Ropemaker, el nuevo ataque por eMail
- Actualidad
Aunque por ahora no se ha detectado su uso, este tipo de ataque podría modificar el contenido de un email ya leído y almacenado en la carpeta de entrada, sustituyendo, por ejemplo, un enlace.
Acrónimo de Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky, ROPEMAKER es lo último en ataques por mail. Su originalidad consiste en su capacidad para modificar un correo ya enviado y almacenado en la bandeja de entrada de la víctima.
Si quieres saber más sobre este tipo de ataque descárgate el Whitepaper.
|
También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits |
El secreto es enviar un mensaje en formato HTML y en lugar de utilizar código CSS embebido en el texto utilizar un archivo CSS alojado en el servidor y que el ciberdelincuente modifica de forma remota y sido leído y está guardado. Entre otras cosas, podría sustituir una URL legítima por una maliciosa.
El email inicial supera los escáneres de seguridad, pero cualquier cambio que se haga a posteriori no se detecta. Esto es porque los sistemas de seguridad de correo electrónicos no vuelven a escanear los emails entregados, sino sólo los primeros que son entregados.
La nueva forma de ataque fue descubierta por Francisco Ribeiro, investigador de Mimecast, una empresa británica de seguridad, este verano. Ribeiro asegura que el exploit no funciona con servicios de email basado en navegador, como Gmail, Outlook Web Accesos, sino con las versiones o clientes para escritorio, como el Outlook o Mozilla Thunderbird.
En su investigación Francisco Ribeiro descubrió dos métodos de ejecutar un ataque Ropemaker. El primero, bautizado como Ropemaker Switch Exploit, consiste en que los atacantes cambian la función CSS “display” de varios elementos. Un ejemplo es mostrar un enlace que posteriormente se sustituye de forma remota. La segunda técnica se llama Ropemaker Matrix Exploit y se basa en incrustar matrices de todos los caracteres ASCII para cada letra dentro del correo electrónico.
Usando reglas de visualización CSS, el atacante puede activar la visibilidad de cada letra, una por una, y volver a crear el texto que desea que aparezca en el correo electrónico en cualquier momento que desee, cambiando el contenido.
Por el momento este tipo de ataques son una teoría y no se ha detectado que se estén utilizando, pero Ribeiro ha asegurado que eso no significa que los atacantes no estén utilizando elementos del exploit en otros ataques potencialmente además dirigidos.
