Investigando una Estafa de Phishing Disfrazada como Academia de Trading: De Reddit a Reportes de Abuso
Un Investigador de Seguridad Junior encontró una publicación en Reddit sobre un sospechoso esquema de 'educación en trading', donde las víctimas eran atraídas para realizar pequeños intercambios antes de intentar vaciar sus fondos. El objetivo de la investigación: auditar el sitio begini.ltd, recopilar evidencia de su infraestructura e iniciar procedimientos de eliminación. Las herramientas utilizadas incluyeron Kali Linux (Nmap, FFUF), OSINT y Revoke.cash.
El esquema es una estafa clásica de Matadero de Cerdos:
- El Cebo: Ofertas de trabajo falsas o 'capacitación gratuita'.
- El Calentamiento: Transferir pequeñas cantidades para simular ganancias.
- La Trampa: Mostrar una pantalla solicitando una Aprobación Infinita (ERC-20 Approve), otorgando a los estafadores acceso ilimitado a los tokens de la billetera.
Análisis del Frontend: Phishing para Datos
En el código fuente del sitio web, se descubrió un formulario de registro:
<form class="register-form" action="send.php" method="POST">
El formulario envía nombre completo, número de teléfono y nombre de usuario de Telegram a send.php mediante POST en texto plano. El servidor responde con un estado 302 y una redirección instantánea, minimizando el tiempo de la víctima en la página.
En la pestaña Network (F12), encabezados como cf-cache-status y cf-ray indican el uso de Cloudflare. Los datos se recopilan sin cifrado—un Recolector de Datos clásico.
Reconocimiento Activo: Nmap y FFUF en Kali Linux
Pasando a las herramientas de Kali Linux para escaneo de puertos y fuzzing de directorios.
Nmap: Puertos y Servicios
El comando nmap reveló:
- Los puertos 80 (HTTP) y 443 (HTTPS) están abiertos.
- Certificado emitido por Cloudflare Inc ECC CA-3 en febrero de 2026.
- Anomalías en los puertos 8080 y 8443—posibles paneles de administración o proxies.
El banner grabbing mostró 'Crypto Trading Academy 2025'—una plantilla desactualizada en 2026.
FFUF: Fuzzing de Directorios
El fuzzer ffuf encontró:
- success.php (200, ~5KB)—una 'terminal' con scripts JS para redirección.
- Endpoints PHP, confirmando un backend PHP.
- Directorios /admin/ y /config/ bloqueados (403 de Cloudflare).
La infraestructura es un kit de phishing PHP estándar detrás de Cloudflare, con puertos no estándar y signos de configuración apresurada.
Presentando un Reporte de Abuso y Eliminación
Se compiló un dossier: capturas de pantalla, registros de Network, resultados de Nmap/FFUF. Se envió un reporte a Cloudflare (ID de Reporte: 6d27e144bc7f8061). Se recibió confirmación del incidente y la infraestructura comenzó a ser eliminada.
Conclusiones Clave:
- La Aprobación Infinita en ERC-20 es el vector principal para el robo de tokens; verifique permisos mediante Revoke.cash.
- Cloudflare no bloquea automáticamente el phishing—los reportes de abuso son efectivos.
- Puertos inusuales (8080/8443) a menudo revelan paneles de administración en kits de phishing.
- FFUF y Nmap son una pila básica para revertir infraestructuras de estafa.
- Las plantillas desactualizadas (años en banners) son un marcador de campañas masivas.
Recomendaciones para Especialistas Intermedios/Senior
Al auditar esquemas similares:
- Use FFUF con una lista de palabras como common.txt para directorios.
- Use Nmap con -sC -sV para scripts y versiones.
- Verifique Network para tráfico en texto plano.
- Registre cf-ray para seguimiento en reportes de abuso.
La evidencia total superó los 10 MB de capturas de pantalla y registros, acelerando la respuesta del proveedor.
— Editorial Team
Aún no hay comentarios.