Fueron meses de investigación y de rastreos desde varios países. La organización forense europea Qurium desentrañó con todos sus detalles el mecanismo de una telaraña colombiana de empresas y campañas dedicadas al ejercicio del sabotaje y la guerra sucia por Internet mediante la difusión de mentiras bajo contrato con la firma llamada “Priva 60” y sus filiales. La cabeza de este cartel de la calumnia es el colombiano Carlos Escobar Marín (asesor del gobierno de Colombia, presidido por Iván Duque), quien ya fue condenado por la justicia de Estados Unidos, donde defraudó por medios cibernéticos a Bank of America y hoy continúa operando a todo vapor desde Bogotá y Medellín, donde se guarece.
En los últimos meses, varios sitios de medios de comunicación independientes colombianos han sido clonados en el transcurso de una campaña dedicada a propagar informaciones falsas mediante el uso abusivo de firmas conocidas con el objeto de desacreditarlas y, al mismo tiempo, confundir al público. Los clones utilizan diseños idénticos a los de los sitios web genuinos y divulgan escritos con enfoques falsos y contrarios a los originales y a la verdad. Los sitios web impostores están primordialmente al servicio de la extrema derecha y atienden, primero que todo, a las órdenes de Álvaro Uribe Vélez, ex presidente de Colombia, quien caracteriza la esencia de sus ataques acusando falsamente a sus contradictores de pertenecer a la izquierda, la guerrilla y el tráfico de drogas. Las noticias inventadas suelen llevar de manera abusiva firmas reconocidas, como las de los periodistas Gonzalo Guillén, Julián F. Martínez, Daniel Coronell o Daniel Samper Pizano y Daniel Samper Ospina.
Publicamos a continuación, bajo el título “El ataque de los clones”, una traducción libre al español de La Nueva Prensa sobre el primer informe forense de Qurium, escrito en inglés, el cual puede ser consultado aquí.
(Le puede interesar: Hacker colombiano condenado en EE.UU por defraudar a Bank of America dirige guerra sucia en Colombia y asesora al gobierno de Duque)
El ataque de los clones
Por QUIRIUM
Se trata de una investigación en tres partes que se centra en la guerra de desinformación en Colombia contra los medios de comunicación independientes. La investigación es una colaboración conjunta entre Qurium y el sitio de noticias colombiano La Nueva Prensa.
Parte 1: Difundir la desinformación mediante la clonación de sitios web
La Nueva Prensa, conocida por sus reportajes de investigación independientes, que a menudo se centran en la corrupción y los vínculos entre la política y los cárteles de la droga, notó en octubre de 2020 que había aparecido un clon de su sitio web en Internet. Casi al mismo tiempo, Los Danieles, una popular página de columnas dirigida por tres prestigiosos periodistas, notó que su sitio también fue clonado. Los impostores utilizaron diseños idénticos y nombres de dominio similares a los de los sitios originales, pero alteraron el contenido y utilizaron la buena reputación de los medios para difundir desinformación en el espectro político. El presente informe se centra en seguir las huellas digitales de los impostores, para revelar la identidad del atacante. Los clones
| Sitio web original | Clon |
| www.lanuevaprensa.com.co | www.lanuevaprensa.net |
| www.losdanieles.com | www.losdanieles.net |
La ubicación de los clones - ¿Dónde están alojados?
El nombre de dominio del clon de Los Danieles se registró el 29 de junio de 2020 y el dominio del clon de La Nueva Prensa se registró el 18 de julio de 2020. Ambos dominios utilizados para los clones están registrados con el registrador Namecheap. Los registros históricos del dominio clon de La Nueva Prensa (lanuevaprensa {.} Net), muestran que ha sido alojado en banahosting.com, un proveedor de hospedaje con servidores dentro de la Red Central del Servidor (AS23352). Los dominios de ambos clones declaran un registro SPF de correo del formulario: "v=spf1 +a +mx include:relay.mailchannels.net ~all" Ambos dominios utilizan Inmunify360 para proteger sus sitios web (WordPress) de los ataques a la capa de aplicaciones. Parece que los dos dominios tienen algunas cosas en común. Veamos si podemos encontrar más similitudes ... La ubicación del clon de Los Danieles (losdanieles {.} Net) está oculta detrás de Cloudflare, que representa el tráfico, y oculta dónde está alojado el servidor real. Sabiendo que el clon de La Nueva Prensa (lanuevaprensa {.} Net) está alojado en Server Central Network, analizamos todas las redes anunciadas por la empresa, específicamente aquellas redes utilizadas para alojar clientes.
