Pular para o conteúdo principal

OSINT: Grupo Telegram MOVIMENTO ANTI-NOVO NORMAL

Se não bastasse um vírus que já fez milhões de vítimas, ainda é preciso enfrentar uma onda forte de negacionismo da ciência. Adeptos da desinformação tentam boicotar a vacinação e contrariam o isolamento social e o uso de máscara, fortemente recomendados pela comunidade médica. Um exemplo recente é a fala do deputado federal Eduardo Bolsonaro (PSL-SP) sobre “enfiar a máscara no rabo” (palavras dele) em um vídeo divulgado nas redes sociais.

OSINT: Grupo Telegram MOVIMENTO ANTI-NOVO NORMAL

Lembrando que os dados coletados são públicos e não foi necessário invasão de dispositivo eletrônico para tal Blog Post.

Nenhum animal (Gado ou Jacaré ) foi ferido durante a criação de tal blog post

DIAS DE TREVAS Sob influência de Bolsonaro, cresce número de pessoas contrárias à obrigatoriedade das vacinas e que questionam sua eficácia (Crédito: Eduardo Mtysiak)
DIAS DE TREVAS Sob influência de Bolsonaro, cresce número de pessoas contrárias à obrigatoriedade das vacinas e que questionam sua eficácia (Crédito: Eduardo Mtysiak)
O negacionismo é o ato de negar-se a acreditar em uma informação estabelecida em áreas como a ciência e a história. Os negacionistas são vistos como irracionais, pois não acreditam em consensos obtidos por amplo e profundo estudo e escoram suas crenças em informações falsas e teorias conspiratórias. A negação do Holocausto é uma das principais manifestações negacionistas.

CONTEXTO DE GRUPOS NEGACIONISTAS
  • O negacionismo é uma tendência em larga escala, um movimento político que visa a negação tanto de fatos históricos quanto de evidências científicas
  • Tem como objetivo produzir nas pessoas uma espécie de ignorância, em uma situação social que inspira cuidado, tratamento e combate
  • A insistência na negação como único mecanismo de defesa diante de um sofrimento intenso implica em vulnerabilidade psíquica que demanda acompanhamento
START OSINT
Um belo dia me deparo no twitter com o seguinte post
Observando tal tweet é possível entender uma pequena organização vinculada, pois quado o individuo investe dinheiro ou tempo para produzir tal propaganda. claramente existe intenção de externar suas ideias e agregar seguidores ou criar uma comunidade fechada que não confronte seu ideal de realidade. Para enumerar as evidências usarei um esquema de IDs para cada asset.

Ponto de partida analisando o post do user @Iracema.

0A, 0B, 0B-1
Observando o user IracemaHorta tem o comportamento básico de user que é feito basicamente para dar RT e tais ideias, não necessariamente é um BOT. 

0C, 0C-1, 0C-2, 0C-3
A evidência (0C-1) podemos observar o possível nome de um grupo, concatenando tal informação com o ícone destacado no (0C-2) é possível ter uma alusão de uma grupo Telegram. 
No destaque (0C-3) é identificado a sigla do grupo.

BUSCANDO GRUPO TELEGRAM
Usando a informação (0C-1) é possível localizar o grupo em questão, destaque para a foto profile é mesma usada na carteirinha de "antivacina".


0D-1
O grupo localização extremamente ativo com milhares de videos e links em apoio ao presidente ou falando sobre algo antivacina.
  • 2k membros
  • 6k fotos
  • 4k vídeos
  • 5k links
INTRODUÇÃO DO GRUPO
 DADOS COMPARTILHADOS

ENUMERANDO ADMINISTRADORES
Nesta etapa foi identificado o administrador principal IkANN e os demais admins Dani, ceciliamf77 e Leedeebr, mas o esforço mais será direcionado ao user principal IkANN.

0D-2, 0D-6, 0D-7
Com uma pequena pesquisa dentro do grupo foi enumerado algumas informações sobre o admin IkANN, na evidência 0D-7 é possível observar a oferta de uma camiseta vinculada a propaganda do grupo.
0D-8
Com base no vídeo postado obtive sucesso em enumerar mais imagens relacionadas ao administrador  IkANN.
FILTRO DE POST: ADMIN IkANN
A procura de algum post que contenha documenta, e-mail ou outra informação nova. consegui filtrar uma publicação que era ofertado uma carteirinha (0E-1, 0E-2) e recebia o pagamento via PIX CNPJ (0E-3).
0E-1
No cartão destacado foi grepado o potencial nome do user IkANN
  • Nome: Claudio Iki
0E-3
Em seu post de oferta o administrador IkANN disponibilizou um CNPJ para receber pagamentos via PIX.
  • CNPJ: 35786726000186
DADOS RELACIONADOS AO CNPJ
Usando o CNPJ (0E-3) como base para pesquisa é adquirido bastante conhecimento sobre o target principal (0D-2).

0F
O resultado do buscador cnpj.biz ajuda reforçar o contexto que o proprietário é Claudio e mais detalhes de sua localização.

0F-2
O nome completo coletado veiculado ao CPNJ reforça o vinculo com user IkANN
  • Nome completo: Claudio Henrique Avelar Rosa
0F-3
Dados referente potencial localização do target (0D-2) podem não ser atualizadas, mas é um filtro de partida para contextos regionais.
  • Endereço: Rua Dos Goitacazes 14 Sala 505 Centro Belo Horizonte MG 30190-908
BUSCANDO INFORMAÇÕES EM CONTEXTO REGIONAL
Usando GoogleHacking é possível enumerar um resultado satisfatório simplesmente usando a concatenação do nome da empresa (0F-1) mais parte do endereço (0F-3).

0G
Dork usada para busca regional.
0G-1
O serviço diariocidade indexou CNPJ (0E-3) do nosso target (0D-2), mas com uma Razão Social diferente que disponibilizava um CPF concatenado.
0H
CPF encontrado pode ser do target principal (0D-2)
  • CPF: 913.563.426-04
CONFIRMANDO CPF
Para uma investigação "verdadeira" deve-se confrontar as evidências coletadas, neste caso confrontei o CPF  (0H) e confirmando a linha de raciocino, que o CNPJ (0E-3)  é de fato do target  (0D-2).
0H-1
O CPF (0H) é de fato do nosso target, levando em conta todo contexto de como tais informações foram extraídas.   
CONTEXTO QUE REFORÇA O RACIOCÍNIO: IkANN é dono do CNPJ e CPF coletado.
    • 0D-2 IkANN
    • 0E-1 Nome carteirinha: Claudio Iki
    • 0E-3 CNPJ: 35786726000186
    • 0F     https://cnpj.biz/35786726000186
    • 0F-1  Avelar Consultorio Claudio Henrique Avelar Rosa 35.786.726/0001-86
    • 0F-2 Claudio Henrique Avelar Rosa
    • 0F-3  Rua Dos Goitacazes 14 Sala 505 Centro Belo Horizonte MG 30190-908
BENEFÍCIO ATRELADO AO NOME DO TARGET
Usando o portal de transparência do governo é possível detectar algum beneficio relacionado ao nome do target (0F-2
0I
Pesquisa efetuada junto ao portal de transparência. 
BUSCANDO INFORMAÇÕES EM SITES CONTEXTO BRASIL
Efetuando buscas usando GoogleHacking foçando o filtro de sites .com.br.
0J
Dork usada para busca de sites .com.br
0J-1
Perfil encontrado em rede social Brasileira. Referencias como localização (0F-3) e nome (0F-2) consolidam primeira foto para validações futuras.
BUSCANDO INFORMAÇÕES ATRELADOS AO NOME COMPLETO
Efetuando buscas usando GoogleHacking usando somente a string de nome completo (0F-2).
0K
Dork usada para busca de sites relacionados ao nome completo (0F-2)
0K-1
Perfil profissional do target principal (0D-2) encontrado na rede social Linkedin.
0K-2
Confirmação de nome (0F-2), localização (0F-3), evidência sobre profissão (OK-2) e local de trabalho antigo (0K-2).
  • Profissão: OPTOMETRISTA (0K-2)
  • Local / Empresa de trabalho: IKIOTICA (0K-2)
  • Nova foto para validações futuras (0K-1)
VALIDANDO CONJUNTO DE INFORMAÇÕES SOBRE OPTOMETRIA
Baseado no DUMP efetuado do Chat Group MOVIMENTO ANTI-NOVO NORMAL (0D-1).
O intuito é validar frames de vídeo vinculando o raciocínio ao cargo optometria (0K-2). 
0K-3
Frames de vídeo extraídos do Chat group (0D-1), selecionando informações referente profissão optometria (0K-2). 
0K-4, 0K-5, 0K-6
Validando frame onde constata ferramenta auto-refrator (0K-6) é um equipamento utilizado na optometria(0K-2) e oftalmologia.
EFETUANDO BUSCA COM BASE EM SOCIEDADE ANTIGA DO TARGET (0K-2)
0L
Usando GoogleHacking para filtrar informações sobre a empresa  IKI ÓTICA (0K-2)
0L-2
Canal youtube identificado é possível visualizar informações sobre  IKI ÓTICA (0K-2) e o canal usa o nome completo do target principal (0D-2)
VALIDANDO FOTOS YOUTUBE (0L-2) X SPIRITBOOK (0J-1)
Efetuando uma validação simples de duas imagens coletadas, mas uma validação básica pois youtube não oferece um profile picture de qualidade.
USANDO O GOOGLE IMG PARA FILTRAR EVIDÊNCIAS
Depois de uma validação facial básica é possível ter noção das características do target (0D-2)
0M
Usando GoogleHacking para filtrar informações sobre a empresa  IKI ÓTICA (0K-2) e Claudio (0F-2)
0M-1
0M-2
Potencial blog identificada
0M-3
Twitter identificado, onde o user confiar evidências Nome (0F-2), Nome usado em carteira antivacinação (0E-3) e fotos relacionadas ao perfil admin do Chat Group (0D-8).
VALIDAÇÃO FÁCIL
Utilizando 3 fontes diferentes de fontes e dividindo o tais evidências e vetores para validar micro pontos. 
Fontes usadas:
  1. ESPIRITBOOK (0J-1)
  2. LINKEDIN (0K-1)
  3. TELEGRAM (0D-7)
E COM VOCÊS O TARGET
  • Nome: Claudio Henrique Avelar Rosa (0F-2)
  • Vulgo: IkANN (0D-2)
VISUALIZAR TODO FLUXO
Lembrando que
Treino é treino, jogo é jogo.
EXPORT DO CHAT:
REF
Post feito ao som de:

