Inicio Colaboración Investigando al actor detrás de una URL maliciosa

Investigando al actor detrás de una URL maliciosa

Por

noviembre 28, 2022

5252

Hemos recibido la siguiente URL maliciosa hxxp://ntcorp.xyz/. Durante la investigación utilizaremos diversas herramientas y técnicas con la que intentaremos extraer toda la información posible.

Investigando la IP y el dominio

Comenzamos investigando el dominio de la URL que nos han enviado. Para ello utilizaremos herramienta whois de las diversas que hay en Internet.

whois.domaintools.com

No aporta gran información más allá del hosting y una dirección IP. El siguiente paso es verificar la reputación de este dominio y su IP. Utilizaremos diversas herramientas como VirusTotal, urlscan.io e IPVoid

La IP no parece peligrosa, pero VirusTotal tiene registrados 4 archivos detectados como maliciosos.

Vamos a seguir en IPVoid

Aparentemente, es una IP legítima no registrada en listas negras. ¿Buena señal?

Vamos a probar el dominio en la herramienta urlscan.io

Tenemos dos resultados interesantes que no habíamos obtenido hasta el momento, Google detecta el dominio como malicioso y tenemos otra dirección. Vamos a volver a buscar la nueva IP en VirusTotal.

Dirección IP maliciosa.

Volvemos a IPVoid, para determinar si esta dirección IP está registrada en alguna lista negra

Pero no está registrada en ninguna lista negra, de momento.

En urlscan.io, podemos ver otros dominios hospedados en la misma IP.

Y por el nombre de algunos dominios podemos ver cuáles han sido los objetivos de estos dominios (servicios bancarios, de inversión, de pago en línea…)

Investigando la URL

Podríamos comenzar realizando un raspado de directorios, por si hubiese algo de información que nos fuese útil en la investigación. Esta ocasión vamos a utilizar la herramienta dirsearch.

Encotramos varias URL con posibles resultados vamos a analizarlas una a una para ver si hay información interesante.

En un directorio abierto que contenido una carpeta que nos devuelve un código 403 y un archivo ZIP al que si podemos acceder.

Vamos a seguir investigando la URL obtenida en VirusTotal para ver si hay alguna información relevante que nos aporte a la investigación.

Tenemos resultados maliciosos. Continuamos la investigación. Ahora con otra herramienta muy útil para estos estudios, urlscan.io.

Pero en esta ocasión no nos aporta gran información, más allá de que Google lo detecta como malicioso.

Analizando el kit de Phishing

Solo obtuvimos una URL que nos devolviera resultado anteriormente. La URL es hxxp://ntcorp.xyz/setup-dept/ADOBE-2021.zip. Descargamos este archivo ZIP para investigar su contenido. Puede ser un kit de Phishing, que nos puede aportar gran cantidad de información.

Descargamos el ZIP y vemos su contenido.

Los directorios css e images contienen los archivos que dan credibilidad al Phishing (imágenes de la empresa y CSS para que la web se parezca lo máximo a la suplantada). Nos centraremos en el archivo index.php y next.php.

Antes de nada, creamos el hash SHA256 del archivo ZIP descargado para buscar evidencias en urlscan.io y VirusTotal.

Dentro del ZIP hay múltiples archivos, pero dos de ellos están registrados como maliciosos, index.php y next.php, que son los dos archivos que vamos a estudiar.

Comenzamos por el primero.

Lo primero que podemos ver en el archivo index.php, la intención es solicitarnos la dirección de email para desbloquearnos un supuesto archivo que hemos recibido.

Incluso alguna frase “graciosa” podemos ver en el código. Bromas aparte, seguimos analizando el código.

En esta parte del código es donde se carga, según la empresa de correo electrónica elegida, las imágenes para adaptar el formulario a dicha empresa y crear cierta sensación de confianza al usuario víctima.

El código anterior es el encargado de mostrar al usuario una interfaz y los mensajes que va generando la aplicación. De capturar las credenciales de la víctima, procesarlas y enviarlas al actor malicioso se encarga el archivo next.php

Continuamos analizando el otro archivo, next.php.

Comenzamos analizando el código contenido en este archivo. Este archivo se encarga de capturar las capturar las credenciales enviadas por el usuario, y no solo eso, también captura la dirección IP y el User Agent del navegador de la víctima. ¿Para qué sirve esta información? Dado que muchos estafadores buscan acceder a cuentas que se encuentran en otros países, la suplantación de identidad del navegador les permite comparar factores clave como el idioma, la zona horaria y otros datos basados en la geolocalización.

Al manipular los mensajes del encabezado HTTP, su navegador envía una solicitud a un sitio web para que parezca ser de un navegador diferente.

Los sitios web se ejecutan y representan de manera diferente en diferentes navegadores, por lo que las discrepancias pueden desencadenar sistemas de prevención de fraude; los estafadores suelen utilizar la suplantación de identidad del navegador, ya que es más eficaz que una VPN o un proxy.

Otra información interesante que tenemos en el código es el nombre del posible creador “CrEaTeD bY ****” y dos direcciones de correo electrónico, ****@yandex.com y ****@yandex.com.

El siguiente paso es, recabar toda la información posible utilizando los tres datos obtenidos en la lectura del código.

Investigando a los actores maliciosos.

Investigando al creador del kit de Phishing

Después de realizar el análisis de un kit de Phishing que encontramos en un Open Redirect, en uno de los archivos contenidos, encontramos el nombre de la persona/organización que desarrolló/vendió el kit. El objetivo es extraer toda la información disponible en Internet sobre este nombre. Vamos a por ello. Primera búsqueda, básica en Google a ver si hay referencias a este nombre.

Tenemos un posible dominio, vamos a ver su contenido.

Creamos una cuenta de usuario, con datos ficticios.

Una vez registrados y logeados, esto es lo que nos encontramos en esa página web.

En esta web se venden los “productos” que vemos en la imagen anterior. Paneles de control, listas de emails, scampages (Phishing)… Hemos encontrado algo interesante y muy relacionado con la pista que tenemos.

Seguimos investigando un poco por la página, y vamos a scampages.

Son kits preparados para suplantar diversas entidades financieras de múltiples países. La divisa para comprar estos kits es el $. Para los kits mostrados en la imagen anterior el precio varía entre los 15 – 20 $.

Lo mismo ocurre con lotes de credenciales capturadas en ataques a empresas de servicios, servicios financieros… El precio varía entre los 11 – 22 $.

Y diversos productos más destinados a la ciberdelincuencia.

Navegando por la web hemos encontrado información que puede ser interesante. Tenemos un usuario para la aplicación Skype y otra para la app Discord.

Además, si seguimos navegando, encontramos un acceso a Youtube pero que no redirige a esta web, sino a Twitter.

De momento, abandonamos la web y seguimos a la búsqueda de más información.

Siguiendo con la búsqueda simple en Google, obtenemos otro resultado interesante.

Vamos buscando resultados interesantes y tenemos otro:

La búsqueda de información sobre el registro de los dominios que tenemos en los resultados no nos aporta información alguna, todos los datos permanecen ocultos, incluso consultando registros Whois históricos.

Siguiente paso, con los usuarios y direcciones de correos encontradas vamos a crear un perfil de esta persona.

La dirección gmail que encontramos anteriormente podemos confirmar que pertenece a un usuario de Skype llamado ****.ru

También podemos confirmar una de las cuentas de ICQ

Otra técnica que nos puede reportar información interesante es hacer reversing a la imagen del perfil de ICQ, que además coincide con la imagen de perfil de Twitter.

Tenemos dos resultados interesantes.

Vamos a investigar este nuevo email. Y obtenemos cierta información interesante.

Utilizando los nombres de usuario que tenemos hasta el momento, vamos a utilizar la herramienta de línea de comando Sherlock para buscar redes sociales y sitios web donde esté registrado un username.

El username wolfcc5 está registrado en:

Twitter

dev.to

Si investigamos el perfil de GitHub de ****, tenemos un nombre de usuario relacionado con la dirección de correo ****@protonmail.com

Y otra organización, ****.

Vamos a comenzar haciendo reversing de las dos imágenes que tenemos para buscar relaciones.

La búsqueda reversa de la imagen del lobo de Wolf-Technologies no devuelve ningún resultado, mientras que la de la imagen de usuario nos devuelve lo siguiente.

Seguimos realizando búsquedas que relacionen a todas las partes implicadas. Y obtenemos un perfil para un club de seguidores de Linux en Brasil.

Además de una cuenta en Linkedin e Instagram.

¿Qué otra cosa podemos buscar? La web hxxps://****.ru/ tiene Favicon. Vamos a calcular el hash de este Favicon, y con la herramienta ZoomEye, vamos a determinar si existen más sitios web con el mismo Favicon. Este nos puede indicar páginas webs que se dediquen a la misma actividad o pertenezcan al mismo usuario.

Calculamos el hash de Favicon con nuestro script.

Realizamos la búsqueda en ZoomEye.

Como resultado tenemos dos dominios, el que ya teníamos en resultados (****.ru) y otro nuevo, (****.club). Vamos a ver el contenido del segundo dominio.

Como ya ocurriese con ***.ru, ****.club es un sitio web de venta de herramientas para actos de ciberdelincuencia. Vamos a investigar un poco a ver si encontramos algo interesante.

Tenemos una dirección de correo electrónico, un usuario de Skype y un usuario de ICQ.

Seguimos buscando información interesante.

La información de la base de datos Whois no nos aporta ninguna información, toda la información está oculta por temas de privacidad.

Vamos a investigar la información de la última imagen.

Comenzamos con el email.

Tenemos el usuario de Skype que anteriormente, pero tenemos una imagen de perfil.

Siguiente paso, reversing a la imagen obtenida por si es compartida en otro perfil de este usuario. Pero no obtenemos nada concluyente al realizar la búsqueda inversa de esta imagen.

Otro paso que nos puede aportar información interesante es la Ingeniería Social. En la web dicen que aceptan pagos mediante criptodivisas pero no aportan las direcciones de las wallets. Debemos preguntar al administrador. Pues hacemos eso, que dicen que hagamos y tenemos una wallet BTC.

Investigando al actor malicioso

Tenemos dos direcciones de email donde era enviada la información captura a las víctimas del Phishing.

****@yandex.ru
****@yandex.ru

Para la dirección de correos ****@yandex.ru , tenemos una ID de Yandex.

Para la dirección de correos ****@yandex.ru , tenemos una ID de Yandex.

Pero no hay mucha más información relacionada con estas direcciones de correo electrónico.

IoCs

Para buscar los IOC, vamos a hacer lo siguiente. Vamos a calcular el hash SHA256 tanto del sitio web malicioso como del archivo ZIP que contiene el kit de Phishing utilizado para montar estos sitios maliciosos. Después, una vez calculado este hash, vamos a utilizar las herramientas urlscan.io y Virus Total para hacer una comparación entre nuestros dos hashes y los que tienen registrados en sus bases de datos. De esta manera, podemos ver que sitios web tienen una estructura similar, que sitios web utilizan el mismo kit de Phishing que estamos investigando y que direcciones IP tienen estos sitios web.