Estaba buscando empleo por internet, y encontré una web muy buena (no es spam lo juro ) que me daba bastante confianza. Lo digo porque hay muchas webs del estilo hechas sólo para robar tu información.
El caso es que de vez en cuando me saltaba el antivirus y me decía lo siguiente:
Código:
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del evento de protección: 10/1/22
Hora del evento de protección: 11:59
Archivo de registro: 543b138a-7204-11ec-8fbc-b8aeed3e456a.json
-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.24228
Licencia: Prueba
-Información del sistema-
SO: Windows 10 (Build 19041.1415)
CPU: x64
Sistema de archivos: NTFS
Usuario: System
-Detalles del sitio web bloqueado-
Sitio web malicioso: 1
, , Bloqueado, [-1], [-1],0.0.0
-Datos de sitio web-
Categoría: Secuestro
Dominio: apiujquery.com
Dirección IP: [s]nosesideberíapublicarla[/s]
Puerto: [52348]
Tipo: Saliente
Archivo: c:/blabla/minavegador.exe
(end)
Como parecía una web de confianza y no me aclaré mucho por internet, pensé que lo de "secuestro" podría ser algún falso positivo al mandar los formularios de inscripción, así que añadí una excepción al antivirus. Pero comenzó a saltarme una ventana que contenía un formulario para introducir un método de pago Curiosamente en inglés, algo raro en una web española enfocada al empleo en Castilla-La Mancha:
https://fv9-2.failiem.lv/down.php?i=7gmfgfh8c&view
(no me preguntéis por qué activé el inspector de elementos, no se nada de seguridad )
Así que aquí me asaltaron las dudas ¿estoy infectado? ¿lo está la web? ¿es una web falsa directamente?
Le hice un whois al dominio a ver que soltaba, pero era todo anónimo:
(Pongo todo tal y como aparece porque es información accesible de forma pública, espero que no haya nada sensible)
Código:
Domain Profile
Registrant REDACTED FOR PRIVACY
Registrant Org REDACTED FOR PRIVACY
Registrant Country REDACTED FOR PRIVACY
Registrar Webempresa Europa, S.L.
IANA ID: 5555555
URL: https://webempresa.com,http://www.webempresa.com
Whois Server: wedominios.webempresa.eu
(p)
Registrar Status activo, clientTransferProhibited
Dates 118 days old
Created on 2021-09-14
Expires on 2022-09-14
Updated on 2021-11-25
Name Servers ARYANNA.NS.CLOUDFLARE.COM (has 23,268,507 domains)
MCGRORY.NS.CLOUDFLARE.COM (has 23,268,507 domains)
Tech Contact REDACTED FOR PRIVACY
REDACTED FOR PRIVACY,
REDACTED FOR PRIVACY, REDACTED FOR PRIVACY, REDACTED FOR PRIVACY, REDACTED FOR PRIVACY
IP Address 172.67.204.219 - -1 other site is hosted on this server
IP Location United States - California - San Francisco - Cloudflare Inc.
ASN United States AS13335 CLOUDFLARENET, US (registered Jul 14, 2010)
Domain Status Never Registered Before
IP History 1 change on 1 unique IP addresses over 1 years
Registrar History 1 registrar
Hosting History 1 change on 2 unique name servers over 1 year
Website
Website Title None given.
Whois Record ( last updated on 2022-01-10 )
Domain Name: ofertasdetrabajoencastillalamancha.com
Registry Domain ID: 4231
Registrar WHOIS Server: wedominios.webempresa.eu
Registrar URL: https://webempresa.com
Updated Date: 2021-11-25T21:09:13Z
Creation Date: 2021-09-14T10:01:01Z
Registrar Registration Expiration Date: 2022-09-14T10:01:01Z
Registrar IANA ID: 5555555
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone: +1.1235551234
Reseller: EXAMPLE RESELLER
Domain Status: activo
Registry Registrant ID: 16424
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: REDACTED FOR PRIVACY
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: REDACTED FOR PRIVACY
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: REDACTED FOR PRIVACY
Registrant Phone: REDACTED FOR PRIVACY
Registrant Email: REDACTED FOR PRIVACY
Registry Admin ID: 16423
Admin Name: REDACTED FOR PRIVACY
Admin Organization: REDACTED FOR PRIVACY
Admin Street: REDACTED FOR PRIVACY
Admin City: REDACTED FOR PRIVACY
Admin State/Province: REDACTED FOR PRIVACY
Admin Postal Code: REDACTED FOR PRIVACY
Admin Country: REDACTED FOR PRIVACY
Admin Phone: REDACTED FOR PRIVACY
Admin Email: REDACTED FOR PRIVACY
Registry Tech ID: 16426
Tech Name: REDACTED FOR PRIVACY
Tech Organization: REDACTED FOR PRIVACY
Tech Street: REDACTED FOR PRIVACY
Tech City: REDACTED FOR PRIVACY
Tech State/Province: REDACTED FOR PRIVACY
Tech Postal Code: REDACTED FOR PRIVACY
Tech Country: REDACTED FOR PRIVACY
Tech Phone: REDACTED FOR PRIVACY
Tech Email: REDACTED FOR PRIVACY
Registry Billing ID: 16425
Billing Name: REDACTED FOR PRIVACY
Billing Organization: REDACTED FOR PRIVACY
Billing Street: REDACTED FOR PRIVACY
Billing City: REDACTED FOR PRIVACY
Billing State/Province: REDACTED FOR PRIVACY
Billing Postal Code: REDACTED FOR PRIVACY
Billing Country: REDACTED FOR PRIVACY
Billing Phone: REDACTED FOR PRIVACY
Billing Email: REDACTED FOR PRIVACY
Name Server: aryanna.ns.cloudflare.com
Name Server: mcgrory.ns.cloudflare.com
Name Server: n/a
Name Server: n/a
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 0001-01-01T00:00:00Z <<<
; The data in this registrar whois database is provided to you for
; information purposes only, and may be used to assist you in obtaining
; information about or related to domain name registration records.
