2018-08-01
e-currencymagazine.com2018-09-18
e-currencynews.com2018-08-01
earning-magazine.com2018-07-20
earning-world.com2018-09-18
enkeltepengertjener.com2018-09-18
enklapengartjana.com2018-09-18
extra-salary.com2018-07-20
facilganardinero.com2018-09-18
fast-money-earning.com2018-09-18
fast-salary.com2018-09-18
financesknowledge.com2018-08-31
future-in-e-currencies.com2018-08-01
gagnerdelargentfacile.eu2018-09-18
guadagni-facili.com2018-09-18
helpporahaaansaita.com2018-09-18
informace-pro-investora.com2018-08-29
investice-budoucnosti.com2018-09-12
investicni-skoleni.com2018-09-12
investicnicasopis.com2018-08-01
investimenti-del-futuro.com2018-09-18
investment-guide.info2018-09-18
investment-rules.com2018-09-05
investovat-s-nami.com2018-08-01
konnyupenztkeres.com2018-09-18
leichtesgeldverdienen.com2018-09-18
libre-coin.biz2018-09-15
libre-coin.com2018-09-18
libre-coin.eu2018-09-18
libre-coin.org2018-09-15
librecoin.com.pl2018-09-14
librecoin.pl2018-09-14
magazine-for-investors.com2018-08-01
money-of-future.com2018-09-18
money-to-money.com2018-09-18
moneyforyou.net2018-09-17
moneymagazine.co2018-05-19
nemmepengetjener.com2018-09-18
novy-vyrobce-penez.com2018-09-18
onlineinvestice.com2018-09-12
orderconfirmations24.com2018-09-18
orderconfirmations4you.com2018-09-18
penizeprovas.info2018-09-18
penzneked.info2018-09-18
pieniadze-przyszlosci.com2018-09-18
pruvodceinvestorem.com2018-08-01
rahaasinulle.info2018-09-18
rivistadisoldi.com2018-09-18
rychle-vydelavani.com2018-08-01
sms2gays.com2014-07-05
soldi-del-futuro.com2018-09-18
supereasymoney.eu2018-09-18
superhelpporahaa.biz2018-09-15
superjednoduchepenize.biz2018-09-15
superusordebani.biz2018-09-15
swissinvests.com2018-09-18
szuperkonnyupenz.biz2018-09-15
theglobenews24.com2018-09-18
time-for-money.com2018-09-18
vydelavejte-s-nami.com2018-08-29
vynasobtepenize.com2018-09-12
world-currency-news.com2018-09-18
world-of-currencies.com2018-09-18
world-of-earnings.com2018-09-05
world-of-money.eu2018-09-18
yourmoneyonline.info2018-09-18
yourquickmoney.eu2018-09-18

 

 

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.