Os spammers adicionam texto aleatório aos links abreviados para evitar a detecção

Os spammers estão usando uma nova técnica de geração de URL para evadir a detecção por parte de humanos e filtros de spam por igual.

Esta técnica implica agregar fragmentos de texto aleatórios não utilizados em enlaces abreviados, para encapsular como URL de Tamao Completo e evitar o controle da porta de enlace de correção eletrônica.

índice de conteúdo

  1. Veja como arquivos adjuntos do PowerPoint
  2. Se vincular a URL evasivas para evitar a detecção.
  3. Baixar o malware Lokibot

Veja como arquivos adjuntos do PowerPoint

O correo eletrônico de phishing titula "URGENTE: SOLICITUD DE OFERTA (Universidad de Auckland) …"

Como era de esperar, como muitos corres eletrnicos de phishing, este tambin viene com um arquivo de PowerPoint que contm macros. O complemento do PowerPoint se conecta a um URL malicioso com a ajuda do executável do Windows, mshta.exe .

A campanha de correo eletrnico no deseado utiliza um complemento de PowerPoint com enlaces evasivos
Fonte: Trustwave

Pero que é digno de mencin aqu não é a segurança de macros, se a estrutura de URL para a intenção de conectar o documento, como explica o provedor de serviços de segurança e cibersegurança administrados, Trustwave.

Una URL ou URI consta de varias partes, algumas de las cuales son opcionais. Esto est especificado por un estndar industrial llamado RFC3986 .

Anunciar a maior parte da URL constante de um protocolo, um domínio (host) e uma rota, pode agregar outros parâmetros opcionais.

Por exemplo, considere la URL, https://www.bleepingcomputer.com/tag/security/ dnde est el protocolo é "https: //", o husped é "www.bleepingcomputer.com" y la siguiente parte es ruta a la pgina.

Se vincular a URL evasivas para evitar a detecção.

Una URL ou una direccin IP se puede representar de varias formas. Os invasores estão abusando dessas variações nos formatos de IP/URL permitidos pela especificação IETF para causar ataques semânticos.

O esquema de URL permite o uso de outra parte chamada "Autoridad". Esta parte permite "userinfo", que é algo como está nombre de usuario , dentro do URL entre o protocolo e o husped a partir.

Por exemplo, puede parecer que https: // [email protected] /tag/security

Pero dado que "userinfo" raramente se usa, especialmente com URL HTTP (S), o servidor de menu para ignorar e navegar para o URL anterior e para acessar https://www.bleepingcomputer.com/tag/security/ .

Independentemente, os invasores podem usar esta função para dar ao usuário a impressão falsa de que se conecta a uma URL diferente da que está afixando.

No caso de esta campanha de spam em particular, os destinos a los que se conectam são todos os sites conhecidos, como o j.mp Servicio de acortamiento de URL, Pastebin.com, etc.

Sem embargo, a estrutura de URL codificada inclui uma parte "userinfo" no sentido apenas antes do nome de domínio, para dar a impressão de que o URL diferente .

Entonces, por ejemplo, si um produto de segurança empresarial previa o enlace malicioso : // j[.]mp / kassaasdskdd não é claro se o produto também interpreta algo similar https: // texto-sin sentido @ j[.] mp / kassaasdskdd de la misma manera y bloqueiolo.

URL maliciosa que abusa do campo "informacin del usuario" para que parezcan diferentes

Baixar o malware Lokibot

"El primero [j.mp] A URL, acessível a partir do arquivo adjunto do PowerPoint, redireciona um VBScript instalado no Pastebin", explica os pesquisadores da Trustwave.

O primer enlace j.mp redirige a un script ofuscado alojado no Pastebin

"Dado que la URL j[.]mp / kassaasdskdd não requer um arquivo Informação de usuário para acessar um recurso qualquier, a Informação de usuário los dados se ignorando cuando se acede a URL ", explicou os pesquisadores.

Nota: Mientras que no momento da investigação original, o j.mp enlace redirigido no script Pastebin que se mostre arriba, em uma prueba executada por BleepingComputer, la URL agora foi reprogramada para redirigir a un script ofuscado diferente, https: / / pastebin[.]com / raw / RttDJwpd

A segurança continua a travs de uma série de URLs semelhantes que contém informações de usuário "fictícia" que o servidor ignora.

Em cada passo, faça o download de uma nova secuência de comandos de instalação e, finalmente, descreva um download do PowerShell persistente no registro do Windows.

Posteriormente, las URL intermedias descargan e ms las DLL para omitir el Servicio de anlisis antimalware (AMSI) seguido de iniciar un inyector de DLL en memoria.

A URL final obteve uma amostra de malware Lokibot. "Está colocado em um processo legítimo notatedpad.exe desde o inyector de DLL mencionado anteriormente", diz Trustwave.

Se espera que este tipo de ataques semânticos que explore as variações no URL segn a especificação oficial do esquema de URI crezcan, apresentando novos desafos para os produtos e profissionais de segurança.

Apenas mes passados, BleepingComputer informa que os spammers de drogas ocultas são direcionados para IP maliciosos e corretivos no formato hexadecimal para evadir os filtros de detecção eletrônica que de outro modo detectou e bloqueia os direcionamentos de IP regulares no formato de octeto.

Em los se apresenta uma lista de indicadores de compromisso (IOC) e os resultados detalhados de Trustwave. Blogue.

  • Twitter não funciona com usuários que ven errores "Algo sali mal"
  • O subsistema do Windows para Linux 2 passa por cima do firewall do Windows 10

Descobre ms contenido

Que é um amplificador integrado?

Google Pixel Watch também tem detecção de cadas, pero no hasta el prximo ao

Las melhores tazas de caf calentadas de 2022

Cmo automatize seu iPhone segn el tiempo, la actividad ou la ubicacin

"Eso debe haber sido antes de mi tiempo"

Por qu la NASA enva a Snoopy a la Luna? – Revisando geek

Deja una respuesta Cancelar la respuesta

¿Como criar um correo eletrônico aleatorio?

Para criar uma conta de correo temporal tan solo debes acede a esta página web, Gmailnator. Uma vez você terá gerado uma direção aleatória do Gmail que pode começar a usar o pulsando Go!.

¿Qué es un correo aleatório?

Correo eletrônico desechable – é um serviço que permite a recepção de correio eletrônico em uma direção temporal que se autodestruirá luego de que transcurra certo tiempo. Também é conhecido por nomes como: tempmail, 10minutemail, correo eletrônico desechable, correo falso ou correo basura.

¿Cuál es el mejor correo temporal?

O melhor e mais eficaz dos correos temporais

De todos los que hemos visto, hay uno que desbanca al resto, y es Gmailnator.

¿Como criar um correo de um uso solo?

Una de las muchas alternativas para criar uma conta de correo destacável para 10 Minutes Mail. Este serviço, como su propio nombre indica, criou uma direção de correção para o uso do registrador. Diez minutos mais tarde desaparecerá sin dejar rastro y sin que se pueda vincular a ninguna otra cuenta de correo .

Ir arriba