-
@ SQU4NCH
2025-02-25 20:28:16
Analise de um phishing que recebi do Nubank
Acessando a url no navegador, o usuário é redirecionado para a página oficial do Nubank
https://m.primal.net/PLJI.png
Provavelmente isso acontece porque o alvo do atacante não é o ambiente desktop, como o Nubank é um banco digital, provavelmente o alvo dele pode ser dispositivos móveis, então alterei o user-agent para o de um dispositivo Android, e assim consegui acessar a aplicação
https://m.primal.net/PLJJ.png
Analisando o código fonte, foi possível identificar que a aplicação recebe os dados do usuário e envia para "validar.php"
https://m.primal.net/PLJK.png
Acessando o endereço "validar.php", foi possível descobrir que o atacante está utilizando um servidor xampp
https://m.primal.net/PLJL.png
Por padrão, o xampp vem com a listagem de diretórios habilitada, então realizei uma busca por alguns diretórios conhecidos para descobrir se o "Chico" mudou essa configuração, e como pode ser visto abaixo, as configurações do servidor não foram alteradas
Acessando a pasta "uploads", foi possível encontrar algumas imagens
https://m.primal.net/PLJN.png
Será esse o "chico"?
https://m.primal.net/PLJO.png
Acessando o diretório "foto", foi possível encontrar algumas imagens, de uma possível vítima
https://m.primal.net/PLJR.png
https://m.primal.net/PLJV.png
Também foi possível encontrar alguns dados da vítima no arquivo "foto/dados.txt"
https://m.primal.net/PLJW.png
Acessando o diretório "infos", foi possível encontrar os dados de várias vitimas, separadas por CPF
https://m.primal.net/PLJX.png
Entre os dados estão: nome, e-mail, senha do app, senha do e-mail, telefone, endereço e uma selfie segurando um documento
https://m.primal.net/PLJZ.png
Encontrei 2 possíveis IPs para esse servidor:
198.50.129.182
18.230.6.152
Porém, o servidor saiu do ar antes que eu pudesse pegar uma shell..