Эксперты Trustwave обнаружили, что занимающиеся фармацевтическим спамом злоумышленники начали вставлять необычные URL-адреса в свои сообщениях. Они используют шестнадцатеричные IP, чтобы обойти почтовые фильтры и другие защитные решения.
Идея основана на использовании стандарта RFC791. Исследователи напоминают, что, к примеру, https://google.com это то же, что и https://216.58.199.78, просто первый вариант проще запомнить. Более того, любой IP-адрес может записываться и в других форматах, в том числе как:
- восьмеричный IP-адрес: https://0330.0072.0307.0116;
- шестнадцатеричный IP-адрес: https://0xD83AC74E;
- целочисленный или DWORD IP-адрес:https://3627730766.
Именно этой особенностью и пользуются спамеры, которые с июля текущего года применяют в своих рассылках шестнадцатеричные IP-адреса. Хотя браузеры понимают такие форматы и в любом случае равно направят пользователя на google.com, если говорить о примере выше, многие спам-фильтры из-за этого перестают «видеть» опасные URL.
Эксперты отмечают, что с началом использования этого трюка активность предприимчивой спам-группы заметно возросла, так как гораздо больше спама стало попадать в ящики пользователей. На пике кампании мошенники рассылали около 25 000 писем. В основном спамеры рекламировали различные препараты для снижения холестерина, противогрибковые, антивозрастные, противовоспалительные средства, медицинские маски, УФ-лампы, а также всевозможные БАДы.
Интересно, что это не первый подобный случай, обнаруженный ИБ-специалистами. Так, летом прошлого года эксперты Proofpoint рассказывали о трояне PsiXBot, чьи операторы тоже использовали шестнадцатеричные IP-адреса, чтобы скрыть местоположение своих управляющих серверов.
