Investigando al actor detrás de una URL maliciosa

Hemos recibido la siguiente URL maliciosa hxxp://ntcorp.xyz/. Durante la investigación utilizaremos diversas herramientas y técnicas con la que intentaremos extraer toda la información posible.

Investigando la IP y el dominio

Comenzamos investigando el dominio de la URL que nos han enviado. Para ello utilizaremos herramienta whois de las diversas que hay en Internet.

No aporta gran información más allá del hosting y una dirección IP. El siguiente paso es verificar la reputación de este dominio y su IP. Utilizaremos diversas herramientas como VirusTotal, urlscan.io e IPVoid.

La IP no parece peligrosa, pero VirusTotal tiene registrados 4 archivos detectados como maliciosos.

Vamos a seguir en IPVoid

Aparentemente, es una IP legítima no registrada en listas negras. ¿Buena señal?

Vamos a probar el dominio en la herramienta urlscan.io

Tenemos dos resultados interesantes que no habíamos obtenido hasta el momento, Google detecta el dominio como malicioso y tenemos otra dirección. Vamos a volver a buscar la nueva IP en VirusTotal.

Dirección IP maliciosa.

Volvemos a IPVoid, para determinar si esta dirección IP está registrada en alguna lista negra.

Pero no está registrada en ninguna lista negra, de momento.

En urlscan.io, podemos ver otros dominios hospedados en la misma IP.

Y por el nombre de algunos dominios podemos ver cuáles han sido los objetivos de estos dominios (servicios bancarios, de inversión, de pago en línea…)

Investigando la URL

Podríamos comenzar realizando un raspado de directorios, por si hubiese algo de información que nos fuese útil en la investigación. Esta ocasión vamos a utilizar la herramienta Dirsearch.

Encotramos varias URL con posibles resultados vamos a analizarlas una a una para ver si hay información interesante.

En un directorio abierto que contenido una carpeta que nos devuelve un código 403 y un archivo ZIP al que si podemos acceder.

Vamos a seguir investigando la URL obtenida en VirusTotal apra ver si hay alguna información relevante que nos aporte a la investigación.

Tenemos resultados maliciosos. Continuamos la investigación. Ahora con otra herramienta muy útil para estos estudios, urlscan.io.

Pero en esta ocasión no nos aporta gran información, más allá de que Google lo detecta como malicioso. 

Analizando el kit de Phishing

Solo obtuvimos una URL que nos devolviera resultado anteriormente. La URL es hxxp://ntcorp.xyz/setup-dept/ADOBE-2021.zip. Descargamos este archivo ZIP para investigar su contenido. Puede ser un kit de Phishing, que nos puede aportar gran cantidad de información.

Descargamos el ZIP y vemos su contenido.

Los directorios css e images contienen los archivos que dan credibilidad al Phishing (imágenes de la empresa y CSS para que la web se parezca lo máximo a la suplantada). Nos centraremos en el archivo index.php y next.php.

Antes de nada, creamos el hash SHA256 del archivo ZIP descargado para buscar evidencias en urlscan.io y VirusTotal.

Dentro del ZIP hay múltiples archivos, pero dos de ellos están registrados como maliciosos, index.php y next.php, que son los dos archivos que vamos a estudiar. Comenzamos por el primero.

Lo primero que podemos ver en el archivo index.php, la intención es solicitarnos la dirección de email para desbloquearnos un supuesto archivo que hemos recibido.

Incluso alguna frase “graciosa” podemos ver en el código. Bromas aparte, seguimos analizando el código.

En esta parte del código es donde se carga, según la empresa de correo electrónica elegida, las imágenes para adaptar el formulario a dicha empresa y crear cierta sensación de confianza al usuario víctima.

El código anterior es el encargado de mostrar al usuario una interfaz y los mensajes que va generando la aplicación. De capturar las credenciales de la víctima, procesarlas y enviarlas al actor malicioso se encarga el archivo next.php

Continuamos analizando el otro archivo, next.php.

Comenzamos analizando el código contenido en este archivo. Este archivo se encarga de capturar las capturar las credenciales enviadas por el usuario, y no solo eso, también captura la dirección IP y el User Agent del navegador de la víctima. ¿Para qué sirve esta información? Dado que muchos estafadores buscan acceder a cuentas que se encuentran en otros países, la suplantación de identidad del navegador les permite comparar factores clave como el idioma, la zona horaria y otros datos basados ​​en la geolocalización.

