La investigación OSINT del artículo involucra la URL maliciosa hxxp://alquiladoralosangeles.com/bofa/Iogin/BofA/. Durante la investigación utilizaremos diversas herramientas y técnicas con la que intentaremos extraer toda la información posible.
Investigando la IP y el dominio
El primer paso será investigar el dominio donde encontramos el kit de Phishing.
El dominio es “alquiladoralosangeles.com”. Comenzamos investigando sus datos de registro.
Tenemos la primera información interesante. La empresa registradora es Domains By Proxy, LLC, que entre otros servicios ofrece la intermediación en la compra de dominios por lo que los datos que aparecen en el registro son los de esta empresa y no los reales. También sabemos que el dominio está alojado en los servidores de la empresa GoDaddy, LLC. Y también es interesante la dirección IP del servidor donde se aloja el dominio (50.XX.6.16). Servidor que comparte con otros 34 dominios (Los analizaremos en fases posteriores).
El siguiente paso es verificar la reputación de la dirección IP que hemos encontrado. Para ello, disponemos de varias herramientas.
Vamos a utilizar VirusTotal, AbuseIPDB e IPVoid.
VirusTotal no devuelve ninguna relación maliciosa para esta IP. Vamos a realizar la misma comprobación en AbuseIPDB e IPVoid.
En principio, no es una dirección IP relacionada con campañas masivas maliciosas ni registradas en listas negras.
Investigando la URL maliciosa
La URL maliciosa es hxxp://alquiladoralosangeles.com/bofa/Iogin/BofA/
El primer paso será investigarla en Virus Total para ver que tenemos entre manos.
Parece que empezamos a obtener los primeros resultados maliciosos. Seguimos investigando.
Vamos a utilizar la herramienta urlscan.io para extraer más información acerca de la URL que parece ser maliciosa.
Otra información que también nos aporta urlscan.io son los dominios maliciosos detectados que comparten IP con el dominio que estamos investigando y capturas de pantalla de estos sitios.
Otra cosa muy interesante que podemos hacer es calcular el hash 256 de la URL maliciosa para haciendo uso de las herramientas VirusTotal y urlscan.io, comparar este hash generado con los que tiene cada una de estas herramientas registrados en su base de datos. ¿Qué conseguimos con esto? Comparando dos hashes, podemos saber si dos contenidos son idénticos. Si esto lo trasladamos a nuestra investigación, podemos saber si este Phishing ha sido utilizado en otros dominios. Vamos paso a paso.
Calculamos el hash.
Una vez generado el hash, lo introducimos en Virus Total.
Parece que Virus Total ya tiene registrado este hash en su base de datos. Lo cual significa que puede que este Phishing haya sido utilizado en más campañas.
Si hacemos lo mismo con urlscan.io nos devuelve un total de 47 resultados de URL que comparten hash con la URL que estamos investigando, que significa esto que al menos durante los últimos 8 meses se ha estado utilizando este Phishing en diversas campañas.
Una vez obtenidas estas URL, podemos obtener más direcciones IP de servidores que han servido para enviar campañas de Phishing. Hemos obtenido las IP 158.106.130.125, 192.229.233.230, 13.57.248.4, 82.180.138.187, 119.18.54.105 y 207.174.215.130. Con estas IP podríamos volver a buscar más URL maliciosas que haya o estén formando parte de campañas de Phishing.
Interacción con el sitio web
Empezamos utilizando una herramienta que permite hacer capturas de sitios web sin necesidad de entrar. La herramienta es url2png.
Es el intento de suplantación de un conocido banco estadounidense. El siguiente paso será determinar cómo se comporta la web y que datos “roban”. Para ello, utilizaremos una VM aislada de nuestro host para evitar problemas de infección, VPN y proxys para evitar que localicen nuestra IP real.
Comenzamos realizando el paso a paso que los ciberdelincuentes quieren que realicemos.
Comenzamos iniciando sesión en la plataforma.
Después de esto, la plataforma quiere asegurarse de que el cliente es quien dice ser. (De esta manera capturan una mayor cantidad de datos).
Siguiente página (Seguimos regalando nuestros datos).
Entregamos los datos de nuestra tarjeta de crédito. Siguiente página.
Nos hacen enviar la contraseña de nuestro ¿email? ¿Para qué?
Esto es muy común que ocurra en las campañas de Phishing. ¿Por qué? Porque así el actor malicioso se asegura de que la víctima entrega su contraseña sin fallos, reduciendo de esta manera la cantidad de credenciales erróneas capturas.
Para dar la sensación de seguridad, tras finalizar el último paso, somos redireccionados a la página legítima de la entidad a la que están suplantando.
Kit de Phishing
Otra cosa que podemos encontrar utilizando la herramienta urlscan.io, son los kits de Phishing con los que se montan los sitios web maliciosos. En este caso, también hemos encontrado el ZIP del kit de Phishing.
URL: hxxp://alquiladoralosangeles.com/bofa/bank-of-america-RD875-detail3-detail-card-em(2).zip
Descargamos el kit, y vemos un poco de que partes está compuesto.
Los archivos HTML son las plantillas que dan forma al sitio web.
El archivo next.php es el encargado de ir capturando la información que introduce la víctima e gestionar el orden en el que aparecen las plantillas según introducen los datos los usuarios víctimas.
¿Qué información interesante tenemos en este archivo?
Tenemos este posible nombre de un creador o ejecutador de este Phishing.
En cada una de las páginas que capturan datos vemos que capturan la IP (con su localización) y el User Agent del usuario víctima.
Las carpetas css e images contienen las diversas imágenes y archivos complementarios para la correcta ejecución del Phishing.
El archivo email.php contiene la dirección de correo electrónico donde se enviarán cada una de las credenciales que vayan siendo capturaras por el sitio web. También nos puede servir para investigar al actor malicioso.
El archivo “bdscefdcefcdsx.html” es el encargado de realizar la redirección al sitio web legítimo después de completar cada uno de los pasos del Phishing.