Spam en formato HTML, en aumento de nuevo


Probablemente ya lo hayan notado, pero últimamente se está recibiendo en mayor medida correo basura con HTMLs adjuntos. Los atacantes están usando este formato para robar datos y redirigir a las víctimas a otras web. Es la nueva moda del spam.





El correo siempre ha sido el método de distribución predilecto del spam y malware. Desde hace muchos años, los atacantes han adjuntado al correo ejecutables de todo tipo (exe, cmd, pif, bat, vbs... y todas las combinaciones de dobles extensiones posibles) en un intento de infectar sistemas. Esto hace tiempo que está superado por los filtros y normalmente son bloqueados a nivel de perímetro, pero existen otros formatos menos populares que se utilizan a menudo.

Aproximadamente en 2002, se hicieron muy populares los correos basura que solo contenían imágenes. Con esto, los atacantes conseguían eludir los filtros por palabras (primera reacción obvia contra el spam). Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.

En junio de 2007, sufrimos una verdadera avalancha de spam en formato PDF. Aprovechando que casi todos los sistemas cuentan con un lector, los atacantes incrustaron la publicidad en un PDF, o incluso en una imagen dentro del PDF. La campaña de envío fue masiva y los filtros no funcionaron los primeros días, pero muy pronto los programadores se pusieron a trabajar y comenzaron a mirar dentro de estos archivos (aunque demostraron no estar preparados para el primer golpe, dado el éxito del que disfrutaron los atacantes las primeras horas). Luego el formato PDF se usaría más para infectar con malware... pero en esto tiene mucho más que decir Adobe que los creadores de filtros de correo basura.

Ahora, parece que los atacantes están usando archivos HTML adjuntos para distribuir basura e incluso infectar a sistemas. Los utilizan de dos formas:

* En vez de colgar un phishing en una web, lo incluyen todo en ese HTML. La víctima lo abre en local, ve una web muy parecida a la de un banco u otra entidad, introduce los datos y son enviados al estafador. Así, los atacantes consiguen no tener que preocuparse por mantener un phishing colgado en algún ISP que en cualquier momento podría eliminarlo, e incluso evadir los filtros antiphishing basados en listas negras, puesto que una dirección "local" no aparecería nunca en ellos.

* Los HTML contienen redirectores (código JavaScript o HTML convenientemente ofuscado) que enlaza a otra web. Al abrir ese HTML adjunto, el usuario es redirigido y puede esperarle un phishing o un intento de infección. Con esto consiguen eludir filtros antispam basados en la detección del método "clásico" de incrustar directamente URLs en el cuerpo de un correo fraudulento.

A partir de ahí, las combinaciones son varias: imágenes dentro del HTML, ofuscación de texto... Con este nuevo método, están consiguiendo eludir algunos filtros antispam y confundir a las víctimas menos avezadas. Aunque obtienen algunas ventajas y están consiguiendo llegar a las bandejas de entrada, en realidad los filtros antispam están haciendo un buen trabajo contra este método desde un primer momento (no como ocurrió en 2007con los PDF) y en general, la mayoría acaban en el correo basura. Aun así, está siendo bastante usado y conviene tenerlo en cuenta.

Fuente:
Por Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Deface en Oidossucios.com
Oidossucios.com, página de rock venezolana hackeada por brasileños...
3 razones porque los empleados no siguen las reglas de seguridad
Un estudio reciente encontró que los empleados continúan ignorando las políticas de seguridad. (sorpresa, sorpresa). He aquí un recordatorio de que lo que a menudo falta en las organizaciones tientan a los trabajadores a caminar por el lado equiv...
Genbeta.com - Meneame.net y Error500.net atacadas por avisar del timo de ¿Quieres saber quién no te admite en el messenger?
Estos sitios fueron atacados por publicar: ¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos...
Versión 3.5 del kernel Linux
Esta versión lleva cambios significativos desde mejoras en el rendimiento hasta capacidad de usar SCSI sobre firewire y USB....
Windows XP puede ser hackeado en 6 minutos mediante Wi-Fi
¿Cuánto tiempo toma intervenir una computadora funcionando con Windows XP y carente de software de seguridad? Seis minutos, concluye investigación británica. ...
Curso en Valencia - Venezuela
Esta pautado a realizarse un nuevo Curso Básico de PHP, en la ciudad de Valencia, Carabobo los días 15 y 16 de Mayo. El curso está estructurado para llevarlo a modo intensivo, y poder realizarlo en todo un fin de semana, de 8am - 12pm y 2pm...
Oracle publica 59 parches críticos
Oracle lanzará hoy 59 parches para cubrir brechas de seguridad que afectan a cientos de sus productos. Del total de vulnerabilidades resueltas mediante esta actualización, 21 se encuentran en productos relacionados con Solaris, el sistema operativo...
Vulnerabilidad en la convergencia IP
Hoy en día, la convergencia de las comunicaciones corporativas de voz, datos y video en una única red IP, desde cualquier ubicación y a través de diferentes tecnologías de acceso (Ethernet, ADSL, WiFi, 2.5G, 3G, WiMax, Satélite), es ya una real...
La Web abre vías para los ciberataques
Desde que una compañía decide abrir conectarse a Internet, ya es vulnerable. Hay estrategias que aplican los piratas para ingresar a las redes empresariales....
Facebook muestra su número de teléfono sin su permiso
Facebook una vez más vuelve a pasarse nuestra privacidad por el arco de sus caprichos. La última fechoría ha sido mostrar públicamente los números de teléfono de todos tus contactos del teléfono móvil sin avisar, por lo que puedes deducir que...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aumento
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • formato
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • html
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • spam
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra