Escenario
Un atacante comprometió un servidor y se hizo pasar por
https://pancakeswap.finance/, un intercambio descentralizado nativo de BNB
Chain, para alojar un kit de phishing en
https://apankewk.soup.xyz/mainpage.php. El atacante lo estableció como un
directorio abierto con el nombre de archivo "pankewk.zip".
Con el kit de phishing, se le solicita que lo analice y haga su tarea de
inteligencia de amenazas.
Preguntas
¿Qué billetera se utiliza para pedir la frase semilla?
La billetera utilizada para pedir la frase semilla es: Metamask. La información se obtuvo del directorio /pankewk/metamask/index.php.
¿Cuál es el nombre del archivo que tiene el código para el kit de phishing?
El nombre del archivo que tiene el código para el kit de phishing es: metamask.php. La información se obtuvo del directorio /pankewk/metamask/.
¿En qué lengua de programación se escribió el kit?
El kit está escrito en el lenguaje de programación php. La información se obtuvo del directorio /pankewk/metamask/ y la función file de Linux.
¿Qué servicio utiliza el kit para recuperar la información de la máquina de la víctima?
El servicio que utiliza es: sypex geo. Analizando el código del archivo metamask.php en las primeras líneas muestra el servicio que utiliza para recopilar información de la máquina víctima.
Nota
Sypex Geo es un producto para determinar la ubicación de un visitante por dirección IP, de los creadores de Sypex Dumper. Habiendo recibido una dirección IP, Sypex Geo proporciona información sobre la ubicación del visitante: país, región, ciudad, coordenadas geográficas.
Sypex Geo está distribuido bajo licencia BSD, es decir, es absolutamente gratuito.
¿Cuántas frases semilla ya se recopilaron?
Se han recopilado 3 (tres) frases semillas. La información se obtuvo desde el archivo log.txt que se encuentra en el directorio /pankewk/log.
La ruta del archivo se obtuvo en el archivo metamask.php, en la línea número 37. Allí se muestra cómo se codifica (@file_put_contents($_SERVER['DOCUMENT_ROOT'].'/log/'.'log.txt', $text, FILE_APPEND);) la escritura del archivo log.txt.
ahora analizaremos el código de la línea 37:
$_SERVER[DOCUMENT_ROOT], esta instrucción recupera información del entorno de servidor y de ejecución. Con el parámetro DOCUMENT_ROOT, se obtiene el directorio raíz donde se ejecuta el script.
Como se puede observar al final de la línea del código esta la constante FILE_APPEND, esta instrucción lo que hace es escribir al final del archivo. Por lo tanto, la última frase siempre va hacer la que se escribe al final del archivo.
Por último, se concatena el directorio /log/log.txt donde se registran las frases semilla. La ruta completa quedaría como sigue: /pankewk/log/log.txt
¿Escriba la frase inicial del incidente de phishing más reciente?
La frase inicial del incidente de phishing más reciente es: father also recycle embody balance concert mechanic believe owner pair muffin hockey. La información se obtuvo del archivo.txt. Para obtener la frase del incidente de phishing más recientes toca revisar nuevamente en script metamask.php en la línea 37 del script.
Como se puede observar al final de la línea del código esta la constante FILE_APPEND, esta instrucción lo que hace es escribir al final del archivo. Por lo tanto, la última frase siempre va hacer la que se escribe al final del archivo.
¿Qué medio se había utilizado para el dumping de credenciales?
El medio utilizado para el dumping de credenciales es: Telegram. La información se obtuvo del archivo metamask.php en la línea 34.
¿Cuál es el token para el canal?
El token del canal es: 5457463144:AAG8t4k7e2ew3tTi0IBShcWbSia0Irvxm10. La información se obtuvo del archivo metamask.php en la línea 33.
¿Cuál es el ID de chat del canal del phisher?
El ID del chat es: 5442785564. la información se obtuvo del archivo metamask.php en la línea 32.
¿Cuál es el alias del desarrollador del kit de phishi?
El alias del desarrollo del kit de phishing es: j1j1b1s@m3r0. La información se obtuvo del archivo metamask.php. En la línea 16.
¿Cuál es el nombre completo del actor phish?
El nombre completo es: Marcus Aurelius. Para obtener el nombre completo de actor se tuvo que utilizar la API de Telegram.
Con la información recopilada del archivo metamask.php como el ID, Token y la url de la API de Telegram enviaremos un mensaje para obtener el nombre completo del actor phish.
La url quedaría de la siguiente manera: https://api.telegram.org/bot5457463144:AAG8t4k7e2ew3tTi0IBShcWbSia0Irvxm10/getChat?chat_id=5442785564
El nombre de usuario es: pumpkinboii. La información se obtuvo realizando la consulta a API de Telegram.
https://api.telegram.org/bot5457463144:AAG8t4k7e2ew3tTi0IBShcWbSia0Irvxm10/getChat?chat_id=5442785564
Happy Hack!!!
Comentarios
Publicar un comentario