¿Esta cuenta cambia el correo electrónico PDF (supuestamente de Paypal) un exploit?

22

Hace poco recibí el siguiente correo electrónico de phishing (bastante obvio):

No soy un usuario de PayPal, así que esto es particularmente alarmante para mí. sin embargo, al verlo como texto sin formato, se hizo evidente que había caracteres ocultos entre cada letra mostrada de cada palabra, como tal:

  

------------------------------ ----------------- ------------- ---------- Estado de cuenta su cuenta se ha actualizado correctamente a las 12:30:14 pm del viernes 22 de diciembre de 2017

     

HzeglelMo,

     

YmocuTr aMcacdoduvnbt cfhoannlgze1s sHuzcocXeysVsmfEudlIlKy   cwh9a2nOgVead.

     

TFhFe dHePt2aNi2lGs oZf thhte cThzaAnAgJe3s abr9e in AztbteaVcshsegd   DLorwCnIlFo6ald aYn0d rgeuaid tchGe altjtFaScMhJepd YZobu w3inlWl   fOiAnFd m5edsDs0aHgJe iQn A2dToebee RgefaEdAenr (kPyDKFV)   AfwoHr1mraMtn.

     

TuhsaunxkWs fjorr jXori1neienRg t6hKe mkimlAlci4oKn6s off pkeiospslLe   w8h8o rIeGlDy oNs uNs tho mpatkEe s4e2csu3rie fFiqnNaXnsccikaEl   thrtaEnOsia2cFt6iWocn2s a7rUoPuTned tLh1e wIoxr5lnd0.

     

SIiTnocAefrSeVlWyd, W

     

PVacy6Pka1l1bidttS0u4pjp0oErCtE.k

     

HbeUlrp r | xddl8vSme5cKu6rQi8tcyoslnnfCte8nrtDrDe

     

PcavyqPzaDlkix8tt (yEGuIrRodp9eP) S.à ri.jlH.IeSt C3i2ee, Sb.rC8.EAp.M   SyobcHiété eOn CqoGmImwaBnmdhiYtfe plaAr AacNtkiIonXs.   RoeSgPirsNtpe6rreWd oefGfJi1cteD: 212w-t2P4 BloJuJl5ejvBaYrmd   R6oGykahl, Ls-c2S4r4r9 Lzulx1etmbb7u9rkg1. RKCHS LmuFxweCmUbyuLrmg BE   161t8 3V419a.

¿para qué podría ser esto? ¿Alguien ha visto esto alguna vez?

ACTUALIZACIÓN : aquí están los encabezados De + del asunto

  

De: [email protected].   

     

Enviado: domingo, 24 de diciembre de 2017, 9:39 p.m.

     

Asunto: Número de identificación del caso PP-M-LL0PUG4V: Estado de cuenta que tiene su cuenta   actualizado con éxito el viernes 22 de diciembre de 2017 a las 12:30:14 p.m.

    
pregunta homerman 27.12.2017 - 16:38
fuente

4 respuestas

87

Esto es solo spam de malware regular.

La parte mala de este mensaje es probablemente el PDF adjunto que menciona. Es probable que contenga un exploit que apunte a una vulnerabilidad en uno o más lectores de PDF y haga algo malo si se abre con un programa vulnerable. Así que no abras el archivo adjunto.

Es probable que la razón por la que el texto galimado aparezca en el código fuente del correo electrónico confunda los filtros de spam para que no lo filtren.

    
respondido por el Philipp 27.12.2017 - 16:49
fuente
6

Esto es una especie de spam de malware con exceso de ingeniería, que escapa al filtro de spam simple típico del cliente de correo electrónico (por ejemplo, el cliente de Outlook) debido al texto fantasma. Sin embargo, es inútil contra un motor de escaneo de correo spam bien mantenido que es capaz de manejar el correo basura HTML que busca código javascript sospechoso / confuso.

(actualizar) Como algunos mencionaron, el cliente de correo electrónico no ejecutará javascript para realizar la eliminación de ofuscación. Un simple google de "Correo electrónico no deseado ofuscado" obtendrá algunos ejemplo similar . Ya que OP no nos mostró el encabezado real del correo electrónico, solo puedo asumir que el contenido es deofuscado y reescrito usando javascript.

Acabo de descubrir que es posible utilizar CSS hoja de estilo para jugar, pero aún necesita javascript. Todos estos mecanismos ofuscados y desenfocados expondrán el correo no deseado para ayudar a construir algún tipo de detección de correo no deseado.

    
respondido por el mootmoot 27.12.2017 - 18:15
fuente
4

El objetivo es confundir los filtros de virus y / o spam. Si el filtro lee el texto real (gibberish), no reconocerá las palabras o los patrones de activación, como supondría que las letras en gibberish se generan de forma aleatoria y son diferentes para cada mensaje. Algunos filtros de correo no deseado, como el de gmail, se basan en la identificación de los mensajes de correo no deseado porque también son idénticos a los mensajes que se envían a otros usuarios.

Dependiendo de la calidad de los filtros, este tipo de ofuscación puede o no funcionar. Pero el principio del spam es que no tiene que funcionar en todos, solo en objetivos suficientes. Por lo tanto, siempre que evite algunos filtros, vale la pena usarlo.

    
respondido por el Tom 28.12.2017 - 01:28
fuente
1

Mi conjetura es que la versión de texto del correo es la que se muestra, seguida de una versión HTML, que puede contener ofuscaciones adicionales (como intervalos ocultos con texto innecesario, como H<span style="visiblity:hidden">bz<span style="visiblity:hidden">ZornWasHere</span>w</span>ello) , de nuevo, para evitar los filtros de spam).

Si configuras tu cliente de correo electrónico para que muestre el texto puro del correo electrónico, probablemente lo que hayas pegado se mostrará como el contenido del correo electrónico.

El hecho de que un PDF (o un EXE con ícono similar a PDF) esté adjunto o no, es irrelevante para la forma en que el spammer evitó la detección.

    
respondido por el user166832 28.12.2017 - 22:44
fuente

Lea otras preguntas en las etiquetas