Os spammers usam endereços IP hexadecimais para evitar a detecção

Um grupo de spam aprendeu um truque muito inteligente que permitiu que ele contornasse filtros de e-mail e sistemas de segurança e chegasse a mais caixas de entrada do que o normal.

O truque se baseia em uma peculiaridade do  RFC791  – um padrão que descreve o protocolo da Internet (IP).

Entre os vários detalhes técnicos, o RFC791 também é o padrão que descreve a aparência dos endereços IP. Nós os conhecemos principalmente em sua forma mais comum de endereço decimal com pontos ( por exemplo, 192.168.0.1 ).

No entanto, os endereços IP também podem ser escritos em três outros formatos:

• Octal – 0300.0250.0000.0001 (convertendo cada número decimal para a base octal)
• Hexadecimal – 0xc0a80001 (convertendo cada número decimal em hexadecimal)
• Inteiro / DWORD – 3232235521 (convertendo o IP hexadecimal em inteiro)

Bem, um grupo de spammer aparentemente pegou o truque.

De acordo com um relatório publicado ontem pela Trustwave, um grupo de spam adotou  endereços IP hexadecimais  para suas campanhas desde meados de julho no início deste ano.

O grupo tem enviado e-mails que contêm links para seus sites de spam, mas em vez de nomes de domínio como “spam-website.com”, os e-mails contêm URLs de aparência estranha, como https: // 0xD83AC74E.

Na verdade, são endereços IP hexadecimais onde os spammers hospedam sua infraestrutura de site de spam.

Embora os navegadores da web sejam capazes de interpretar endereços IP hexadecimais e carregar o site encontrado no servidor, parece que o truque foi suficiente para ajudar os grupos de spam a escapar da detecção enquanto expeliam grandes volumes de mensagens de spam de medicamentos / pílulas.

A Trustwave afirma que as operações do grupo aumentaram significativamente desde a adoção desse truque, já que eles conseguiram enviar mais mensagens às caixas de entrada dos usuários.

Esta campanha também marca a segunda vez em que endereços IP hexadecimais foram identificados em uma campanha de malware nos últimos anos.

No verão de 2019, os operadores do cavalo de Tróia PsiXBot também usaram endereços IP hexadecimais para ocultar a localização de seus servidores de comando e controle.

No entanto, além da versão hexadecimal, os autores de malware também abusaram de outros esquemas de endereçamento IP. Em 2011, o Zscaler encontrou documentos do Word maliciosos que usavam endereços IP DWORD / inteiros para ocultar a localização de recursos maliciosos armazenados remotamente que eles baixavam em hosts infectados.

Assim como no relatório da Trustwave, as operações anteriores usaram esses estranhos esquemas de endereçamento de IP como uma forma de contornar a detecção, já que nem todo software de segurança é totalmente compatível com RFC791.

Fonte: https://www.zdnet.com/article/spammers-use-hexadecimal-ip-addresses-to-evade-detection/