Gostaria de compartilhar uma matéria que encontrei no site: Linha Defensiva, que trata de links camuflados, na grande maioria usada por crackers para uso de Spam. No final do conteúdo explicarei como é feita a camuflagem.
Criminosos usam “nova” técnica para camuflar links maliciosos
Você clicaria em um link como esse, abaixo?
http://000112.0×7D.0×13.00000223
É justamente essa “técnica” que criminosos digitais brasileiros estão explorando em algumas mensagens de e-mail maliciosas. Se você clicar no link acima, irá visitar a página do Google. Mas no caso dos e-mails fraudulentos, o resultado pode não ser tão inofensivo.
O ARIS-LD, equipe de análise da Linha Defensiva, tem recebido mensagens de phishing onde criminosos brasileiros exploram a técnica, apresentado os links na mensagem dessa maneira, com números:
• http://0×55.[removido].000051.0×91/i/Gb[REMOVIDO].php
• http://000125.[removido].0×29.00000221/i/Gb[REMOVIDO].php
Esses dois endereços citados acima levam para arquivos executáveis, e se forem abertos, instalam no computador um cavalo de troia capaz de roubar senhas bancárias.
Essa técnica tenta esconder o verdadeiro endereço do link de download, convertendo um número IP para valores hexadecimais e octais, e podem ser lidos e acessados por qualquer navegador web. Nos testes realizados por nossa Equipe, os dois links maliciosos foram acessados com sucesso nos navegadores Internet Explorer e no Firefox.
Essa prática de conversão de uma URL não é nova, foi descrita em 1999 em um artigo publicado pelo especialista em pesquisa web e engenharia reversa Fjalar Ravia. É, no entanto, a primeira vez que se tem um registro de que os links escritos dessa forma foram usados em fraudes brasileiras.
Entenda a técnica utilizada.
IP é o número que representa o local de um determinado computador ou servidor na Internet. Websites estão hospedados em servidores web, e podem ser acessados pelo número IP desse servidor, ao invés do endereço www comumente usado.
Um exemplo: se você abrir seu navegador e digitar o número 74.125.19.147, você irá visitar a página do Google Brasil.
Números podem ser representados de outras maneiras: na forma binária, hexadecimal ou octal, que são bases numéricas utilizadas pelo computador.
Nesse golpe, o número de IP de um site foi convertido para valores hexadecimais e octais, no intuito de tornar obscuro o verdadeiro endereço. O endereço http://000112.0×7D.0×13.00000223 nada mais é o do que o IP do site do Google escrito dessa maneira.
Por: Fabio Assolini | 26/05/2009 - 01h40
A ideia é simples:
URL: http://000112.0×7D.0×13.00000223
O N° 112 está em Octal que corresponde ao N° 74 Decimal
O N° 7D está em Hexadecimal que corresponde ao N° 125 Decimal
O N° 13 está em Hexadecimal que corresponde ao N° 19 Decimal
O N° 223 está em Octal que corresponde ao N° 147 Decimal
Formando o IP: 74.125.19.147
Por: De Moura
Criminosos usam “nova” técnica para camuflar links maliciosos
Você clicaria em um link como esse, abaixo?
http://000112.0×7D.0×13.00000223
É justamente essa “técnica” que criminosos digitais brasileiros estão explorando em algumas mensagens de e-mail maliciosas. Se você clicar no link acima, irá visitar a página do Google. Mas no caso dos e-mails fraudulentos, o resultado pode não ser tão inofensivo.
O ARIS-LD, equipe de análise da Linha Defensiva, tem recebido mensagens de phishing onde criminosos brasileiros exploram a técnica, apresentado os links na mensagem dessa maneira, com números:
• http://0×55.[removido].000051.0×91/i/Gb[REMOVIDO].php
• http://000125.[removido].0×29.00000221/i/Gb[REMOVIDO].php
Esses dois endereços citados acima levam para arquivos executáveis, e se forem abertos, instalam no computador um cavalo de troia capaz de roubar senhas bancárias.
Essa técnica tenta esconder o verdadeiro endereço do link de download, convertendo um número IP para valores hexadecimais e octais, e podem ser lidos e acessados por qualquer navegador web. Nos testes realizados por nossa Equipe, os dois links maliciosos foram acessados com sucesso nos navegadores Internet Explorer e no Firefox.
Essa prática de conversão de uma URL não é nova, foi descrita em 1999 em um artigo publicado pelo especialista em pesquisa web e engenharia reversa Fjalar Ravia. É, no entanto, a primeira vez que se tem um registro de que os links escritos dessa forma foram usados em fraudes brasileiras.
Entenda a técnica utilizada.
IP é o número que representa o local de um determinado computador ou servidor na Internet. Websites estão hospedados em servidores web, e podem ser acessados pelo número IP desse servidor, ao invés do endereço www comumente usado.
Um exemplo: se você abrir seu navegador e digitar o número 74.125.19.147, você irá visitar a página do Google Brasil.
Números podem ser representados de outras maneiras: na forma binária, hexadecimal ou octal, que são bases numéricas utilizadas pelo computador.
Nesse golpe, o número de IP de um site foi convertido para valores hexadecimais e octais, no intuito de tornar obscuro o verdadeiro endereço. O endereço http://000112.0×7D.0×13.00000223 nada mais é o do que o IP do site do Google escrito dessa maneira.
Por: Fabio Assolini | 26/05/2009 - 01h40
A ideia é simples:
URL: http://000112.0×7D.0×13.00000223
O N° 112 está em Octal que corresponde ao N° 74 Decimal
O N° 7D está em Hexadecimal que corresponde ao N° 125 Decimal
O N° 13 está em Hexadecimal que corresponde ao N° 19 Decimal
O N° 223 está em Octal que corresponde ao N° 147 Decimal
Formando o IP: 74.125.19.147
Por: De Moura
