// GrabThePhisher — Análisis del kit MetaMask
// Threat Intel · Phishing Kit Dissection
// Dificultad: Easy
// Categoría: Threat Intel
DISCLAIMER
Este writeup tiene fines educativos y de práctica profesional. Las respuestas corresponden al laboratorio público de CyberDefenders. Los tokens de Telegram, chat IDs, direcciones IP, seed phrases y alias mostrados pertenecen al escenario controlado del reto, no a infraestructura ni cuentas reales. No se debe intentar usar ninguna de las credenciales ni contactar con los canales mencionados.
SERIE // CyberDefenders Labs #07
0x00 — Introducción
Séptimo post de la serie de laboratorios de CyberDefenders. En esta ocasión analizamos GrabThePhisher, un laboratorio donde diseccionamos un kit de phishing diseñado para hacerse pasar por MetaMask, una famosa billetera de criptomonedas.
El escenario parte de múltiples quejas de usuarios de una plataforma de Finanzas Descentralizadas que reportan el robo de sus fondos.
Una revisión forense descubre un sitio de phishing que extrae credenciales a través de un bot de Telegram.
Mi trabajo es analizar la infraestructura del kit, identificar los IOCs y perfilar al atacante.
A lo largo del análisis diseccionaremos la estructura de archivos del kit, estudiaremos los scripts PHP utilizados para capturar y exfiltrar seed phrases, inspeccionaremos el mecanismo de dumping de credenciales vía Telegram, y extraeremos evidencia sobre el desarrollador del kit.
0x01 — El Escenario
| Elemento | Detalle |
|---|---|
| Tipo de ataque | Phishing dirigido a billeteras de criptomonedas |
| Objetivo | MetaMask wallet — seed phrases |
| Evidencia | Kit de phishing completo alojado en servidor comprometido |
| Exfiltración | Telegram Bot API + archivo log.txt local |
| Misión | Analizar estructura del kit, identificar IOCs, perfilar al atacante |
0x02 — Análisis
¿Qué billetera se utiliza para solicitar la frase inicial (seed phrase)?
Las cryptocurrency wallets son herramientas fundamentales para gestionar, almacenar y realizar transacciones con activos digitales.
Almacenan de forma segura claves privadas que permiten a los usuarios firmar transacciones y acceder a sus fondos en la blockchain.
Al examinar el kit de phishing proporcionado en el laboratorio, encontramos un directorio específicamente dedicado a MetaMask, una de las billeteras más populares para gestionar tokens basados en Ethereum y otras redes compatibles con EVM.
El atacante ha creado una página web maliciosa que solicita a los usuarios ingresar su seed phrase (frase de recuperación de 12 palabras) un componente fundamental de las billeteras de criptomonedas que actúa como clave maestra para restaurar el acceso a todos los fondos.
La página imita fielmente la interfaz legítima de MetaMask, incluyendo el logo, los colores corporativos y el mensaje "Continue with Seed Phrase", diseñado para que las víctimas confíen en el sitio y revelen sus credenciales.
Respuesta: MetaMask
¿Cuál es el nombre del archivo que contiene el código del kit de phishing?
Los kits de phishing suelen contener archivos HTML para la interfaz front-end y scripts back-end para manejar los datos capturados. En el directorio de MetaMask del kit analizado, identificamos varios archivos, entre los que destaca metamask.php.
Los archivos .php están asociados con scripts del lado del servidor que procesan formularios, gestionan entradas de usuarios y envían datos capturados a ubicaciones controladas por el atacante.
El análisis del contenido de este archivo revela que maneja toda la lógica maliciosa del kit.
El script captura la seed phrase enviada por el formulario HTML, recopila información del sistema de la víctima (IP, User-Agent, geolocalización) y exfiltra los datos tanto a un bot de Telegram como a un archivo de log local.
Respuesta: metamask.php
¿En qué lenguaje fue escrito el kit?
Como se desprende del análisis anterior, el kit de phishing está escrito principalmente en PHP, como lo indica la extensión .php del archivo principal y la sintaxis del código.
PHP es un lenguaje de scripting del lado del servidor ampliamente utilizado para crear páginas web dinámicas.