Al manipular los mensajes del encabezado HTTP, su navegador envía una solicitud a un sitio web para que parezca ser de un navegador diferente.

Los sitios web se ejecutan y representan de manera diferente en diferentes navegadores, por lo que las discrepancias pueden desencadenar sistemas de prevención de fraude; los estafadores suelen utilizar la suplantación de identidad del navegador, ya que es más eficaz que una VPN o un proxy.

Otra información interesante que tenemos en el código es el nombre del posible creador “CrEaTeD bY Wolfcc” y dos direcciones de correo electrónico, general.richboi@yandex.com y hopengod@yandex.com .

El siguiente paso es, recabar toda la información posible utilizando los tres datos obtenidos en la lectura del código.

Investigando a los actores maliciosos

Investigando al creador del kit de Phishing

Vamos a comenzar por el nombre del supuesto creador, Wolfcc.

Primera búsqueda, básica en Google a ver si hay referencias a este nombre.

Tenemos un posible dominio, vamos a ver su contenido.

Creamos una cuenta de usuario, con datos ficticios.

Una vez registrados y logeados, esto es lo que nos encontramos en esa página web.

En esta web se venden los “productos” que vemos en la imagen anterior. Paneles de control, listas de emails, scampages (Phishing)… Hemos encontrado algo interesante y muy relacionado con la pista que tenemos.

Seguimos investigando un poco por la página, y vamos a scampages.

Son kits preparados para suplantar diversas entidades financieras de múltiples países. La divisa para comprar estos kits es el $. Para los kits mostrados en la imagen anterior el precio varía entre los 15 – 20 $.

Lo mismo ocurre con lotes de credenciales capturadas en ataques a empresas de servicios, servicios financieros… El precio varía entre los 11 – 22 $.

Y diversos productos más destinados a la ciberdelincuencia.

Navegando por la web hemos encontrado información que puede ser interesante. Tenemos un usuario para la aplicación Skype y otra para la app Discord.

  • Skype: wolfcc.ru
  • Discord: wolfcc.ru#9455

Además, si seguimos navegando, encontramos un acceso a Youtube pero que no redirige a esta web, sino a Twitter.

  • Twitter: @wolfcc5

De momento, abandonamos la web y seguimos a la búsqueda de más información.

Siguiendo con la búsqueda simple en Google, obtenemos otro resultado interesante.

Obtenemos otro usuario.

  • ICQ:@wolfcc

Vamos buscando resultados interesantes y tenemos otro:

Interesante un email y otro usuario ICQ

La búsqueda de información sobre el registro de los dominios que tenemos en los resultados no nos aporta información alguna, todos los datos permanecen ocultos, incluso consultando registros Whois históricos.

Siguiente paso, con los usuarios y direcciones de correos encontradas vamos a crear un perfil de esta persona.

¿Qué datos tenemos hasta el momento?

  • Skype: wolfcc.ru
  • Discord: wolfcc.ru#9455
  • ICQ:wolfcc.ru
  • Twitter: @wolfcc5
  • Email: harpermy.cc@gmail.com
  • ICQ: 694107586

La dirección de email anterior podemos confirmar que pertenece a un usuario de Skype llamado wolfcc.ru

También podemos confirmar una de las cuentas de ICQ

Otra técnica que nos puede reportar información interesante es hacer reversing a la imagen del perfil de ICQ, que además coincide con la imagen de perfil de Twitter.

Tenemos dos resultados interesantes.

  • Guthub: wolf-hacker-club
  • Email: wolfsecurity@protonmail.com

Vamos a investigar este nuevo email. Y obtenemos cierta información interesante.

Tenemos otra dirección de correo electrónico por comprobar y un perfil en Gravatar comprobado.

Utilizando los nombres de usuario que tenemos hasta el momento, vamos a utilizar la herramienta de línea de comando Sherlock para buscar redes sociales y sitios web donde esté registrado un username.

El username wolfcc5 está registrado en:

  • Twitter
  • dev.to

El username Wolfsecurity está registrado en:

  • Github

Investigando al actor malicioso

Tenemos dos direcciones de email donde era enviada la información captura a las víctimas del Phishing.

Para la dirección de correos hopengod@yandex.ru , tenemos una ID de Yandex.

Para la dirección de correos general.richboi@yandex.ru  , tenemos una ID de Yandex.

Pero no hay mucha más información relacionada con estas direcciones de correo electrónico.

No responses yet

Deja una respuesta

Tu dirección de correo electrónico no será publicada.