Publicaciones

Las redirecciones en el spam

Los spammers usan activamente las redirecciones en sus mensajes: al pulsar en el enlace de spam, con frecuencia los destinatarios del mensaje pasan por una cadena completa de sitios web antes de llegar al sitio final.

Las redirecciones se usan por muchas razones. La más frecuente es que ayuda a los spammers a ocultar los datos que permiten al filtro antispam identificar el mensaje como indeseable, por ejemplo, el sitio web o el teléfono del cliente. Como resultado, el destinatario (al igual que el filtro antispam) no ve en el mensaje ni enlaces al sitio publicitado, ni ningún tipo de teléfonos o direcciones de correo que se hayan usado anteriormente para comunicarse con los clientes que pidieron el envío de spam. En el enlace se ve sólo el enlace al recurso intermediario. Además, si el spammer participa en el programa de afiliados, debe saber cuántos usuarios siguieron el enlace, ya que sus ganancias están en dependencia directa de esta información. Por esta razón, en la cadena de sitios web que el usuario tiene que pasar, pueden encontrarse sitios redirectores que cumplen la función de contadores.

En este artículo analizaremos los trucos más populares de los spammers que de forma directa o indirecta usen redirecciones, los tipos más difundidos y usados de redirecciones, y las peculiaridades y temáticas del spam que usa redirecciones y causan un sinnúmero de inconvenientes a los usuarios en todo el mundo.

Tipos de redirección

Las redirecciones se pueden clasificar según diferentes criterios. El nuestro se basará en el objeto que se usa para realizar la redirección. Dos métodos son los más difundidos: las redirecciones que usan enlaces y las que recurren a páginas html adjuntas.

Enlaces

Los enlaces son uno de los trucos tradicionales usados por los spammers para hacer redirecciones. Como regla, al pulsar en este tipo de enlaces, el usuario llega a una página web desde la cual, usando uno de los métodos de redirección (de los que hablaremos más adelante), los spammers lo redireccionan al recurso final. El recurso intermedio puede ser una página en un sitio web legítimo comprometido por los spammers o unos de los sitios de spam creados específicamente para redireccionar a los usuarios a otros recursos web.

Otro método sencillo de enmascarar los enlaces de spam es el uso de servicios de enlaces cortos, que permiten a los spammers crear con rapidez un enlace camuflado que conduce a su sitio, como por ejemplo en el siguiente mensaje.

En este momento existe una gran cantidad de este tipo de servicios. Sobre todo se los usa para hacer más corto el enlace, acción que es muy necesaria en los recursos que ponen límites al tamaño del texto final (por ejemplo, Twitter). A veces los spammers no usan los servicios de enlaces cortos existentes, sino que crean servicios propios. Una ventaja de usar recursos propios es que no son moderados, es decir que nadie verifica adónde lleva el enlace creado por los spammers. La desventaja es que cualquier filtro antispam puede bloquear por completo estos servicios, con lo que detiene todos los envíos masivos del spammer.

Adjuntos HTML

Con frecuencia, para hacer las redirecciones los spammers usan ficheros HTML especiales, que al ser abiertos redireccionan al usuario al sitio web de los spammers. Para esto se usan diferentes trucos y técnicas, sobre las que hablaremos más adelante. Estos ficheros se adjuntan a los mensajes spam y lo único que tienen que hacer los delincuentes es usar cualquier pretexto para inducir al destinatario a abrir el fichero en el navegador.

Los spammers hacen cada vez más complejo el código de las páginas HTML y las enmarañan cada vez más para evitar que el filtro antispam detecte la redirección. Periódicamente cambian del todo los métodos usados para hacer las redirecciones.

He aquí los mensajes que recibimos el verano del año pasado:

Como es tradición, el texto trata de convencer al usuario de que abra el adjunto. ¿Pero qué es lo que vemos al abrir el fichero? En lugar del vídeo prometido con Victoria Norton, nos lleva a un sitio de spam.

En el mensaje del primer ejemplo por lo menos nos redireccionaron a la prometida publicidad de relojes, en cambio este nos lleva a un sitio comprometido por los spammers y que no tiene ningún contenido publicitario. Estos envíos nos muestran que a veces para los spammers es más importante obtener direcciones de correo reales y ganar dinero redireccionando a sus dueños a enlaces (que es lo que ocurre al abrir los enlaces HTML) que publicitar un productor en concreto.

