Los 3 primeros resultados de "KakaoTalk" en Bing son phishing originado en China

Los 3 primeros resultados de "KakaoTalk" en Bing son phishing originado en China

Al buscar "KakaoTalk" en Bing, los 3 primeros resultados (apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) son todos phishing. Tras analizar la infraestructura y el código:

• Filtrado: si no hay Referer+UA, devuelve 500/403 (evita acceso directo/escáneres automáticos)
• Infraestructura china: registro con Tencent/DNSpod, analítica 51.la, og:locale=zh-cn, enlace a una cuenta china de Telegram
• Registro: los 3 dominios se registraron en bloque con 1 segundo de diferencia, en la misma subred /24, con TLS emitido el mismo día
• Malware: instalador NSIS disfrazado como .scr → solicita privilegios de administrador → descifra la carga con DcryptDll.dll → la deja en AppData
• Distribución: los 3 dominios redirigen a la misma URL de CDN de Cloudflare (download.i96l6[.]top, Alibaba Cloud)

Mientras tanto, el verdadero sitio oficial de KakaoTalk quedó relegado al 4.º lugar. Como el buscador predeterminado de Edge es Bing, esto representa una amenaza bastante seria para quienes no han cambiado la configuración.

Contenido detallado

La estructura para evadir la detección es bastante sofisticada. Solo muestra la página de phishing a usuarios que llegan desde resultados de búsqueda, y devuelve una página vacía a quienes entran directamente por URL o a escáneres automáticos. Por eso, ni siquiera servicios públicos de análisis como urlscan.io logran detectarlo; incluso si un usuario sospecha y revisa la URL directamente, no verá nada, lo que dificulta que termine reportándolo.

Es relativamente fácil identificar a los atacantes. En el código fuente hay múltiples indicadores que apuntan a un origen chino, como el script de seguimiento de 51.la (analítica web china), og:locale=zh-cn, la ruta /wenzhang/ (文章) y un contacto de Telegram hardcodeado. El registro de dominios se hizo con Tencent/DNSpod y el CDN pasa por Alibaba Cloud.

Los 3 dominios son, en la práctica, una sola operación. El Registry Domain ID es consecutivo, fueron registrados en bloque con 1 segundo de diferencia, comparten la misma subred /24, la misma lógica de filtrado y la misma URL de descarga. Para diversificar el SEO, usan una estructura de plantillas donde solo cambia el metadata (seo_templates/index/zd/kk_1/2/3/).

Se aplica session gating en la ruta de descarga. Al entrar a la página /download, se emite una cookie PHPSESSID; al llamar a /download.php, responde con un 302 que redirige al CDN externo (download.i96l6[.]top). Si se accede directamente a download.php sin cookie, devuelve 500.

El archivo distribuido es un ejecutable PE con extensión .scr (screensaver). Es un instalador NSIS v3.07 disfrazado con los metadatos "Kakao Corp. / KakaoTalk Setup". Solicita privilegios de administrador y trae empaquetados una DLL de descifrado en tiempo de ejecución (DcryptDll.dll) y componentes de WPS Office (Kingsoft). La técnica consiste en instalar a la vez software legítimo y la carga maliciosa para reducir las sospechas del usuario.