Depois do Continente e do Lidl, os utilizadores portugueses estão a ser atingidos por uma nova campanha de smishing envolvendo também a cadeia de supermercados Pingo Doce.

Os casos de smishing não são novos. No final de 2018 e inicio do ano 2019, campanhas desta natureza atingiram as cadeias de supermercados Lidl e Continente.

Depois do Continente e do Lidl, os utilizadores portugueses estão a ser atingidos por uma nova campanha de smishing (phishing via SMS) envolvendo também a cadeia de supermercados Pingo Doce.

O recente caso foi reportado ao SI-LAB, que prontamente analisou a origem da campanha fraudulenta.

Segundo a análise, esta campanha trata-se de um campanha gigante, que visa não só utilizadores do Pingo Doce, como de outras cadeias de supermercados e outro tipo de comércio online.

A campanha de smishing inicia-se com uma simples SMS recebida no smartphone das vítimas. Os scamers enviam por SMS uma short-URL com um ID que está correlacionado com o número de telefone da vítima armazenado algures no servidor que suporta o serviço.

O número de telefone origem de onde foi enviada a mensagem está atualmente associado à Vodafone Espanha, S.A.

Neste caso, o ID c18 possui uma correlação no sistema com o número de telefone da vítima; desconhecendo-se o esquema utilizado pelos criminosos para obter a lista de contactos alvo.

O sistema por trás da campanha fraudulenta tem a capacidade de validar se a vítima já acedeu uma primeira vez à URL maliciosa. Caso contrário, se um segundo acesso acontecer, a ligação é automaticamente quebrada pelo serviço impedindo análises forenses ao serviço e também a duplicação de registos e eventuais comportamentos por parte das vítimas.

De acordo com a analise do SI-LAB, este campanha maliciosa foi executada com base numa campanha passada e relacionada à cadeia de supermercados Lidl — foram detetadas referências a um template denominado Lidl no código fonte da landing-page.

O servidor que alberga esta campanha maliciosa tem sido utilizado pelos criminosos para hospedar outras campanhas fraudulentas desta natureza.

Foram identificadas campanhas recentes, a última carregada no servidor e referente ao dia 28 de janeiro de 2019, às 11:10 AM.

Ambos os servidores envolvidos no esquema operam por trás do Content Delivery Network – CloudFlare, o que denota uma análise inicial de risco totalmente ponderada pelos autores da campanha.

Aos utilizadores afetados, sugere-se que descartem este tipo de mensagens porque correm o risco de expor informação sensível online ou subscrever serviços maliciosos para total usufruto dos criminosos.

A campanha fraudulenta já foi comunicada às entidades competentes e também ao Pingo Doce que emitiu um comunicado na rede social Facebook no dia 31 de janeiro.

Em seguida são descritos outros detalhes mais profundos sobre esta análise.

Análise em detalhe

Inicialmente, os utilizadores visados são confrontados com uma SMS enviada de um número de telefone com origem espanhola e associado à Vodafone Espanha.

Não é possível aceder à shor-URL disponível na SMS diretamente através de um navegador de Internet com o user-agent padrão, pois a campanha fraudulenta foi concebida para ser executada a partir de dispositivos móveis.

A landing page apenas é apresentada quando o header relativo ao user-agent da solicitação estiver associado a um dispositivo móvel, p.ex., o user-agent de um iPhone. Isso pode ser simulado alterando o cabeçalho HTTP da solicitação.

Ao efetuar a comunicação, é possivel observar que depois de clicar na URL maliciosa são efetuados diversos pedidos a diferentes serviços configurados por trás do CDN – CloudFlare.