Usando el servicio censys.io buscamos direcciones con el captcha "imunify360 webshield 1.8" dentro de Server Central y descubrimos que la dirección IP 66.225.201 {.} 72 devolvía un certificado SSL cifrado con el dominio losdanieles {.} Net. Por lo tanto, el backend oculto del clon de LosDanieles también está alojado en Server Central. Una coincidencia…?
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 verify return:1 depth=0 CN = losdanieles.net verify return:1 Certificate chain 0 s:/CN=losdanieles.net i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- MIIFgDCCBGigAwIBAgISA2F2B8Ec1NNxoN2mk1RfaGDcMA0GCSqGSIb3DQEBCwUA MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0yMDEwMjQwNjA0MDlaFw0y MTAxMjIwNjA0MDlaMBoxGDAWBgNVBAMTD2xvc2RhbmllbGVzLm5ldDCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBALOdXNcm04arXO9JEs5HJ2WothKL+ByN YtY9ja2WeUXyUqE0iZ3knI5qRxRfR7MJcKwg3vEbCMoMgqOAd6E/rIs4VWX0Saic cowc1bUND3lzKyh+Ni2/hzL5LpGlTxDcd1QduJMSLXJPzUP3oLt0QX7AwciQAdkb LNAKdqoGZGs4R6c3sMRvGHLpI4aqYUQF/WBSj1JBNE3heMmY9yICxHGzgdYauGIi vbkSHm5kXoT5LNy9mzm8Rgu0hdZWAV3dtbb5EpwP2a4snO+VjdN73qQZhxLZJyFY bE84+RHf3+BzAACuhCuX8bJMkayEXecNRYGiy0k8L1hBRdFBDhBVbp0CAwEAAaOC Ao4wggKKMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYB BQUHAwIwDAYDVR0TAQH/BAIwADAdBgNVHQ4EFgQUOMFT551OphiXssqDLcIDjcdE k2QwHwYDVR0jBBgwFoAUqEpqYwR93brm0Tm3pkVl7/Oo7KEwbwYIKwYBBQUHAQEE YzBhMC4GCCsGAQUFBzABhiJodHRwOi8vb2NzcC5pbnQteDMubGV0c2VuY3J5cHQu b3JnMC8GCCsGAQUFBzAChiNodHRwOi8vY2VydC5pbnQteDMubGV0c2VuY3J5cHQu b3JnLzBFBgNVHREEPjA8gg9sb3NkYW5pZWxlcy5uZXSCFG1haWwubG9zZGFuaWVs ZXMubmV0ghN3d3cubG9zZGFuaWVsZXMubmV0MEwGA1UdIARFMEMwCAYGZ4EMAQIB MDcGCysGAQQBgt8TAQEBMCgwJgYIKwYBBQUHAgEWGmh0dHA6Ly9jcHMubGV0c2Vu Y3J5cHQub3JnMIIBAwYKKwYBBAHWeQIEAgSB9ASB8QDvAHYAXNxDkv7mq0VEsV6a 1FbmEDf71fpH3KFzlLJe5vbHDsoAAAF1WWv5KwAABAMARzBFAiA1svPPAuD2C3+J PlTaVqi7MMn76pyOdYNSgvwofYBN5AIhAOaqiCa6nVUE1BzU/p3wcOrnW7pikEN3 GqgMCTecpV10AHUAfT7y+I//iFVoJMLAyp5SiXkrxQ54CX8uapdomX4i8NcAAAF1 WWv5cAAABAMARjBEAiARUBP+bRunYbxa/dtMkAqel7bLaNK4VwkATjjCAOCARQIg KxXXp/Yw/q5C7kUifdeDottzfd9l7HwkHSJriN7EyYowDQYJKoZIhvcNAQELBQAD ggEBABhy684ngX6QnwnVGi7jW5HeXNWv/Ee8nfFeX3xOhiQu32URCTVVF0APG4nP LldJh1eP5PUkLVigrpJVSthKzdQHfBNSjhm/XdmwaHOGrVd/KjPhgw8SXQvkMXqQ eCiSZ1qSiYq1uKQ2xxcYKO2nMRJiO9x7yIUM9m8iP6nUrnOz1zIMJ/NP+aHyxoYX YkKejFWDz5tu6Lc2BknyK1QjX9KP2XRLxhXDf9VemSayP/vniWegTlr0abCCwEvP m2iGUh2e6qo+FcRva4kvus1SdzbyH96tCIyrLzhsdo7HK41S1Vd/5akC97n4fqgT Lcq2wwOYWgYWza2QCOpLUJjgP/s=
-----END CERTIFICATE-----
Al buscar en lo que está alojado en el rango de IP 66.225.201.0/24, encontramos que la red aloja máquinas de “Banahosting”. Utilizando DNS inverso y datos SSL históricos, encontramos que el dominio "tequieroperro {.} Com" se ha alojado en un grupo de direcciones sospechosas en Server Central (66.225.201 {.} 67-78) con DNS inverso priva60.privatednsorg.com.
Twitter y amplificación de noticias falsas
Mientras buscábamos más pistas que pudieran llevarnos a las personas detrás de los clones, empezamos a investigar qué manejadores de Twitter estaban difundiendo las noticias falsas provenientes del clon de La Nueva Prensa (lanuevaprensa {.} Net). Descubrimos que los artículos falsos fueron promocionados por la cuenta de Twitter “@lanuevaprensa_” (cuenta falsa de Twitter que utiliza los logos del medio original. Entre la revisión se encontró que una cuenta de Twitter estaba específicamente activa retuiteando todo lo que provenía de la cuenta de Twitter falsa, a saber, @Dr__Fausto.
La cuenta de Twitter @Dr__Fausto se refiere al nombre de dominio hps.com {.} Com, que era una nueva información para nosotros. Analizamos los registros históricos del nombre de dominio utilizando los registros DNS pasivos de Farsight Security. Descubrimos que el sitio web apuntaba a 66.225.201 {.} 71 dentro de los servidores priva60 en Server Central. Otra pieza del rompecabezas que apunta a las redes de Server Central. También encontramos que hps.com.co está asociado a los servidores de nombres de dominio noticiasmanizales.com, reputacion.guru, y con cientos de dominios en la misma red de hosting. La información es el comienzo de la Parte 3 de esta investigación: ‘Una década de phishing.’
2016-12-02 05:15:07 -0000, 2017-04-21 02:10:05 -0000,hps.com.co. IN NS ns1.reputacion.guru.,0,0
2016-12-02 05:15:08 -0000, 2017-04-18 13:16:16 -0000,hps.com.co. IN A 37.48.93.196, AS60781 Netherlands, NL, Netherlands
2016-12-02 05:15:08 -0000, 2017-04-18 13:16:16 -0000,hps.com.co. IN NS ns1.reputacion.guru.,0,0
2016-12-08 01:06:16 -0000, 2017-04-18 12:09:03 -0000,hps.com.co. IN SOA ns1.reputacion.guru. brandco2014.gmail.com. 2016112203 3600 7200 1209600 86400,0,0
2017-04-21 07:00:18 -0000, 2020-02-10 19:33:47 -0000,hps.com.co. IN NS ns1.noticiasmanizales.com.,0,0
2017-04-21 08:46:57 -0000, 2017-08-01 22:41:54 -0000,hps.com.co. IN SOA ns1.noticiasmanizales.com. seothebest2015.gmail.com. 2017042105 3600 7200 1209600 86400,0,0
2017-04-21 08:46:57 -0000, 2020-02-10 19:33:47 -0000,hps.com.co. IN NS ns1.noticiasmanizales.com.,0,0
2017-08-02 16:06:10 -0000, 2017-10-29 22:26:35 -0000,hps.com.co. IN SOA ns1.noticiasmanizales.com. servers.privatednsorg.com. 2017080105 86400 7200 1600000 86400,0,0
2017-10-30 02:22:12 -0000, 2018-02-20 13:05:21 -0000,hps.com.co. IN SOA ns1.noticiasmanizales.com. servers.privatednsorg.com. 2017102902 86400 7200 1600000 86400,0,0
2018-02-22 01:01:37 -0000, 2018-02-26 09:19:23 -0000,hps.com.co. IN SOA ns1.noticiasmanizales.com. servers.privatednsorg.com. 2018022100 86400 7200 1600000 86400,0,0
2018-02-26 15:50:03 -0000, 2020-02-10 19:33:47 -0000,hps.com.co. IN SOA ns1.noticiasmanizales.com. admin.privatednsorg.com. 2018022608 86400 7200 1600000 86400,0,0
2020-05-10 15:06:29 -0000, 2020-05-10 15:06:29 -0000,dc-f10ac24a2044.hps.com.co. IN A 66.225.201.71, AS23352 Server Central Network, US, United States
Hallazgos y conclusiones
Hay algunos hallazgos forenses interesantes:
Ambos clones están alojados en Server Central
El clon de Los Danieles (66.225.215 {.} 72) y “HPS” (66.225.215 {.} 71) están alojados en Priva60. “HPS” está conectado al usuario de Twitter @Dr__Fausto que promueve noticias falsas del clon de La Nueva Prensa a través de la cuenta falsa de Twitter @lanuevaprensa_.
Ambos dominios losdanieles {.} Net y hps.com {.} Co comparten servidores DNS de Cloudflare: clay y gina.ns.cloudflare.com
El nombre de dominio hps.com.co está asociado a los servidores de nombres de dominio noticiasmanizales.com, reputacion.guru, que atienden a cientos de dominios en la misma red de hosting.
Hay buenas razones para creer que las personas detrás del clon de Los Danieles están relacionadas con “HPS”. Tampoco es descabellado creer que el mismo grupo de personas está detrás de ambos clones.
Parte 2: Amistad falsa - manipulación de imágenes
En julio de 2020, apareció en Internet un clon del sitio colombiano de noticias y periodismo de investigación La Nueva Prensa (lanuevaprensa.com {.} Co). El clon fue publicado bajo el dominio lanuevaprensa {.} Net, utilizando el branding de La Nueva Prensa. El clon publicó artículos modificados del periódico auténtico con texto e imágenes alterados. Se dice que “una imagen vale más que mil palabras”, eso también se aplica en el análisis forense digital.
Los sitios web clonados contienen no solo texto alterado, sino también imágenes manipuladas. Varias de estas imágenes modificadas muestran a políticos de izquierda junto a personas vinculadas a los narco-carteles. Este informe ilustra cómo las imágenes manipuladas se pueden detectar fácilmente y se puede revelar la desinformación.
Canales de diseminación
El impostor usó dos canales para difundir la desinformación, el sitio web clonado de La Nueva Prensa y una cuenta falsa de Twitter (@lanuevaprensa_) La cuenta de Twitter afirma abiertamente ser una cuenta “falsa” de @lanuevaprensaco, muy probablemente para evitar ser censurado por Gorjeo. La cuenta se utiliza para difundir los artículos falsificados a los usuarios de las redes sociales. Es interesante ver que la cuenta de Twitter ya se creó en diciembre de 2016 y tiene hoy 1081 seguidores. Cuando esta investigación inició, la cuenta contaba con 886 seguidores.
