Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 26 de agosto de 2007

HAZ RECIBIDO UN NUEVO SPAM!!!

Muy bien sabemos que el correo electrónico es el canal preferido por los spammers (personas que se encargan de enviar correos electrónicos no deseados) para la difusión y distribución de SPAM; y, dentro de sus prácticas, una de las tareas más dinámicas que tienen estos personajes es el hecho de pensar constantemente en nuevas metodologías y estrategias para lograr que sus mensajes lleguen a nuestra bandeja de entrada y así captar la atención del usuario.

Evidentemente esta problemática tiene que ver también con una cuestión de oferta y demanda, es decir, alguien lo vende porque alguien lo compra y se utiliza este canal (e-mail) porque la relación costo/tiempo es mínima.

En la búsqueda de estas nuevas formas, los spammers lograron encontrar algunas que escapan de lo convencional, o por lo menos a lo que estábamos acostumbrados a recibir, ahora nos encontramos con SPAM en archivos comprimidos, en archivos .PDF, en archivos .XLS (MS Excel), etc.

Es así que en los últimos días comenzamos a recibir en nuestra casilla de correo una nueva variante de SPAM conteniendo archivos con extensión .FDF (formato de datos de formulario - Form Data Format) utilizado para el manejo de formularios en Archivos .PDF.

SPAM con archivo .FDF

Ante este escenario y mediante un simple análisis comparativo entre un archivo .pdf y el .fdf, sale a la luz que el archivo con extensión .fdf es en realidad un archivo .pdf. ¿y cómo es esto? Bueno, para nada complicado.

Todos los archivos poseen un encabezado que los identifica, por ejemplo, un archivo .exe posee un encabezado llamado “MZ”; los archivos .pdf poseen un encabezado %PDF-1.5 y los archivos .fdf se identifican con %FDF-1.2.

Al ver el encabezado del archivo .fdf podemos visualizar que es %PDF-1.5 con lo cual nos indica que en realidad se trata de un archivo .pdf renombrado.

Encabezado .PDF

Algunos ejemplos más sobre esta situación podemos encontrar en “SPAM en archivos comprimidos”, “Alguem Te Mandou Um cartão Virtual”, “SPAM, ahora en los PDF” y otros tantos que podremos encontrar navegando este blog. Y, obviamente sin contar aquellos que ya son todo un clásico como los de imitaciones de rolex, casinos online y sobre todo el más representativo: la mágica pastillita del placer sexual.

Fuente: http://blogs.eset-la.com/laboratorio

Ver más