Спамеры используют новую технику генерации URL-адресов, чтобы избежать обнаружения людьми и спам-фильтрами.
Этот метод заключается в добавлении случайных неиспользуемых текстовых битов к сокращенным ссылкам, чтобы замаскировать их под полноразмерные URL-адреса и избежать проверки почтовых шлюзов.
Поставляется как вложения PowerPoint
Фишинговое письмо озаглавлено «СРОЧНО: ЗАПРОС ПРЕДЛОЖЕНИЯ (Университет Окленда) ...»
Неудивительно, что, как и многие фишинговые письма, это тоже приходит с файлом PowerPoint, содержащим макросы. При запуске надстройки PowerPoint происходит подключение к вредоносному URL-адресу с помощью исполняемого файла Windows mshta.exe .
В рассылке спама используется надстройка PowerPoint с уклончивыми ссылками.
Источник: Trustwave.
Но здесь примечательна не последовательность макросов, а структура URL-адреса, к которому документ пытается подключиться, как объяснил провайдер кибербезопасности и управляемых услуг безопасности Trustwave.
URL-адрес или URI состоит из нескольких частей, некоторые из которых являются необязательными. Это определено отраслевым стандартом RFC3986 .
Хотя большинство URL-адресов состоят из протокола, домена (хоста) и пути, можно добавить другие необязательные параметры.
Например, рассмотрим URL-адрес Articles tagged with Security, где протокол - «https: //», хост - «www.bleepingcomputer.com», а часть после него - это путь к страница.
Подключается к обходным URL-адресам для обхода обнаружения
URL или IP-адрес могут быть представлены по-разному. Злоумышленники злоупотребляют этими вариантами форматов IP / URL, разрешенными спецификациями IETF, чтобы вызвать « семантические атаки ».
Схема URL позволяет использовать другую часть, называемую «Авторитет». Эта часть позволяет указать «USERINFO» - что - то вроде имени пользователя , в URL между протоколом и хост - части.
Например, это может выглядеть так : https: //ax@bleepingcomputer.com/tag/security
Но поскольку «userinfo» редко используется, особенно с URL-адресами HTTP (S), он часто игнорируется сервером, и переход по указанному выше URL-адресу по-прежнему приведет вас к .
Несмотря на это, злоумышленники могут злоупотреблять этой функцией, чтобы создать у пользователя ложное впечатление, что он подключается к другому URL-адресу, чем тот, к которому они обращаются.
В случае этой конкретной спам-кампании адресатами, к которым она подключается, являются все известные веб-сайты, такие как служба сокращения URL-адресов j.mp , Pastebin.com и т. Д.
Но структура жестко запрограммированных URL-адресов включает бессмысленную часть «userinfo» прямо перед доменным именем, чтобы создать впечатление, что это разные URL-адреса.
Поэтому, например, если продукт корпоративной безопасности ранее блокировал вредоносную ссылку https: // j [.] Mp / kassaasdskdd, неясно, будет ли продукт также интерпретировать что-то вроде https: // nonsensical-text @ j [ .] mp / kassaasdskdd таким же образом и заблокировать его.
Вредоносные URL-адреса, в которых поле "информация о пользователе" выглядит иначе.
Загрузки вредоносного ПО LokiBot
«Первый URL [j.mp] , к которому обращается вложение PowerPoint, перенаправляет на запутанный VBScript, размещенный на Pastebin», - объясняют исследователи из Trustwave.
Первая ссылка j.mp перенаправляет на запутанный скрипт, размещенный на Pastebin
«Поскольку URL-адрес j [.] Mp / kassaasdskdd не требует информации пользователя для получения доступа к каким-либо ресурсам, данные userinfo будут игнорироваться при обращении к URL-адресу», - поясняют исследователи.
Примечание. Хотя во время первоначального исследования ссылка j.mp перенаправлялась на сценарий Pastebin, показанный выше, в тесте, выполненном BleepingComputer, URL-адрес был перепрограммирован для перенаправления на другой скрытый сценарий, https: // pastebin [.] com / raw / RttDJwpd показано ниже.
Другой обфусцированный скрипт теперь отображается в URL-адресе j.mp
Источник: BleepingComputer
Последовательность продолжается через серию похожих URL-адресов, содержащих «фиктивные» данные userinfo, которые будут игнорироваться сервером.
На каждом этапе загружается новый запутанный сценарий, который в конечном итоге записывает в реестр Windows постоянный загрузчик PowerShell.
Затем промежуточные URL-адреса загружают библиотеки DLL, чтобы обойти службу сканирования на вредоносное ПО (AMSI), после чего запускается инжектор DLL в памяти.
Конечный URL содержит образец вредоносного ПО LokiBot. «Он будет внедрен в законный процесс notepad.exe упомянутым ранее DLL-инжектором», - поясняет Trustwave.
Ожидается, что эти типы семантических атак, которые используют вариации в URL-адресах, как это предусмотрено официальной спецификацией схемы URI, будут только расти, создавая новые проблемы для продуктов безопасности и профессионалов.
Буквально в прошлом месяце BleepingComputer сообщил, что спамеры , использующие наркотики, маскируют вредоносные IP-адреса в электронных письмах в шестнадцатеричном формате, чтобы избежать фильтров обнаружения, которые в противном случае перехватили бы и заблокировали обычные IP-адреса в октетном формате.
Список индикаторов компрометации (IOC) и подробные выводы Trustwave представлены в их блоге .
Перевод с английского - Google
