Historia de dos phishing


Investigación realizada en conjunto con Oliver Hough.

Binance es uno de los intercambios de criptomonedas más grandes del mundo, por lo que no es de extrañar que a menudo los delincuentes se dirijan a las cuentas de Binance en sus campañas de phishing, pero no todos los kits de phishing son iguales. En esta publicación, lo guiaremos a través de dos kits que hemos visto recientemente implementados.

Finalmente, analizaremos la extensión de los dominios utilizados en varias campañas y las redes utilizadas para alojar estos kits.

Inicio de sesión falso simple

En mercados más sombríos, puede comprar un kit de phishing de inicio de sesión falso con el tema de casi cualquier organización, incluidos sitios de citas, bancos, proveedores de correo electrónico y casas de cambio de divisas, todo por unos pocos dólares. Estos kits suelen estar escritos en PHP y suelen incluir lo siguiente;

  • Página de inicio de sesión clonada de la organización temática de los kits.
  • Archivo de configuración para definir dónde enviar las credenciales robadas y otras opciones.
  • Lista negra precargada de aplicación de la ley conocida, laboratorios de análisis de malware y otros rangos de IP "incorrectos".

Echemos un vistazo al simple kit de inicio de sesión falso de Binance y cómo funciona.


Se nos presenta un cuadro de inicio de sesión de Binance completo con una advertencia que nos dice que verifiquemos que estamos en la página de inicio de sesión real (no lo estamos), asumimos que esto se deja allí, ya que ha sido parte de la página de inicio de sesión real durante tanto tiempo que la página falsa parecería sospechosa sin ella. Los usuarios están acostumbrados a verlo cuando inician sesión, y si esto no fuera real, no lo mostrarían, ¿verdad? Mal, aquí están jugando con lo que el usuario está acostumbrado a ver, agrega legitimidad.

Una vez que completamos nuestros datos de inicio de sesión, se nos envía a un viaje bastante extraño.

El primer lugar donde terminamos es en un formulario temático de Binance que solicita más información, como nuestro nombre completo, dirección de correo electrónico y número de teléfono.


Después de completar esto, no importa qué correo electrónico ingresemos ¯_ (ツ) _ / ¯ se nos envía a una página de inicio de sesión falsa de Yahoo pidiendo nuevamente nuestro correo electrónico y contraseña. En este punto, sabemos que el actor solo está interesado en apuntar a un cierto subconjunto de usuarios de Binance que también usan el correo de Yahoo.


Una vez que completamos nuestros datos de inicio de sesión nuevamente, se nos lleva a una página de Yahoo 2FA que solicita nuestro token de autenticación, tenga en cuenta que esto no es un token de SMS, es un código 2FA de la aplicación Yahoo Authenticator. Curiosamente, nuestro actor tampoco quiere apuntar a usuarios de SMS 2FA.


Después de completar nuestro token, se nos redirige nuevamente, esta vez de regreso al formulario temático de Binance, solicitando un token de Autenticador de Google.



Bien, ahora sabemos cuál es el grupo demográfico objetivo de nuestros actores;

  • Usuario de Binance
  • Usuario de Yahoo Mail
  • Utiliza la aplicación Yahoo Authenticator
  • Utiliza Google Authenticator / Authy

Una vez que ingresamos el token de autenticación de Google, se nos lleva a una página de carga que espera unos segundos y luego nos lleva de regreso al indicador del token.


El backend ha enviado los detalles de autenticación a cada servicio y ha recopilado las cookies de autenticación. El actor ahora tiene todo lo que necesita para acceder a nuestra cuenta de Binance y lidiar con cualquier correo electrónico de confirmación molesto que puedan necesitar para navegar mientras agota nuestros fondos ganados con tanto esfuerzo.

Inicio de sesión falso: la próxima generación

Ahora echemos un vistazo al kit que vimos implementado hace solo unos días. Visualmente se ve casi exactamente igual que el kit anterior pero es mucho más inteligente.

Primero se nos presenta la misma página de destino que el kit anterior e ingresamos nuestras credenciales. Ahora, en lugar de ser enviados a una página que solicita más información o una página de proveedor de correo electrónico estático, se nos envía a una página que nos aconseja esperar.

Debajo del capó vemos que está sucediendo algo muy extraño, un conjunto de solicitudes HTTP GET y POST en bucle continuo.


Al profundizar en el javascript incluido en la página, encontramos que la página está esperando una determinada respuesta JSON, luego, dependiendo de la respuesta, se nos redirige al siguiente paso.


