Преступники используют необычный формат URL для заражения жертв
31.03.2017
Исследователи из компании MalwarebytesLab обнаружили вредоносную кампанию, в рамках которой злоумышленники используют необычный формат URL для перенаправления на страницу, содержащую набор эксплоитов Rig, который, в свою очередь, загружает на компьютер жертвы вредоносное ПО Smoke Loader.
Как поясняется в блоге компании, при анализе вредоносного трафика исследователи обращают внимание на ряд аспектов, в том числе на имена хост-узлов и IP-адреса, используемые в атаках. Имя хоста может отображаться как доменное имя (например, http://example.com/), полное доменное имя (http://test.example.com) или IP-адрес (http://127.0.0.1/).
IP-адрес представляет собой серию из 32 двоичных бит (единиц и нулей). Человеку прочесть двоичный IP-адрес очень сложно, поэтому 32 бита группируются по четыре 8-битных байта, в так называемые октеты. Для облегчения понимания каждый октет IP-адреса представлен в виде своего десятичного значения (значение каждого из четырех октетов находится в диапазоне от 0 до 255). Октеты разделяются десятичной точкой. Однако в ряде случаев октеты могут не разделяться точками http://2130706433/).
С одним из таких случаев столкнулись специалисты MalwarebytesLab. В ходе анализа цепочки заражения Rig исследователи обнаружили имя хоста в формате http://1760468715, который Internet Explorer и Google Chrome без труда преобразовывали в более привычный IP-адрес (104.238.158.235). Исследователи выявили ряд скомпрометированных сайтов, переадресовывавших пользователей на URL http://1760468715, откуда происходило перенаправление на страницу, содержащую Rig.
Как полагают эксперты, путем использования не самого распространенного формата URL злоумышленники пытались усложнить идентификацию или обойти IP-фильтры.
