En el post anterior el cual se puede leer aquí, se han aplicado las configuraciones iniciales para que Evilginx2 pueda solicitar y configurar de forma automática un certificado digital valido para el dominio “es-twitter.ml”. Como se ha visto en el artículo anterior, el dominio ya se encuentra correctamente configurado y ahora es necesario comenzar con la configuración de Evilginx2 para llevar a cabo el ataque propiamente dicho.
Si todo lo que se ha explicado en el post anterior se ha aplicado correctamente, ahora es posible habilitar el “phishlet” de twitter con el comando “phishlets enable twitter”. Este comando intentará generar un certificado autofimado al vuelo para el dominio indicado en “hostname” que tal como se ha explicado en el post anterior es “twitter.com.es-twitter.ml” y a continuación, se encargará de contactar con el CertBot de LetsEncrypt para que evidentemente, dicho certificado generado por Evilginx2 se encuentre firmado por una CA de la que se van a fiar los clientes (LetsEncrypt). Este proceso puede tardar unos minutos y en ocasiones puede llegar a fallar y si esto ocurre hay que volver a lanzar el comando una segunda vez pero si el problema persiste será necesario revisar toda la configuración correspondiente al dominio, la IP pública establecida y los registros DNS.
Una vez con los certificados preparados y correctamente instalados en la instancia de Evilginx2 es el momento de crear los “lures”. Estos elementos son simplemente configuraciones que se pueden incluir sobre un phishlet concreto, de tal manera que es fácil tener varios lures que representen diferentes tipos de configuraciones. Aunque pueda sonar un poco complejo, nada más lejos. Los lures están compuestos por un identificador númerico, nombre, path que se debe de incluir en la URL que se enviará a la víctima, una URL para redireccionar al usuario en caso de error, parámetros adicionales que pueden ser requeridos por el servicio objetivo (en éste caso Twitter) y un campo para incluir una pequeña descripción del lure.
Viendo las opciones disponibles en el comando “lures” se puede apreciar que su uso es bastante sencillo. Haría falta crear el lure con el comando “lures create twitter”, el cual creará un nuevo identificador para posteriormente poder editar el lure creado. Luego se pueden establecer opciones como por ejemplo un “path” personalizado o una URL de redirección, la sintaxis para cualquiera de dichos comandos es “lures edit <opción> <id lure> <valor>”. Por ejemplo: “lures edit redirect_url 0 https://www.twitter.com”.
Como se puede ver en la imagen anterior ya ésta todo preparado, ahora solamente hace falta ejecutar el comando “lures get-url <id lure>” para obtener la URL que se le debe enviar a la víctima y esperar.
Una vez el usuario pincha sobre el enlace o accede al sitio web por medio de la URL anterior, aparece en el navegador web la misma estructura del sitio web de Twitter legitimo ya que de hecho, Evilginx2 actúa simplemente como una pasarela entre la víctima y dicho sitio web, a éste ataque como ya sabéis se le suele llamar MITM aunque en éste caso con unas variantes un tanto especiales. Si la víctima intenta acceder utilizando su usuario y contraseña el procedimiento de login se llevará a cabo desde Evilginx2 y ya de paso, capturará todos los detalles de dicho proceso.
Espero que os haya gustado la herramienta y os animo a probarla ya que como habéis podido ver, es sencilla y muy potente.
Un saludo y Happy Hack.
Adastra.