Atualização (28–01–2019): O número de vítimas envolvidas nas campanhas detectadas pela nossa equipe de Threat Intelligence subiu de aproximadamente 9 mil, na ocasião da publicação original, para mais de 61 mil (das quais mais de 60 mil estão no Brasil) em um monitoramento realizado no dia 28 de janeiro. Também foram revistos os números de hosts ativos, que totalizam 143, e de domínios usados na campanha, que chegaram a 50. Os IOCs apresentados neste artigo foram atualizados para refletir a situação após esta atualização. O restante do texto permanece em seu formato original.

.   .   .

Na última semana de dezembro de 2018, a equipe de Threat Intelligence da Tempest identificou uma campanha de phishing cujo objetivo era disseminar um malware que mirava o roubo de credenciais de clientes de instituições financeiras e de corretoras de criptomoedas. Após analisar o modus operandi dessa campanha, foi possível identificar outras 12 iniciativas que, apesar de disseminarem malwares distintos, usam métodos bastante semelhantes para o envio em massa de spam, além de possuírem características quase idênticas na construção dos emails de phishing.

A similaridade nos métodos de envio de spam e de construção dos emails de phishing foi o que chamou a atenção dos pesquisadores da Tempest para estas campanhas. O fato pode indicar que um único serviço com recursos avançados para o envio de spam esteja sendo utilizado por criminosos para alavancar diferentes campanhas de phishing.

Ainda no mês de dezembro nossos honeypots identificaram mais de 800 emails de phishing que utilizavam os mesmos servidores para o envio de spam. Esses servidores totalizaram 192 hosts, vinculados a 37 domínios distintos.

Todos os emails analisados utilizavam um script chamado javali.php, um código gratuito e facilmente encontrado na Internet que é utilizado para o envio de emails a partir de um terminal de comandos shell. Após analisar esse código, foram identificadas duas características que comprovam sua utilização nessas campanhas. A primeira é o parâmetro X-Mailer (imagem 2) que identifica a versão do software de email que supostamente enviou o phishing. A segunda é um número randômico que o script aplica ao assunto do email atribuindo um tipo de identificação (imagem 3). Essas características podem ser observadas sendo aplicadas no assunto da mensagem (imagem 4).

Imagem 2: X-Mailer

Imagem 3: Mecanismo que define o número randômico ao assunto da mensagem
Imagem 4: Resultado do script no assunto e X-Mailer

O mote da engenharia social utilizada nas campanhas varia. No entanto, o intuito permanece o mesmo: tentar amedrontar a vítima para persuadí-la a executar um artefato malicioso. Entre os exemplos estão alertas de que a vítima está em situação de inadimplência, que seu histórico de mensagens do WhatsApp foi vazado, entre outros.

Durante a análise foi identificado que após o artefato malicioso ser baixado no computador da vítima, é feito o registro de seu IP em arquivos TXT salvos em um dos servidores Web atribuídos à campanha. Esse registro funciona como um contador que identifica a quantidade de dispositivos que receberam o arquivo malicioso. Até o momento foram registrados mais de nove mil endereços IP únicos, dos quais a grande maioria está no Brasil (Imagem 5). Esse registro não identifica, no entanto, o total de infecções, uma vez que apenas cataloga a informação de que o artefato malicioso foi baixado no dispositivo alvo.
Imagem 5: Mapa das infecções no Brasil, baseado na geolocalização dos endereços IP das supostas vítimas

Apesar da grande atividade identificada recentemente, acreditamos que este ator ou grupo está ativo há bastante tempo. Em novembro de 2018, pesquisadores da Trend Micro publicaram a análise de um malware focado em alvos no Brasil que se baseava em campanhas de disseminação muito semelhante às relatadas neste artigo. Além disso, identificamos que alguns dos domínios envolvidos nestas campanhas estão ativos desde junho de 2018, o que pode representar um número maior de vítimas.

Os IOCs referentes a estas campanhas estão disponíveis no final deste artigo. Abaixo alguns exemplos dos emails de phishing usados por este ator.