Hay muchos valores diferentes que se pueden devolver en la variable results.status y, dependiendo de ese valor, se nos lleva a las páginas temáticas de Gmail, Yahoo, Outlook, Yandex, Mail.com o Naver. Realizaremos este viaje como usuario de Gmail con SMS 2FA habilitado.


Se nos solicita nuestras credenciales de Gmail, una vez que ingresamos nuestra contraseña y hacemos clic en Siguiente, se nos redirige a la página de "espera". Esto es presumiblemente para darle tiempo al backend para verificar si se requiere 2FA. Aquí es cuando las cosas se ponen inteligentes.

El siguiente diagrama debería ayudar a visualizar todo el proceso.


Como obviamente no estamos ingresando credenciales válidas, tuvimos que interceptar las respuestas y modificarlas para activar los siguientes pasos. El backend verificará si se requiere SMS 2FA, si es verdadero, entonces nos solicita nuestro número de teléfono, si no, pasa a la etapa final.


Una vez que ingresamos nuestro número de teléfono, volvemos a la página de "espera" mientras el backend activa un SMS de Google. Una vez hecho esto, se nos lleva a una página para capturar el código SMS 2FA.


Ingresamos el código y regresamos a la página de "espera" una vez más. El backend presumiblemente ahora tiene una cookie de autenticación para nuestra cuenta de Google.

A continuación, el backend comprueba si nuestra cuenta de Binance tiene SMS 2FA habilitado, si es así, se nos dirige a otra página solicitando el código SMS 2FA que el backend acaba de activar el envío a nuestro teléfono.


Una vez que se ha ingresado este código final, regresamos a la página de "espera". Si todo ha ido bien, finalmente se nos redirige a la página de inicio real de Binance.

Este kit es mucho más avanzado, admite varios proveedores de correo electrónico y puede activar códigos SMS 2FA. El kit también puede manejar preguntas de seguridad y tokens de aplicaciones de autenticación para múltiples proveedores de correo electrónico. También hay un estado "bloqueado" que simplemente activará una redirección a la página de inicio real de Binance.

Mientras miramos a través de otras funciones de JavaScript que parecen inacabadas, notamos que parece haber un registrador de teclas de JavaScript presumiblemente para capturar códigos 2FA más rápidamente sin que la víctima haga clic en el botón Enviar. El registrador de teclas ignora la mayoría de los caracteres excepto los números, el espacio, el retroceso y el tabulador.

Otra característica interesante es que este kit incluye un panel de administración basado en web en / admin disfrazado como una página 404 no encontrada.

Dominios observados

Tomamos una muestra de aproximadamente 500 dominios de phishing dirigidos a Binance. La muestra no incluyó sitios web comprometidos que se aprovecharon para alojar páginas de phishing, sino dominios registrados específicamente para hacerse pasar por Binance.


Como era de esperar, los TLD más detectados son .ga (140) .ml (114) .com (97) .cf (67) y .gq (51)

Esto se ajusta al patrón de la mayoría de las campañas, ya que con la excepción de .com, los otros TLD son libres de registrarse, por lo que son esencialmente desechables.

Al observar los dominios que aún se resolvieron en algo más que una página de error, vemos un claro ganador (AS22612 - Namecheap)


Esto se ajusta al patrón de la mayoría de las campañas, ya que con la excepción de .com, los otros TLD son libres de registrarse, por lo que son esencialmente desechables.

Al observar los dominios que aún se resolvieron en algo más que una página de error, vemos un claro ganador (AS22612 - Namecheap)

De nuevo, esto es algo bastante común, ya que se ha convertido en una opción para las campañas de phishing debido a las tarifas de alojamiento económicas y la configuración instantánea, así como a la protección de privacidad de WHOIS incorporada. De la muestra que tomamos, ningún otro proveedor de alojamiento se acercó, aunque en el pasado parecía tener números igualmente altos para GoDaddy, Unified Layer y Hostinger International, todos los cuales ofrecen paquetes de alojamiento web asequibles.

En conclusión, vemos que si bien los kits de phishing se están volviendo más avanzados y seguramente veremos que se implementarán kits mucho más avanzados en el futuro, los delincuentes aún gravitan hacia dominios gratuitos y alojamiento económico, lo que para nosotros hace que sea mucho más fácil monitorear la actividad y reaccionar antes de que  cualquier daño real sea hecho.

Si necesita ayuda para combatir el phishing en su organización, comuníquese con nosotros en hello@phishfort.com. ¡Nos encantaría ayudar!


No se pierda Nuestras Historias