Analizando un sitio malicioso

_Y000_
4 min readMar 12, 2021

--

Hoy en día es crucial el saber identificar un sitio web malicioso de un sitio oficial, esto es cada vez más difícil por el arduo trabajo que tienen los sitios fraudulentos por atrás.

En este escrito vamos a analizar unos sitios maliciosos que se dedican a difundir malware para dispositivos mobiles y PC.

Qué es un sitio web malicioso?

Un enlace malicioso es un ‘link’ aparentemente fiable pero que, al pinchar en él, redirige a una web falsa que imita ser una web oficial legítima. Una vez que el usuario cree estar navegando por una web de confianza, podría introducir datos personales como su correo electrónico, contraseñas e incluso datos bancarios.

Muchas veces los enlaces maliciosos se reciben en mensajes de correo electrónico en los que se pide al usuario que haga clic en un ‘link’. Con este método, en muchas ocasiones, en lugar de pedir datos personales al usuario, consiguen que la víctima instale algún tipo de ‘malware’ en su dispositivo.

https://www.bbva.com/es/que-son-los-enlaces-maliciosos-y-como-protegerse-ante-esta-amenaza/

El primer sitio que vamos a analizar es:

https://xlongliveapkx.com/OMrSXb37a2f8a53f274cbc9fe68067364da5c53cc70ca?q=9&s1=9&s3=wqbmrlpn1jdkgb36i14et5u0

Al entrar via PC, nos encontramos con lo siguiente:

Al entrar con un celular, en este caso un android, nos encontramos con lo siguiente:

Para empezar el análisis primero voy a recomendar 2 sitios web que uso mucho para este tipo de casos:

VirusTotal

UrlScan

Con los sitios recomendados podemos analizar sitios web para ver si ya existe un registro de ellos, saber si se encuentra alguna actividad maliciosa relacionada a ellas, también podemos escanear archivos para ver si son una especie de malware.

Anteriormente ya había buscado esta página asi que ya existe un registro de ella:

Como se puede apreciar en el resultado, hubo 3 resultados que la marcan como sospechosa y 1 resultado que lo detecta directamente como phishing.

El resultado de UrlScan:

En el resultado de urlscan nos damos cuenta que se nos redirige a otro sitio web malicioso.

Después de ingresar al sitio web desde una computadora, que en este caso estoy usando windows 10, me descarga automaticamente un archivo .zip, el cual ya lo tengo en virustotal y este es el resultado:

Dentro de ese .zip, encontramos 2 archivos, que también ya están en la base de datos de virustotal:

El primer archivo, de nombre “_610507152.exe” es detectado 16 veces como un malware.

El segundo no parece ser detectado de ninguna manera y aparenta ser un archivo “confiable”….. pero si nos damos cuenta y analizamos un poco mas podemos ver que en el apartado de comunidad tiene algunos comentarios:

El usuario comparte lo siguiente:

YARA Signature Match — THOR APT Scanner

RULE: SUSP_NET_NAME_ConfuserEx
RULE_SET: Livehunt — Suspicious1 Indicators 🏹
RULE_TYPE: Community 👥
RULE_LINK: https://valhalla.nextron-systems.com/info/rule/SUSP_NET_NAME_ConfuserEx
DESCRIPTION: Detects ConfuserEx packed file
REFERENCE: https://github.com/yck1509/ConfuserEx
RULE_AUTHOR: Arnim Rupp

🙌 Hey, this seems to be an open-source tool or framework. The author has shared it with the community with the intention to improve overall security. If you are a victim and noticed this tool in a breach, please visit the tool’s github page (see above) and tell your story by creating an issue on the issues page: https://github.com/yck1509/ConfuserEx/issues 💖.

Detection Timestamp: 2021–02–16 18:58
AV Detection Ratio: 🔴 0 / 70

Use these tags to search for similar matches: #net #name #confuserex #susp_net_name_confuserex #open_source_tool
More information: https://www.nextron-systems.com/notes-on-virustotal-matches/

thor

Al parecer este usuario reconoció este archivo y da al aviso de que ese programa es parte de un framework.

Por otra parte, al entrar como un usuario de android se nos descarga un archivo .apk el cual es reconocido como malware para android.

Ahora, Cómo nos aseguramos de que no tenemos malware en nuestro android?

  • Ves anuncios todo el tiempo, independientemente de qué aplicación estés usando.
  • Instalas una aplicación y luego el icono desaparece de inmediato.
  • Tu batería se agota mucho más rápido de lo habitual.
  • Ves aplicaciones que no reconoces en tu teléfono.

Todas estas son señales preocupantes que significan que debes investigar más a fondo.

Por mi parte es todo hasta este momento. Ahora te toca a ti..

Te has topado con alguna página de este tipo?

--

--

_Y000_
_Y000_

Written by _Y000_

Hola, Bienvenido a mi perfil de Medium! Soy Y000! 😊 ¿Quién soy? 🤔 Bueno… soy yo jaja soy solo un apasionado por la seguridad informatica.

No responses yet