Как отправить вирус через электронную почту

Вирусы через почту

В предыдущей статье я показал, как скрыть вирус в архиве ZIP и RAR. Теперь прой­дем­ся по нес­коль­ким огре­хам в интерфей­се почтовых клиентов, которые помога­ют не толь­ко пен­тесте­рам, но и зло­умыш­ленни­кам вво­дить жертв в заб­лужде­ние.

Еще по теме: Использование SigThief для обхода антивируса

Как отправить вирус через электронную почту

Рас­смот­рим тему с двух сто­рон: как мы в бла­гих целях можем исполь­зовать эти недоче­ты при пен­тесте в фишин­говых рас­сылках и как раз­работ­чики ПО могут помочь поль­зовате­лям раз­личать этот самый фишинг.

На кар­тинке ниже изоб­ражен интерфейс вхо­дяще­го пись­ма в Outlook.

Вирусы через почту Outlook

Ло­гика жер­твы такая: раз пись­мо видят и бух­галтер, и дирек­тор, зна­чит, луч­ше сде­лать то, что тре­бует­ся. Все бы ничего, но в копии ука­заны email-адре­са, ими­тиру­ющие кол­лег жер­твы, на самом деле это несущес­тву­ющие адре­са (см. рисунок ниже).

Статья в образовательных целях для обучения этичных хакеров. Использование представленной информации для атак на частные лица или организации без их предварительного письменного согласия является незаконным. Несанкционированный взлом является незаконным и рассматривается как уголовное преступление. При участии в пентесте необходимо действовать этично и соблюдать установленные правила. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши незаконные действия.

Но если в пер­вом email еще мож­но раз­гля­деть бук­ву s со штри­хом вни­зу, то во вто­ром кирил­личес­кую бук­ву визу­аль­но отли­чить от латин­ской невоз­можно.

Вирус через почту Outlook

При наведе­нии кур­сора мыши email виден тот же, с под­дель­ной бук­вой.

Вирус по почте Outlook

Рас­чет зло­умыш­ленни­ка прос­той: он ука­зыва­ет фик­тивные адре­са в копии, пись­ма никуда не доходят, зато жер­тва дума­ет, что началь­ство в кур­се перепис­ки, и с боль­шей долей веро­ятности откро­ет архив с мал­варью внут­ри или перей­дет по фишин­говой ссыл­ке.

«Фей­ковый» email выг­лядит похожим на ори­гиналь­ный домен, потому что Outlook пре­обра­зовал Punycode-ком­бинацию в Unicode.

В дру­гом извес­тном поч­товом кли­енте точ­но такая же исто­рия: email с Punycode не отоб­ража­ется как <gl.buhgalter@xn--topphish-g9c.ru>, а мог бы.

Вирусы электронной почты

Те­перь давайте рас­смот­рим нес­коль­ко при­меров поч­товых служб и их веб‑интерфей­сов. На этот раз взгля­нем не на то, как отоб­ража­ется Unicode в поле отпра­вите­ля, а нас­коль­ко слож­но поль­зовате­лю опре­делить отпра­вите­ля пись­ма в интерфей­се.

Наз­вание ком­паний ука­зывать не буду, но веб‑интерфей­сы с явны­ми проб­лемами опре­деле­ния реаль­ного отпра­вите­ля пись­ма мы рас­смот­рим. На при­мере ниже вы можете уви­деть email в поле «От», но это не адрес отпра­вите­ля — это email, ука­зан­ный вмес­то име­ни отпра­вите­ля.

Вирус через электронную почту

На скрине выше письмо в веб-интерфейсе, где не виден реальный email-адрес отправителя.

То есть имя и email могут выг­лядеть так: info@domain.ru <info@evil.com>, а в поч­товом сер­висе жер­тва видит толь­ко <info@domain.ru>.

В сле­дующем при­мере похожая исто­рия: вмес­то име­ни мы видим email и поль­зователь решит, что пись­мо приш­ло от зна­комо­го отпра­вите­ля.

Вирус через почту Яндекс

Но в этом интерфей­се при нажатии на email хотя бы мож­но уви­деть, кто на самом деле отпра­вил пись­мо, в отли­чие от пре­дыду­щего при­мера. Мож­но же сде­лать так, как в интерфей­сах ниже?

При­мер отоб­ражения име­ни отпра­вите­ля и email в Яндекс Поч­те

На скрине выше при­мер отоб­ражения име­ни отпра­вите­ля и email в Яндекс Поч­те.

Вирус Яндекс Поч­та

 

На скрине выше пример отображения имени отправителя и email в The Bat.

Заключение

Мы рас­смот­рели техники передачи вирусов по электроной почте используя почтовые клиенты и веб-интерфейс. Разуме­ется, сколь­ко сущес­тву­ет прог­рамм и сер­висов, столь­ко в них будет и недоче­тов, тре­бует­ся лишь усер­дие при поис­ке «обхо­да сис­темы». Собс­твен­но, про­фес­сия хакера, в нашем слу­чае этичного, как раз и под­разуме­вает, что смот­ришь на мир нем­ного не так, как все осталь­ные.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий