Introducción
Investigación rápida sobre un nuevo intento de estafa mediante la técnica de phishing contra la empresa de electrónica Union Bank of the Philippines.
Se envían mensajes maliciosos desde números disponibles en webs de números de teléfonos temporales, que contienen un enlace a un dominio que está alojada en un servidor con IP 125.212.243.110. El dominio en cuestión es https://www.bambooedu.vn/support/
Comenzamos la investigación
Análisis de la IP de origen
La URL que estamos investigando, se encuentra alojada en un servidor con IP 125.212.243.110. Vamos a comenzar analizando la reputación y relacionados de esta IP.
Podemos comenzar con la herramienta URL IP LOOKUP.
Ya tenemos los primeros indicios de peligrosidad de esa IP relacionados con temas de Phishing. También sabemos datos como la localización de esa IP y a que organización pertenece.
Vamos a Virus Total, a ver qué información podemos extraer.
En principio, Virus Total no relacionan a esta IP con temas relacionados con ciberdelincuencia. Pero si, cambiamos de vista.
Vemos que desde esta IP se han propagado hasta 134 archivos diferentes de dudosa legitimidad. Si analizamos uno a uno cada uno de estos archivos, vemos que la mayoría son malware de tipo Troyano.
Esta IP la podemos encontrar en una lista de IOCs relacionada con el troyano bancario Emotet.
Análisis del dominio
Comenzamos analizando los registros whois del dominio bambooedu.vn
El dominio no tiene información publicada en los registros de Whois. ¿Sospechoso? En los registros históricos tampoco hay registrada información sobre el dominio.
Vamos con la URL.
En principio parece un sitio web legítimo. El siguiente paso, será investigarlo en la herramienta online Virus Total.
Tenemos resultados. Es un sitio web utilizado en temas relacionados con campañas de Phishing. Pero no aporta más información relevante.
El siguiente paso, urlscan.io.
Análisis de certificados
Otra información que puede ser útil es verificar los certificados de seguridad. Todos los sitios web destinados a fines maliciosos no disponen de conexión HTTPS, pero cada vez se está extendiendo más su uso, a razón que aparecen entidades que generan estos certificados de forma gratuita o a muy bajo coste.
A través de estos certificados podemos obtener información muy interesante como veremos a continuación.
Por ejemplo, esta web que está realizando una suplantación de identidad a la entidad Union Bank of the Philippines dispone de conexión https con certificado emitido por Let´s Encrypt.
Otra información interesante que se puede extraer a través de los certificados son los dominios que comparten certificados, sus huellas digitales…
Con esta información también podemos realizar la siguiente búsqueda en Shodan:
ssl.cert.serial:044524047C336EE4C66D7D4556A0B076D446
Pero no obtenemos resultados relacionados.
Análisis del sitio web
A continuación, vemos una captura del sitio web, donde tenemos un formulario de inicio de sesión (método phishing más común).
Listado de directorios
Vamos a realizar una enumeración de directorios, que nos puede aportar gran cantidad de información muy interesante. Para a utilizar dirsearch para ello, aunque sirve cualquier herramienta de enumeración de directorios.
Hay un archivo zip que se llama igual que el directorio donde se almacena el Phishing. Vamos a ver el contenido.
Parece un kit de Phishing. Más adelante analizaremos su contenido.
Interacción con el sitio web
Vamos a iniciar las herramientas para desarrolladores y al mismo tiempo vamos a introducir unas credenciales al azar para ver el comportamiento.
Posteriormente, pide un número de teléfono para enviarnos el código seguro de validación.
Todos los códigos OTP que introduzcamos serán inválidos, pero ya tendrán las credenciales.
Desgranando el kit de Phishing
Vamos a analizar el el kit de Phishing para ver si podemos encontrar información interesante.
La carpeta online contiene los archivos que dan realismo al Phishing (HTML, CSS…) Los archivos PHP en imagen son los encargados del tratamiento de las credenciales que el usuario introduce por la web.
El archivo index.php es la vista principal del sitio web, donde se van a pedir las credenciales de inicio de sesión del usuario.
La información de las credenciales se envía al archivo index-info.php
Vemos los datos del usuario y el Bot de Telegram donde serán enviadas cada una de las credenciales que sean capturadas.
El siguiente paso será pedirnos el número de teléfono para enviarnos el código OTP. Eso se realiza en el archivo veri.php
Envía el número de teléfono al archivo veri-info.php
Próximo paso, archivo confir.php. Aquí es donde nos pedirá el código OTP que nos han enviado al número de teléfono anterior.
Llegamos a la última fase, archivo confir-info.php. Aquí se comprobará que el código OTP es correcto.
Investigando a los actores maliciosos
Al analizar el archivo veri-info.php, podemos ver la siguiente información interesante.
Hay varias formas con las que los ciberdelincuentes envían las credenciales capturadas. Algunas de ellas son, a través de emails o mediante el uso de bots de Telegram, como es este caso. Para ello, es necesario el token del bot de Telegram y la ID de un usuario.
Utilizando el siguiente script desarrollado en Python, podemos obtener el perfil del usuario de Telegram que está ejecutando este Phishing.
Tendriamos la ID y el nombre del usuario que ejecuta el ataque de Phishing.
- Bot de Telegram: https://t.me/****
- Usuario de Telegram: https://t.me/****
Pero después de realizar tareas de OSINT con el nombre de usuario encontrado, no localizamos información interesante. Después de varios días, estas cuentas de Telegram ya no existen, lo que nos puede indicar que solo se crean para ejecutar la estafa.
El siguiente vector de búsqueda lo encontramos en otro archivo.
Vamos a ver si encotramos información de este usuario. Vamos a ello.
- Perfil GitHub: https://github.com/****
Vamos a investigar cada uno de los perfiles que hemos encontrado en esta cuenta de GitHub.
- Twitter: https://twitter.com/****
- Telegram: https://t.me/****
- Telegram: https://t.me/****
- ICQ: https://icq.im/****
- Facebook: https://www.facebook.com/people/****/
- Facebook: https://www.facebook.com/**** /
También podemos extraer información del perfil de GitHub utilizando nuestro script githubscraper.
Tenemos tres sitios web, de los cuales dos de ellos no funcionan. Vamos a buscar información interesante en el dominio http://****.github.io/
Encontramos otra cuenta de GitHub: https://github.com/****
Y otra dirección de email.
Encontramos otra dirección email que no teniamos registrada hasta ahora. Vamos a imvestigarla utilizando Maltego.
Maltego nos devuelve mucha información de ese email, pero después de eliminar aquellos que no son útiles ni relacionados, llegamos a otro perfil de GitHub. GitHub: https://github.com/****
¿Qué hay interesante en este perfil de GitHub?
Otro sitio web. Vamos a ver su contenido.
Tenemos el CV virtual del individuo que programa los kits de Phishing.
Más información interesante que procederemos a verificar.
Seguimos realizando busquedas en otros metabuscadores menos conocidos y con la busqueda “nombre_de_usuario” encontramos un resultado muy interesante.
Una relación entre el nombre de esta persona, su username, su email oficial para temas de ciberdelitos y la misma introducción que podemos leer en la cuenta de GitHub y Twitter de usuario.
Pruebas de algunos cibreataques realizados por este usuario.
IOCs
Para buscar los IOC, vamos a hacer lo siguiente. Vamos a calcular el hash SHA256 tanto del sitio web malicioso como del archivo ZIP que contiene el kit de Phishing utilizado para montar estos sitios maliciosos. Después, una vez calculado este hash, vamos a utilizar las herramientas urlscan.io y Virus Total para hacer una comparación entre nuestros dos hashes y los que tienen registrados en sus bases de datos. De esta manera, podemos ver que sitios web tienen una estructura similar, que sitios web utilizan el mismo kit de Phishing que estamos investigando y que direcciones IP tienen estos sitios web.
- www.bambooedu.vn/support/
- online.unionbankph.com/online-banking/login
- mytradeacademy.com/union/UBCare/login
- linkhealthing.com/UBCare/login
- panziowagner.hu/wp-content/UBCare/login
- kissanmazra.com/UnionBank/online/login
- princetonsailing.com/ub/
- crystalsvillage.com/UnionPayPH/UnionPayPH/640258597cbc50037072712f964cf5d8/
- ubhelpph.com/online/login
- lorimiddleton.com/%20/online.unionbankph.com/
- jdmchemical.com/%20/online.unionbankph.com/
- kettlebeers.com/%20/online.unionbankph.com/?
- googlepositioning.com/%20/online.unionbankph.com/?
- noboundarieslearning.biz/%20/online.unionbankph.com/?
- entrnow.com/%20/online.unionbankph.com/?
- pak-tours.com/online/login
- bvag.com.vn/online/login
- 125.212.243.110
- 95.100.96.34
- 95.100.96.32
- 192.185.17.128
- 164.52.220.147
- 34.68.145.47
- 64.62.254.150
- 34.102.136.180
- 15.197.142.173
- 3.33.152.147
- 148.72.244.79
- 195.179.236.112
- 103.139.102.102
- df00da1d36f56a035439674ff10e54205c94a9cae55f2da6cfe58653a1b50f29
- 03c1ce963c323b9254ab601832c2630da3f4607d8b8fd33bbaad36c2622292f8
- 5f5511cd77d6e5c9fccd39b64ee72d020ee980e3dc71150899d10705a52c0458
- b6f116d4d86153c2789fd6a648884385634adc51911afa36efc9097eb1c9290e
No responses yet