Direcciones IP hexadecimales, el último truco del Spam

Un grupo de spam ha explotado un truco que les permite eludir los filtros de correo electrónico y los sistemas de seguridad y llegar a más bandejas de entrada de lo habitual. El truco se basa en una peculiaridad de RFC791, un estándar que describe el Protocolo de Internet (IP). Entre los diversos detalles técnicos, RFC791 […]

Un grupo de spam ha explotado un truco que les permite eludir los filtros de correo electrónico y los sistemas de seguridad y llegar a más bandejas de entrada de lo habitual. El truco se basa en una peculiaridad de RFC791, un estándar que describe el Protocolo de Internet (IP).

Entre los diversos detalles técnicos, RFC791 es también el estándar que describe cómo se ven las direcciones IP. En su mayoría, los conocemos en su forma más común de dirección decimal con puntos ( por ejemplo, 192.168.0.1).

Sin embargo, las direcciones IP también se pueden escribir en otros tres formatos:

• Octal – 0300.0250.0000.0001 (convirtiendo cada número decimal a la base octal)
• Hexadecimal – 0xc0a80001 (convirtiendo cada número decimal a hexadecimal)
• Integer / DWORD – 3232235521 (convirtiendo la IP hexadecimal en un entero)

Según un informe publicado  por Trustwave, un grupo de spam ha adoptado  direcciones IP hexadecimales  para sus campañas desde mediados de julio a principios de este año.

El grupo ha estado enviando correos electrónicos que contienen enlaces a sus sitios de spam, pero en lugar de nombres de dominio como “spam-website.com”, los correos electrónicos contienen URL de aspecto extraño como https: // 0xD83AC74E.

En realidad, se trata de direcciones IP hexadecimales donde los spammers alojan la infraestructura de su sitio web de spam.

Si bien los navegadores web son capaces de interpretar direcciones IP hexadecimales y cargar el sitio web que se encuentra en el servidor, parece que el truco fue suficiente para ayudar a los grupos de spam a evadir la detección mientras arrojan grandes volúmenes de mensajes de spam farmacéuticos / píldoras.

Trustwave dice que las operaciones del grupo han aumentado significativamente desde que adoptaron este truco, ya que han podido enviar más mensajes a las bandejas de entrada de los usuarios.

Esta campaña también marca la segunda vez que se detecta el uso de direcciones IP hexadecimales en una campaña de malware en los últimos años.

En el verano de 2019, los operadores del troyano PsiXBot también utilizaron direcciones IP hexadecimales para ocultar la ubicación de sus servidores de comando y control.

Sin embargo, además de la versión hexadecimal, los autores de malware también han abusado de otros esquemas de direccionamiento IP. En 2011, Zscaler encontró documentos de Word maliciosos que usaban direcciones IP enteras / DWORD para ocultar la ubicación de recursos maliciosos almacenados de forma remota que descargarían en hosts infectados.

Al igual que en el informe de Trustwave, las operaciones anteriores utilizaron estos extraños esquemas de direccionamiento IP como una forma de evitar la detección, ya que no todo el software de seguridad es totalmente compatible con RFC791.

Correos con enlaces a sus sitios de Spam

Por lo demás no es muy diferente a los correos basura en general. Lo que hacen es enviar correos electrónicos con enlaces a sus sitios de Spam, pero en esta ocasión en vez de llevar el nombre de dominio común (www.pagina-web.com) lleva una URL con aspecto extraño para los usuarios, pero que es efectivo para evitar los filtros.

Los spammers alojan toda la estructura en esas direcciones IP hexadecimales. Los navegadores pueden interpretar esas direcciones IP y por tanto cargar los sitios, sin embargo, parece que ese truco es suficiente para pasar determinados filtros.

Como vemos, una vez más han encontrado la manera de saltarse las medidas de seguridad o, como en este caso, filtros para detectar Spam. Es vital que siempre tengamos en cuenta la importancia de proteger nuestros sistemas y no cometer errores que nos comprometan.