Cómo detectar sitios gubernamentales comprometidos con Spam SEO usando GobScan

Es común encontrar dominios gubernamentales comprometidos que son utilizados para posicionar contenido relacionado con casinos, farmacias ilegales, criptomonedas fraudulentas,préstamos dudosos o juegos en linea.

Con el objetivo de facilitar la identificación y reporte de este tipo de incidentes nace GobScan, una herramienta CLI desarrollada en Python enfocada en la detección de sitios gubernamentales infectados con Spam SEO en América Latina.

El problema de SPAM SEO en dominios gubernamentales

Cuando esto sucede el atacante no siempre busca robar información, el objetivo es utilizar la autoridad del dominio para indexar contenido fraudulento como por ejemplo:

Casinos online.
Apuestas deportivas.
Venta ilegal de medicamentos.
Esquemas de inversión fraudelenta.
Criptomonedas sospechosas.
Sitios de préstamos engañosos.
Juegos en linea.

Este tipo de contenido se suele ocultar en el codigo fuente de la pagina, y en el peor de los casos cambian el comportamiento provocando redirecion de dominio.

¿Qué es GobScan?

GobScan es una herramienta de línea de comandos que automatiza la búsqueda de dominios gubernamentales potencialmente comprometidos utilizando Google Dorks predefinidos. Posteriormente permite verificar hallazgos y generar reportes listos para ser enviados a organismos de respuesta a incidentes

Su flujo de trabajo es simple:

Seleccionar un país.
Elegir un tipo de búsqueda (preset).
Generar automáticamente el Google Dork.
Identificar URLs sospechosas.
Verificar si continúan comprometidas.
Generar reportes.
Exportar resultados en CSV o JSON.

Países soportados

Actualmente GobScan incluye soporte para múltiples dominios gubernamentales de Latinoamérica:

Ecuador (.gob.ec)
Perú (.gob.pe)
Colombia (.gov.co)
México (.gob.mx)
Argentina (.gob.ar)
Chile (.gob.cl)
Bolivia (.gob.bo)
Venezuela (.gob.ve)
Paraguay (.gov.py)
Uruguay (.gub.uy)
Brasil (.gov.br)

Tipos de detección

La herramienta incorpora varios presets orientados a distintos indicadores de compromiso:

Casino y apuestas

Uno de los vectores más comunes observados en dominios gubernamentales comprometidos.

Pharma Spam

Búsqueda de contenido relacionado con medicamentos y farmacias ilegales.

Crypto e inversiones

Detección de campañas asociadas con criptomonedas y falsas oportunidades de inversión.

Préstamos y servicios financieros

Identificación de contenido financiero fraudulento.

Archivos PHP sospechosos

Posibles webshells o archivos cargados por atacantes.

Directorios expuestos

Recursos accesibles públicamente que podrían contener información sensible.

WordPress mal configurado

Enumeración de endpoints que pueden indicar configuraciones inseguras.

Redirecciones sospechosas

Patrones utilizados en campañas de phishing.

Títulos comprometidos

Páginas cuyo contenido fue reemplazado por spam.

Instalación

git clone https://github.com/r0curun/gobscan.git
cd gobscan
pip install requests beautifulsoup4

git clone https://github.com/r0curun/gobscan.git
cd gobscan
pip install requests beautifulsoup4

Uso básico

python3 gobscan.py

python3 gobscan.py

Listando dorks predifinidos por la herramineta con un pais especifico

python3 gobscan.py --list-dorks --country ec

python3 gobscan.py --list-dorks --country ec

Verificando dependencias instaladas

python3 gobscan.py --check-deps

python3 gobscan.py --check-deps

La herramienta es altamente personalizable ya que si cuentas con un listado de palabras propias que tengas las puedes usar.

Conclusión

GobScan demuestra que las técnicas OSINT y los Google Dorks siguen siendo herramientas extremadamente efectivas.

Esta herramineta se creo con la necesidad de poder reportar de manera responsable este tipo de ataques

Si llegaste a este punto felicidades, no vemos en una próxima entrega, tu amigo @rocurun

Contents