Especialistas da Trustwave descobri que os invasores de spam farmacêutico começaram a inserir URLs incomuns em suas mensagens. Spammers se escondem atrás de endereços IP hexadecimais. Eles usam IPs hexadecimais para contornar filtros de e-mail e outras soluções de segurança.
A ideia baseia-se na utilização de Padrão RFC791. Os pesquisadores lembram que, por exemplo, https://google.com é o mesmo que https://216.58.199.78, é apenas a primeira opção que é mais fácil de lembrar.
“Tecnicamente, um O endereço IP pode ser representado em vários formatos e, portanto, pode ser usado em um URL de diversas maneiras”, - explicam os pesquisadores da Trustwave.
Por exemplo, qualquer endereço IP pode ser escrito em outros formatos, Incluindo:
- endereço IP octal: https://0330.0072.0307.0116;
- endereço IP hexadecimal: https://0xD83AC74E;
- endereço IP inteiro ou DWORD: https://3627730766.
Este recurso usa spammer, que usam endereços IP hexadecimais em suas correspondências desde julho deste ano. Embora os navegadores entendam esses formatos e direcionem o usuário para google.com de qualquer maneira, como no exemplo acima, muitos filtros de spam param “vendo” URLs perigosos por causa disso.
“Qualquer agente de ameaça equipado com esse conhecimento pode criar um URL de aparência obscura como os mostrados acima e enviá-lo por e-mail com uma mensagem convincente para enganar o gateway de e-mail e a vítima e induzi-los a clicar e abrir um site controlado pelo invasor. ”, - escrevem pesquisadores da Trustwave.
Os especialistas observam que desde o início deste truque, a atividade do grupo empreendedor de spam aumentou acentuadamente, à medida que mais spam começou a cair nas caixas de entrada dos usuários. No auge da campanha, golpistas enviados sobre 25,000 cartas. Spammers anunciaram vários medicamentos para reduzir o colesterol, antifúngico, anti-envelhecimento, medicamentos anti-inflamatórios, máscaras médicas, Lâmpadas UV, bem como todos os tipos de suplementos dietéticos.
Interessantemente, este não é o primeiro caso descoberto por especialistas em segurança da informação.
Por exemplo, verão passado, Os especialistas da Proofpoint falaram sobre o Trojan PsiXBot, cujas operadoras também usaram endereços IP hexadecimais para ocultar a localização de seus servidores de controle.
Descubra melhor como funciona o spam em nossa postagem do blog: E-mail de spam. O que os spammers esperam?
