█████▒▄▄▄       ▄▄▄▄    ██▓ ▒█████        ▄████▄  ▒█████   ███▄ ▄███▓      ▄▄▄       ██▀███  
▓██   ▒▒████▄    ▓█████▄ ▓██▒▒██▒  ██▒     ▒██▀ ▀█ ▒██▒  ██▒▓██▒▀█▀ ██▒     ▒████▄    ▓██ ▒ ██▒
▒████ ░▒██  ▀█▄  ▒██▒ ▄██▒██▒▒██░  ██▒     ▒▓█    ▄▒██░  ██▒▓██    ▓██░     ▒██  ▀█▄  ▓██ ░▄█ ▒
░▓█▒  ░░██▄▄▄▄██ ▒██░█▀  ░██░▒██   ██░     ▒▓▓▄ ▄██▒██   ██░▒██    ▒██      ░██▄▄▄▄██ ▒██▀▀█▄  
░▒█░    ▓█   ▓██▒░▓█  ▀█▓░██░░ ████▓▒░ ██▓ ▒ ▓███▀ ░ ████▓▒░▒██▒   ░██▒ ██▓  ▓█   ▓██▒░██▓ ▒██▒
 ▒ ░    ▒▒   ▓▒█░░▒▓███▀▒░▓  ░ ▒░▒░▒░  ▒▓▒ ░ ░▒ ▒  ░ ▒░▒░▒░ ░ ▒░   ░  ░ ▒▓▒  ▒▒   ▓▒█░░ ▒▓ ░▒▓░
 ░       ▒   ▒▒ ░▒░▒   ░  ▒ ░  ░ ▒ ▒░  ░▒    ░  ▒    ░ ▒ ▒░ ░  ░      ░ ░▒    ▒   ▒▒ ░  ░▒ ░ ▒░
 ░ ░     ░   ▒    ░    ░  ▒ ░░ ░ ░ ▒   ░   ░       ░ ░ ░ ▒  ░      ░    ░     ░   ▒     ░░   ░ 
             ░  ░ ░       ░      ░ ░    ░  ░ ░         ░ ░         ░     ░        ░  ░   ░     
                       ░                ░  ░                             ░                     

Hoy en día está de moda tratar de robarle credenciales a Youtubers y usuarios de redes, la lógica es interesante, se usan para scams de todo tipo, a veces por los seguidores que tienen (numerosos) y así promocionan a un tercero, es todo un negocio.

Hace unos días me llegó uno que, si sos medio boludo, te podría llegar a pasar, pero bueno, no sé si medio boludo o boludo y tres cuartos 😁, pero quería ver qué había más allá. Sí, ya sé, no debería jugar con malwares, pero tranqui, que no usé ninguna PC mía.

Primero recibí un email similar a muchos de los que cualquiera que genera contenidos recibe, un supuesto contacto de una marca hablándome de mi canal de Youtube, sin mencionarlo.

Todo originado desde un mail falopa polaco que obviamente indicaba que era falso, pero hay gente que no ve eso, así que a alguno le puede pasar: 

A lo cual contesté a mi modo:

No esperé respuesta, pero como tienen un robotito que, ante la respuesta envía otro correo automatizado, me llegó esta belleza que ni leyó mi respuesta:

Este ya fue mucho más elaborado, si bien es automatizado el correo es enviado desde una cuenta @razer-media.com, dominio que no le pertenece a Razer sino a un NN  registrado hace 26 días en Namecheap (y pagado sólo por un mes), hasta pagaron por el servicio de privacidad de datos, por lo que no hay más para sacar de ahí salvo lo DNS que indican que está en un SEDO Parking para la venta.

Esto es lo que puede confundir a algún pobre boludo que se crea que el primer mail era "legit", con este esperan engancharte, te dan un montón de ejemplos de youtubers reales usando productos de Razer y te dan un "media kit" en un link a Bit.ly, que es un acortador de urls que ninguna empresa usaría jamás para pasar ningún media kit.

Conste que hasta este momento nadie había negociado ni dinero ni nada, este tal vez fue el error más bobo, si prometés dinero, la codicia podría ganarles a unos cuantos, porque cuando babean por billetes unos cuantos se vuelven ciegos.

Ese email te lleva a un archivo .rar

El uso del .rar es otra clave, nadie usa .rar, absolutamente nadie que no sepa qué es un rar, la "masa" usa .zip, aunque después use el Winrar, nadie comprime en rar salvo que quiera saltar algún antivirus obsoleto.

Desde ya que no lo iba a descargar así que pedí consejo en Twittonga, quería armar una VM en una notebook que tengo con Linux, en la VM poner una imagen de Windows y ejecutar, que le "robe" a esa VM lo que no tiene, pero quería analizar el tráfico y todo, me pasaron con algo mejor, algo online: any.run

No es chivo, sino que me funcionó, no pienso pagar por una herramienta así, pero supongo que para los que están en seguridad en una empresa es super lógico, en mi caso era sólo para analizar qué hacía este programejo disfrazado de PDF en un RAR.

Así es, dentro del "media kit", que con 400Mb era lo suficientemente grande como para que muchos analizadores online lo ignoren, había varios videos y un "pdf" que no era pdf sino un exe.

Los nardos de la vieja escuela, como quien escribe, solemos configurar ver SIEMPRE las extensiones de archivos, no aceptamos otra opción, nunca me van a colar un ícono que no sea el que corresponde porque siempre veo la extensión primero 😁👍 Es lo primero que toco en toda PC apenas me dan un teclado, especialmente si no es mía, pero principalmente en la mía.

Bueno, volviendo al archivo, seguí los pasos de cualquier nabo, bajé el .rar,  lo descomprimí y "abrí el documento", LOL.

Lo obvio, el programa lo primero que hace es meterse en los datos del browser para sacar toda la info que pueda, estimo que contraseñas e historial, y luego trata de acceder a una serie de dominios recontra falopa.

Los dominios que fallaron son estos:

Pero hubo uno más, sputnik-1985 . com, que al parecer "funcionaba" y tenía Cloudflare, pero supongo que los mismos de Cloudflare lo anularon.

Estimo que alguno cayó en la trampa o simplemente le denunciaron los dominios y el VPS donde alojarían el receptor.

Usualmente crean una decena de dominios, todos con un programa para recibir la carga y rápido se la reenvían a otro lugar, esos dominios "caen" cuando el hosting que los tiene es avisado de abuso, por eso son varios.

Si reciben alguna vez un email "sospechoso", un archivo o un link, pueden usar esta herramienta que, además, graba una especie de "video secuencia" de todo lo que hiciste para analizar luego, aquí mi análisis.

Lo bueno es que no tenés que arriesgar tu PC ni ninguna máquina cercana para testear malware y ver qué hace.

Gracias @Ninthek y @ogianatiempo por el dato 👍