Tudo começa num website de notícias, onde no dia 14 de janeiro de 2019 foi publicada uma notícia que pretende encorajar as vítimas a investir numa nova estratégia de ganhar dinheiro sem sair de casa.
Quando essa hiperligação é acedida através de um navegador de Internet com um user-agent relativo a um computador, é apresentada a página acima, e o conteúdo apresentado à vítima não passa de uma simples notícia e que não disponibiliza qualquer hiperligação maliciosa.
Por outro lado, se o user-agent do navegador de Internet utilizado for referente a um dispositivo móvel, a landing page entregue pelo servidor é totalmente diferente (como pode ser observado na imagem abaixo utilizando o Mozilla Firefox para simular esse comportamento).
Esta landing page, disponível através do dominio “diverseissue.com“, quando acedida com um user-agent mobile apresenta um conteúdo totalmente diferente do anterior — uma técnica utilizada pelos scamers na tentitiva de dificultar a análise dos analistas.
Como pode ser observado na imagem seguinte, a landing page alvo é carregada de um outro domínio através de uma iframe.
A equipa do SI-LAB foi investigar o scam, e verificou que ao tentar aceder à hiperligação contida na iframe, é automaticamente redirecionada para uma segunda hiperligação contida no website inicial, em:
https://diverseissue.com/landvienvietis/car-bw.html?cep=ZTdn_73ApzlALWxsvfbrZVGm4lEzaHJ8PyWjsl8syRCdSFVixCF5fi6XjbSkOmwH7mz7sw2KXivhpZSCB4xc6XNifm52N1ijPSXKUtA5uWGKrdX2P7_gFVw23m2WaSgnY9zJERVwoTYHuyor1ZE2xH5PNm4aRy53v1B5GgsZrBkqymgmlc6u81VT4zINhD3vntsDmx-WzxhPm3XpGwqOoMPbKrEwkxxXL6yeiI9iuAQ&adset=&adid=&gender=&age=&placement=&interest=&ac=&px=&a1=&b2=
A página maliciosa é apresentada num diretório especialmente criado e denominado “landvienvietis/car-bw.html“.
https://diverseissue.com/landvienvietis/car-bw.html
A landing page é então entregue às vítimas e todas as hiperligações contidas nessa página direcionam para uma página de registo de conta numa plataforma de criptomoedas — como é possível observar através do código fonte da página.
A landing page foi de tal maneira cristalizada pelos scamers que o conteúdo partilhado apresenta poucos erros gramaticais, no entanto, é importante realçar que o nº. de partilhas e comentários destacados no inicio da página é sempre o mesmo valor estático, e a data de publicação da notícia é alterada para a data de acesso da vítima sempre que este acede à página.
Segundo o conteúdo disponibilizado no scam, o utilzador tem que fazer um depósito inicial na plataforma de €250 e o algoritmo de negociação irá funcionar e gerar muitos dinheiro sem sair de casa.
Para encorajar as vítimas a investir nesta fraude, é apresentada também uma referência ao pivot da RTP, João Fernando.
Para demonstrar o poder da plataforma, o Carlos convenceu o João Fernando a depositar 250 € em direto no programa de TV.
Após fazer o seu depósito inicial de 250 €, a plataforma de negociação começou a funcionar comprando em baixa e vendendo em alta. Em 3 minutos, conseguira aumentar os seus fundos iniciais para 483,18 €. Trata-se de um lucro de 233,18 €.
Os scamers escrevem ainda a seguinte mensagem personificando o pivot:
Todas as pessoas no programa, incluindo o pessoal da produção, ficaram de imediato impressionadss com a facilidade de fazer dinheiro. A plataforma trata automaticamente de todo o trabalho de negociação e, devido ao preço da Bitcoin ser bastante volátil, há muitas oportunidades de lucrar.
Segundo os scamers, “João” conseguiu fazer um lucro de € 233.18 após 3 minutos. No entanto, com Carlos o processo demorou muito mais.
Já Carlos Areia, conseguiu um lucro de 70% nas negociações, um resultado liquido de €7.300.59.
Os scamers dizem que há três passos para começar:
1. Inscreva-se Numa Conta Gratuita
2. Deposite o Mínimo de 250 €
3. Use A Plataforma de Negociação de Bitcoin Para Obter Lucros
No final da página, são apresentados comentários falsos que visam encorajar as vítimas também a fazer parte desta fraude.
Todas as hiperligações da landing-page remetem a vítima para a página final de investimento: https://the-cryptorevolt.com.
Ao investigarmos na Internet indicadores sobre essa plataforma de investimento “the-cryptorevolt.com“, facilmente percebemos que é uma fraude.
Deixamos também uma análise terceira como referência aqui.
Aos utilizadores, sugere-se uma maior atenção e sensibilidade para este tipo de fraude, pois tal como em 2018, muitos utilizadores foram afetados por um scam de origem poláca que também foi partilhado e analisado no blog.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.