Les spammeurs utilisent des adresses IP hexadécimales pour échapper à la détection

Un groupe de spam a choisi une astuce assez intelligente qui lui a permis de contourner les filtres de messagerie et les systèmes de sécurité et d’atterrir dans plus de boîtes de réception que d’habitude.L’astuce repose sur une bizarrerie dans RFC791 – une norme qui décrit le protocole Internet (IP). les divers détails techniques, RFC791 est également la norme qui décrit l’apparence des adresses IP. Nous les connaissons principalement sous leur forme la plus courante d’adresse décimale en pointillé (par exemple, 192.168.0.1), mais les adresses IP peuvent également être écrites dans trois autres formats:

  • Octal – 0300.0250.0000.0001 (en convertissant chaque nombre décimal en base octale)
  • Hexadécimal – 0xc0a80001 (en convertissant chaque nombre décimal en hexadécimal)
  • Integer / DWORD – 3232235521 (en convertissant l’adresse IP hexadécimale en entier)

Selon un rapport publié hier par Trustwave, un groupe de spam a adopté des adresses IP hexadécimales pour ses campagnes depuis la mi-juillet au début de cette année. Le groupe envoie des e-mails contenant des liens à leurs sites de spam, mais au lieu de noms de domaine comme « spam-website.com », les e-mails contiennent des URL étranges comme https: // 0xD83AC74E.

Les spammeurs utilisent des adresses IP hexadécimales pour échapper à la détection

Ce sont en fait des adresses IP hexadécimales où les spammeurs hébergent leur infrastructure de site Web de spam.Bien que les navigateurs Web soient capables d’interpréter les adresses IP hexadécimales et de charger le site Web trouvé sur le serveur, il semble que l’astuce ait suffi pour aider les groupes de spam à échapper à la détection tout en crachant des volumes élevés de messages de spam pharmaceutiques / pilules. Trustwave affirme que les opérations du groupe ont considérablement augmenté depuis l’adoption de cette astuce, car ils ont pu envoyer plus de messages dans les boîtes de réception des utilisateurs.

Image: Trustwave

Cette campagne marque également la deuxième fois que des adresses IP hexadécimales ont été repérées comme étant utilisées dans une campagne de logiciels malveillants ces dernières années.A l’été 2019, les opérateurs du cheval de Troie PsiXBot ont également utilisé des adresses IP hexadécimales pour masquer l’emplacement de leur commande et -contrôler les serveurs.Pourtant, outre la version hexadécimale, les auteurs de logiciels malveillants ont également abusé d’autres schémas d’adressage IP. En 2011, Zscaler a trouvé des documents Word malveillants qui utilisaient des adresses IP entières Tout comme dans le rapport Trustwave, les opérations précédentes utilisaient ces étranges schémas d’adressage IP. comme moyen de contourner la détection, car tous les logiciels de sécurité ne sont pas entièrement conformes à la RFC791.

Array