Campaña de Phishing - Banpro
Esta es una campaña que esta creciendo en el país, a tal punto que hace ver que hay agentes internos y externos involucrados en este grupo de agentes maliciosos. Hay varios puntos donde partir pero en este caso iniciamos por el dominio https://hyracoidea.shop el cual se hace pasar por una “Financiera” de inversiones en Nicaragua
El dominio hyracoidea.shop está asociado a la dirección IP 172.67.155.38 y utiliza Cloudflare como servicio de protección para ocultar la IP del servidor raíz. El dominio fue registrado recientemente el 2 de febrero de 2025 a través de Namecheap, y los registros WHOIS indican que los Name Servers están configurados para apuntar a los servidores de Cloudflare. Además, el país de registro está especificado como Islandia.
Este dominio incluye rutas automatizadas y estáticas como: https://hyracoidea.shop/ni/banpro/signin3/, la cual redirige directamente a un chat interactivo entre el usuario y un supuesto agente de Banpro.
Este Phishing es una simulación de Chat Automático, utiliza intervalos de tiempo programados para mostrar mensajes predefinidos de manera que pueda imitar una conversación real.
Introduce un personaje falso llamado Blanca Quintero, que dice representar BanPro Invest, una supuesta plataforma de inversión, hace preguntas dirigidas a obtener datos sensibles como: Ciudadanía, Edad, Ingresos mensuales, Experiencia en inversiones, etc. Cuando se llega a la última pregunta se activa un formulario para capturar información adicional (Nombre, Apellido, Correo y Teléfono).
Código fuente del dominio https://hyracoidea.shop/ni/banpro/signin3/
Una vez es completado el ingreso de los datos eprsonales solicitados, la web te redirije a otra ruta y te indica que esperes la llamada del supuesto agente Banpro para finalizar tu proceso de registro.
Página post ingreso de datos personales.
Este phishing incluye la biblioteca intl-tel-input para validar números de teléfono. Esta herramienta ayuda a asegurarse de que los números sean reales y estén en el formato correcto antes de enviarlos al servidor. También implementan Twilio en el Phishing, lo que permite el envío de SMS con nombres de remitentes personalizados, o números que pueden parecer oficiales de la entidad bancaria.
Los atacantes envían códigos que parecen de autenticación de dos factores (2FA) lo que permite realizar un punto de validacion y de confianza para la víctima, los SMS contienen enlaces disfrazados de oficiales que redirigen a páginas falsas de inicio de sesión o verificación.
El dominio hyracoidea.shop tiene relacion con otros dominios que al igual que en Nicaragua, están en campaña activa como son: rockier.life, fourieristics.shop, financer.id, sabians.shop, xtannings.shop, hadarus.life.
Dominios que cuentan con la misma plantilla web asociado a diferentes paises
Por ahora lo dejo hasta aquí, y eso que tengo muchisima mas informacion para validar y mostrar pero a falta de tiempo, lo tendre en 4 partes y no 3. Iniciando con una emulacion local del sitio para analizar los parametros y archivos que podamos obtener del codigo fuente. Hasta el próximo capitulo.