Эксперты Trustwave обнаружили, что занимающиеся фармацевтическим спамом злоумышленники начали вставлять необычные URL-адреса в свои сообщениях. Они используют шестнадцатеричные IP, чтобы обойти почтовые фильтры и другие защитные решения.
Идея основана на использовании стандарта RFC791. Исследователи напоминают, что, к примеру, https://google.com это то же, что и https://216.58.199.78, просто первый вариант проще запомнить. Более того, любой IP-адрес может записываться и в других форматах, в том числе как:
- восьмеричный IP-адрес: https://0330.0072.0307.0116;
- шестнадцатеричный IP-адрес: https://0xD83AC74E;
- целочисленный или DWORD IP-адрес:https://3627730766.
Именно этой особенностью и пользуются спамеры, которые с июля текущего года применяют в своих рассылках шестнадцатеричные IP-адреса. Хотя браузеры понимают такие форматы и в любом случае равно направят пользователя на google.com, если говорить о примере выше, многие спам-фильтры из-за этого перестают «видеть» опасные URL.

Эксперты отмечают, что с началом использования этого трюка активность предприимчивой спам-группы заметно возросла, так как гораздо больше спама стало попадать в ящики пользователей. На пике кампании мошенники рассылали около 25 000 писем. В основном спамеры рекламировали различные препараты для снижения холестерина, противогрибковые, антивозрастные, противовоспалительные средства, медицинские маски, УФ-лампы, а также всевозможные БАДы.
Интересно, что это не первый подобный случай, обнаруженный ИБ-специалистами. Так, летом прошлого года эксперты Proofpoint рассказывали о трояне PsiXBot, чьи операторы тоже использовали шестнадцатеричные IP-адреса, чтобы скрыть местоположение своих управляющих серверов.
BigTree
21.09.2020 в 18:31
У меня ни один из примеров ссылки на гугл не открылся
http://images.vfl.ru/ii/1600702268/99c7fd28/31702126.jpg
Sudden
21.09.2020 в 19:03
У меня все открылись
emw2006
28.09.2020 в 17:24
Честно говоря, меня сильно удивляет, когда создается что-то новое, с известными параметрами, часть возможностей почему-то самими создателями упускается из виду. Ведь люди, разрабатывающие систему IP-адресов, разве не знали о существовании подобной лазейки?
Я уже испытал на себе ее действие, когда мне на почту, якобы со стороны Gmail.com, в день сыпалось с десяток спам-писем. Продолжалось это на протяжении полугода, не помогали никакие обращения в обе стороны, пока специалисты искали «противоядие».