URL: alaw.co
alaw.co. 299 IN A 104.24.116.8
alaw.co. 299 IN A 104.24.117.8

URL: rd.allz.co
rd.allz.co. 299 IN A 104.18.60.63
rd.allz.co. 299 IN A 104.18.61.63

URL: rd.rfvt.co
rd.rfvt.co. 293 IN A 104.18.52.132
rd.rfvt.co. 293 IN A 104.18.53.132

URL: p.pdoce.allz.co
p.pdoce.allz.co. 294 IN A 104.18.60.63
p.pdoce.allz.co. 294 IN A 104.18.61.63

URL: rd.tyur.xyz
rd.tyur.xyz. 299 IN A 104.27.173.156
rd.tyur.xyz. 299 IN A 104.27.172.156

Durante a análise foi possível observar que os criminosos tiveram uma preocupação adicional. Apenas é permitido um único acesso à shor-URL distribuída no smishing. Caso a landing-page já tenha sido acedida uma primeira vez, o servidor não irá renderizar e entregar novamente a landing page maliciosa.

Com isso, os scamers garantem que a vítima acedeu uma única vez à campanha — e que provavelmente também foram enganados (ownados). Também conseguem proteger o sistema contra análises forenses e investigações paralelas porque o servidor descarta segundos acessos à URL inicialmente distribuída.

É possível validar que alguns dados são populados automativamente pelo sistema na URL interceptada acima quando a vítima acede à shor-URL distribuída na SMS.

Esses dados incluem, o país target: PT, dois campos com o número de telefone da vítima (unum e uname) e finalmente um outro campo denominado reason com o conteúdo “trackingToManyClicks“, que tem o objetivo de validar os acessos ao sistema; como já explicamos anteriormente.

Depois de alguma investigação, foi possível chegar à landing page final onde é exibido um voucher de €500 em compras no Pingo Doce.

Nessa URL são incluídos alguns parâmetros populados diretamente pelo servidor baseado no mapeamento do parametro da short-URL (/c18) o que demonstra alguma da complexidade da campanha.

Alguns dos parâmetros importantes e que devem ser anotados são os seguintes:

geo=PT ; este parâmetro permite aos criminosos definir o target geográfico. Se o valor for alterado, p.ex., para “ES” a landing page final apresentada será totalmente diferente.
uname, unum e msisdn: têm associado o número de telefone da vítima.
Outros parametros com ID são definidos para controlo da camapanha pelo próprio código malicioso.

A landing page maliciosa p.pdoce.allz.com não faz qualquer verificação de user-agent de dispositivos móveis e pode ser acedida diretamente através de um navegador de Internet com as definições padrão.

Pode ser notada a existênca de erros gramaticais na landing-page nomeadamente “Vale de 500€ da Pingo Doce“.

Analisando o codigo fonte da página, é possivel constatar que diz respeito a uma instalação de um CMS WordPress especialmente criado para este tipo de campanhas e no ativo desde 2017.

No codigo fonte foi possivel também validar que a página origem da campanha poderá ter tido origem inicial na grécia, uma vez que foi identificado um comentário: ΣΥΓΧΑΡΗΤΗΡΙΑ; e que em grego quer dizer “Parabéns!” — é precisamente a primeira palavra exibida na landing page.

Nessa landing page, a vítima tem de responder a algumas questões. Durante esse processo nenhuma solicitação é efetuada para o servidor, pois as questões estaõ totalmente codificadas na página HTML.

