Novos Meios, Velhos Golpes!
Nas últimas semanas identificamos um volume massivo de campanhas de phishing dos “Valores a Receber” do Banco Central, a campanha basicamente faz uso de um serviço em cloud chamado “GreatPages”, plataforma de criação de sites e conteúdo HTML, que hospeda landing pages, sites, assets e CDN.
Esta plataforma utiliza serviços de aceleração e cache da Cloudflare, portanto nem Great Pages ou Cloudflare são os atores de ameaça aqui.
O uso de plataformas tradicionais de Cloud é comum entre os atacantes. Esta técnica está mapeada no #MITRE #ATT&CK (T1608.005) “Staging Capabilities — Link Target”. Isso permite uma agilidade maior no processo de restruturação da campanha de phishing caso ocorra indisponibilização da infraestrutura do atacante (T1584), como domínios e servidores virtuais, como os assets e elementos q deverão ser carregados na nova campanha de phishing.
O lado positivo é a exposição do operador malicioso, facilitando a possível identificação da conta utilizada pelo operador malicioso em um serviço que está em uma infraestrutura nacional.
Para começarmos, notamos que ao acessar a primeira interação com o phishing, percebemos que o desenvolvedor usou a função de iframe com “frameset” para expor um asset hospedado em outro endereço, nesse caso o hxxps://www[.]olharvalores01[.]site.
Continuando a análise, identificamos uma tag de “dns-prefetch preconnect” que é comumente usada para otimização de carregamento de páginas web, mas especificamente o carregamento de recursos externos (Imagens, componentes e afins). Nesse caso o ataque, que utiliza o produto brasileiro para fazer isso, acabou quebrando seu OPSEC e expondo o ID da conta na plataforma “GreatPages”. Na imagem abaixo podemos ver o svg usado na home hospedado na “GreatPages”:
Como funciona? O preconnect é usado quando você sabe que vai se conectar a um domínio externo e quer que o navegador faça a preparação de forma proativa. Isso inclui a resolução de DNS, a criação de conexões TCP e a negociação de SSL/TLS, que são todos processos que podem ser demorados. Usando preconnect, você pode reduzir significativamente o tempo de carregamento para recursos críticos. No exemplo abaixo, podemos ver o asset 897528_1_172680764866ecfe60149c9788175076[.]svg
hxxps://pages[.]greatpages[.]com[.]br/www[.]olharvalores01[.]site/1726948410/imagens/mobile/897528_1_172680764866ecfe60149c9788175076[.]svg
Criamos uma conta de teste no GreatPages para avaliar o cenário e descobrimos que o valor “1726948410” é o ID associado a criação da conta, ou seja, o id citado refere-se a conta usada na plataforma da GreatPages para expor os elementos no phishing:
Observamos aqui uma grande oportunidade da utilização de CPFs laranjas (falsos ou de domínio público) para criação das campanhas, porém ao mesmo tempo com 7 dias de expiração, sugerindo que após a criação da campanha o ator de ameaça precise imediatamente iniciar suas campanhas de e-mail Phishing (T1566) ou mobile Smishing.
Oportunidades de Hunting e Detecção:
1) Procure por um comportamento anormal de picos acessos à um determinado mesmo recurso em hxxs://pages[.]greatpages[.]com[.]br/<URL> , especialmente quando realizado por mais de 1 usuário ao mesmo tempo (em um mesmo dia).
2) Correlacione os cenários abaixo, para um mesmo usuário ou endpoint.
2.1) Comunicação de e-mails contendo uma ou mais palavas chaves “valores”, “disponívels”, “à receber”, “Clique”, “consultar”.
2.2) Accessos para recursos em hxxs://pages[.]greatpages[.]com[.]br/<URL>
Com esse detalhe em mente e bem detalhado, partimos para o próximo estágio do phishing que é a solicitação de do CPF, seguido de uma consulta em background e retorno com uma nova interação:
Assim que a vítima insere os dados de CPF, o chatbot(hxxps://chat[.]type-acesso[.]top/api/v1/sessions/cm1r5faqb7mm414owxyzsu008/continueChat) em background consulta o cpf em uma API associada a dados vazados e realizar uma nova interação com a vítima:
Na interação seguinte, como demonstrado abaixo, o operador da fraude interage com a vítima usando um chatbot com áudios e vídeos usando a imagem da Caixa Econômica Federal e Banco Central para solicitar mais dados da vítima e seguir para as demais interações, e por fim, seguir para a “cobrança” do PIX:
Oportunidades de Hunting e Detecção:
3) Procure nos seus LOGs de Proxy e Acesso à Internet por requisições à objetos em domínios não oficiais da Caixa Econômica Federal e Banco Central utilizando um HTTP REFERER Header diferente dos domínios oficiais das instituições.
Por fim, o phishing direciona a vítima para outra página e solicita dados de email, cpf e nome para geração do pagamento via EVP:
pagmecertohoje[.]com
Assim que o pagamento é gerado, podemos identificar corretamenta a plataforma de meios de pagamento usado por essa campanha de phishing e a conta utilizada para receber o dinheiro:
{
"type": "dynamic",
"merchantCategoryCode": "0000",
"transactionCurrency": 986,
"countryCode": "BR",
"merchantName": "MANGOFY TECNOLOGIA",
"merchantCity": "BARUERI",
"transactionAmount": null,
"oneTime": false,
"url": "pix[.]voluti[.]com[.]br/qr/v3/at/6ee4252f-3a20-4542-8cbe-c21fb93ad852"
}
Realizando uma pequena busca no Google sobre a “MANGOFY TECNOLOGIA”, descobrimos algumas reclamações no site do ReclameAqui assóciado a possíveis vítimas dessa fraude relatando o incidente, e mapeando as reclamações identificamos cerca de 1200 assóciadas à supostas vítimas desses phishings acima, veja um exemplo de relato abaixo:
Com esses dados acima, podemos avaliar que apenas com essas reclamações de supostas vítimas ao longo dos últimos meses os operadores da fraude já obtiveram cerca de 60mil reais em lucros, levando em consideração que o PIX solicitado à vítima é cerca de 60 reais.
Com todos esses detalhes expostos, podemos perceber o nível de sofisticação e uma abordagem no desenvolvimento da plataforma maliciosa usando métodos e meios que sites legítimos de grande volume usam para manter a continuidade do ambiente, claramente demonstrando a habilidade técnica com relação à conhecimento de CDNs, HTTP redirection e sendo habilidoso para passar uma boa imagem visual do esquema. Happy hunting e até a próxima pessoal!
Indicators of Compromise (IOCs)
Domains:
recebersaldos02[.]site
recebersaldos14[.]site
receber-hoje[.]site
receber-valor04[.]site
receber-valores12[.]online
receber-valores5[.]online
recebervaloreshoje[.]com
valorareceber[.]com
recebersaldo010[.]site
recebersaldo011[.]site
recebersaldo012[.]site
recebersaldo013[.]site
recebersaldo014[.]site
recebersaldo015[.]site
recebersaldo016[.]site
recebersaldo017[.]site
recebersaldo018[.]site
recebersaldo02[.]site
recebersaldo020[.]site
recebersaldo021[.]site
recebersaldo022[.]site
recebersaldo023[.]site
recebersaldo024[.]site
recebersaldo025[.]site
recebersaldo03[.]site
recebersaldo04[.]site
recebersaldo06[.]site
recebersaldo07[.]site
recebersaldo08[.]site
recebersaldo09[.]site
resgateagora49[.]site
resgateagora50[.]site
resgateagora51[.]site
resgateagora52[.]site
resgateagora53[.]site
resgateagora56[.]site
resgateagora57[.]site
outvalores01[.]online
outvalores02[.]online
outvalores03[.]online
outvalores04[.]online
outvalores05[.]online
outvalores06[.]online
outvalores07[.]online
outvalores08[.]online
outvalores09[.]online
outvalores10[.]online
outvalores11[.]online
outvalores13[.]online
outvalores19[.]online
outvalores20[.]online
outvalores21[.]online
outvalores24[.]online
outvalores25[.]online
outvalores26[.]online
outvalores27[.]online
outvalores28[.]online
outvalores30[.]online
sabervaloresagora1[.]online
sabervaloresagora10[.]online
sabervaloresagora2[.]online
sabervaloresagora5[.]online
sabervaloresagora7[.]online
sabervaloresagora8[.]online
seusvalores03[.]online
seusvalores04[.]online
seusvalores07[.]online
seusvalores08[.]online
seusvalores09[.]online
seusvalores10[.]online
olharvalores01[.]site
saldohojever[.]com
consultasaldo[.]online
iniciarvalores05[.]online
iniciarvalores13[.]online
iniciarvalores20[.]online
iniciarvalores21[.]online
iniciarvalores22[.]online
iniciarvalores23[.]online
iniciarvalores24[.]online
iniciarvalores25[.]online
iniciarvalores26[.]online
iniciarvalores27[.]online
iniciarvalores28[.]online
iniciarvalores29[.]online
iniciarvalores30[.]online
Malicious PIX integration:
pagmecertohoje[.]com
Chatbot:
hxxps://chat[.]type-acesso[.]top/api/v1/sessions/cm1r5faqb7mm414owxyzsu008/continueChat
GreatPages assets:
hxxs://pages[.]greatpages[.]com[.]br/www[.]olharvalores01[.]site/1726948410/imagens/mobile/897528_1_172680764866ecfe60149c9788175076.svg
hxxs://pages[.]greatpages[.]com[.]br/www[.]olharvalores01[.]site/1726948410/js.js
hxxs://pages[.]greatpages[.]com[.]br/www[.]olharvalores01[.]site/1726948410/css.css
