Эксперты Trustwave обнаружили, что занимающиеся фармацевтическим спамом злоумышленники начали вставлять необычные URL-адреса в свои сообщениях. Они используют шестнадцатеричные IP, чтобы обойти почтовые фильтры и другие защитные решения.
Идея основана на использовании стандарта RFC791. Исследователи напоминают, что, к примеру, https://google.com это то же, что и https://216.58.199.78, просто первый вариант проще запомнить. Более того, любой IP-адрес может записываться и в других форматах, в том числе как:
Интересно, что это не первый подобный случай, обнаруженный ИБ-специалистами. Так, летом прошлого года эксперты Proofpoint рассказывали о трояне PsiXBot, чьи операторы тоже использовали шестнадцатеричные IP-адреса, чтобы скрыть местоположение своих управляющих серверов.
Источник: xakep.ru/2020/09/21/hexadecimal-ip/
Идея основана на использовании стандарта RFC791. Исследователи напоминают, что, к примеру, https://google.com это то же, что и https://216.58.199.78, просто первый вариант проще запомнить. Более того, любой IP-адрес может записываться и в других форматах, в том числе как:
- восьмеричный IP-адрес: https://0330.0072.0307.0116;
- шестнадцатеричный IP-адрес: https://0xD83AC74E;
- целочисленный или DWORD IP-адрес:https://3627730766.
Схема атаки
Эксперты отмечают, что с началом использования этого трюка активность предприимчивой спам-группы заметно возросла, так как гораздо больше спама стало попадать в ящики пользователей. На пике кампании мошенники рассылали около 25 000 писем. В основном спамеры рекламировали различные препараты для снижения холестерина, противогрибковые, антивозрастные, противовоспалительные средства, медицинские маски, УФ-лампы, а также всевозможные БАДы.
Интересно, что это не первый подобный случай, обнаруженный ИБ-специалистами. Так, летом прошлого года эксперты Proofpoint рассказывали о трояне PsiXBot, чьи операторы тоже использовали шестнадцатеричные IP-адреса, чтобы скрыть местоположение своих управляющих серверов.
Источник: xakep.ru/2020/09/21/hexadecimal-ip/