Tags:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Phishing através de técnicas BLACK HAT SEO

 O Novo Arsenal Phisher Técnicas de phishing sofrem mutação a cada momento, seja por conta de um novo exploit ou pelo fato de determinada técnica não funcionar, mas uma coisa é certa o phishing sempre está em evolução. Em 2016 foi o ano que fiz minha pesquisa sobre a utilização de motores de busca no cenário de phishing onde com base em artigos, testes e um pouco de malicia consegui realizar tal conceito. Minha pesquisa consiste em mostrar algumas tricks que atacantes usam para gerar trafego legitimo em suas paginas maliciosas e ludibriar seu target ao download. O método: Tal forma simples ainda garante muitos acessos quando se trata de forjar palavras chaves e concatenar o maior numero de técnicas Black Hat SEO em um arquivo / url, efetuado o upload do maior numero de arquivos PDF's "legítimos" com palavras chaves direcionados para um grupo de interesse. Para entender o uso do PDF: Em 2008, o Google anunciou em seu blog oficial que, a par
1 comentário
Leia mais »

Information Gathering: Plugin Mailchimp for WordPress

É possível coletar informações (E-mails) do log gerado pelo plugin Mailchimp for WordPress no CMS Wodpress . Isso não se trata de uma falha do plugin de fato, mas sim falta de configuração das pastas, porem pode ser categorizado como vazamento de informação. Issue no GIT falando sobre: Logo depois do report foi modificado: Add migration to rename log file & insert PHP exit header. #28 1 https://github.com/ibericode/mailchimp-for-wordpress/commit/df7c4929b928406583e2c2c03e2156d2257121b5 Add migration to rename log file & insert PHP exit header. #281 https://github.com/ibericode/mailchimp-for-wordpress/commit/12bd049d684ad51dd72a5d7d9bf1b505ca98765c O que é o plugin: Mailchimp for WordPress Allowing your visitors to subscribe to your newsletter should be easy. With this plugin, it finally is. This plugin helps you grow your Mailchimp lists and write better newsletters through various methods. You can create good looking opt-in forms or integrate with any existing
Postar um comentário
Leia mais »

Nova versão do Scanner INURLBR!

Salve! salve! depois de anos dei um tapa no code do scanner INURLBR. E galera o code não foi kibado da  INURL BRASIL , pois eu sou o dono (  ESSE É O TAL OWNER? ). " Viajei voltei pra você, voltei pelos locos  voltei pelos pretos, e pelas verde consequentemente..  Mééu Deus é quente É desse jeito.. "  - Racionais Mc's Para quem acompanha o projeto INURLBR que foi criado em meados de 2014 em sua versão public, mas o code priv8 é datado de 2011..2012, sabe que a INURL BRASIL tinha como ideia principal fomentar a cena   coder(tool)  nas terras tupiniquim.  Commit:   https://github.com/googleinurl/SCANNER-INURLBR/commit/0fde4bbe0175e2deb04531528ccf66eed96e408a Afinal, o que mudou no script? Inicialmente foi migrado o repo de  https://github.com/googleinurl/SCANNER-INURLBR/  para meu novo perfil  https://github.com/MrCl0wnLab/SCANNER-INURLBR  onde tentarei dar uma melhor organizada no projeto. Commit:   https://github.com/MrCl0wnLab/SCANNER-INURLBR/commit/54592e37dfff3036e2
6 comentários
Leia mais »

Hold the door! ... Hold the BackDoor PHP

Esse pequeno post é focado em uma das diferentes técnicas que venho estudando no PHP, mas direcionando no quesito de variação de código para backdoor web. O cenário de uso dos exemplos abaixo é um pensamento fora da caixa, dando exit() no básico usado em muitos códigos backdoor. Foquei nas variáveis globais GET ,POST ,REQUEST. As functions mais usadas: (PHP 4, PHP 5, PHP 7) shell_exec — Executa um comando via shell e retorna a saída inteira como uma string string shell_exec ( string $cmd ) EXEC-> php -r 'shell_exec("ls -la");' (PHP 4, PHP 5, PHP 7) system — Executa um programa externo e mostra a saída string system ( string $command [, int &$return_var ] ) EXEC-> php -r 'system("ls -la");' (PHP 4, PHP 5, PHP 7) exec — Executa um programa externo string exec ( string $command [, array &$output [, int &$return_var ]] ) EXEC-> php -r 'exec("ls -la",$var);print_r($var);' (PHP 4, PHP 5, PHP
Postar um comentário
Leia mais »

OSINT: Buscando Chaves API de Google Maps usando Google Hacking

  Voltando para meus exercícios de OSINT . apareceu uma pequena demanda por chaves API de Google Maps, mas por qual motivo?   Precisei de uma chave API Google Maps, pois aspirava colocar vários  embed's de Maps em um único HTML sem necessidade de abrir o Maps para gerar tal URL Iframe . Lembrando que todo esse processo de gerar mapas pode ser  feito criando uma chave de API normal em sua conta da Google. Mostrarei a diferença de processo para gerar um Iframe sem chave API. O primeiro passo para obter um código EMBED (HTML) para incorporar o seu mapa personalizado é acessar o link: https://www.google.com.br/maps ; Logo após, digite o seu endereço de forma completa na barra ‘Pesquise no Google Maps’ e posteriormente clique na lupa; O Google irá exibir uma imagem do ‘Street view’ e a localização exata no mapa ao lado, no qual você terá que clicar no botão ‘Compartilhar ou incorporar mapa’, fica em opções do lado esquerdo. Abrirá uma jan
Postar um comentário
Leia mais »

