Vaya, vaya, vaya. Parece que Elon Musk está en todos lados y me envían una invitación para vete a saber que... 😏
Un corto hilo sobre análisis de PDF.
🧵
El primer punto es analizar los datos del remitente y mirar las cabeceras. No voy a profundizar, pero con las direcciones de email que aparezcan ya tenemos unos cuantos indicadores que nos pueden servir más adelante. También vemos que hay un archivo PDF adjunto.
⬇️
Todo usuario debería sospechar que cualquier PDF adjunto, sobre todo si viene de un desconocido, o el nombre del PDF ya incita a que sea abierto.
Por supuesto, el usuario "de a pie" no es experto en esto, y se le debe de guiar en ciertas buenas prácticas.
⬇️
La primera, aparte de analizar con el propio antivirus, subir el archivo a Virustotal que lo analizará con varios motores y nos puede servir para descartar.
Aquí ya tenemos un primer resultado que nos descarta que pueda contener algo maliciosos.
Pero ...
⬇️
Nunca te fíes de un solo resultado. Se puede optar por herramientas online que analicen también el contenido. Por ejemplo: FREE PDF Documents analyser. pdf-analyser.edpsciences.org
⬇️
Se podrá tener una vista previa de las páginas, y ver si contienen algún enlace sospechoso. Aparentemente, nada.
⬇️
Otra herramienta, SCAN Maldoc. scan.tylabs.com/report?uuid=2b…"d20217c79f39ae814f6bcc467a341b11"
También limpio (mejor tener varias confirmaciones).
⬇️
Podemos optar por otras herramientas de escritorio. Como Winking PDF Analyzer, que nos permite explorar toda la estructura del PDF y ver todos los objetos incrustados, e incluso ver si hay llamadas a URLs externas.
⬇️
En este caso podemos ver que llama a una URL externa de docs.google.com. Es solo una imagen, ¿puede ser maliciosa? Si y no. Se podría usar como método para registrar los documentos que se han abierto y obtener la IP. No voy a ir más allá.
⬇️
Remataré esto simulando la apertura del documento en una máquina virtual online y veremos que nos reporta el sistema. Para ello podemos usar any.run app.any.run/tasks/60a70365…
⬇️
También nos indicará que no se detectan amenazas. Por esta vez parece que todo es seguro, a pesar de no ser un archivo que aporte ningún tipo de información, excepto captar la atención del usuario.
⬇️
Cierro el hilo, no sin antes recordar que hay que estar alerta ante los archivos adjuntos de cualquier tipo, que luego vienen los #Ransomware y las exfiltraciones de datos.
🔚
• • •
Missing some Tweet in this thread? You can try to
force a refresh
AVISO: Los ejemplos en Python son para mostrar como se pueden generar los hashes, pero ni de lejos es el mejor lenguaje para llevar a cabo un ataque de diccionario, por ejemplo, o cálculos masivos. Simplemente, aprovechamos la versatilidad de este lenguaje.
⬇️
Tenemos herramientas muy potentes, como hashcat, que además suele venir preinstalada en cualquier distribución de Linux dedicada al hacking o pentesting.
Para mí, esta herramienta es, de lejos, de las mejores, aunque no la única.
⬇️hashcat.net/hashcat/
Como en todos los temas técnicos, todo se puede llegar a abordar con una profundidad casi infinita, así que tomad muchas de estas explicaciones como una iniciación para entender el concepto. Tened en cuenta que en algunos casos puede haber más matices.
⬇️
He intentado simplificar la explicación de manera que su objetivo sea didáctico y no tanto académico. Por favor, si notáis alguna carencia, os agradeceré los comentarios constructivos.
⬇️
No nay nada peor que abrir el correo en Domingo y encontrarte correos de notificación de la AEAT. Y no uno solo, no. Nada menos que 5 !!!!
Que querran?
(hilo) 🧵
Abro el correo, y vaya, si que parece que tiene que ser importante, que incluso han adjuntado un archivo comprimido en un .rar
⬇️
Pero no os habréis creido que este mensaje procede realmente de la AEAT, verdad? o si?
Veamos ...
⬇️
Esta mañana recibí una factura.
Aparentemente, todo normal para Google. No lo marca como SPAM.
Para mí todo mal, por supuesto, ya que en ese dominio no espero factura, ni conozco esta empresa
(hilo) 🧵
No confiéis ciegamente en la seguridad de ningún servicio, ni Google, ni Microsoft, ni ningún otro. Siempre puede haber correos que se le escapen. Como este ...
⬇️
Aunque puede haber muchas personas que puedan estar esperando un correo, y con las prisas se confíen y pasen por alto algunas señales y descarguen la supuesta factura.
⬇️
Parece ser que no me van a llegar a tiempo los regalos de Reyes 👑👑👑 porque #Correos no me lo ha podido entregar. 😭 #hilo_b1h0#smishing#phishing
Vamos a sacarle algunos datos, en realtime.
Poca cosa, que tampoco quiero perder mucho tiempo.
(hilo) 🧵
Ante todo. Siempre que veáis un enlace acortado, desconfiad. Algunas empresas los tienen, y son legítimos, pero no es el caso de #Correos.
⬇️
Antes de cargar en el navegador (nunca se sabe) vamos a comprobar a donde dirige este enlace. Por lo que usaremos curl en la línea de comandos con el flag -i.
Como no!!!! un dominio de Rusia. 🇷🇺😒
⬇️