Alerta de notificação judicial
Confirmação de pagamento
Aviso de emissão de Nota Fiscal Eletrônica

IOCS

Domínios

actcontabilidadeltdarh.com
admshoppinghostdigital.com
aeroconsultbras.com
aeroconsultbras2.com
amazoncontabilfinan.com
artrhvisual.com.br
assisteccontabilrh.com
atualadministracao.com
blbrhengenharia.com.br
cadastroboxemailrh.com
centralcoastfinanceiracontabil.com
cobrancafacilgruporh.com
consultafacilserasaexperian.com
consultoriafinanceirareserva.com
contabilidadebetaniam.com.br
contadorescnt.com.br
correiosrastrearsedex.com
costaccontabilidade.com.br
economicoscorreiosrastrear.com
empresatermosgerais.com
equipecobrancafinanceira.com
escritoriovirtualfinan.com.br
faturamentocontabil.com
faturamentofinaceirocontabil.com
faturasimplesltda.com
financeirocomerciodoc.com
financeirocontabiltda.com
gerencianetrh.com
grupodecontabilidade.com
grupooperandifinanceiro.com
homecontabilrh.com
imperiocobrancasrh.com
imperiocobrancasrh.com.br
imprensainadequadacorreios.com
marketingdeconteudorh.com
marketingdigitalcontabil.com
masterproprivrh.com
nfefazendaportalprincipal.com
portaldacontabilidaderh.com
raizcontabilrh.com
recursoscontabil.com
redboxfinanceiracontabil.com
rhgroupbrazil.com.br
servicescobrancas.com
shopingadmdigitalchi.com
solucao-financeirarh.com.br
solucaofinanceirarh.com
solucoesempresarial.com
suporteatendimentorh.com
suportegerenciador1.com

