Portuguese Bank Phishing (Portuguese Version)

Silent Push score card dashboard

Há umas semanas recebi uma mensagem SMS com o seguinte conteúdo:

“Evite o bloqueio da conta: Por favor acesse loguin-novobanco[.]com“

Como em maior parte dos esquemas de phishing, o domínio malicioso tenta personificar o oficial, e neste caso não era excepção. Consegui observar isto a partir da palavra ‘loguin’, do Inglês (login), então decidi investigar um pouco mais.

Executei uma pesquisa de domínios usando a aplicação da Silent Push para ver o que encontrava.

Na altura, o domínio estava hospedado no IP 13.66.4[.]22. A primeira coisa que fiz for investigar domínios no mesmo IP ou na mesma sub-rede. Para isso usei a pesquisa inversa de Ips, mas como nada de interessante apareceu na mesma sub-rede, decidi apenas pesquisar sobre o que conseguia encontrar no mesmo IP.

Isto conduziu a uma série de outros domínios usados para phishing como:

 montepio-app[.]com → Imitação de um banco Português, Montepio.

appitau-tarjeta.puntosarescatar.com → Imitação de um banco Brasileiro, Itaú.

E muitos mais. Maior parte dos domínios tinham sido criados há menos de uma semana, logo isto significava que podia seguir o processo criação dos domínios mais detalhadamente e desde o início.

Depois de verificar cada domínio, apercebi-me de um ‘Name Server’ comum entre alguns domínios, kinghostbr.*.orderbox-dns.com. Decidi usar o API e ver se conseguia encontrar mais alguns domínios de phishing, apenas filtrando o Name Server. Assim, encontrei alguns domínios de imitação do Santander, mas já inativos.

Maior parte dos domínios que encontrei não tinham uma pagína da web ativa, e os que tinham apenas redirecionavam para uma página de fotografia..

Indicators of Compromise

loguin-novobanco[.]com

novobanco-loguin[.]com

app-novobanco[.]com

novobanco-cashadvanced[.]bwnetworkus[.]com

novobanco-app[.]com

nbway-app[.]com

montepio-app[.]com

userspuntos[.]puntoitau[.]com

itau-tarjetacredito[.]southafricanincorporations[.]com

itau-tarjetaiupp[.]calmcbdbv[.]com

appitau-tarjeta[.]puntosarescatar[.]com

useriupp[.]itauweb[.]com

account-nb[.]com

iupp[.]itaupuntos[.]com

www[.]resgatepuntos[.]org

userpuntos[.]puntoitau[.]com

prevencionitau[.]com

itau-iupptarjetadecredito[.]pmpmaster[.]com

puntos-iupp[.]itaupunto[.]com

app[.]sms-itau[.]com

seguridad[.]itau-app1[.]com

app[.]falabella-chile[.]com

novobanconet[.]com

montepio-loguin[.]com

sanrtander[.]com

santanrdersx[.]cf

sartander[.]cf

santarnder[.]run

santanrder[.]digital

santandenr[.]in

santarnder[.]site

sartanderempresa[.]ga

sartander[.]ga

sarntanderempresarial[.]com

sartanderempresarial[.]com

sartanderempresas[.]com

loguin-montepio[.]com