Nuevas técnicas de PhaaS para ocultar enlaces maliciosos en los emails
Caracteres oscuros, espacios invisibles y códigos repetidos, entre los trucos más sofisitcados.
Los analistas de amenazas de Barracuda han publicado un informe sobre las últimas técnicas utilizadas por el kit Tycoon phishing-as-a-service (PhaaS) para ocultar enlaces maliciosos en los correos electrónicos. Estas técnicas están diseñadas para ocultar, y alterar la estructura o URL, con el objetivo de confundir a los sistemas de detección automatizados y garantizas que los enlaces no sean bloqueados.
Entre las técnicas de ocultación de URL detectadas por los analistas de amenazas de Barracuda se encuentran:
• Insertar una serie de espacios invisibles en el enlace malicioso introduciendo repetidamente el código «%20» en su línea de dirección.
• Añadir caracteres oscuros, como un símbolo «Unicode» en el enlace que parece un punto pero no lo es.
• Insertar una dirección de correo electrónico oculta o un código especial al final del enlace.
• Crear una URL que sólo contenga hipervínculos parciales o que no contenga elementos no válidos, como dos «https» o la ausencia de «//» para ocultar el destino real del enlace y garantizar que la parte activa parezca inofensiva.
• Utilizar el símbolo «@» en la dirección del enlace. Todo lo que aparece antes de la «@» es tratado como «información del usuario» por los navegadores, por lo que los atacantes colocan en esta parte algo que parezca fiable y digno de confianza como «office365». El destino real del enlace aparece después de la “@”.
• Usar enlaces web con símbolos extraños, como barras invertidas «\» o signos de dólar «$» que normalmente no se usan en las URL. Estos caracteres raros pueden alterar la forma en que las herramientas se seguridad leen la dirección, lo que ayuda a que un enlace tóxico pase desapercibido por los sistemas de detección automáticos.
• Crear una URL en la que la primera parte sea benigna y contenga un hipervínculo, y la segunda parte, maliciosa, aparezca como texto sin formato. Dado que la parte maliciosa del enlace no está conectada a nada, las herramientas de seguridad no la leen correctamente.
“Las herramientas de seguridad son cada vez más eficaces a la hora de detectar y bloquear enlaces maliciosos en correos electrónicos de phishing, lo que está llevando a los atacantes a inventar continuamente formas nuevas y más sofisticas de disimular dichos enlaces”, afirma Saravan Mohankumar, director del equipo de análisis de amenazas de Barracuda. “Los atacantes utilizan trucos con espacios, símbolos y direcciones web que parecen fiables a primera vista, pero que dificultan mucho más que las personas – y el software de seguridad tradicional – detecten que conduce a un sitio web peligroso”.
La mejor defensa contra estas técnicas nuevas y emergentes es un enfoque multicapa, con varios niveles de seguridad que puedan detectar, inspeccionar y bloquear actividades inusuales o inesperadas. Las soluciones que incluyen capacidades de inteligencia artificial y aprendizaje automáticos, tanto a nivel de la puerta de enlace del correo electrónico como después de la entrega, garantizan que las empresas están bien protegidas. Al igual que con todas las amenazas transmitidas por correo electrónico, las medidas de seguridad deben complementarse con una formación activa y periódica de los empleados sobre las últimas amenazas, cómo detectarlas y notificarlas.