En el spam se suele encontrar con frecuencia tanto enlaces con redirecciones, como ficheros HTML. Cada uno de estos métodos usa el navegador para redireccionar al usuario, pero al mismo tiempo la implementación de las redirecciones es muy diferente a nivel del código fuente, como también los trucos que los spammers usan para que los usuarios sigan estas redirecciones.

Trucos

Los métodos que los spammers usan en las redirecciones son bien conocidos. Muchos de ellos ya tienen más de una década, pero se siguen usando activamente en la actualidad. La mayoría de los métodos se centra en evadir los filtros antispam y en camuflar el mismo hecho de que el mensaje contiene redirecciones. Analizaremos los trucos más populares de redirección entre los spammers.

redirects_in_spam_04

Este es el aspecto que puede tener el código HTML del adjunto que realiza la redirección:

Se puede ver que los spammers hacen un intento, poco complicado, de engañar el filtro: dividen en fragmentos los renglones que contienen el enlace (recuadro en la captura de pantalla) y cambian el valor del objeto location para hacer la redirección:

window.location = “http://…”; – la modificación de este objeto es el método tradicional de redirección en JavaScript, que ocurre sin que el usuario tome parte.

Las siguientes substituciones tienen el mismo efecto:

document.location.href = “http://…
window.location.reload(“http://…“)
window.location.replace(“http://…“)

2. Uso de etiquetas “meta”

Además de la modificación del objeto location, para obtener el mismo efecto los spammers usan otro método de redirección: la etiqueta especial HTML “meta”. Las etiquetas “meta” se suelen usar para guardar diferentes tipos de información sobre la página, por ejemplo, la codificación de caracteres, los encabezados HTML, las palabras claves del contenido, etc.

Uno de los usos de la etiqueta puede ser el uso del encabezado refresh con el parámetro url, que también provoca la redirección automática del usuario al cargar la página.

Es particularmente notable el pequeño tamaño del fichero HTML que se genera. Como la etiqueta “meta” se describe en los encabezados de la página, su contenido puede estar completamente vacío, como en el ejemplo anterior. Por esta razón este truco se usa con frecuencia en las páginas HTML adjuntas a los mensajes en los envíos masivos de spam.

3. iframe que conduce a un sitio externo

El uso de la etiqueta iframe para redireccionar al usuario a un sitio de spam da la posibilidad de visualizar en una página, dentro de un bloque de ancho y largo dados, el contenido de otra página.

redirects_in_spam_06

Cuando el usuario abre el fichero HTML adjunto, el navegador abre el contenido de otra página dentro de la zona iframe. Con frecuencia los spammers asignan a esta zona un tamaño grande (en este caso, el 100% de ancho y 4700px de alto) y como resultado la página resulta completamente cubierta con el contenido de otro sitio web. En la captura de pantalla se ve el resultado de abrir un adjunto de este tipo: en la zona iframe que ocupa toda la pantalla del navegador se cargó una publicidad en rumano de cursos para aprender inglés.

redirects_in_spam_07

4. Configuración de .htaccess

Un método cómodo para los spammers, pero que sin embargo no se da con frecuencia, es la configuración de .htaccess en el servidor. Como regla los spammers modifican la configuración de estos ficheros en sus servidores.

El fichero .htaccess suele ser accesible sólo al administrador del servidor. Si está presente en algún directorio del servidor y está correctamente rellenado, al abrir los enlaces que llevan a este directorio se redirecciona al usuario al recurso indicado en .htaccess. Por ejemplo, si el spammer puso en el sitio, en el directorio –spamdir, el fichero .htaccess con un contenido especial, todos los usuarios que abran el enlace http://example.org/spamdir en el mensaje spam serán automáticamente redirigidos por el servidor web a otro sitio, el indicado en .htaccess

Lo más frecuente es que dentro de la configuración del fichero se use la instrucción Redirect, en la que se indica desde qué página y a qué dirección hay que hacer la redirección (marcado en rojo):

Otra forma de crear redirecciones es el uso de la instrucción RewriteCond, que determina cierta expresión regular a la que debe corresponder el enlace. Esta instrucción, junto con RewriteRule , crea la regla que modifica la dirección de la página actual del usuario. Si la dirección IP del usuario de la página corresponde a la expresión regular descrita en RewriteCond, este será redirigido a la dirección dada por la regla en la instrucción RewriteRule.

Los delincuentes utilizan con frecuencia este truco para redireccionar a los usuarios a sitios de los programas de afiliados más apropiados según el país y la región de la dirección IP. Esto hace que las redirecciones sean más específicas y efectivas.

A continuación damos un ejemplo de un fichero .htaccess típico del spam, que redirecciona a los usuarios de las subredes indicadas.

redirects_in_spam_09

5. Uso de PHP

Un método poco frecuente, pero que también se encuentra es usar las posibilidades de diferentes idiomas de script para redireccionar a los usuarios.

El método más sencillo de redirección en PHP es:

<?php
header(‘Location: http://…’); ?>

Se envía al navegador el encabezado HTTP Location que provoca la redirección del usuario al sitio indicado.

También con frecuencia se envían otros encabezados en los que se indican diferentes códigos de estado de HTTP (3хх), que son un indicio de que en la página dada hay una redirección.

<?php header(“HTTP/1.1 301 Moved Permanently “);
header(“Location: http://…”);
exit();
?>

Enmarañamiento del contenido

Estos son ejemplos de mensajes que recibimos en septiembre:

Un viejo truco de los spammers: bajo el aspecto de un informe sobre el estado de una transacción, la víctima potencial recibe un mensaje fraudulento con un fichero HTML adjunto. Después de abrir el fichero, los spammers informan al destinatario del mensaje que en un momento se lo redireccionará a otra página, pero no le dicen que se trata de una página de phishing.

A veces los spammers no ponen el código fuente de la redirección en el adjunto HTML, sino en el mismo mensaje, con la esperanza de que el usuario esté usando una versión obsoleta del programa de correo electrónico (los programas modernos tienen protección contra la descarga de cualquier contenido desde la web) y la redirección ocurre en el mismo momento en que se visualiza el mensaje.

Analicemos el código fuente de este envío para entender cómo ocurre la redirección.

Como podemos ver, los spammers de nuevo han vuelto a utilizar las redirecciones JavaScript, pero esta vez enmarañando mucho más el código fuente, y también han recurrido al uso de conjuntos de constantes, valores numéricos de símbolos de los cuales se forma el enlace de spam (como se pondrá en claro más tarde, estos valores también están multiplicados por la función del número ordinal del elemento del conjunto).

Veamos cuál es el resultado del desenmarañamiento del código. Aislemos el script del código HTML y usemos, por ejemplo, JsPretty junto con jsbeautifier.

Ahora vemos que realmente había un enlace de spam dentro del script. Pero ¿dónde estaba almacenado?

Para entender qué trucos usan los spammers para ocultar la presencia del enlace y engañar a los filtros antispam, analizaremos todas las acciones que ejecuta el programa desenmarañador.

En primer lugar, organizaremos el texto del script para hacerlo fácil de leer: pondremos sangrías, espacios entre los operadores y separadores de líneas.

El código se hace más comprensible, pero esto no es suficiente. Más adelante haremos una simplificación manual y veremos qué es lo que en realidad pasa:

  • Eliminamos las variables y los operadores que se ejecutan siempre.
  • Hacemos un seguimiento de los valores de las variables y sus sustituciones.
  • Veamos qué llamadas resultan.

 redirects_in_spam_16.1

Ahora queda claro que todo el script se reduce a:

  1. La creación del renglón necesario (s) que contiene el código ejecutable:
  2. su ejecución (renglón window[eval]).

Como resultado de la ejecución del ciclo en el renglón s se contendrá el siguiente código:

Y por fin, he aquí el enlace oculto adónde se llevará a la víctima.

Ahora podemos entender qué algoritmo usan los spammers al generar adjuntos JavaScript similares:

  1. Desintegrar el enlace en símbolos, tomar sus valores en bites y guardar la función de estos valores en un conjunto.
  2. En el ciclo, llamar las funciones que componen el enlace de los valores almacenados en el conjunto.
  3. Agregar las asignaciones adicionales de unas variables a otras, para modificar y ocultar sus nombres originales.
  4. Agregar a todas las partes del código los bloques if y try-catch con sus verdaderos argumentos.
  5. Aplicar los pasos 1-4 varias veces para obtener un código ilegible.

El esquema completo de las redirecciones es el siguiente:

Temáticas de los mensajes con redirecciones

Las redirecciones que tienen como objetivo ocultar el enlace real o los datos de contacto de los spammers están presentes en el spam de casi todas las temáticas y con cada año adquieren cada vez más popularidad.

En el caso de los mensajes con adjuntos HTML la situación es distinta. Los enlaces en este tipo de mensaje suelen conducir a sitios phishing, donde los delincuentes tratan de obtener las contraseñas del correo electrónico de los usuarios, o, con menor frecuencia, hacen publicidad de diferentes programas o servicios.

En los últimos tiempos ha crecido la cantidad de envíos masivos con redirecciones que llevan a sitios de búsqueda de pareja.

Ya hemos mencionado más arriba que, dependiendo de la dirección IP, se puede redireccionar a los usuarios a uno u otro sitio de spam. Los spammers usan este truco para ganar más dinero con el mismo envío masivo. Ellos toman parte en diferentes “programas de afiliados” y dependiendo de la región donde vive el usuario, lo remiten al más adecuado. Así, siguiendo un mismo enlace, un habitante de Europa puede llegar, por ejemplo, a un sitio phishing, mientras que un habitante de Rusia, a un sitio de búsqueda de pareja.

Conclusiones

El uso de unos u otros trucos de redirección es un buen ejemplo del desarrollo de los envíos de spam en el tiempo. Ciertos métodos son sencillos y evidentes para los destinatarios, y estos entienden que los están redireccionado a otro recurso. De forma paralela con estos métodos se desarrollan otros, más complicados, cuando la redirección ocurre mediante varios sitios de forma completamente invisible para el usuario, que sólo ve la página final. Además, una buena parte de los envíos con redirecciones son mensajes en los que los enlaces de spam están incrustados muy profundamente en el código HTML de los adjuntos. Los analistas de spam tienen instrumentos mediante los cuales pueden “atrapar” los envíos masivos. Por ejemplo, los filtros antispam pueden realizar el desenmarañamiento completo del código, o bien considerar la misma presencia de código enmarañado como señal de que un mensaje es spam (este segundo método puede producir falsos positivos). En este caso es más sencillo bloquear el envío masivo, basándose en el contenido o los signos formales, que tratar de desenmarañar el código de cada mensaje.

Las redirecciones son particularmente peligrosas cuando en los mensajes se propagan enlaces a programas maliciosos y a mensajes phishing o fraudulentos. Por una parte, los usuarios han aprendido a tener más cuidado y, como consecuencia, la efectividad de estos envíos tendría que reducirse. Por otra parte, siempre hay nuevos usuarios que hacen sus primeros pasos en Internet y para quienes es difícil reconocer los trucos de los delincuentes. Queremos dar algunos consejos simples que ayudarán a aumentar seriamente el nivel de protección de su equipo:

  • No abra los ficheros HTML adjuntos a los mensajes, si no confía en el remitente. Lo mismo se aplica a los adjuntos de todos los demás tipos.
  • Verifique adónde lleva el enlace antes de pulsarlo; en la mayoría de los navegadores y programas de correo es suficiente poner el cursor sobre el enlace para ver adónde lleva. No pulse un enlace si tiene la menor duda sobre la seguridad del remitente.
  • No trate de “anular su suscripción” a los envíos de spam. Esto sólo les confirmará a los spammers que su dirección está “viva” y querrán incluirla en otros envíos masivos. Lo mejor es eliminar de inmediato el spam recibido.
  • Use soluciones de protección que contengan tecnologías antivirus y antispam y actualícelas con regularidad.

Y no olvide las reglas generales de seguridad en Internet, porque cumplirlas le ayudará a no convertirse en víctima de los ataques de los estafadores y demás delincuentes.

Las redirecciones en el spam

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada