Alcuni spammers hanno trovato un metodo per bypassare i filtri spam delle mail

Un gruppo di spammers ha trovato un trucco, piuttosto intelligente, che gli ha permesso di bypassare i filtri spam delle mail. Grazie a questo metodo infatti le mail arrivano molto più spesso a destinazione nella casella “Posta in arrivo”.

Il trucco si basa su una anomalia in RFC791, uno standard che descrive il protocollo internet (IP). Tra i vari dettagli tecnici, RFC791 descrive anche alcuni aspetti degli indirizzi ip. Gli ip più comuni li conosciamo nella seguente forma (IPv4): 192.168.0.1

In realtà esistono varie tipologie di indirizzi ip, tra cui:

Otted – (by converting each decimal number to the octal base)
Hexadecimal – 0xc0a80001 (by convert each decimal number to hexadecimal)
Integer/DWORD – 3232235521 (by converting the hexadecimal IP to integer)

COSA HANNO FATTO GLI SPAMMERS?

Ebbene sì, questi scaltri spammers hanno capito il trucco. Secondo un rapporto pubblicato da Trustwave , il gruppo di hackers ha adottato indirizzi ip esadecimali per le loro campagne di spam.

Il gruppo ha inviato mail contenenti i propri siti di phishing, ma invece di utilizzare i classici domini “spam.website.com” hanno utilizzato URLs dall’aspetto strano “https://0xD83AC74E”. Questi URLs non sono nient’altro che i siti malevoli all’interno dei quali i cyber criminali ospitano le loro trappole.

I normali browser web riescono a risolvere tali indirizzi web e il trucco sembra essere sufficiente per eludere i filtri spam delle caselle di posta elettronica.

Trustwave afferma che da quando è stato scoperto questo metodo gli attacchi sono aumentati in maniera significativa in quanto molte più mail arrivano a destinazione.


Report Trustwave

NON È LA PRIMA VOLTA CHE VENGONO UTILIZZATI GLI IP ESADECIMALI

Questa è la seconda volta, negli ultimi anni, che vengono utilizzati IP esadecimali per attacchi malware.

Nell’estate del 2019 gli operatori del trojan PsiXBot hanno anche utilizzato indirizzi IP esadecimali per nascondere la posizione dei loro server principali.

Tuttavia, oltre alla versione esadecimale, gli autori di malware hanno anche abusato di altri schemi di indirizzi IP. Nel 2011, Zscaler ha trovato documenti Word dannosi che utilizzavano indirizzi IP interi / DWORD per nascondere la posizione di risorse dannose memorizzate in remoto che avrebbero scaricato su host infetti.

Proprio come nel rapporto Trustwave, le operazioni precedenti utilizzavano questi strani schemi di indirizzamento IP come un modo per aggirare il rilevamento, poiché non tutti i software di sicurezza sono completamente conformi a RFC791.

Alcuni spammers hanno trovato un metodo per bypassare i filtri spam delle mail

COSA HANNO FATTO GLI SPAMMERS?

NON È LA PRIMA VOLTA CHE VENGONO UTILIZZATI GLI IP ESADECIMALI

Pubblicato da Cybermondo

Posta un commento

0 Commenti

Cerca nel blog

Translate

Most Popular

Intervista ad un ethical hacker

Cutlet Maker: il malware che fa sputare contanti agli ATMs

Come eliminare account ZOOM

VPN: che cos'è e come funziona

Crescono i contagi da coronavirus ma crescono anche gli attacchi hacker verso il settore sanitario

La storia di Hushpuppi: il più grande truffatore online della storia

Archivio blog

Segnala una violazione

Contact form

Alcuni spammers hanno trovato un metodo per bypassare i filtri spam delle mail

COSA HANNO FATTO GLI SPAMMERS?

NON È LA PRIMA VOLTA CHE VENGONO UTILIZZATI GLI IP ESADECIMALI

Pubblicato da Cybermondo

Questi post potrebbero interessarti

Posta un commento

0 Commenti

Seguici sui social

Cerca nel blog

Translate

Most Popular

Intervista ad un ethical hacker

Cutlet Maker: il malware che fa sputare contanti agli ATMs

Come eliminare account ZOOM

VPN: che cos'è e come funziona

Crescono i contagi da coronavirus ma crescono anche gli attacchi hacker verso il settore sanitario

La storia di Hushpuppi: il più grande truffatore online della storia

Archivio blog

Segnala una violazione

Contact form