Se populariza el spam en formato HTML
Probablemente ya lo hayan notado, pero últimamente
se está recibiendo en mayor medida correo basura con HTMLs adjuntos. Los
atacantes están usando este formato para robar datos y redirigir a las
víctimas a otras web. Es la nueva "moda" del spam.
El correo siempre ha sido el método de distribución predilecto del spam y malware. Desde hace muchos años, los atacantes han adjuntado al correo ejecutables de todo tipo (exe, cmd, pif, bat, vbs... y todas las combinaciones de dobles extensiones posibles) en un intento de infectar sistemas. Esto hace tiempo que está superado por los filtros y normalmente son bloqueados a nivel de perímetro, pero existen otros formatos menos populares que se utilizan a menudo.
Aproximadamente en 2002, se hicieron muy populares los correos basura que solo contenían imágenes. Con esto, los atacantes conseguían eludir los filtros por palabras (primera reacción obvia contra el spam). Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.
En junio de 2007, sufrimos una verdadera avalancha de spam en formato PDF. Aprovechando que casi todos los sistemas cuentan con un lector, los atacantes incrustaron la publicidad en un PDF, o incluso en una imagen dentro del PDF. La campaña de envío fue masiva y los filtros no funcionaron los primeros días, pero muy pronto los programadores se pusieron a trabajar y comenzaron a mirar dentro de estos archivos (aunque demostraron no estar preparados para el primer golpe, dado el éxito del que disfrutaron los atacantes las primeras horas). Luego el formato PDF se usaría más para infectar con malware... pero en esto tiene mucho más que decir Adobe que los creadores de filtros de correo basura.
Ahora, parece que los atacantes están usando archivos HTML adjuntos para distribuir basura e incluso infectar a sistemas. Los utilizan de dos formas:
Autor: Sergio de los Santos
Fuente: Hispasec
El correo siempre ha sido el método de distribución predilecto del spam y malware. Desde hace muchos años, los atacantes han adjuntado al correo ejecutables de todo tipo (exe, cmd, pif, bat, vbs... y todas las combinaciones de dobles extensiones posibles) en un intento de infectar sistemas. Esto hace tiempo que está superado por los filtros y normalmente son bloqueados a nivel de perímetro, pero existen otros formatos menos populares que se utilizan a menudo.
Aproximadamente en 2002, se hicieron muy populares los correos basura que solo contenían imágenes. Con esto, los atacantes conseguían eludir los filtros por palabras (primera reacción obvia contra el spam). Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.
En junio de 2007, sufrimos una verdadera avalancha de spam en formato PDF. Aprovechando que casi todos los sistemas cuentan con un lector, los atacantes incrustaron la publicidad en un PDF, o incluso en una imagen dentro del PDF. La campaña de envío fue masiva y los filtros no funcionaron los primeros días, pero muy pronto los programadores se pusieron a trabajar y comenzaron a mirar dentro de estos archivos (aunque demostraron no estar preparados para el primer golpe, dado el éxito del que disfrutaron los atacantes las primeras horas). Luego el formato PDF se usaría más para infectar con malware... pero en esto tiene mucho más que decir Adobe que los creadores de filtros de correo basura.
Ahora, parece que los atacantes están usando archivos HTML adjuntos para distribuir basura e incluso infectar a sistemas. Los utilizan de dos formas:
- En vez de colgar un phishing en una web, lo incluyen todo en ese HTML. La víctima lo abre en local, ve una web muy parecida a la de un banco u otra entidad, introduce los datos y son enviados al estafador. Así, los atacantes consiguen no tener que preocuparse por mantener un phishing colgado en algún ISP que en cualquier momento podría eliminarlo, e incluso evadir los filtros antiphishing basados en listas negras, puesto que una dirección "local" no aparecería nunca en ellos.
- Los HTML contienen redirectores (código JavaScript o HTML convenientemente ofuscado) que enlaza a otra web. Al abrir ese HTML adjunto, el usuario es redirigido y puede esperarle un phishing o un intento de infección. Con esto consiguen eludir filtros antispam basados en la detección del método "clásico" de incrustar directamente URLs en el cuerpo de un correo fraudulento.
Autor: Sergio de los Santos
Fuente: Hispasec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!