Retour à l'accueil

Enquête phishing begini.ltd avec Nmap FFUF

Chercheur en sécurité a disséqué le schéma phishing begini.ltd : du Pig Butchering avec Infinite Approval au scan Nmap/FFUF. Découvert endpoints PHP, ports non standards et Cloudflare. Abuse-report a mené au blocage de l'infrastructure.

Exposition phishing : de Reddit au blocage Cloudflare
Advertisement 728x90

Enquête sur une arnaque de phishing déguisée en académie de trading : de Reddit aux signalements d'abus

Un chercheur en sécurité junior a découvert un post Reddit concernant un système suspect de 'formation au trading', où les victimes étaient incitées à effectuer de petits échanges avant que des tentatives de siphonnage de leurs fonds ne soient effectuées. L'objectif de l'enquête : auditer le site begini.ltd, recueillir des preuves de son infrastructure et initier des procédures de suppression. Les outils utilisés incluaient Kali Linux (Nmap, FFUF), OSINT et Revoke.cash.

Le système est une arnaque classique de type 'Pig Butchering' :

  • L'appât : Fausses offres d'emploi ou 'formations gratuites'.
  • La mise en confiance : Transfert de petites sommes pour simuler des profits.
  • Le piège : Affichage d'un écran demandant une autorisation infinie (Approbation ERC-20), accordant aux escrocs un accès illimité aux jetons du portefeuille.

Analyse du frontend : Phishing pour les données

Dans le code source du site, un formulaire d'inscription a été découvert :

Google AdInline article slot
<form class="register-form" action="send.php" method="POST">

Le formulaire envoie le nom complet, le numéro de téléphone et l'identifiant Telegram à send.php via POST en texte clair. Le serveur répond avec un statut 302 et une redirection instantanée, minimisant le temps de la victime sur la page.

Dans l'onglet Réseau (F12), des en-têtes comme cf-cache-status et cf-ray indiquent l'utilisation de Cloudflare. Les données sont collectées sans chiffrement—un collecteur de données classique.

Reconnaissance active : Nmap et FFUF sur Kali Linux

Passage aux outils Kali Linux pour le scan de ports et le fuzzing de répertoires.

Google AdInline article slot

Nmap : Ports et services

La commande nmap a révélé :

  • Les ports 80 (HTTP) et 443 (HTTPS) sont ouverts.
  • Certificat émis par Cloudflare Inc ECC CA-3 en février 2026.
  • Anomalies sur les ports 8080 et 8443—panneaux d'administration ou proxys possibles.

La récupération de bannière a montré 'Crypto Trading Academy 2025'—un modèle obsolète en 2026.

FFUF : Fuzzing de répertoires

Le fuzzer ffuf a trouvé :

Google AdInline article slot
  • success.php (200, ~5 Ko)—un 'terminal' avec des scripts JS pour la redirection.
  • Des points de terminaison PHP, confirmant un backend PHP.
  • Les répertoires /admin/ et /config/ bloqués (403 de Cloudflare).

L'infrastructure est un kit de phishing PHP standard derrière Cloudflare, avec des ports non standard et des signes de configuration hâtive.

Dépôt d'un signalement d'abus et suppression

Un dossier a été compilé : captures d'écran, journaux réseau, résultats Nmap/FFUF. Un signalement a été soumis à Cloudflare (ID de signalement : 6d27e144bc7f8061). Une confirmation d'incident a été reçue, et l'infrastructure a commencé à être supprimée.

Points clés à retenir :

  • L'approbation infinie en ERC-20 est le vecteur principal de vol de jetons ; vérifiez les autorisations via Revoke.cash.
  • Cloudflare ne bloque pas automatiquement le phishing—les signalements d'abus sont efficaces.
  • Les ports inhabituels (8080/8443) révèlent souvent des panneaux d'administration dans les kits de phishing.
  • FFUF et Nmap sont une pile de base pour inverser l'infrastructure des arnaques.
  • Les modèles obsolètes (années dans les bannières) sont un marqueur de campagnes de masse.

Recommandations pour les spécialistes intermédiaires/seniors

Lors de l'audit de systèmes similaires :

  • Utilisez FFUF avec une liste de mots comme common.txt pour les répertoires.
  • Utilisez Nmap avec -sC -sV pour les scripts et versions.
  • Vérifiez le Réseau pour le trafic en texte clair.
  • Enregistrez cf-ray pour le suivi dans les signalements d'abus.

Les preuves totales ont dépassé 10 Mo de captures d'écran et journaux, accélérant la réponse du fournisseur.

— Editorial Team

Advertisement 728x90

Lire ensuite