Questo account modifica l'e-mail in formato PDF (presumibilmente da Paypal) un exploit?

Naviga le tue risposte
22

Recentemente ho ricevuto la seguente (piuttosto ovvia) email di phishing:

Non sono un utente PayPal, quindi questo particolarmente allarmante per me. tuttavia, quando si visualizza come testo normale, è diventato evidente che c'erano caratteri nascosti tra ogni lettera visualizzata di ogni parola, in questo modo:

------------------------------ ------------------------------ ---------- Statement your account has been updated successfully on 12:30:14 pm Friday, December 22, 2017

HzeglelMo,

YmocuTr aMcacdoduvnbt cfhoannlgze1s sHuzcocXeysVsmfEudlIlKy cwh9a2nOgVead.

TFhFe dHePt2aNi2lGs oZf thhte cThzaAnAgJe3s abr9e iIn aztbteaVcshsegd DLorwCnIlFo6ald aYn0d rgeuaid tchGe altjtFaScMhJepd YZobu w3inlWl fOiAnFd m5edsDs0aHgJe iQn A2dToebee RgefaEdAenr (kPyDKFV) AfwoHr1mraMtn.

TuhsaunxkWs fjorr jXori1neienRg t6hKe mkimlAlci4oKn6s off pkeiospslLe w8h8o rIeGlDy oSn uNs tho mpatkEe s4e2csu3rie fFiqnNaXnsccikaEl thrtaEnOsia2cFt6iWocn2s a7rUoPuTned tLh1e wIoxr5lnd0.

SIiTnocAefrSeVlWyd,W

PVacy6Pka1l1bidttS0u4pjp0oErCtE.k

HbeUlrp r|xddl8vSme5cKu6rQi8tcyoslnnfCte8nrtDrDe

PcavyqPzaDlkix8tt(yEGuIrRodp9eP) S.à ri.jlH.IeSt C3i2ee, Sb.rC8.EAp.M SyobcHiété eOn CqoGmImwaBnmdhiYtfe plaAr AacNtkiIonXs. RoeSgPirsNtpe6rreWd oefGfJi1cteD: 212w-t2P4 BloJuJl5ejvBaYrmd R6oGykahl, Ls-c2S4r4r9 Lzulx1etmbb7u9rkg1. RKCHS LmuFxweCmUbyuLrmg BE 161t8 3V419a.

cosa potrebbe essere? qualcuno ha mai visto questo?

UPDATE : ecco le intestazioni From + Subject

From: [email protected] .

Sent: Sunday, December 24, 2017 9:39 PM

Subject: Case ID Number PP-M-LL0PUG4V : Statement your account has been updated successfully on 12:30:14 pm Friday, December 22, 2017

    
posta homerman 27.12.2017 - 16:38
fonte

4 risposte

87

Questo è solo uno spam malware normale.

La parte malvagia di questo messaggio è probabilmente il PDF allegato che menziona. Probabilmente contiene un exploit che ha come obiettivo una vulnerabilità in uno o più lettori PDF e qualcosa di brutto se aperto con un programma vulnerabile. Quindi non aprire l'allegato.

Il motivo del testo non verbale nel codice sorgente della posta elettronica è tale da confondere i filtri antispam in modo che non vengano filtrati.

    
risposta data 27.12.2017 - 16:49
fonte
6

Si tratta di una sorta di spam malware over-engineer, che sfugge al tipico client di posta elettronica (ad esempio il client Outlook) semplice filtro antispam a causa del testo senza senso. Tuttavia, è inutile contro un motore di scansione della posta spam ben gestito che sia in grado di gestire e-mail di spam HTML in cerca di codice javascript sospetto / offuscato.

(aggiornamento) Come alcuni hanno detto che il client di posta elettronica non eseguirà javascript per eseguire il de-offuscamento. Un semplice google di "E-mail di spam offuscata" ti darà qualche esempio simile . Dal momento che OP non ci ha mostrato l'effettiva intestazione dell'email, posso solo presumere che il contenuto sia deoffuscato e riscritto usando javascript.

Ho appena scoperto che è possibile utilizzare CSS foglio di stile per scherzare, ma hai ancora bisogno di javascript. Tutti questi meccanismi offuscati e offuscati espongono lo spam per aiutare a costruire una sorta di rilevamento di spam.

    
risposta data 27.12.2017 - 18:15
fonte
4

Il linguaggio senza senso è destinato a confondere i filtri anti-virus e / o spam. Se il filtro legge il testo reale (senza senso), non riconoscerà le parole o i pattern di trigger, come direi che le lettere senza senso sono generate casualmente e sono diverse per ogni messaggio. Alcuni filtri antispam come quello di Gmail si basano sull'identificazione dei messaggi di spam perché sono identici ai messaggi inviati anche ad altri utenti.

A seconda della qualità dei filtri, questo tipo di oscuramento può o non può funzionare. Ma il principio dello spam è che non deve lavorare su tutti, solo su obiettivi sufficienti. Quindi, a condizione che ignori alcuni filtri, vale la pena utilizzarlo.

    
risposta data 28.12.2017 - 01:28
fonte
1

La mia ipotesi è che la versione testuale della mail sia quella mostrata, seguita da una versione HTML, che può contenere ulteriori offuscamenti (ad esempio span nascosti con testo non necessario, come H<span style="visiblity:hidden">bz<span style="visiblity:hidden">ZornWasHere</span>w</span>ello) , di nuovo, per evitare i filtri spam.

Se imposti il tuo client di posta elettronica per mostrare il puro testo dell'e-mail, probabilmente ciò che hai incollato verrà visualizzato come contenuto dell'e-mail.

Il fatto che un PDF (o un file EXE con un'icona simile a PDF) sia collegato o meno, è irrilevante per il modo in cui lo spammer ha evitato il rilevamento.

    
risposta data 28.12.2017 - 22:44
fonte

Leggi altre domande sui tag

Perché è considerato sicuro installare qualcosa come utente non root in ambienti Linux? Ci sono sistemi là fuori che usano un pad singolo?