Information Gathering: Coleta de email em Posts do Linkedin

As redes sociais são um buraco sem fim quando se trata de usuários expondo dados pessoais. isso qualquer analista de segurança sabe, e tal característica  pode ser usado como uma fonte rica para ataques direcionados. Criou-se um comportamento padrão em post's LinkedIn onde o "influenciador" posta um X conteúdo e para você reles mortal ter acesso, tem que fazer um comentar com seu e-mail para o tal "coach" enviar o resto do conteúdo ou uma planilha mágica. TÉCNICA Basicamente encontramos uma padrão de URL nos posts do LinkedIn e com tal informação é possível criar dorks de busca e extrair os emails. EXEMPLO DE URLS https:// www.linkedin.com/pulse/ planilha-de-controle-ordem-produção-marcos-rieper/ https:// www.linkedin.com/pulse/ planilha-para-avaliação-de-desempenho-e-competências-plano-garcia/ https:// www.linkedin.com/pulse/ planilha-teste-para-estagiárioxlsdownload-gratuito-arthur/ Identificando o padrão de string www.linkedin.com/pulse/ é possível
Postar um comentário
Leia mais »

OSINT: Precisa Medicamentos

Continuando os estudos de OSINT ( Open-source intelligence ) decide fazer uma breve coleta de informações da empresa citada na CPI do Covid chamada Precisa Medicamentos.  Lembrando que os dados coletados são públicos e não foi necessário invasão de dispositivo eletrônico para tal Blog Post.   Por onde começar? Para start da coleta vamos usar somente a string: Precisa Medicamentos Observe que a string "Precisa Medicamentos" usa aspas duplas, pois assim o motor de busca identifica como um conjunto de caracteres. INFORMAÇÃO COLETADA / DOMÍNIO  ( ID-00001 ) : precisamedicamentos[.]com.br FONTE https://search.brave.com/search?q=%22Precisa+Medicamentos%22 COLETANDO INFORMAÇÃO Vamos para o básico do básico o famoso whois, mas usando uma " trick " via registro.br e sua API que retorna em formato JSON. WHOIS { "objectClassName": "domain", "handle": "precisamedicamentos.com.br", "ldhName": "precisamedicamentos
1 comentário
Leia mais »

Body Web Sextortion (webcam blackmail) / Anti-Grep

Sextortion is back!!  Sextorsão ( do termo em inglês  sextorsion ) é o termo que designa a prática de extorsão a partir da ameaça de exposição de supostas fotos ou vídeos sexuais das vítimas na Internet. Os criminosos intimam divulgar o material a amigos e parentes caso a pessoa não cumpra o favor pedido dentro de um curto período de tempo. Algumas vezes, os golpistas não têm qualquer conteúdo comprometedor da vítima em mãos, mas utilizam mecanismos bastante convincentes para que ela realmente acredite no golpe. TÉCNICA USADA A vitima recebe um email com seguinte padrão exemplo: "Estou bem ciente de que XXXXXXXXX é a sua senha". Com a diferença, é claro, que no lugar dos X está a sua combinação verdadeira de alguma senha vazada do usuário. E complemento informando ter um vídeo íntimo seu e que você tem 24 horas para salvar a sua pele. Sextortion tem seu sucesso por usar dados vazados de vitimas assim adquirindo um contexto maior de veracidade da ameaça contida no em
1 comentário
Leia mais »

Fraude Segura

Por tempos ouvimos de "especialistas" em segurança a famosa frase: sempre antes de fornecer seus dados verifique se o site tem https e o cadeadinho verde. Mas estamos em 2019 e essa informação já não basta para falar se site X ou Y é seguro, quanto mais sites com "cadeadinho verde" mais phishings com certificado SSL no processo. E chamo isso de fraude segura. O ícone de cadeado carregou muito mais peso anos atrás, e para obter um certificado SSL / TLS foi um processo mais difícil, mas esses certificados agora são gratuitos e podem ser adquiridos por qualquer pessoa. Os invasores estão cada vez mais se certificando de que seus sites de phishing tenham certificados autênticos para imitar sites legítimos. Stu Sjouwerman (CEO knowbe4 ) Devemos modificar nossa visão de como olhar um possível site malicioso, o fato de ter um https ou famoso selo (site blindado) não diz nada. surfando nos https Hoje o https virou uma grande aliada para fraudadores no qu
Postar um comentário
Leia mais »