Спамеры прячутся за шестнадцатеричными IP-адресами

Эксперты Trustwave обнаружили, что занимающиеся фармацевтическим спамом злоумышленники начали вставлять необычные URL-адреса в свои сообщениях. Они используют шестнадцатеричные IP, чтобы обойти почтовые фильтры и другие защитные решения.

Идея основана на использовании стандарта RFC791. Исследователи напоминают, что, к примеру, https://google.com это то же, что и https://216.58.199.78, просто первый вариант проще запомнить. Более того, любой IP-адрес может записываться и в других форматах, в том числе как:

• восьмеричный IP-адрес: https://0330.0072.0307.0116;
• шестнадцатеричный IP-адрес: https://0xD83AC74E;
• целочисленный или DWORD IP-адрес:https://3627730766.

Именно этой особенностью и пользуются спамеры, которые с июля текущего года применяют в своих рассылках шестнадцатеричные IP-адреса. Хотя браузеры понимают такие форматы и в любом случае равно направят пользователя на google.com, если говорить о примере выше, многие спам-фильтры из-за этого перестают «видеть» опасные URL.

Эксперты отмечают, что с началом использования этого трюка активность предприимчивой спам-группы заметно возросла, так как гораздо больше спама стало попадать в ящики пользователей. На пике кампании мошенники рассылали около 25 000 писем. В основном спамеры рекламировали различные препараты для снижения холестерина, противогрибковые, антивозрастные, противовоспалительные средства, медицинские маски, УФ-лампы, а также всевозможные БАДы.

Интересно, что это не первый подобный случай, обнаруженный ИБ-специалистами. Так, летом прошлого года эксперты Proofpoint рассказывали о трояне PsiXBot, чьи операторы тоже использовали шестнадцатеричные IP-адреса, чтобы скрыть местоположение своих управляющих серверов.