; We do not guarantee its accuracy.
; By submitting a WHOIS query, you agree that you will use this data
; only for lawful purposes and that, under no circumstances, you will
; use this data to
; a) allow, enable, or otherwise support the transmission by e-mail,
; telephone, or facsimile of mass, unsolicited, commercial advertising
; or solicitations to entities other than the data recipient's own
; existing customers; or
; b) enable high volume, automated, electronic processes that send queries
; or data to the systems of any Registry Operator or ICANN-Accredited
; registrar, except as reasonably necessary to register domain names
; or modify existing registrations.
; The compilation, repackaging, dissemination or other use of this data
; is expressly prohibited without prior written consent.
; These terms may be changed without prior notice. By submitting this
; query, you agree to abide by this policy.
Decía que la IP estaba alojada fuera de España:
Código:
IP Address 172.67.204.219 - -1 other site is hosted on this server
IP Location United States - California - San Francisco - Cloudflare Inc.
ASN United States AS13335 CLOUDFLARENET, US (registered Jul 14, 2010)
Muy raro ¿por qué alojarla tan lejos? Todavía no sabía si esto podía ser normal, ya que apenas se del tema, así que miré la dirección física que aparecía en la web y la consulté en Google ( Plaza de Grecia 1, Portal 1–Planta 1–Oficina 1, 45005 TOLEDO )
Estaba a nombre de una empresa llamada Centro Negocios Toledo CENT&TBS . Hice un Whois a su página web para comparar y parecía todo más normal, o por lo menos estaba alojada en España, como es lógico:
Código:
Domain Profile
Registrar Status taken
Name Servers ACLASS.EARTH.ORDERBOX-DNS.COM (has 369,880 domains)
ACLASS.MARS.ORDERBOX-DNS.COM (has 369,880 domains)
ACLASS.MERCURY.ORDERBOX-DNS.COM (has 369,880 domains)
ACLASS.VENUS.ORDERBOX-DNS.COM (has 369,880 domains)
Tech Contact —
IP Address 89.140.72.190 - 36 other sites hosted on this server
IP Location Spain - Madrid - Madrid - A Class Publicidad
ASN Spain AS6739 ONO-AS Cableuropa - ONO, ES (registered Nov 24, 1999)
IP History 1 change on 1 unique IP addresses over 2 years
Hosting History 2 changes on 3 unique name servers over 6 years
Website
Website Title Centro de Empresas y Negocios Toledo & Business School
Server Type Microsoft-IIS/8.5
Response Code 200
Terms 421 (Unique: 212, Linked: 31)
Images 16 (Alt tags missing: 0)
Links 28 (Internal: 17, Outbound: 6)
Whois Record ( last updated on 2022-01-10 )
% NOTE: The registry for this domain name does not publish ownership
% records (whois records) in the standard format. This data
% represents the most likely status of the domain based on
% information provided by the Internet's domain name servers (DNS).
domain: centronegociostoledo.es
status: taken
nameserver: aclass.earth.orderbox-dns.com
nameserver: aclass.mars.orderbox-dns.com
nameserver: aclass.mercury.orderbox-dns.com
nameserver: aclass.venus.orderbox-dns.com
Entonces pensé ¿Y que pasa con la dirección que bloquea Malwarebites? (ApiUjQuery.com)
Asumo que es la dirección a la que se "conecta" el formulario de pago que aparece en la imagen (no se si estoy usando los términos correctos pero espero estar explicándome bien ). Así que le hago Whois y me suelta esto:
Código:
Whois Record for ApiUjQuery.com
How does this work?