Se ejecuta en el servidor web antes de enviar el resultado al navegador del usuario, lo que lo hace ideal para procesar formularios y manejar datos confidenciales sin exponerlos al cliente.
En este kit, PHP se utiliza para capturar la seed phrase del formulario ($_POST["data"]), recopilar información del sistema de la víctima, y transmitir los datos a endpoints controlados por el atacante.
Su flexibilidad y simplicidad lo convierten en la opción preferida para kits de phishing.
Respuesta: PHP
¿Qué servicio utiliza el kit para recuperar la información de la máquina de la víctima?
El kit de phishing emplea un servicio de geolocalización para enriquecer los datos capturados con información geográfica de la víctima. Al examinar el código del script, encontramos una llamada a la API de Sypex Geo.
El script envía la dirección IP de la víctima (obtenida dinámicamente mediante $_SERVER['REMOTE_ADDR']) al endpoint de Sypex Geo, que devuelve información detallada sobre el país y la ciudad asociados a esa IP.
Sypex Geo es un servicio legítimo de geolocalización que ofrece soluciones precisas y escalables para determinar la ubicación geográfica a partir de direcciones IP.
Aunque se utiliza normalmente con fines legítimos (personalización de contenido, análisis de tráfico) en este escenario el atacante lo abusa para obtener inteligencia sobre la distribución geográfica de sus víctimas y enriquecer sus reportes de exfiltración.
Respuesta: Sypex Geo
¿Cuántas seed phrases ya se recopilaron?
Los kits de phishing están diseñados para almacenar localmente las credenciales capturadas en archivos de log. En este caso, el script guarda cada seed phrase robada en un archivo llamado log.txt.
Al examinar el contenido del archivo, encontramos tres entradas distintas, cada una representando una frase semilla robada de usuarios desprevenidos que interactuaron con el sitio de phishing
Una seed phrase es un componente de seguridad fundamental para las billeteras de criptomonedas, quien posea estas 12 palabras tiene control total sobre los fondos de la billetera.
La presencia de tres entradas indica que al menos tres víctimas ya cayeron en el ataque y entregaron el acceso completo a sus activos digitales.
Respuesta: 3
¿Cuál es la seed phrase del incidente de phishing más reciente?
La última entrada en el archivo de log representa la víctima más reciente del ataque.
Examinando la tercera línea del archivo log.txt, encontramos la seed phrase capturada.
father also recycle embody balance concert mechanic believe owner pair muffin hockey
Esta frase de 12 palabras otorga acceso completo a la billetera de la víctima.
En un escenario real, el atacante ya habría utilizado estas credenciales para drenar los fondos de la billetera comprometida.
Respuesta: father also recycle embody balance concert mechanic believe owner pair muffin hockey
¿Qué medio se utilizó para el dumping de credenciales?
El kit de phishing emplea un mecanismo dual para garantizar redundancia en la exfiltración de datos.
El primer método consiste en guardar las credenciales localmente en el archivo log.txt, asegurando que incluso si falla la exfiltración remota, el atacante conserva los datos en el servidor comprometido.
El segundo método —y el más importante— aprovecha la API de Telegram para exfiltración en tiempo real.
El script contiene una función llamada sendTel() que envía los datos robados (seed phrase, IP, geolocalización, User-Agent) directamente a un bot de Telegram controlado por el atacante
Este mecanismo permite al atacante recibir las credenciales de forma instantánea y segura, evitando los sistemas tradicionales de detección de tráfico malicioso, ya que Telegram es una plataforma de mensajería legítima ampliamente utilizada.
Respuesta: Telegram
¿Cuál es el token del bot de Telegram?
Un token de Telegram es un identificador único generado al crear un bot a través de la API de Telegram.
Actúa como una credencial segura que permite al bot autenticarse con los servidores de Telegram y enviar/recibir mensajes.
En el código del kit de phishing, el token del bot está hardcodeado dentro de la función sendTel().
Al revisar el script, identificamos el token completo.
Este token es crucial para el funcionamiento del mecanismo de exfiltración.
Sin él, el script no podría transmitir los datos robados al canal del atacante.
Al incrustar el token directamente en el código, el atacante garantiza que todos los datos capturados se envíen automáticamente a su bot.
Respuesta: 5457463144:AAG8t4k7e2ew3tTi0IBShcWbSia0Irvxm10
¿Cuál es el ID de chat del canal del phisher?
Un chat ID es un identificador único asignado a cada chat, grupo o canal en Telegram. Permite que la API de Telegram Bot se dirija a destinatarios específicos para enviar mensajes.
En el contexto de este kit de phishing, el chat ID se utiliza para dirigir las credenciales robadas al canal o chat privado controlado por el atacante.
Este ID funciona en conjunto con el token del bot para autenticar y especificar el destinatario de los datos exfiltrados.
Respuesta: 5442785564
¿Cuál es el alias del desarrollador del kit de phishing?
Los ciberdelincuentes suelen firmar su código con alias o nombres de usuario para reconocer a colaboradores, asociados o simplemente para reclamar autoría de sus herramientas en foros underground.
Al revisar el código fuente del script PHP, encontramos un comentario al inicio del archivo que incluye un mensaje dirigido a "fellow hustlers" (colegas estafadores) y firmado con el alias del desarrollador.
Este tipo de información es valiosa para los esfuerzos de threat intelligence, ya que permite a los investigadores correlacionar este kit con otros artefactos maliciosos, perfilar al actor de amenazas y rastrear su actividad en foros clandestinos o marketplaces de la dark web.
Respuesta: j1j1b1s@m3r0
0x03 — Resumen del Ataque
| Fase | Acción | IOC / Artefacto |
|---|---|---|
| Señuelo | Página falsa imitando MetaMask | index.html + assets |
| Captura | Solicitud de seed phrase de 12 palabras | Formulario HTML → $_POST["data"] |
| Procesamiento | Script PHP procesa datos + geolocaliza víctima | metamask.php + Sypex Geo API |
| Exfiltración | Dumping dual: Telegram Bot + log local | sendTel() + log.txt |
| Víctimas | 3 seed phrases capturadas | log.txt (3 entradas) |
| Infraestructura | Bot de Telegram para recepción | Token: 5457463144:AAG... Chat ID: 5442785564 |
| Atribución | Firma del desarrollador en código | j1j1b1s@m3r0 |
0x04 — Lecciones Aprendidas
1. Nunca ingresar seed phrases en sitios web
Los servicios legítimos de billeteras NUNCA solicitan seed phrases a través de páginas web.
MetaMask y otras wallets solo requieren estas frases durante la configuración inicial en la aplicación local, nunca online.
Cualquier sitio que las solicite es 100% malicioso.
2. Verificar URLs con extremo cuidado
Los kits de phishing suelen alojarse en dominios que imitan los legítimos mediante técnicas de typosquatting (e.g., metamask-support.com vs metamask.io).
Verificar siempre el dominio exacto en la barra de direcciones antes de interactuar con cualquier página financiera.
3. Telegram como canal de exfiltración encubierto
Los atacantes abusan de servicios legítimos como Telegram para exfiltrar datos, ya que el tráfico hacia estas plataformas no levanta sospechas.
Los equipos de seguridad deben monitorizar el uso de APIs de mensajería en servidores web corporativos.
4. Abuso de servicios de geolocalización
Sypex Geo es un servicio legítimo, pero en este caso se utiliza para enriquecer los datos de las víctimas.
Los atacantes aprovechan servicios públicos de terceros para evitar desplegar infraestructura propia que podría ser rastreada.
5. Almacenamiento dual de credenciales
El mecanismo de guardar tanto en log local como enviar por Telegram garantiza redundancia, si el bot falla, el atacante mantiene acceso desde el servidor comprometido.
Este patrón es común en kits profesionales de phishing.
6. Firmas en código como inteligencia de amenazas
El alias j1j1b1s@m3r0 permite vincular este kit con otros artefactos del mismo autor.
Los investigadores deben documentar estos alias en bases de datos de threat intelligence para rastrear campañas y actores a lo largo del tiempo.
[EOF] "The phishing kit leaves fingerprints everywhere — dissect it and find the phisher"