Há umas semanas recebi uma mensagem SMS com o seguinte conteúdo:
“Evite o bloqueio da conta: Por favor acesse loguin-novobanco[.]com“
Como em maior parte dos esquemas de phishing, o domínio malicioso tenta personificar o oficial, e neste caso não era excepção. Consegui observar isto a partir da palavra ‘loguin’, do Inglês (login), então decidi investigar um pouco mais.
Executei uma pesquisa de domínios usando a aplicação da Silent Push para ver o que encontrava.
Na altura, o domínio estava hospedado no IP 13.66.4[.]22. A primeira coisa que fiz for investigar domínios no mesmo IP ou na mesma sub-rede. Para isso usei a pesquisa inversa de Ips, mas como nada de interessante apareceu na mesma sub-rede, decidi apenas pesquisar sobre o que conseguia encontrar no mesmo IP.
Isto conduziu a uma série de outros domínios usados para phishing como:
montepio-app[.]com → Imitação de um banco Português, Montepio.
appitau-tarjeta.puntosarescatar.com → Imitação de um banco Brasileiro, Itaú.
E muitos mais. Maior parte dos domínios tinham sido criados há menos de uma semana, logo isto significava que podia seguir o processo criação dos domínios mais detalhadamente e desde o início.
Depois de verificar cada domínio, apercebi-me de um ‘Name Server’ comum entre alguns domínios, kinghostbr.*.orderbox-dns.com. Decidi usar o API e ver se conseguia encontrar mais alguns domínios de phishing, apenas filtrando o Name Server. Assim, encontrei alguns domínios de imitação do Santander, mas já inativos.
Maior parte dos domínios que encontrei não tinham uma pagína da web ativa, e os que tinham apenas redirecionavam para uma página de fotografia..
Indicators of Compromise
loguin-novobanco[.]com
novobanco-loguin[.]com
app-novobanco[.]com
novobanco-cashadvanced[.]bwnetworkus[.]com
novobanco-app[.]com
nbway-app[.]com
montepio-app[.]com
userspuntos[.]puntoitau[.]com
itau-tarjetacredito[.]southafricanincorporations[.]com
itau-tarjetaiupp[.]calmcbdbv[.]com
appitau-tarjeta[.]puntosarescatar[.]com
useriupp[.]itauweb[.]com
account-nb[.]com
iupp[.]itaupuntos[.]com
www[.]resgatepuntos[.]org
userpuntos[.]puntoitau[.]com
prevencionitau[.]com
itau-iupptarjetadecredito[.]pmpmaster[.]com
puntos-iupp[.]itaupunto[.]com
app[.]sms-itau[.]com
seguridad[.]itau-app1[.]com
app[.]falabella-chile[.]com
novobanconet[.]com
montepio-loguin[.]com
sanrtander[.]com
santanrdersx[.]cf
sartander[.]cf
santarnder[.]run
santanrder[.]digital
santandenr[.]in
santarnder[.]site
sartanderempresa[.]ga
sartander[.]ga
sarntanderempresarial[.]com
sartanderempresarial[.]com
sartanderempresas[.]com
loguin-montepio[.]com