Domain Profile
Registrant REDACTED FOR PRIVACY
Registrant Org REDACTED FOR PRIVACY
Registrant Country us
Registrar ERANET INTERNATIONAL LIMITED Eranet International Limited
IANA ID: 1868
URL: http://www.eranet.com
Whois Server: whois.eranet.com
(p)
Registrar Status clientTransferProhibited
Dates 160 days old
Created on 2021-08-03
Expires on 2022-08-03
Updated on 2021-08-03
Name Servers NOW1.DNS.COM (has 11,121,105 domains)
NOW2.DNS.COM (has 11,121,105 domains)
Tech Contact REDACTED FOR PRIVACY
REDACTED FOR PRIVACY,
REDACTED FOR PRIVACY, REDACTED FOR PRIVACY, REDACTED FOR PRIVACY, REDACTED FOR PRIVACY
(p) (f)
IP Address 51.178.8.230 is hosted on a dedicated server
IP Location Ukraine - Mykolayivs'ka Oblast' - Mykolaiv - Ivanov Michael
ASN Ukraine AS16276 OVH, FR (registered Feb 15, 2001)
Domain Status Registered And Active Website
IP History 2 changes on 2 unique IP addresses over 1 years
Registrar History 1 registrar
Hosting History 1 change on 2 unique name servers over 1 year
Website
Website Title 403 Forbidden
Server Type nginx/1.18.0 (Ubuntu)
Response Code 403
Terms 5 (Unique: 5, Linked: 0)
Images 0 (Alt tags missing: 0)
Links 0 (Internal: 0, Outbound: 0)
Whois Record ( last updated on 2022-01-10 )
Domain name: apiujquery.com
Registry Domain ID: 2631247943_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.eranet.com
Registrar URL: http://www.eranet.com
Updated Date: 2021-08-04T00:00:00Z
Creation Date: 2021-08-04T01:46:52Z
Registrar Registration Expiration Date: 2022-08-04T00:00:00Z
Registrar: ERANET INTERNATIONAL LIMITED
Registrar IANA ID: 1868
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone: +852.39995400
Reseller:
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: REDACTED FOR PRIVACY
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: MX
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY
Registrant Email:
http://www.tnet.hk/whois/message_to_contact.php?domain=apiujquery.com&contact=Owner
Registry Admin ID: REDACTED FOR PRIVACY
Admin Name: REDACTED FOR PRIVACY
Admin Organization: REDACTED FOR PRIVACY
Admin Street: REDACTED FOR PRIVACY
Admin City: REDACTED FOR PRIVACY
Admin State/Province: REDACTED FOR PRIVACY
Admin Postal Code: REDACTED FOR PRIVACY
Admin Country: REDACTED FOR PRIVACY
Admin Phone: REDACTED FOR PRIVACY
Admin Phone Ext: REDACTED FOR PRIVACY
Admin Fax: REDACTED FOR PRIVACY
Admin Fax Ext: REDACTED FOR PRIVACY
Admin Email:
http://www.tnet.hk/whois/message_to_contact.php?domain=apiujquery.com&contact=Admin
Registry Tech ID: REDACTED FOR PRIVACY
Tech Name: REDACTED FOR PRIVACY
Tech Organization: REDACTED FOR PRIVACY
Tech Street: REDACTED FOR PRIVACY
Tech City: REDACTED FOR PRIVACY
Tech State/Province: REDACTED FOR PRIVACY
Tech Postal Code: REDACTED FOR PRIVACY
Tech Country: REDACTED FOR PRIVACY
Tech Phone: REDACTED FOR PRIVACY
Tech Phone Ext: REDACTED FOR PRIVACY
Tech Fax: REDACTED FOR PRIVACY
Tech Fax Ext: REDACTED FOR PRIVACY
Tech Email: http://www.tnet.hk/whois/message_to_contact.php?domain=apiujquery.com&contact=Tech
Name Server: now1.dns.com
Name Server: now2.dns.com
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
For more information on Whois status codes, please visit https://icann.org/epp
Parece que todo está a nombre de un tipo llamado Ivanov Michael que vive en Mykolaiv, Urcania ¿quizás lo he entendido mal?
Al buscar Mykolaiv - Ivanov Michael en Google, en los primeros resultados me aparece un perfil de Facebook de un tipo que dice ser "Fullstack Developer" (No lo comparto directamente por si incumple alguna norma del foro)
Con todo esto me he quedado con las siguientes dudas:
¿Debería alguien hablar con la empresa Centro Negocios Toledo CENT&TBS por si han sido infectados? ¿o acaso es una web falsa? ¿quizás soy yo el que está infectado?¿Todo esto es normal y me estoy montando una película ?
Espero no haberos aburrido mucho con este tocho, tampoco se si he usado bien la etiqueta "code", pero me parecía buena forma de diferenciar el texto. Si me resolvéis alguna duda me dejaríais mas tranquilo, y si no, gracias por leer igualmente