Home / Malware / Ransomware / TorrentLocker: χρησιμεύουν οι αναφορές παράδοσης των spam;

TorrentLocker: χρησιμεύουν οι αναφορές παράδοσης των spam;

 

TorrentLocker spam messages

Ερευνώντας τη δραστηριότητα του TorrentLocker, ενός κακόβουλου λογισμικού τύπου ransomware, ερευνητές του Trend Labs διαπίστωσαν ότι οι κυβερνοεγκληματίες έχουν εξελίξει τη μέθοδο με την οποία αυτό διαμοιράζεται.

Ενώ μέχρι πρότινος το TorrentLocker χρησιμοποιούσε μηνύματα spam που μπορούσαν να παρακάμπτουν τα φίλτρα spam, φαίνεται ότι τα μηνύματα spam πλέον όχι μόνο παρακάμπτουν τα φίλτρα, αλλά ταυτόχρονα συλλέγουν και πληροφορίες.

Sender Policy Framework (SPF), αυθεντικοποίηση μηνυμάτων και εξαγωγή στατιστικών στοιχείων

Τα προηγούμενα spam μηνύματα μπορούσαν να ξεγελάσουν το πλαίσιο πολιτικής του αποστολέα (Sender Policy Framework – SPF) και το Domain Keys Identified Mail, δηλαδή τον έλεγχο με βάση το domain. Το SPF παρέχει ένα μηχανισμό που επιτρέπει στους παραλήπτες να ελέγχουν αν ένα εισερχόμενο μήνυμα από ένα domain έχει σταλεί από έναν host που έχει λάβει σχετική εξουσιοδότηση από τον ιδιοκτήτη του domain. Η λίστα με τις εξουσιοδοτημένες διευθύνσεις IP για ένα domain δημοσιεύεται στα DNS records του domain.

Τα νέα email του TorrentLocker χρησιμοποιούν το Domain-based Message Authentication, Reporting and Conformance (DMARC), μια μέθοδο δηλαδή αποδοχής των μηνυμάτων. Το DMARC αξιοποιεί το SPF και το DKIM και στέλνει αναφορές στους αποστολείς των μηνυμάτων ώστε:

  • Να συλλέγουν στατιστικά στοιχεία για τα μηνύματα που χρησιμοποιούν το domain τους από τους παραλήπτες DMARC,
  • Να βλέπουν πόσο από το traffic επιτυγχάνει και αποτυγχάνει από τους ελέγχους αυθεντικοποίησης μηνυμάτων,
  • Να ζητούν τα μηνύματα που χρησιμοποιούν το domain τους και αποτυγχάνουν κατά την αυθεντικοποίηση να μπαίνουν σε καραντίνα ή να απορρίπτονται,
  • Να λαμβάνουν δεδομένα που εξάγονται από τα μηνύματα που απέτυχαν κατά την αυθεντικοποίηση, όπως πληροφορίες των κεφαλίδων και URIs από το σώμα του κειμένου, αν ο παραλήπτης παρέχει τέτοια υπηρεσία.

Αναφορές DMARC

Οι αναφορές του DMARC σκοπό έχουν να βοηθούν τους αποστολείς να έχουν συνολική εικόνα για τη λειτουργία των υποδομών τους, των υποδομών τους που χρησιμοποιούνται από τρίτους και για τις επιθέσεις στα domain τους. Δυστυχώς, όμως, οι κυβερνοεγκληματίες που δουλεύουν με το TorrentLocker χρησιμοποιούν τις ίδιες αναφορές για να διαπιστώσουν κατά πόσο οι εγκληματικές τους κακόβουλες δραστηριότητες είναι επιτυχημένες.

Μια καμπάνια spam μηνυμάτων στάλθηκε από το notice-nsw-gov.net. Τα δεδομένα που προέκυψαν από τα SPF και DMARC έχουν ως εξής:

;; ANSWER SECTION:

notice-nsw-gov.net.     3600    IN      TXT     “v=spf1 ip4:93.189.0.1/16 a mx ~all”

notice-nsw-gov.net.     3600    IN      TXT     “v=DMARC1\; p=reject\; rua=mailto:[email protected]

Φαίνεται ότι οι κακόβουλοι χρήστες συλλέγουν πληροφορίες από email που έχουν απορριφθεί, δηλαδή από email που δεν ολοκληρώνουν επιτυχώς τη διαδικασία αξιολόγησης από τα φίλτρα spam.

Αξίζει να σημειωθεί ότι κάθε αναφορά DMARC περιέχει πληροφορίες σχετικά με τον ISP, το όνομα και τα στοιχεία επικοινωνίας του παρόχου του ηλεκτρονικού ταχυδρομείου, διευθύνσεις IP καθώς και αποτελέσματα που προκύπτουν από το SPF και το DKIM.

Για τους κυβερνοεγκληματίες, η πληροφορία αυτή είναι πολύτιμη, καθώς περιέχει χρήσιμα στοιχεία για τις καμπάνιες spam που «τρέχουν». Αν μια αναφορά DMARC αποσταλεί πίσω σε ένα domain που ελέγχεται από τους εγκληματίες (και στη συγκεκριμένη περίπτωση εκείνων που παραμετροποιούν και διαμοιράζουν το TorrentLocker), τότε οι τελευταίοι μπορούν να ελέγξουν τον αριθμό των spam μηνυμάτων που πέρασαν από το SPF και το DKIM. Η αναφορά θα δείξει ποιοι ISPs θεώρησαν τα email ως «authenticated», ώστε τυχόν μελλοντικές καμπάνιες των εγκληματιών να διορθωθούν για να είναι «αποτελεσματικότερες».

Πώς να προστατευθείτε απέναντι στα spoofed emails που μπορεί να κρύβουν το TorrentLocker;

Τεχνικές όπως αυτή δείχνουν ότι μπορεί τα φίλτρα spam να βοηθούν ώστε να γίνει ένα αρχικός έλεγχος για junk ή κακόβουλα μηνύματα, ωστόσο δε μπορούν να είναι 100% αποτελεσματικά. Οι κυβερνοεγκληματίες πάντα θα βρίσκουν τρόπους να παρακάμπτουν ή να ξεγελούν τις μεθόδους αυθεντικοποίησης.

Συνιστούμε στους χρήστες να είναι πολύ επιφυλακτικοί με τα μηνύματα που λαμβάνουν, ακόμα κι όταν φαίνονται αληθινά. Μπορεί να πρόκειται για μηνύματα που έχουν παραποιηθεί και να έχουν «καμουφλαριστεί» σχεδόν άριστα. Χρειάζεται μεγάλη προσοχή σε ότι αφορά τα links που περιέχονται σε αυτά τα μηνύματα καθώς και τα συνημμένα σε αυτά αρχεία. Αν αμφιβάλλετε για την εγκυρότητα ενός μηνύματος, είναι προτιμότερο να το διαγράψετε, ώστε να μη θέσετε σε κίνδυνο το υπολογιστικό σας σύστημα.

Χρήσιμο
Ευανάγνωστο

User Rating: 4.88 ( 2 votes)

About Germanos

Check Also

Spora: εμφάνιση νέου εξελιγμένου ransomware

Ερευνητές ασφαλείας εντόπισαν ένα νέο ransomware λογισμικό, με το όνομα Spora, το οποίο μπορεί να …