<div class="promotional-question">
   <div id="q-1"><b>Pergunta : Qual é o seu supermercado favorito:</b></div>
   <div class="buttons-yes-no show-1"><a href="javascript:void(0)" onclick="_nextQuestion(2, 1, 'LIDL')"><span class="button">LIDL</span></a><a href="javascript:void(0)" onclick="_nextQuestion(2, 1, 'INTERMARCHE')"><span class="button">INTERMARCHE</span></a><a href="javascript:void(0)" onclick="_nextQuestion(2, 1, 'PINGO DOCE')"><span class="button">PINGO DOCE</span></a></div>
   <div id="q-2"><b>Pergunta: Prefere fazer grandes quantidades de compras para poupar dinheiro:</b></div>
   <div class="buttons-yes-no show-2"><a href="javascript:void(0)" onclick="_nextQuestion(3, 2, 'Sim')"><span class="button">Sim</span></a><a href="javascript:void(0)" onclick="_nextQuestion(3, 2, 'Não')"><span class="button">Não</span></a></div>
   <div id="q-3"><b>Pergunta: Fez compras num supermercado nas últimas quatro semanas:</b></div>
   <div class="buttons-yes-no show-3"><a href="javascript:void(0)" onclick="_nextQuestion(4, 3, 'Sim, apenas uma vez')"><span class="button">Sim, apenas uma vez</span></a><a href="javascript:void(0)" onclick="_nextQuestion(4, 3, 'Sim, mais de uma vez')"><span class="button">Sim, mais de uma vez</span></a><a href="javascript:void(0)" onclick="_nextQuestion(4, 3, 'Não')"><span class="button">Não</span></a><a href="javascript:void(0)" onclick="_nextQuestion(4, 3, 'Não me recordo')"><span class="button">Não me recordo</span></a></div>
   <div id="q-4"><b>Pergunta: Vive perto de um supermercado?</b></div>
   <div class="buttons-yes-no show-4"><a href="javascript:void(0)" onclick="_nextQuestion(5, 4, 'Sim')"><span class="button">Sim</span></a><a href="javascript:void(0)" onclick="_nextQuestion(5, 4, 'Não')"><span class="button">Não</span></a></div>
</div>

Todo o conteúdo apresentado na landing-page é carregado de outra instalação do WordPress e hospedado em: http://wordpress.rockadroll.mobi.

O tema (template) carregado parece estar relacioando com a recente campanha de phishing associada à cadeia de supermercados Lidl.

As imagens apresentadas na página maliciosa são também carregadas deste segundo servidor, mas agora, de uma outra diretoria.

Como pode ser observado, o conteúdo deste diretório foi carregado em 14 de maio de 2018, o que levanta a suspeita que esta campanha já havia sido distribuída ou planeada anteriormente.

Este servidor parece ser um recurso utilizado numa gigante campanha de advertising malicioso pelos criminosos.

Nesta segunda máquina, é possivel visualizar inúmeras diretorias respeitantes a outras campanhas maliciosas desta linha.

A mais recente campanha carregada pelos criminosos no servidor até à data da escrita desta publicação foi a seguinte:

A data de publicação foi no dia 28 de janeiro de 2019 às 11:10. A campanha maliciosa visa outra campanha, onde os utilizadores parecem ser aliciados também com um voucher de 500 euros.

Alguns dos parametros utilizados na landing-page são usados para a apresentação dos dados na própria página. Mesmo abaixo da palavra “Parabéns!” é apresentado o suposto número de telefone da vítima. Este campo é manipulado através do parâmetro já enunciado: uname=09000000001.

Até à última questão apresentada no formulário, não é efetuada qualquer solicitação entre o cliente e o servidor. No final, depois da resposta à ultima questão, é apresentado o seguinte conteúdo e são realizados alguns redirecionamentos pelo sistema.

Os serviços finais para onde a vítima é redirecionada dizem respeito a sistemas de advertising, onde os criminosos podem ganhar dinheiro se a vítima comprar ou aceder a esse conteúdo (como clicar em hiperligações).

Alguns desses serviços são listados abaixo. No entanto, antes do acesso, é apresentada a seguinte landing-page, onde o utililizador terá de validar que é um humano através do reCAPTCHA da Google.

Finalmente, é apresentada uma outra landing page arbitrária à vítima (neste caso em especial, a seguinte).

Indicadores de Comprometimento (IOCs)

-http://p.pdoce.allz.com
-http://wordpress.rockadroll.mobi
-s.go4-pingodoce.allz.com
-alaw.co
-rd.allz.co
-rd.rfvt.co
-p.pdoce.allz.com
-rd.tyur.xyz
-mo.owmdlsur.com

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.