Evasivos URL´s actualizados en un ataque Spam

  • 0 Respuestas
  • 274 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 957
  • Actividad:
    100%
  • Country: 00
  • Reputación 17
    • Ver Perfil
    • Email

Evasivos URL´s actualizados en un ataque Spam

  • en: Octubre 11, 2020, 08:02:48 pm
 

Los spammers están utilizando una nueva técnica de generación de URL para evadir la detección por parte de humanos y filtros de spam por igual.

Esta técnica comprende agregar bits de texto aleatorios no utilizados, a enlaces abreviados, para disfrazarlos como URL de tamaño completo y evitar el escrutinio de las puertas de enlace de correo electrónico.
Se envía como archivos adjuntos de PowerPoint

El correo electrónico de phishing se titula "URGENTE: SOLICITUD DE OFERTA (Universidad de Auckland) ..."

Como era de esperar, como muchos correos electrónicos de phishing, este también llega con un archivo de PowerPoint que contiene macros. Al iniciar el complemento de PowerPoint, se conecta a una URL maliciosa con la ayuda del ejecutable de Windows, mshta.exe.



Pero lo que es digno de mención aquí no es la secuencia de macros, sino la estructura de la URL a la que el documento intenta conectarse, como lo explica el proveedor de servicios de ciberseguridad y seguridad administrada, Trustwave.

Una URL o URI consta de varias partes, algunas de las cuales son opcionales. Esto está especificado por un estándar de la industria llamado RFC3986.

Si bien la mayoría de las URL constan de un protocolo, dominio (host) y ruta, se pueden agregar otros parámetros opcionales.

Por ejemplo, considere la URL, https://www.bleepingcomputer.com/tag/security/ donde el protocolo es "https: //", el host es "www.bleepingcomputer.com" y la parte posterior es la ruta a la página.

Se conecta a URL evasivas para evitar la detección

Una URL o una dirección IP se pueden representar de diferentes formas. Los atacantes están abusando de estas variaciones en los formatos de IP / URL permitidos por las especificaciones de la IETF para causar "ataques semánticos".

El esquema de URL permite el uso de otra parte llamada "Autoridad". Esta parte le permite especificar "userinfo", que es algo así como el nombre de usuario, dentro de la URL entre el protocolo y las partes del host.

Por ejemplo, esto podría verse como https: //[email protected]/tag/security

Pero debido a que "userinfo" rara vez se usa, especialmente con las URL HTTP (S), el servidor a menudo lo ignora, y navegar a la URL anterior aún lo llevaría a https://www.bleepingcomputer.com/tag/security/.

Independientemente, los atacantes pueden abusar de esta función para dar la falsa impresión al usuario de conectarse a una URL diferente a la que están accediendo.

En el caso de esta campaña de spam en particular, los destinos a los que se conecta son todos los sitios web conocidos, como el servicio de acortador de URL j.mp, Pastebin.com, etc.

Sin embargo, la estructura de las URL codificadas de forma rígida incluye una parte ininteligible de "información de usuario" justo antes del nombre de dominio, para dar la impresión de que son URL diferentes.

Por lo tanto, por ejemplo, si un producto de seguridad empresarial bloqueaba previamente el enlace malicioso https: // j [.] Mp / kassaasdskdd, no está claro si el producto también interpretaría algo como https: // nonsensical-text @ j [ .] mp / kassaasdskdd de la misma manera y bloquearlo también.

URL maliciosas de Trustwave



Descargas de malware LokiBot

"La primera URL [j.mp], a la que se accede mediante el archivo adjunto de PowerPoint, redirige a un VBScript ofuscado alojado en Pastebin", explican los investigadores de Trustwave.



"Dado que la URL j [.] Mp / kassaasdskdd no requiere una información de usuario para obtener acceso a ningún recurso, los datos de información de usuario se ignorarán cuando se acceda a la URL", explican los investigadores.

Nota: Mientras que en el momento de la investigación original, el enlace j.mp se redirigió al script Pastebin que se muestra arriba, en una prueba realizada por BleepingComputer, la URL ahora ha sido reprogramada para redirigir a un script ofuscado diferente, https: // pastebin [.] com / raw / RttDJwpd se muestra a continuación.



La secuencia continúa a través de una serie de URL similares que contienen información de usuario "ficticia" que el servidor ignorará.

En cada paso, se descarga un nuevo script ofuscado y, finalmente, escribe en el registro de Windows un descargador de PowerShell persistente.

A continuación, las URL intermedias descargan aún más las DLL para omitir el servicio de escaneo anti-malware (AMSI) seguido de iniciar un inyector de DLL en la memoria.

La URL final obtiene una muestra de malware LokiBot. "Esto se inyectará en un proceso legítimo anotadopad.exe por el inyector de DLL mencionado anteriormente", explica Trustwave.

Se espera que estos tipos de ataques semánticos que aprovechan las variaciones en las URL según lo dispuesto por la especificación oficial del esquema de URI crezcan, presentando nuevos desafíos para los productos y profesionales de seguridad.

Apenas el mes pasado, BleepingComputer informó que los spammers de drogas estaban ocultando direcciones IP maliciosas en correos electrónicos en formato hexadecimal para evadir los filtros de detección que, de otro modo, hubieran detectado y bloqueado direcciones IP regulares en formato de octeto.

En su blog* se proporciona una lista de indicadores de compromiso (IOC) y los hallazgos detallados de Trustwave.

*: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/evasive-urls-in-spam-part-2/

Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/spammers-add-random-text-to-shortened-links-to-evade-detection/

 

Realizando un ataque báscio de SQLi mediante metodo POST desde 0

Iniciado por m0rf30

Respuestas: 1
Vistas: 3614
Último mensaje Julio 16, 2016, 05:42:55 am
por Uservzk80
Realizando un ataque de SQLi desde 0 con SQLMap

Iniciado por m0rf30

Respuestas: 1
Vistas: 4548
Último mensaje Julio 16, 2016, 10:59:28 am
por ANTRAX
¿De qué se trata un ataque transferencia de zona a los DNS?

Iniciado por Gabriela

Respuestas: 2
Vistas: 3882
Último mensaje Julio 31, 2015, 10:56:03 pm
por [email protected]
Detectores de ataque y monitarizacion

Iniciado por KiddArabic

Respuestas: 13
Vistas: 9727
Último mensaje Octubre 27, 2018, 02:40:09 pm
por jmgarciag