Aparte de las passwords que se pueden robar del navegador, que pueden servir si no tiene doble factor, ahora van más por las cookie session, al menos con YT. Así se saltean todo, se apropian del canal, le borran todo y dejan esos vivos con el fake musk regalando cryptomierdas que terminan vaciándole la billetera al boludo de turno que cae.
A veces el exe es un pdf para firmar un sponsoreo, otras la demo de un falso juego para hacerle review, y así. En fin, están a fondo con eso.
Está muy bueno lo de any.run.
Del email al malware, jugando un poco
Hoy en día está de moda tratar de robarle credenciales a Youtubers y usuarios de redes, la lógica es interesante, se usan para scams de todo tipo, a veces por los seguidores que tienen (numerosos) y así promocionan a un tercero, es todo un negocio.
Hace unos días me llegó uno que, si sos medio boludo, te podría llegar a pasar, pero bueno, no sé si medio boludo o boludo y tres cuartos 😁, pero quería ver qué había más allá. Sí, ya sé, no debería jugar con malwares, pero tranqui, que no usé ninguna PC mía.
Primero recibí un email similar a muchos de los que cualquiera que genera contenidos recibe, un supuesto contacto de una marca hablándome de mi canal de Youtube, sin mencionarlo.
Todo originado desde un mail falopa polaco que obviamente indicaba que era falso, pero hay gente que no ve eso, así que a alguno le puede pasar:
A lo cual contesté a mi modo:
No esperé respuesta, pero como tienen un robotito que, ante la respuesta envía otro correo automatizado, me llegó esta belleza que ni leyó mi respuesta:
Este ya fue mucho más elaborado, si bien es automatizado el correo es enviado desde una cuenta @razer-media.com, dominio que no le pertenece a Razer sino a un NN registrado hace 26 días en Namecheap (y pagado sólo por un mes), hasta pagaron por el servicio de privacidad de datos, por lo que no hay más para sacar de ahí salvo lo DNS que indican que está en un SEDO Parking para la venta.
Esto es lo que puede confundir a algún pobre boludo que se crea que el primer mail era "legit", con este esperan engancharte, te dan un montón de ejemplos de youtubers reales usando productos de Razer y te dan un "media kit" en un link a Bit.ly, que es un acortador de urls que ninguna empresa usaría jamás para pasar ningún media kit.
Conste que hasta este momento nadie había negociado ni dinero ni nada, este tal vez fue el error más bobo, si prometés dinero, la codicia podría ganarles a unos cuantos, porque cuando babean por billetes unos cuantos se vuelven ciegos.
Ese email te lleva a un archivo .rar
El uso del .rar es otra clave, nadie usa .rar, absolutamente nadie que no sepa qué es un rar, la "masa" usa .zip, aunque después use el Winrar, nadie comprime en rar salvo que quiera saltar algún antivirus obsoleto.
Desde ya que no lo iba a descargar así que pedí consejo en Twittonga, quería armar una VM en una notebook que tengo con Linux, en la VM poner una imagen de Windows y ejecutar, que le "robe" a esa VM lo que no tiene, pero quería analizar el tráfico y todo, me pasaron con algo mejor, algo online: any.run
No es chivo, sino que me funcionó, no pienso pagar por una herramienta así, pero supongo que para los que están en seguridad en una empresa es super lógico, en mi caso era sólo para analizar qué hacía este programejo disfrazado de PDF en un RAR.
Así es, dentro del "media kit", que con 400Mb era lo suficientemente grande como para que muchos analizadores online lo ignoren, había varios videos y un "pdf" que no era pdf sino un exe.
Los nardos de la vieja escuela, como quien escribe, solemos configurar ver SIEMPRE las extensiones de archivos, no aceptamos otra opción, nunca me van a colar un ícono que no sea el que corresponde porque siempre veo la extensión primero 😁👍 Es lo primero que toco en toda PC apenas me dan un teclado, especialmente si no es mía, pero principalmente en la mía.
Bueno, volviendo al archivo, seguí los pasos de cualquier nabo, bajé el .rar, lo descomprimí y "abrí el documento", LOL.
Lo obvio, el programa lo primero que hace es meterse en los datos del browser para sacar toda la info que pueda, estimo que contraseñas e historial, y luego trata de acceder a una serie de dominios recontra falopa.
Los dominios que fallaron son estos:
Pero hubo uno más, sputnik-1985 . com, que al parecer "funcionaba" y tenía Cloudflare, pero supongo que los mismos de Cloudflare lo anularon.
Estimo que alguno cayó en la trampa o simplemente le denunciaron los dominios y el VPS donde alojarían el receptor.
Usualmente crean una decena de dominios, todos con un programa para recibir la carga y rápido se la reenvían a otro lugar, esos dominios "caen" cuando el hosting que los tiene es avisado de abuso, por eso son varios.
Si reciben alguna vez un email "sospechoso", un archivo o un link, pueden usar esta herramienta que, además, graba una especie de "video secuencia" de todo lo que hiciste para analizar luego, aquí mi análisis.
Lo bueno es que no tenés que arriesgar tu PC ni ninguna máquina cercana para testear malware y ver qué hace.
Gracias @Ninthek y @ogianatiempo por el dato 👍
Si te gustó esta nota podés...
Categoría: Informática
Etiquetas: análisis datos personales hacking malware robo de datos scam seguridad seguridad informática spam virus
Escrito por Fabio Baccaglioni
Otros posts que podrían llegar a gustarte...
Comentarios
-
usuario
08/01/2025 - 14:03:39
La otra vez estaba en casa, tranqui, tomando mate y revisando mis mails. De repente, veo uno que dice "¡Ganá un viaje a la Isla de la Fantasía con el Bananero!" Y claro, como fan del Bananero, lo abrí sin pensarlo dos veces.
Bueno, resulta que hice clic en el enlace para reclamar el premio y ¡patapufete! Mi compu se volvió loca. Empezaron a aparecer ventanas emergentes por todos lados y el antivirus empezó a hacer ruido como loco. ¡Era un malware! No lo podía creer.
Mientras intentaba cerrar todas las ventanas, me acordé de un video del Bananero donde hablaba de cómo evitar el malware. ¡Qué ironía! Así que me fui a su canal de YouTube y encontré un video que se llamaba "Cómo desinfectar tu computadora después de ver mis videos". El Bananero, con su humor de siempre, explicaba paso a paso cómo eliminar el malware.
Seguí sus instrucciones y, después de un par de horas, logré desinfectar mi compu. Al final del video, el Bananero decía algo como: "Y recordá, si te llega un correo prometiendo un viaje conmigo, ¡es una trampa! Yo nunca te invitaría a un viaje, ¡ni siquiera a la esquina! sapeeeeeeeeeeee" Me reí tanto, pero aprendí la lección: nunca abrir correos sospechosos, aunque prometan algo tan tentador como un viaje con el Bananero.
Así que, al final, todo salió bien. Pero qué susto me llevé. Y de paso, una anécdota para contar. -
ahora, explicame, qué es esa obsesión por el Bananero que estás queriendo traer al blog en tus comentarios? 😁
-
usuario
09/01/2025 - 00:55:16
Hablando en serio, es que hace unos días y de repente, cual contactado por entidades celestiales, me vino a la mente la idea de fusionar mi obsesión con el bananero en tu blog Fabio... Por qué? Bueno, porque si, porque a veces las mejores ideas surgen de lo más ridículo...
Pensé... "Que pasaría si tomáramos el humor crudo y desenfadado del bananero y lo aplicáramos a los temas serios de tu blog?" Imaginá, mezclando frases icónicas con teorías conspirativas, posts de tecnología, historias de guerra y anécdotas cotidianas con observaciones profundas sobre la condición humana.
En un flash de inspiración, empecé a escribir sobre como los principios del bananero pueden ser la clave para entender el universo... Todo comenzaba pensando en una banana, por supuesto, y termino con una reflexión existencial sobre el propósito de la vida. Entre medio, comprendí a un nivel espiritual sobre como las carcajadas podían curar enfermedades, y como los videos absurdos eran, en realidad, mensajes cifrados de una civilización avanzada, los cuales podían llevar a nuestra condición humana al próximo nivel.
Todo esto me hizo llegar a una conclusión final, a la cúspide más alta del conocimiento humano, la llave de todos los secretos del universo conocido y desconocido se resume en una sola palabra: "Sape"
-
Lo primero:
Destildar "ocultar extensiones para archivos conocidos"
Tildar "Mostrar archivos, carpetas y unidades ocultos"
Tildar "Expandir a carpeta abierta"
Después, tener 2FA, porque cuando te afanan una cookie te pueden entrar a youtube, fb, ig, todo lo que tenga una sesión abierta. Además la mayoría tienen las passwords en el navegador, porque "es más fácil" (y si, es más fácil).
Igual no importa todo lo que digamos, porque la gente hace clic en cualquier adjunto que se llame "CutePuppy.exe", tiene la misma clave (abretesesamo) en todos los sitios y además pegada en un post it en el monitor.
-
No sé qué es el Bananero ese pero ya me dio curiosidad... Curiosidad que se quedará insatisfecha porque no pienso buscar.
-
La movida de Windows de ocultar las extensiones de archivos fue una de las peores cosas que hicieron. Yo hago lo mismo que vos, compu nueva que tengo, compu donde configuro que se vean las extensiones
