Evasivos URL´s actualizados en un ataque Spam

  • 0 Respuestas
  • 149 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 889
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email

Evasivos URL´s actualizados en un ataque Spam

  • en: Octubre 11, 2020, 08:02:48 pm
 You are not allowed to view links. Register or Login

Los spammers están utilizando una nueva técnica de generación de URL para evadir la detección por parte de humanos y filtros de spam por igual.

Esta técnica comprende agregar bits de texto aleatorios no utilizados, a enlaces abreviados, para disfrazarlos como URL de tamaño completo y evitar el escrutinio de las puertas de enlace de correo electrónico.
Se envía como archivos adjuntos de PowerPoint

El correo electrónico de phishing se titula "URGENTE: SOLICITUD DE OFERTA (Universidad de Auckland) ..."

Como era de esperar, como muchos correos electrónicos de phishing, este también llega con un archivo de PowerPoint que contiene macros. Al iniciar el complemento de PowerPoint, se conecta a una URL maliciosa con la ayuda del ejecutable de Windows, mshta.exe.

You are not allowed to view links. Register or Login

Pero lo que es digno de mención aquí no es la secuencia de macros, sino la estructura de la URL a la que el documento intenta conectarse, como lo explica el proveedor de servicios de ciberseguridad y seguridad administrada, Trustwave.

Una URL o URI consta de varias partes, algunas de las cuales son opcionales. Esto está especificado por un estándar de la industria llamado RFC3986.

Si bien la mayoría de las URL constan de un protocolo, dominio (host) y ruta, se pueden agregar otros parámetros opcionales.

Por ejemplo, considere la URL, You are not allowed to view links. Register or Login donde el protocolo es "https: //", el host es "You are not allowed to view links. Register or Login" y la parte posterior es la ruta a la página.

Se conecta a URL evasivas para evitar la detección

Una URL o una dirección IP se pueden representar de diferentes formas. Los atacantes están abusando de estas variaciones en los formatos de IP / URL permitidos por las especificaciones de la IETF para causar "ataques semánticos".

El esquema de URL permite el uso de otra parte llamada "Autoridad". Esta parte le permite especificar "userinfo", que es algo así como el nombre de usuario, dentro de la URL entre el protocolo y las partes del host.

Por ejemplo, esto podría verse como https: //[email protected]/tag/security

Pero debido a que "userinfo" rara vez se usa, especialmente con las URL HTTP (S), el servidor a menudo lo ignora, y navegar a la URL anterior aún lo llevaría a You are not allowed to view links. Register or Login.

Independientemente, los atacantes pueden abusar de esta función para dar la falsa impresión al usuario de conectarse a una URL diferente a la que están accediendo.

En el caso de esta campaña de spam en particular, los destinos a los que se conecta son todos los sitios web conocidos, como el servicio de acortador de URL j.mp, Pastebin.com, etc.

Sin embargo, la estructura de las URL codificadas de forma rígida incluye una parte ininteligible de "información de usuario" justo antes del nombre de dominio, para dar la impresión de que son URL diferentes.

Por lo tanto, por ejemplo, si un producto de seguridad empresarial bloqueaba previamente el enlace malicioso https: // j [.] Mp / kassaasdskdd, no está claro si el producto también interpretaría algo como https: // nonsensical-text @ j [ .] mp / kassaasdskdd de la misma manera y bloquearlo también.

URL maliciosas de Trustwave

You are not allowed to view links. Register or Login

Descargas de malware LokiBot

"La primera URL [j.mp], a la que se accede mediante el archivo adjunto de PowerPoint, redirige a un VBScript ofuscado alojado en Pastebin", explican los investigadores de Trustwave.

You are not allowed to view links. Register or Login

"Dado que la URL j [.] Mp / kassaasdskdd no requiere una información de usuario para obtener acceso a ningún recurso, los datos de información de usuario se ignorarán cuando se acceda a la URL", explican los investigadores.

Nota: Mientras que en el momento de la investigación original, el enlace j.mp se redirigió al script Pastebin que se muestra arriba, en una prueba realizada por BleepingComputer, la URL ahora ha sido reprogramada para redirigir a un script ofuscado diferente, https: // pastebin [.] com / raw / RttDJwpd se muestra a continuación.

You are not allowed to view links. Register or Login

La secuencia continúa a través de una serie de URL similares que contienen información de usuario "ficticia" que el servidor ignorará.

En cada paso, se descarga un nuevo script ofuscado y, finalmente, escribe en el registro de Windows un descargador de PowerShell persistente.

A continuación, las URL intermedias descargan aún más las DLL para omitir el servicio de escaneo anti-malware (AMSI) seguido de iniciar un inyector de DLL en la memoria.

La URL final obtiene una muestra de malware LokiBot. "Esto se inyectará en un proceso legítimo anotadopad.exe por el inyector de DLL mencionado anteriormente", explica Trustwave.

Se espera que estos tipos de ataques semánticos que aprovechan las variaciones en las URL según lo dispuesto por la especificación oficial del esquema de URI crezcan, presentando nuevos desafíos para los productos y profesionales de seguridad.

Apenas el mes pasado, BleepingComputer informó que los spammers de drogas estaban ocultando direcciones IP maliciosas en correos electrónicos en formato hexadecimal para evadir los filtros de detección que, de otro modo, hubieran detectado y bloqueado direcciones IP regulares en formato de octeto.

En su blog* se proporciona una lista de indicadores de compromiso (IOC) y los hallazgos detallados de Trustwave.

*: You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

 

Realizando un ataque báscio de SQLi mediante metodo POST desde 0

Iniciado por m0rf30

Respuestas: 1
Vistas: 3539
Último mensaje Julio 16, 2016, 05:42:55 am
por Uservzk80
Realizando un ataque de SQLi desde 0 con SQLMap

Iniciado por m0rf30

Respuestas: 1
Vistas: 4437
Último mensaje Julio 16, 2016, 10:59:28 am
por ANTRAX
¿De qué se trata un ataque transferencia de zona a los DNS?

Iniciado por Gabriela

Respuestas: 2
Vistas: 3834
Último mensaje Julio 31, 2015, 10:56:03 pm
por [email protected]
Detectores de ataque y monitarizacion

Iniciado por KiddArabic

Respuestas: 13
Vistas: 9459
Último mensaje Octubre 27, 2018, 02:40:09 pm
por jmgarciag