Les spammeurs utilisent des adresses IP hexadécimales pour échapper à la détection

Les spammeurs utilisent des adresses IP hexadécimales pour échapper à la détection

Des envoyeurs de spam ont mis au point une astuce très maline qui permet de contourner les filtres de courrier électronique et les systèmes de sécurité. L’objectif ? Permettre à ces courriels non désirés et parfois dangereux d’atterrir coute que coute dans les boites de réception des destinataires.

L’astuce repose sur une bizarrerie de RFC791 – une norme qui décrit le protocole Internet (IP). Parmi les divers détails techniques, la norme RFC791 est également la norme qui décrit l’aspect des adresses IP. Nous les connaissons surtout sous leur forme la plus courante d’adresse IP (par exemple, 192.168.0.1).

Toutefois, les adresses IP peuvent également être écrites dans trois autres formats :

  • Octal – 0300.0250.0000.0001 (en convertissant chaque nombre décimal en base octale)
  • Hexadécimal – 0xc0a80001 (en convertissant chaque nombre décimal en hexadécimal)
  • Integer/DWORD – 3232235521 (en convertissant l’IP hexadécimal en entier)

Et bien, un groupe de spammeurs a apparemment compris le truc. Selon un rapport publié la semaine dernière par Trustwave, un groupe de spammers a adopté des adresses IP hexadécimales pour ses campagnes depuis la mi-juillet. Le groupe a envoyé des courriels contenant des liens vers ses sites de spam, mais au lieu de noms de domaine comme “spam-website.com”, les courriels contiennent des URL bizarres comme https://0xD83AC74E.

publicité

Seconde campagne de ce type en quelques années

Il s’agit en fait d’adresses IP hexadécimales où les spammeurs hébergent l’infrastructure de leur site web. Si les navigateurs web sont capables d’interpréter les adresses IP hexadécimales et de charger le site web trouvé sur le serveur, il semble que l’astuce ait suffi pour aider les groupes de spam à échapper à la détection tout en envoyant de gros volumes de messages de spam.

Selon Trustwave, les opérations du groupe ont considérablement augmenté depuis qu’il a adopté cette astuce, car il a pu faire atterrir davantage de messages dans les boîtes de réception des utilisateurs.

hexadecimal-spam.png

Image : Trustwave

Cette campagne est la seconde connue où des adresses IP hexadécimales sont utilisées ces dernières années. Au cours de l’été 2019, les opérateurs du cheval de Troie PsiXBot ont également utilisé des adresses IP hexadécimales pour cacher l’emplacement de leurs serveurs de commande et de contrôle.

Outre la version hexadécimale, les auteurs de logiciels malveillants ont également utilisés d’autres systèmes d’adressage IP. En 2011, Zscaler a trouvé des documents Word malveillants qui utilisaient des adresses IP entières/DWORD pour cacher l’emplacement de ressources malveillantes stockées à distance qu’ils avaient téléchargées sur des hôtes infectés. Tout comme dans le rapport Trustwave, les opérations précédentes ont utilisé ces étranges systèmes d’adressage IP pour contourner la détection, car tous les logiciels de sécurité ne sont pas entièrement conformes à la norme RFC791.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *