Probablemente ya lo hayan notado, pero últimamente se está recibiendo
en mayor medida correo basura con HTMLs adjuntos. Los atacantes están
usando este formato para robar datos y redirigir a las víctimas a otras
web. Es la nueva «moda» del spam.
El correo siempre ha sido el método de distribución predilecto del spam
y malware. Desde hace muchos años, los atacantes han adjuntado al correo
ejecutables de todo tipo (exe, cmd, pif, bat, vbs… y todas las
combinaciones de dobles extensiones posibles) en un intento de infectar
sistemas. Esto hace tiempo que está superado por los filtros y
normalmente son bloqueados a nivel de perímetro, pero existen otros
formatos menos populares que se utilizan a menudo.
Aproximadamente en 2002, se hicieron muy populares los correos basura
que solo contenían imágenes. Con esto, los atacantes conseguían eludir
los filtros por palabras (primera reacción obvia contra el spam). Como
respuesta a las imágenes, los filtros antispam comenzaron a utilizar
plugins OCR (software de reconocimiento óptico de caracteres), capaz de
interpretar el texto en los gráficos. A continuación les tocó mover
ficha a los spammers, y comenzaron a introducir «ruido» en las imágenes
para dificultar el reconocimiento automático por este tipo de software.
En junio de 2007, sufrimos una verdadera avalancha de spam en formato
PDF. Aprovechando que casi todos los sistemas cuentan con un lector, los
atacantes incrustaron la publicidad en un PDF, o incluso en una imagen
dentro del PDF. La campaña de envío fue masiva y los filtros no
funcionaron los primeros días, pero muy pronto los programadores se
pusieron a trabajar y comenzaron a mirar dentro de estos archivos
(aunque demostraron no estar preparados para el primer golpe, dado el
éxito del que disfrutaron los atacantes las primeras horas). Luego el
formato PDF se usaría más para infectar con malware… pero en esto
tiene mucho más que decir Adobe que los creadores de filtros de correo
basura.
Ahora, parece que los atacantes están usando archivos HTML adjuntos para
distribuir basura e incluso infectar a sistemas. Los utilizan de dos
formas:
* En vez de colgar un phishing en una web, lo incluyen todo en ese HTML.
La víctima lo abre en local, ve una web muy parecida a la de un banco u
otra entidad, introduce los datos y son enviados al estafador. Así, los
atacantes consiguen no tener que preocuparse por mantener un phishing
colgado en algún ISP que en cualquier momento podría eliminarlo, e
incluso evadir los filtros antiphishing basados en listas negras, puesto
que una dirección «local» no aparecería nunca en ellos.
* Los HTML contienen redirectores (código JavaScript o HTML
convenientemente ofuscado) que enlaza a otra web. Al abrir ese HTML
adjunto, el usuario es redirigido y puede esperarle un phishing o un
intento de infección. Con esto consiguen eludir filtros antispam basados
en la detección del método «clásico» de incrustar directamente URLs en
el cuerpo de un correo fraudulento.
A partir de ahí, las combinaciones son varias: imágenes dentro del HTML,
ofuscación de texto… Con este nuevo método, están consiguiendo eludir
algunos filtros antispam y confundir a las víctimas menos avezadas.
Aunque obtienen algunas ventajas y están consiguiendo llegar a las
bandejas de entrada, en realidad los filtros antispam están haciendo un
buen trabajo contra este método desde un primer momento (no como ocurrió
en 2007con los PDF) y en general, la mayoría acaban en el correo basura.
Aun así, está siendo bastante usado y conviene tenerlo en cuenta.
Se populariza el spam en formato PDF
http://www.hispasec.com/unaaldia/3167
Via: Hispasec