El 20 de octubre, el sitio web clon de La Nueva Prensa publicó el artículo “Las fotos del piloto del Cártel de Sinaloa con los senadores Gustavo Petro, Gustavo Bolívar y la plana mayor de la izquierda colombiana”. El artículo fue difundido rápidamente por la cuenta falsa de Twitter.
El piloto desaparecido
El artículo contenía una foto (Imagen 1) de Samuel David Niño Cataño (izquierda) publicada junto a los senadores Gustavo Petro y Gustavo Bolívar, dos políticos de izquierda. El periódico clonado publicó el artículo a nombre de Gonzalo Guillén y Julián F. Martínez, dos de los periodistas de La Nueva Prensa, quienes han venido revelando durante numerosas entregas, las relaciones de los pilotos de carteles de droga mexicanos con políticos del partido de derecha, y de Gobierno, el Centro Democrático.
En agosto de 2020, la legítima La Nueva Prensa informó que una avioneta que se estrelló en Guatemala, a fines de noviembre de 2019, transportando cocaína del cartel de Sinaloa era pilotado por Samuel David Niño Cataño en el momento del siniestro. Es de suponer que Niño Cataño murió en el accidente, pero sus restos nunca pudieron ser identificados. El piloto y su empresa Llanera de Aviación S.A.S fueron utilizados frecuentemente por el expresidente y senador Álvaro Uribe Vélez y el actual presidente Iván Duque. Por lo tanto, el informe de agosto de La Nueva Prensa conecta al piloto amigo presidencial, presuntamente muerto, Samuel Niño Cataño, con los carteles de droga mexicanos.
Amistad forjada - evidenciado por ELA
El objetivo del impostor con el artículo falso era conectar al piloto amigo del actual presidente con políticos de izquierda, para desacreditar los hallazgos de La Nueva Prensa, y desviar los vínculos de éste con los carteles de la droga y el partido de gobierno.
Qurium ha analizado las imágenes publicadas por el sitio de noticias de clones (lanuevaprensa {.} Net) y las ha procesado utilizando ‘Error Level Analysis (ELA)’, una técnica utilizada en la ciencia forense digital para identificar la falsificación de imágenes. El ELA identifica partes de una imagen que tienen diferentes niveles de compresión. En otras palabras, detecta cómo se ha compuesto una imagen falsa. Las partes individuales de la imagen falsa se utilizan más tarde para realizar "búsquedas de imágenes" para encontrar las imágenes originales que se han modificado.
Caso 1: agregar a una persona
La imagen de abajo muestra al piloto Niño Cataño (izquierda) con el senador de Colombia Humana Gustavo Petro (centro) y el senador Gustavo Bolívar, jefe de la lista de coalición “Los Decentes” (parte de Colombia Humana durante la campaña presidencial).
El procesamiento de ELA muestra un borde afilado en la manga derecha de la camisa blanca de Petro (en el medio). También podemos detectar una mala "detección de bordes" de un editor de fotos.
La imagen original (de Petro y Bolívar) que se modificó tenía fondo blanco. La imagen del piloto se modificó con "borrador de fondo" y "cabello cortado" antes de la inserción. Sin embargo, una parte del fondo permaneció alrededor del hombro del piloto.
Caso 2: Reemplazando a una persona
Otra foto (imagen 8: izquierda) publicada por el sitio web del clon, muestra a Gustavo Petro con el piloto Niño Cataño. Esta imagen no necesita tecnología para detectar la falsificación, ya que se cometen múltiples errores. La posición de las dos personas es incómoda, el tamaño de sus caras difiere mucho y la resolución de las dos personas es diferente.
El cuadro falsificado es una composición de dos cuadros. Una simple búsqueda de imágenes sobre cada imagen individual encuentra las imágenes originales (Imagen 8 en el medio y a la derecha).
Caso 3: Reemplazar a una persona y remover información
En la tercera foto falsa, el piloto ahora posa con Feliciano Valencia, senador del partido indígena MAIS.
La imagen original proviene de una campaña del partido MAIS, donde Feliciano Valencia posa junto a Gustavo Petro.
