0x63: Simple Phishing Analysis

Proyecto: Análisis simple de phishingOS/Infraestructura: Nginx / Plesk VPS
Estado: Analizado + IOCs Extraídos
He analizado una infraestructura de Phishing-as-a-Service (PhaaS) detectada recientemente. 
Todo empieza simplemente porque me envían un mensaje a mi teléfono privado.
Se trata de una red que utiliza el vector de SMS (Smishing) suplantando a la DGT para el robo de credenciales bancarias. 
Lo relevante de este caso no es solo el volumen de dominios, sino la sofisticación de sus filtros de evasión.
0x01 — Análisis de Infraestructura
He identificado que la red se apoya en servicios de VPS gestionados por paneles Plesk. 

Mediante el análisis del certificado SSL, he podido revelar el nombre de host técnico y la IP del backend que intentaban ocultar tras su proxy principal.
ElementoIndicador (IoC)
IP Servicio Principal45.74.10.195
IP Backend (Revelada)139.190.234.197
ASNAPNIC (Asia Pacific)
0x02 — Tácticas y Técnicas (TTPs)
El servidor web Nginx ha sido configurado con técnicas de evasión específicas para dificultar el análisis desde herramientas automatizadas y navegadores de escritorio
User-Agent Filtering: El servidor sirve una página en blanco (about:blank) si detecta un User-Agent que no sea de dispositivo móvil.

Geofencing: Se bloquean IPs que no pertenecen a los rangos regionales objetivo, reduciendo la exposición ante analistas internacionales.
Multivector: La infraestructura soporta más de 114 dominios fraudulentos (Netflix, Telepeaje, Logística).
La revelación de la IP de backend a través del certificado de Plesk indica una mala configuración en la infraestructura del atacante. He verificado que dominios como 'pago-flix.com' y 'dgt-tramites.info' comparten exactamente el mismo origen.
0x03 — Conclusiones y Mitigación
Dada la naturaleza persistente de este PhaaS, recomendaría la implementación de bloqueos preventivos en el WAF para los rangos detectados de APNIC asociados a estas IPs técnicas.
La contención a nivel DNS de los dominios identificados es necesaria pero insuficiente, ya que la rotación de dominios es diaria.
Bloqueo en Firewall

deny 45.74.10.195;

deny 139.190.234.197;

Security is not a product, it's a mindset.

[ EOF ] 

Sammi De Blas

Proyecto: Análisis simple de phishing

0x01 — Análisis de Infraestructura

0x02 — Tácticas y Técnicas (TTPs)

0x03 — Conclusiones y Mitigación

Noticias en Tiempo Real

The Hacker News

CISA Advisories

Krebs on Security

Elemento	Indicador (IoC)
IP Servicio Principal	45.74.10.195
IP Backend (Revelada)	139.190.234.197
ASN	APNIC (Asia Pacific)