Este writeup tiene fines educativos y de práctica profesional. Las respuestas corresponden al laboratorio público de CyberDefenders. Los tokens de Telegram, chat IDs, direcciones IP, seed phrases y alias mostrados pertenecen al escenario controlado del reto, no a infraestructura ni cuentas reales. No se debe intentar usar ninguna de las credenciales ni contactar con los canales mencionados.
0x00 — Introducción
Séptimo post de la serie de laboratorios de CyberDefenders. En esta ocasión analizamos GrabThePhisher, un laboratorio donde diseccionamos un kit de phishing diseñado para hacerse pasar por MetaMask, una famosa billetera de criptomonedas.
El escenario parte de múltiples quejas de usuarios de una plataforma de Finanzas Descentralizadas que reportan el robo de sus fondos.
Una revisión forense descubre un sitio de phishing que extrae credenciales a través de un bot de Telegram.
Mi trabajo es analizar la infraestructura del kit, identificar los IOCs y perfilar al atacante.
A lo largo del análisis diseccionaremos la estructura de archivos del kit, estudiaremos los scripts PHP utilizados para capturar y exfiltrar seed phrases, inspeccionaremos el mecanismo de dumping de credenciales vía Telegram, y extraeremos evidencia sobre el desarrollador del kit.
0x01 — El Escenario
| Elemento | Detalle |
|---|---|
| Tipo de ataque | Phishing dirigido a billeteras de criptomonedas |
| Objetivo | MetaMask wallet — seed phrases |
| Evidencia | Kit de phishing completo alojado en servidor comprometido |
| Exfiltración | Telegram Bot API + archivo log.txt local |
| Misión | Analizar estructura del kit, identificar IOCs, perfilar al atacante |
0x02 — Análisis
¿Qué billetera se utiliza para solicitar la frase inicial (seed phrase)?
El kit incluye un directorio dedicado a MetaMask — la wallet más popular para tokens EVM. Toca mirar qué hay dentro.
La página pide directamente la seed phrase de 12 palabras al usuario. Con esas 12 palabras, control total de la wallet. Clásico.
La página imita fielmente la interfaz legítima de MetaMask, incluyendo el logo, los colores corporativos y el mensaje “Continue with Seed Phrase”, diseñado para que las víctimas confíen en el sitio y revelen sus credenciales.
RESPUESTA Q1
Respuesta: MetaMask
Q2
¿Cuál es el nombre del archivo que contiene el código del kit de phishing?
Dentro del directorio de MetaMask hay varios archivos. El que destaca es metamask.php — ahí vive toda la lógica del kit.
El análisis del contenido de este archivo revela que maneja toda la lógica maliciosa del kit.
El script captura la seed phrase enviada por el formulario HTML, recopila información del sistema de la víctima (IP, User-Agent, geolocalización) y exfiltra los datos tanto a un bot de Telegram como a un archivo de log local.
RESPUESTA Q2
Respuesta: metamask.php
¿En qué lenguaje fue escrito el kit?
La extensión del archivo y la sintaxis lo delatan: PHP. El script captura la seed phrase del formulario ($_POST["data"]), recopila info del sistema de la víctima y la manda a endpoints del atacante.
RESPUESTA Q3
Respuesta: PHP
Q4
¿Qué servicio utiliza el kit para recuperar la información de la máquina de la víctima?
El script llama a una API de geolocalización: Sypex Geo. Envía la IP de la víctima y recibe país y ciudad.
El script envía la dirección IP de la víctima (obtenida dinámicamente mediante $_SERVER[‘REMOTE_ADDR’]) al endpoint de Sypex Geo, que devuelve información detallada sobre el país y la ciudad asociados a esa IP.
Sypex Geo es un servicio legítimo de geolocalización por IP. Aquí el atacante lo abusa para enriquecer los datos exfiltrados con país y ciudad de cada víctima.
RESPUESTA Q4
Respuesta: Sypex Geo
Q5
¿Cuántas seed phrases ya se recopilaron?
El script guarda cada seed phrase robada en log.txt. Toca ver cuántas entradas hay.
Tres líneas, tres víctimas que ya cayeron en el ataque.
Tres entradas, tres wallets comprometidas. Quien tenga esas 12 palabras, tiene el control total de los fondos.
RESPUESTA Q5
Respuesta: 3
Q6
¿Cuál es la seed phrase del incidente de phishing más reciente?
La víctima más reciente es la última entrada de log.txt. Toca leer la tercera línea.
father also recycle embody balance concert mechanic believe owner pair muffin hockey
Doce palabras, acceso total a la wallet. En un escenario real, el atacante ya habría drenado los fondos.
RESPUESTA Q6
Respuesta: father also recycle embody balance concert mechanic believe owner pair muffin hockey
Q7
¿Qué medio se utilizó para el dumping de credenciales?
El kit usa exfiltración dual para garantizar redundancia: log.txt local + Telegram en tiempo real. Si falla el bot, los datos siguen en el servidor.
El script contiene una función llamada sendTel() que envía los datos robados (seed phrase, IP, geolocalización, User-Agent) directamente a un bot de Telegram controlado por el atacante
Telegram es tráfico legítimo que no levanta alertas en la mayoría de SIEM. Por eso les gusta: exfiltración silenciosa.
RESPUESTA Q7
Respuesta: Telegram
Q8
¿Cuál es el token del bot de Telegram?
El token del bot está hardcodeado en la función sendTel(). Lo busco dentro del script y ahí lo tenemos, sin ofuscar.
Token incrustado en el código, sin ofuscar. Cero opsec por parte del desarrollador — nos basta para identificar el bot.
RESPUESTA Q8
Respuesta: 5457463144:AAG8t4k7e2ew3tTi0IBShcWbSia0Irvxm10
Q9
¿Cuál es el ID de chat del canal del phisher?
El chat ID indica a qué canal va la exfiltración. Va junto con el token del bot en la llamada a la API. Lo busco en el script.
RESPUESTA Q9
Respuesta: 5442785564
Q10
¿Cuál es el alias del desarrollador del kit de phishing?
Los desarrolladores de kits tienen la mala costumbre de firmar su código. Toca buscar comentarios al inicio del script PHP.
Y ahí está: un comentario dirigido a “fellow hustlers” firmado con el alias del desarrollador.
Con ese alias podemos correlacionar otros artefactos del mismo autor y perfilar al actor. Threat intelligence gratis, cortesía del propio atacante.
RESPUESTA Q10
Respuesta: j1j1b1s@m3r0
0x03 — Resumen del Ataque
| Fase | Acción | IOC / Artefacto |
|---|---|---|
| Señuelo | Página falsa imitando MetaMask | index.html + assets |
| Captura | Solicitud de seed phrase de 12 palabras | Formulario HTML → $_POST[“data”] |
| Procesamiento | Script PHP procesa datos + geolocaliza víctima | metamask.php + Sypex Geo API |
| Exfiltración | Dumping dual: Telegram Bot + log local | sendTel() + log.txt |
| Víctimas | 3 seed phrases capturadas | log.txt (3 entradas) |
| Infraestructura | Bot de Telegram para recepción | Token: 5457463144:AAG…Chat ID: 5442785564 |
| Atribución | Firma del desarrollador en código | j1j1b1s@m3r0 |
0x04 — Lecciones Aprendidas
- Nunca ingresar seed phrases en sitios web
Los servicios legítimos de billeteras NUNCA solicitan seed phrases a través de páginas web.
MetaMask y otras wallets solo requieren estas frases durante la configuración inicial en la aplicación local, nunca online.
Cualquier sitio que las solicite es 100% malicioso.
- Verificar URLs con extremo cuidado
Los kits de phishing suelen alojarse en dominios que imitan los legítimos mediante técnicas de typosquatting (e.g., metamask-support.com vs metamask.io).
Verificar siempre el dominio exacto en la barra de direcciones antes de interactuar con cualquier página financiera.
- Telegram como canal de exfiltración encubierto
Los atacantes abusan de servicios legítimos como Telegram para exfiltrar datos, ya que el tráfico hacia estas plataformas no levanta sospechas.
Los equipos de seguridad deben monitorizar el uso de APIs de mensajería en servidores web corporativos.
- Abuso de servicios de geolocalización
Sypex Geo es un servicio legítimo, pero en este caso se utiliza para enriquecer los datos de las víctimas.
Los atacantes aprovechan servicios públicos de terceros para evitar desplegar infraestructura propia que podría ser rastreada.
- Almacenamiento dual de credenciales
El mecanismo de guardar tanto en log local como enviar por Telegram garantiza redundancia, si el bot falla, el atacante mantiene acceso desde el servidor comprometido.
Este patrón es común en kits profesionales de phishing.
- Firmas en código como inteligencia de amenazas
El alias j1j1b1s@m3r0 permite vincular este kit con otros artefactos del mismo autor.
Los investigadores deben documentar estos alias en bases de datos de threat intelligence para rastrear campañas y actores a lo largo del tiempo.
[EOF] “The phishing kit leaves fingerprints everywhere — dissect it and find the phisher”