Evasivos URL´s actualizados en un ataque Spam

Iniciado por AXCESS, Octubre 11, 2020, 08:02:48 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los spammers están utilizando una nueva técnica de generación de URL para evadir la detección por parte de humanos y filtros de spam por igual.

Esta técnica comprende agregar bits de texto aleatorios no utilizados, a enlaces abreviados, para disfrazarlos como URL de tamaño completo y evitar el escrutinio de las puertas de enlace de correo electrónico.
Se envía como archivos adjuntos de PowerPoint

El correo electrónico de phishing se titula "URGENTE: SOLICITUD DE OFERTA (Universidad de Auckland) ..."

Como era de esperar, como muchos correos electrónicos de phishing, este también llega con un archivo de PowerPoint que contiene macros. Al iniciar el complemento de PowerPoint, se conecta a una URL maliciosa con la ayuda del ejecutable de Windows, mshta.exe.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero lo que es digno de mención aquí no es la secuencia de macros, sino la estructura de la URL a la que el documento intenta conectarse, como lo explica el proveedor de servicios de ciberseguridad y seguridad administrada, Trustwave.

Una URL o URI consta de varias partes, algunas de las cuales son opcionales. Esto está especificado por un estándar de la industria llamado RFC3986.

Si bien la mayoría de las URL constan de un protocolo, dominio (host) y ruta, se pueden agregar otros parámetros opcionales.

Por ejemplo, considere la URL, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta donde el protocolo es "https: //", el host es "www.bleepingcomputer.com" y la parte posterior es la ruta a la página.

Se conecta a URL evasivas para evitar la detección

Una URL o una dirección IP se pueden representar de diferentes formas. Los atacantes están abusando de estas variaciones en los formatos de IP / URL permitidos por las especificaciones de la IETF para causar "ataques semánticos".

El esquema de URL permite el uso de otra parte llamada "Autoridad". Esta parte le permite especificar "userinfo", que es algo así como el nombre de usuario, dentro de la URL entre el protocolo y las partes del host.

Por ejemplo, esto podría verse como https: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero debido a que "userinfo" rara vez se usa, especialmente con las URL HTTP (S), el servidor a menudo lo ignora, y navegar a la URL anterior aún lo llevaría a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Independientemente, los atacantes pueden abusar de esta función para dar la falsa impresión al usuario de conectarse a una URL diferente a la que están accediendo.

En el caso de esta campaña de spam en particular, los destinos a los que se conecta son todos los sitios web conocidos, como el servicio de acortador de URL No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, etc.

Sin embargo, la estructura de las URL codificadas de forma rígida incluye una parte ininteligible de "información de usuario" justo antes del nombre de dominio, para dar la impresión de que son URL diferentes.

Por lo tanto, por ejemplo, si un producto de seguridad empresarial bloqueaba previamente el enlace malicioso https: // j [.] Mp / kassaasdskdd, no está claro si el producto también interpretaría algo como https: // nonsensical-text @ j [ .] mp / kassaasdskdd de la misma manera y bloquearlo también.

URL maliciosas de Trustwave

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Descargas de malware LokiBot

"La primera URL [j.mp], a la que se accede mediante el archivo adjunto de PowerPoint, redirige a un VBScript ofuscado alojado en Pastebin", explican los investigadores de Trustwave.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Dado que la URL j [.] Mp / kassaasdskdd no requiere una información de usuario para obtener acceso a ningún recurso, los datos de información de usuario se ignorarán cuando se acceda a la URL", explican los investigadores.

Nota: Mientras que en el momento de la investigación original, el enlace No tienes permitido ver los links. Registrarse o Entrar a mi cuenta se redirigió al script Pastebin que se muestra arriba, en una prueba realizada por BleepingComputer, la URL ahora ha sido reprogramada para redirigir a un script ofuscado diferente, https: // pastebin [.] com / raw / RttDJwpd se muestra a continuación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La secuencia continúa a través de una serie de URL similares que contienen información de usuario "ficticia" que el servidor ignorará.

En cada paso, se descarga un nuevo script ofuscado y, finalmente, escribe en el registro de Windows un descargador de PowerShell persistente.

A continuación, las URL intermedias descargan aún más las DLL para omitir el servicio de escaneo anti-malware (AMSI) seguido de iniciar un inyector de DLL en la memoria.

La URL final obtiene una muestra de malware LokiBot. "Esto se inyectará en un proceso legítimo anotadopad.exe por el inyector de DLL mencionado anteriormente", explica Trustwave.

Se espera que estos tipos de ataques semánticos que aprovechan las variaciones en las URL según lo dispuesto por la especificación oficial del esquema de URI crezcan, presentando nuevos desafíos para los productos y profesionales de seguridad.

Apenas el mes pasado, BleepingComputer informó que los spammers de drogas estaban ocultando direcciones IP maliciosas en correos electrónicos en formato hexadecimal para evadir los filtros de detección que, de otro modo, hubieran detectado y bloqueado direcciones IP regulares en formato de octeto.

En su blog* se proporciona una lista de indicadores de compromiso (IOC) y los hallazgos detallados de Trustwave.

*: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta