Οι hackers που ενορχηστρώνουν μια καμπάνια scam πουλώντας φάρμακα δοκιμάζουν μια νέα τεχνική, στοιχηματίζοντας σε μη συμβατική αναπαράσταση διευθύνσεων URL σε μηνύματα spam, ώστε να μην εντοπίζονται από συστήματα προστασίας email και URL blocklists.
Σε μια μαζική εκστρατεία που παρατηρήθηκε από κάποιους ερευνητές ασφαλείας, οι χειριστές κατέβαλαν προσπάθεια για να διασφαλίσουν την ευρύτερη εμβέλεια των μηνυμάτων τους που προωθούν φαρμακευτικά προϊόντα αμφιβόλου προέλευσης.
Οι spammers συνδύασαν πειστικά μηνύματα με διευθύνσεις IP κωδικοποιημένες στο δεκαεξαδικό αριθμητικό σύστημα που οδηγούν σε ψεύτικα websites φαρμακείων μετά από μερικές ανακατευθύνσεις.
Δεν περιλαμβάνεται κάποιο malware. Ο σκοπός της επιχείρησης είναι να πείσει τους παραλήπτες να αγοράσουν ψεύτικα φάρμακα, συμπληρώματα διατροφής, προϊόντα από λάδι φιδιού και αντικείμενα αμφίβολης ποιότητας.
Windows 10 τέλος, απομένει μόλις ένας χρόνος υποστήριξης
Κομήτης θα κάνει μια θεαματική προσέγγιση τον Οκτώβριο
Εκτόξευση του Europa Clipper για ανίχνευση ζωής στην Ευρώπη!
Ερευνητές του Trustwave που παρακολουθούν αυτήν την καμπάνια παρατήρησαν ότι ο μεγαλύτερος όγκος μηνυμάτων κυκλοφόρησε στα μέσα Ιουλίου.
Οι spammers πραγματικά προσπαθούν να πουλήσουν το οτιδήποτε, από μάσκες για τον COVID-19, αντιβακτηριακές λάμπες UV, χάπια για τη βελτίωση της συγκέντρωσης, για απώλεια βάρους, για την παλινδρόμηση, τον προστάτη, τον ίλιγγο ή ακόμη και για διόρθωση προβλημάτων όρασης.
Ενώ η χρήση του δεκαεξαδικού συστήματος για την κωδικοποίηση διευθύνσεων IP δεν είναι μια νέα τεχνική, είναι ασυνήθιστη στις φαρμακευτικές καμπάνιες spam. Οι web browsers αποδέχονται και αποκωδικοποιούν αυτήν τη μορφή μαζί με άλλες (οκταδικό, ακέραιο ή DWORD).
Οι ερευνητές της Trustwave παρατήρησαν αυτήν τη συγκεκριμένη τεχνική λεπτομέρεια σε αυτή την καμπάνια scam και υποθέτουν ότι η ίδια ομάδα επιτιθέμενων βρίσκεται πίσω από τις εκστρατείες που κυκλοφόρησαν φέτος.
Η καμπάνια είναι πολύ πειστική καθώς στην τελική της σελίδα (αφού περάσει από διάφορα άλλα redirects) έχει και νόμιμες πύλες για πληρωμές μέσω πιστωτικής κάρτας ή PayPal.
Μια άλλη ενδιαφέρουσα πτυχή είναι ότι οι spammers χρησιμοποιούν την υποδομή του ClickBank, μιας νόμιμης υπηρεσίας λιανικής και affiliate link ως proxy για το τελευταίο landing page.
Οι ερευνητές λένε ότι η κωδικοποίηση των διευθύνσεων IP σε email είναι μια εξέλιξη στα spam που σχετίζονται με τα φαρμακευτικά προϊόντα.
Μια υποδομή που περιλαμβάνει νόμιμες υπηρεσίες, καθώς και το πειστικό υλικό marketing (βίντεο και φωτογραφίες) διασφαλίζει την επιτυχία της λειτουργίας.
Οι χρήστες θα πρέπει να είναι προσεκτικοί σχετικά με τα μηνύματα μάρκετινγκ που εμφανίζονται στα εισερχόμενά τους. Τα φάρμακα που δεν έχουν περάσει από μια σωστή διαδικασία έγκρισης μπορεί να προκαλέσουν μακροχρόνια ιατρικά προβλήματα που μπορεί να μην διορθώνονται εύκολα.