La foto del piloto Niño Cataño fue tomada de una foto con el expresidente y exsenador Uribe Vélez. Cataño lleva una camiseta con el logo de DUQUE, durante un evento de apoyo a la campaña presidencial de Iván Duque.
El procesamiento de ELA muestra cómo la marca “DUQUE” en la camiseta de Niño Cataño se difuminó usando un software de edición de fotografías.
Parte 3: Priva60: un refugio para la desinformación y el phishing
Después de confirmar que el clon de Los Danieles y la empresa sospechosa HPS, conectados a la cuenta falsa de Twitter de La Nueva Prensa, ambos estaban alojados en Priva60 como parte de la red del servidor priva60.privatednsorg.com, decidimos echar un vistazo más de cerca. en Priva60. Nuestros hallazgos indican que Priva60 es un refugio para la desinformación, el trolling, el phishing y otros tipos de estafas.
Priva60 - ¿qué estás haciendo?
Para tener una idea del contenido que ofrece Priva60, buscamos todos los sitios web asociados a este espacio de alojamiento en Server Central. Para nuestra sorpresa, con solo mirar cinco de todos los dominios alojados con Priva60, podríamos agrupar fácilmente más de 300 dominios asociados con el alojamiento oculto en Server Central.
Analizamos los dominios (1) reputacion.guru (2) okso.co (3) redamiga.com (4) zerver.co (5) zozyal.co y (6) noticiasmanizales.com, y analizando estos nombres de dominio, pudimos rastrear la actividad de esta red de desinformación hasta 2008 y pudimos concluir que Priva60 se ha utilizado para actividades maliciosas durante no menos de una década.
# Hosting Servers
108.163.217.142
162.210.192.84
173.236.119
184.154.134.50
184.154.134.50
184.171.242.140
198.49.74.34
198.49.74.39
199.168.185.218
37.48.93.194
37.48.93.196
66.225.201
66.225.201.66
66.225.201.71
66.225.201.72
66.225.201.73
# Associated Domain names
45segundos.com
noticiasmanizales.com
redamiga.com
reputacion.guru
zerver.co
zozyal.co
# Email addresses
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
# SPF
mailchannels.net
La referencia más antigua se remonta a 2008 con el servidor de nombres pdns.redamiga {.} Com.
Domain Name: REDAMIGA.COM
Registrar: GODADDY.COM, LLC
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS1.ZERVER.CO
Name Server: NS2.ZERVER.CO
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 10-feb-2014
Creation Date: 09-feb-2008
Expiration Date: 09-feb-2015
La mayoría de los dominios registrados después de 2014 están asociados a las siguientes direcciones de correo electrónico:
- brandco2014{@}gmail.com
- seothebest2015{@}gmail.com
- whois{@}okso.co
OKSO - un lugar de posesión de dominios
El dominio okso.co (OKSO Limited) y las cuentas de correo electrónico Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. y Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. se utilizaron entre 2014-2017 para registrar una docena de nombres de dominio. Muchos de ellos estaban alojados en la dirección IP 37.48.93 {.} 196.
Al revisar el registro de la empresa en el Reino Unido, encontramos OKSO Limited, una empresa registrada en 2011 y disuelta en 2014. La empresa se registró en abril de 2011 a nombre del ciudadano británico David John Hunt para el desarrollo de WordPress Web.
Datos históricos de varios dominios muestran que aún a la fecha se estaban registrando nuevos dominios a nombre de OKSO Limited aunque la empresa ya estaba disuelta.
Una década y cientos de nombres de dominio
Durante más de una década, se han registrado más de 300 dominios a nombre de OKSO Limited para promover políticos, artistas y celebridades del deporte. Al revisar los dominios, también encontramos varios sitios web falsos diseñados para intimidar y trolear a periodistas y políticos. Una estrategia común parece ser clonar un sitio de medios y publicar artículos con puntos de vista opuestos a las noticias originales utilizando las identidades de los autores originales. Una lista completa de los más de 300 nombres de dominios, incluidas las firmas de su infraestructura, está disponible aquí.
Dominios de Phishing
Los dominios no solo incluyen sitios web de políticos conocidos en Colombia y sitios diseñados para difundir desinformación y difamación, también encontramos dos nombres de dominio diseñados para realizar campañas de phishing:
- xn--twtter-4va.com{.}co
- helpinstagrm{.}com
El primer dominio se representa en twítter.com {.} Co con una í (i acentuada) en lugar de una i normal. Este es un dominio de phishing de Twitter, creado en 2017, que estuvo activo hasta mediados de octubre de 2020. El dominio todavía se proporciona dentro de Priva60. Según los registros históricos de Twitter, el dominio de phishing ya estaba en uso en 2017.
2017-10-20 22:52:35 -0000, 2018-02-17 19:45:45 -0000,verified.xn--twtter-4va.com.co. IN A 198.49.74.39, AS33182 HostDime.com, Inc., US, United States
2018-04-13 13:09:29 -0000, 2020-01-29 11:27:51 -0000,verified.xn--twtter-4va.com.co. IN A 173.236.119.36, AS32475 SingleHop, Inc., US, United States
2018-10-27 22:15:47 -0000, 2020-02-18 19:07:53 -0000,getverified.xn--twtter-4va.com.co. IN A 173.236.119.36, AS32475 SingleHop, Inc., US, United States
2018-10-27 22:16:00 -0000, 2019-11-08 01:40:01 -0000,www.getverified.xn--twtter-4va.com.co. IN A 173.236.119.36, AS32475 SingleHop, Inc., US, United States
2020-03-05 23:23:02 -0000, 2020-10-14 02:57:49 -0000,verified.xn--twtter-4va.com.co. IN A 66.225.201.71, AS23352 Server Central Network, US, United States
2020-04-23 12:45:23 -0000, 2020-09-28 16:04:12 -0000,www.getverified.xn--twtter-4va.com.co. IN A 66.225.201.71, AS23352 Server Central Network, US, United States
El script Robo-php en la página falsa de verificación de Twitter está diseñado para robar las contraseñas de las cuentas de las víctimas.
Another malicious domain hosted in the same servers “helpinstagrm.com”.
¿Quién está detrás de Priva60 y los dominios falsos y los sitios web de phishing?
Después de descubrir que tanto los sitios web falsos lanuevaprensa {.} Net como losdanieles {.} Net estaban alojados en Server Central y uno de ellos estaba escondido en la dirección IP 66.225.201 {.} 72 detrás de Cloudflare, encontramos que la cuenta de twitter @Dr__Fausto estaba amplificando las fake news y uno de los dominios que promueve hps.com {.} co también estaban alojados en los mismos servidores.
Las direcciones IP 66.225.201 {.} 71,66.225.201 {.} 72 y 66.225.201 {.} 73 y el certificado SSL de tequieroperro {.} Com nos ayudaron a vincular el espacio de alojamiento (priva60.privatednsorg.com) a más de 300+ nombres de dominio asociados a campañas políticas, desinformación y difamación contra candidatos, políticos y periodistas.
El mismo espacio de alojamiento alberga tres nombres de dominio de phishing xn--twtter-4va.com {.} Co, xn--nstagram-b2a.com.co y helpinstagrm {.} Com utilizados para robar las contraseñas de Twitter e Instagram.
Toda la evidencia apunta a que los sitios web falsos y de phishing están vinculados a “Carlos Escobar” carlosarturoescobarmarin.me alojó un 37.48.93 {.} 196 con el resto de los dominios asociados zozyal.co, zerver.co y brandco2014.
Más investigación – más desinformación
Mientras investigaba Priva60, Qurium descubrió otro sitio web alojado en 66.225.201 {.} 71 que difunde noticias falsas en Colombia. El contenido se amplifica en Twitter y Facebook para llegar a una audiencia más amplia. El sitio, denominado “Letra Menuda”, pretende ser un portal especializado en investigaciones sobre corrupción, pero no es más que un sitio web que difunde “fake news” y difamación.
