Phishing – Vitória do Xingu

Já relatamos aqui no Lab casos de phishings em diferentes entidades públicas, algumas com registros reiterados (Sorria, tem pescaria na Bahia, a saga continuafisherei, phishing 2.0, phishing BNDESphishing BNDES2 e Espírito Santo).

Nosso Sistema de Monitoramento Avançado Persistente detectou novo caso de phishing contra município de Vitória do Xingu, no estado do Pará, hospedado na URL http://vitoriadoxingu.pa.gov.br/components/com_users/samijinkor.php.

Phishing – Vitória do Xingu/PA

Como é possível observar a página se refere ao TSB Bank, instituição financeira britânica, com o objetivo de obter credenciais de acesso ao seu internet banking.

Ao executar o comando:

wget -qO- http://vitoriadoxingu.pa.gov.br/components/com_users/samijinkor.php

Obtém-se o seguinte código fonte.

<script> 
var isOpera = (!!window.opr && !!opr.addons) || !!window.opera || navigator.userAgent.indexOf(' OPR/') >= 0;
var isChrome = !!window.chrome && !!window.chrome.webstore;
var isFirefox = typeof InstallTrigger !== 'undefined';
var isSafari = Object.prototype.toString.call(window.HTMLElement).indexOf('Constructor') > 0;
var isMobile = function detectmob() {if(window.innerWidth <= 800 && window.innerHeight <= 600) {return true;} else {return false;}};
if(isChrome || isOpera || isFirefox || isSafari || isMobile == 'true'){window.location='redirt.php';}else{document.write('<h2>This browser is not supported!<br><small>Please use a different broswer.</small></h2>');}
</script>

O código acima testa o navegador do usuário e somente autoriza o acesso no caso de navegadores notórios (Chrome, FireFox, Opera, Safari) e com resolução de tela superior  ou igual a 800×600.

Uma vez presentes os requisitos de navegador e de resolução de tela, o código acima redireciona o usuário para a página redirt.php, que em seguida redireciona para http://engepool.com.br/wp-includes/pomo/pasta/, que, de fato, é quem hospeda o phishing.

Observação

O sistema de Monitoramento Avançado Persistente possui histórico sobre o domínio vitoriadoxingu.pa.gov.br,  identificou uma desfiguração de página praticada pelo hacker indonésio Santi Boy, em novembro de 2017.