Ecco come gli spammer eludono i controlli
Un gruppo di spam ha scoperto un trucco piuttosto ingegnoso che gli ha permesso di bypassare i filtri di posta elettronica e i sistemi di sicurezza e di atterrare in più caselle di posta del solito.
Il trucco si basa su una stranezza in RFC791 - uno standard che descrive il protocollo Internet (IP).
Tra i vari dettagli tecnici, RFC791 è anche lo standard che descrive l'aspetto degli indirizzi IP. Li conosciamo per lo più nella loro forma più diffusa di indirizzo decimale punteggiato (per esempio 192.168.0.1).
Tuttavia, gli indirizzi IP possono essere scritti anche in altri tre formati:
Ottale - 0300.0250.0000.0000.0001 (convertendo ogni numero decimale in base all'ottale)
Esadecimale - 0xc0a80001 (convertendo ogni numero decimale in esadecimale)
Integer/DWORD - 3232235521 (convertendo l'IP esadecimale in intero)
Beh, un gruppo di spammer ha apparentemente capito il trucco.
Secondo un rapporto pubblicato ieri da Trustwave, un gruppo di spammer ha adottato indirizzi IP esadecimali per le proprie campagne dalla metà di luglio di quest'anno.
Il gruppo ha inviato e-mail che contengono link ai loro siti di spam, ma invece di nomi di dominio come "spam-website.com", le e-mail contengono URL dall'aspetto strano come https://0xD83AC74E.
Si tratta in realtà di indirizzi IP esadecimali dove gli spammer ospitano la loro infrastruttura di siti web di spam.
Mentre i browser web sono in grado di interpretare gli indirizzi IP esadecimali e di caricare il sito web trovato sul server, sembra che il trucco sia stato sufficiente per aiutare i gruppi di spam a eludere il rilevamento mentre vomitavano grandi volumi di messaggi spam farmaceutici/pillole.
Trustwave afferma che le operazioni del gruppo sono notevolmente aumentate dall'adozione di questo trucco, in quanto sono stati in grado di far arrivare un maggior numero di messaggi nelle caselle di posta degli utenti.
hexadecimal-spam.png
Immagine: Trustwave
Questa campagna segna anche la seconda volta che negli ultimi anni sono stati individuati indirizzi IP esadecimali utilizzati in una campagna di malware.
Nell'estate del 2019, gli operatori del trojan PsiXBot hanno utilizzato anche gli indirizzi IP esadecimali per nascondere la posizione dei loro server di comando e controllo.
Tuttavia, oltre alla versione esadecimale, gli autori di malware hanno abusato anche di altri schemi di indirizzamento IP. Nel 2011 Zscaler ha trovato documenti Word dannosi che utilizzavano indirizzi IP interi/DWORD per nascondere la posizione di risorse dannose memorizzate in remoto che avrebbero scaricato su host infetti.
Proprio come nel rapporto Trustwave, le operazioni precedenti hanno utilizzato questi strani schemi di indirizzamento IP come un modo per bypassare il rilevamento, poiché non tutti i software di sicurezza sono pienamente conformi alla RFC791.
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