Hosts

a14.institutouniversalrh.com.br
sith24.financontabil.com.br
sith30.financontabil.com.br
jpn7.institutouniversalrh.com.br
a25.institutouniversalrh.com.br
jpn19.institutouniversalrh.com.br
bogs20.consultasjurisdocs.com.br
quin28.mp3gratis.com.br
dar25.consultasjurisdocs.com.br
hj20.musicasgratismp3.com.br
hj9.musicasgratismp3.com.br
rob23.empresasguiagerais.com.br
bim25.consultasjurisdocs.com.br
dol11.consultasjurisdocs.com.br
dar28.consultasjurisdocs.com.br
ray14.mp3gratis.com.br
bim14.consultasjurisdocs.com.br
rob12.empresasguiagerais.com.br
rob25.empresasguiagerais.com.br
bogs7.consultasjurisdocs.com.br
hj7.musicasgratismp3.com.br
hj4.musicasgratismp3.com.br
bogs6.consultasjurisdocs.com.br
dar13.consultasjurisdocs.com.br
rob24.empresasguiagerais.com.br
trin7.empresasguiagerais.com.br
live13.mp3gratis.com.br
cin13.empresasguiagerais.com.br
sb5.mp3gratis.com.br
trin5.empresasguiagerais.com.br
dar16.consultasjurisdocs.com.br
bim2.consultasjurisdocs.com.br
gd2.musicasgratismp3.com.br
gd5.musicasgratismp3.com.br
ray13.mp3gratis.com.br
gd14.musicasgratismp3.com.br
gd18.musicasgratismp3.com.br
dar9.consultasjurisdocs.com.br
ncn9.portaldecontabil.com.br
ht9.urlvoidcontabil.com.br
ncn12.portaldecontabil.com.br
ht12.urlvoidcontabil.com.br
ht11.urlvoidcontabil.com.br
ht7.urlvoidcontabil.com.br
klm10.urlvoidcontabil.com.br
klm13.urlvoidcontabil.com.br
klm1.urlvoidcontabil.com.br
ncn20.portaldecontabil.com.br
hj5.musicasgratismp3.com.br
ncn16.portaldecontabil.com.br
adri29.empresasguiagerais.com.br
adri7.empresasguiagerais.com.br
ncn4.portaldecontabil.com.br
klm2.urlvoidcontabil.com.br
adri30.empresasguiagerais.com.br
xc7.portaldecontabil.com.br
xc23.portaldecontabil.com.br
nc18.musicasgratismp3.com.br
adri13.empresasguiagerais.com.br
dr15.consultasjurisdocs.com.br
dr26.consultasjurisdocs.com.br
xc8.portaldecontabil.com.br
nc13.musicasgratismp3.com.br
dr24.consultasjurisdocs.com.br
adri22.empresasguiagerais.com.br
adri10.empresasguiagerais.com.br
adri11.empresasguiagerais.com.br
ht6.urlvoidcontabil.com.br
tufos6.musicasgratismp3.com.br
ht16.urlvoidcontabil.com.br
rt6.empresasguiagerais.com.br
ncn6.portaldecontabil.com.br
krn2.portaldecontabil.com.br
ncn17.portaldecontabil.com.br
ncn1.portaldecontabil.com.br
ht1.urlvoidcontabil.com.br
hj10.musicasgratismp3.com.br
tufos8.musicasgratismp3.com.br
ht5.urlvoidcontabil.com.br
lp2.urlvoidcontabil.com.br
krn1.portaldecontabil.com.br
xp2.consultasjurisdocs.com.br
ntw1.whoiscontabilrh.com.br
ht20.urlvoidcontabil.com.br
val18.urlvoidcontabil.com.br
xp29.consultasjurisdocs.com.br
adri1.empresasguiagerais.com.br
adri2.empresasguiagerais.com.br
dr18.consultasjurisdocs.com.br
adri4.empresasguiagerais.com.br
xp17.consultasjurisdocs.com.br
xp3.consultasjurisdocs.com.br
lp14.urlvoidcontabil.com.br
krn13.portaldecontabil.com.br
xp27.consultasjurisdocs.com.br
ncn2.portaldecontabil.com.br
ht13.urlvoidcontabil.com.br
xp4.consultasjurisdocs.com.br
dr28.consultasjurisdocs.com.br
dr7.consultasjurisdocs.com.br
dr3.consultasjurisdocs.com.br
xp26.consultasjurisdocs.com.br
lp8.urlvoidcontabil.com.br
ncn5.portaldecontabil.com.br
ncn13.portaldecontabil.com.br
xp9.consultasjurisdocs.com.br
xp23.consultasjurisdocs.com.br
adri15.empresasguiagerais.com.br
lp15.urlvoidcontabil.com.br
xp16.consultasjurisdocs.com.br
xp19.consultasjurisdocs.com.br
lp12.urlvoidcontabil.com.br
adri3.empresasguiagerais.com.br
val9.urlvoidcontabil.com.br
xp11.consultasjurisdocs.com.br
xp30.consultasjurisdocs.com.br
lp7.urlvoidcontabil.com.br
adri6.empresasguiagerais.com.br
xp24.consultasjurisdocs.com.br
krn6.portaldecontabil.com.br
rt25.empresasguiagerais.com.br
rt14.empresasguiagerais.com.br
clitoris19.whoiscontabil.com.br
serv6.whoiscontabil.com.br
jpz15.virtualjoiasbr.com.br
job13.virtualjoiasbr.com.br
serv10.whoiscontabil.com.br
serv13.whoiscontabil.com.br
val12.urlvoidcontabil.com.br
jpz9.virtualjoiasbr.com.br
val15.urlvoidcontabil.com.br
jpz8.virtualjoiasbr.com.br
lip7.whoiscontabil.com.br
lip12.whoiscontabil.com.br
lip8.whoiscontabil.com.br
job6.virtualjoiasbr.com.br
val6.urlvoidcontabil.com.br
jpz13.virtualjoiasbr.com.br
east13.virtualjoiasbr.com.br
duck8.whoiscontabilrh.com.br
duck7.whoiscontabilrh.com.br
limbzk1.whoiscontabilrh.com.br
myrra1.portaldecontabil.com.br

IPs

147.135.78.21
147.135.77.165
147.135.77.226
147.135.78.39
147.135.77.212
147.135.77.242
147.135.78.85
147.135.79.78
147.135.77.66
147.135.77.206
147.135.76.234
147.135.77.222
147.135.77.70
147.135.77.197
147.135.77.216
147.135.77.187
147.135.77.204
147.135.77.111
147.135.77.218
147.135.78.112
147.135.78.160
147.135.77.224
147.135.78.190
147.135.78.188
147.135.78.122
147.135.78.105
147.135.76.230
147.135.78.6
147.135.78.166
147.135.78.82
147.135.78.196
147.135.76.15