Эксперты Trustwave обнаружили, что занимающиеся фармацевтическим спамом злоумышленники начали вставлять необычные URL-адреса в свои сообщениях. Они используют шестнадцатеричные IP, чтобы обойти почтовые фильтры и другие защитные решения.

Идея основана на использовании стандарта RFC791. Исследователи напоминают, что, к примеру, https://google.com это то же, что и https://216.58.199.78, просто первый вариант проще запомнить. Более того, любой IP-адрес может записываться и в других форматах, в том числе как:

  • восьмеричный IP-адрес: https://0330.0072.0307.0116;
  • шестнадцатеричный IP-адрес: https://0xD83AC74E;
  • целочисленный или DWORD IP-адрес:https://3627730766.

Именно этой особенностью и пользуются спамеры, которые с июля текущего года применяют в своих рассылках шестнадцатеричные IP-адреса. Хотя браузеры понимают такие форматы и в любом случае равно направят пользователя на google.com, если говорить о примере выше, многие спам-фильтры из-за этого перестают «видеть» опасные URL.

Схема атаки

Эксперты отмечают, что с началом использования этого трюка активность предприимчивой спам-группы заметно возросла, так как гораздо больше спама стало попадать в ящики пользователей. На пике кампании мошенники рассылали около 25 000 писем. В основном спамеры рекламировали различные препараты для снижения холестерина, противогрибковые, антивозрастные, противовоспалительные средства, медицинские маски, УФ-лампы, а также всевозможные БАДы.

Интересно, что это не первый подобный случай, обнаруженный ИБ-специалистами. Так, летом прошлого года эксперты Proofpoint рассказывали о трояне PsiXBot, чьи операторы тоже использовали шестнадцатеричные IP-адреса, чтобы скрыть местоположение своих управляющих серверов.

3 комментария

  1. Аватар

    BigTree

    21.09.2020 в 18:31

    У меня ни один из примеров ссылки на гугл не открылся
    http://images.vfl.ru/ii/1600702268/99c7fd28/31702126.jpg

  2. Аватар

    emw2006

    28.09.2020 в 17:24

    Честно говоря, меня сильно удивляет, когда создается что-то новое, с известными параметрами, часть возможностей почему-то самими создателями упускается из виду. Ведь люди, разрабатывающие систему IP-адресов, разве не знали о существовании подобной лазейки?
    Я уже испытал на себе ее действие, когда мне на почту, якобы со стороны Gmail.com, в день сыпалось с десяток спам-писем. Продолжалось это на протяжении полугода, не помогали никакие обращения в обе стороны, пока специалисты искали «противоядие».

Оставить мнение