Ponemos a prueba RopeMAKER, correos que cambian su contenido una vez llegan a la bandeja de entrada

lunes, 4 de diciembre de 2017

¿Qué ocurriría si un correo electrónico tuviese la capacidad de cambiar el contenido de forma dinámica una vez que ya hubiese sido entregado? Esto sería un verdadero desafío para los sistemas anti-spam, habitualmente situados a nivel de MTA y que procesan los correos antes de llegar a la bandeja de entrada. También para los sistemas que se basan en reputación del remitente, análisis de adjuntos o de los enlaces contenidos en el correo. ¿Cómo podría un atacante eludir estos obstáculos que, aunque no garanticen en éxito del ataque, sí que permitirían eludir buena parte de los obstáculos a los que se puede enfrentar? Vamos a probar esta técnica con dos clientes de correo muy comunes: Apple Mail y Outlook.

Buena parte de ataques a compañías y usuarios particulares comienza con un correo electrónico que aloja algún tipo de contenido fraudulento. Bien sea un fichero que alberga malware, o bien sea un enlace a un sitio web comprometido que sirve como primer punto de descarga del contenido malicioso.

RopeMAKER es un tipo de ataque de correo electrónico, descubierto por Francisco Ribeiro de la compañía de seguridad Mimecast, que permite cambiar el contenido de un correo electrónico una vez entregado. Aunque no parece que la publicación de los detalles de la técnica haya tenido gran difusión mediática, nos ha parecido interesante. Este ataque podría ser utilizado en campañas de distribución de malware o phishing para engañar al usuario y a buena parte de los filtros anti-spam tradicionales.

Anuncio de RopeMAKER en Twitter


El TAGS (Telefónica Advanced Global SOC) de Telefónica ha querido verificar la efectividad real de este tipo de ataque con productos como Microsoft Outlook o Apple Mail, puesto que en la descripción del ataque se mencionan sin detallar especificaciones sobre cada una de las versiones.
Tipos de ataque

La publicación sobre ROPEMAKER indica dos tipos de ataque posibles. Ambos serían controlados por un fichero CSS que se alojaría en un servidor controlado por el atacante y serviría para cambiar el contenido del correo electrónico mostrado al usuario de forma dinámica:

  • Switch Exploit: Los enlaces y el texto malicioso van contenidos dentro del correo en una sola pieza, por lo que es fácilmente detectable por soluciones anti-spam.
La URL en el recuadro rojo mostraría un enlace malicioso, pero al usuario se le presentaría en primer lugar la URL mostrada en el recuadro verde (benigna)

Este sería el código CSS que, en el recuadro verde mostraría la URL
benigna y al cambiar al recuadro rojo, mostraría la URL maliciosa

  • Matrix Exploit: El texto no se encuentra referenciado directamente en el correo, por lo que es más difícil que los sistemas de seguridad detecten este tipo de ataque.
El códigoen el recuadro rojo permitiría mostrar el contenido malicioso


Este código CSS indica el carácter que se debe mostrar por cada identificador incluido en el correo malicioso (http://example.com/s) en este caso
Aunque el tipo de ataque Switch Exploit no supone un reto para los filtros de seguridad aplicados por las compañías, la variante Matrix Exploit ha demostrado ser efectiva en algunos de los clientes de correo más comunes entre las compañías como: Microsoft Outlook 2010 o Microsoft Outlook 2013.

Es importante remarcar que el correo electrónico cambiará el contenido de una URL tipo http://example.com/benign a http://example.com/malign simplemente con un cambio del fichero CSS manejado por el atacante. De forma que el atacante podría variar fácilmente los portales de phishing o distribución de malware según vayan siendo intervenidos.

Veamos algunas particularidades del ataque en cada cliente de correo electrónico.

RopeMAKER en Microsoft Outlook 2010
La configuración por defecto de Outlook 2010 ha demostrado ser vulnerable a este tipo de ataque. Muestra la URL maliciosa sin necesidad de aprobar la descarga externa de contenido.

RopeMAKER  mostrándose efectivo con la configuración por defecto de Outlook 2010

RopeMaker en Microsoft Outlook 2013
Esta versión de Outlook ha bloqueado en un primer momento el ataque y muestra un contenido sin sentido para el usuario, que impide que se vea afectado en un principio.

RopeMAKER bloqueado con la configuración por defecto de Outlook 2013


Sin embargo, si el usuario desea mostrar el mensaje, (lo cual es probable si el remitente parece fiable), podría permitir la descarga de contenido externo pulsando sobre el siguiente mensaje.

Mensaje advirtiendo el peligro de descargar contenido externo


Si el usuario finalmente permite la descarga de contenido, se culminará el ataque y se mostrará el mensaje malicioso.
Finalmente, mismo efecto que con Outlook 2010 si el usuario acepta mostrar el contenido externo

RopeMAKER con Apple Mail
Utilizando la configuración por defecto de Apple Mail en Mac OSX, se descarga el contenido automáticamente aunque no es capaz de procesar todas las instrucciones de la hoja de estilos CSS que mostrarían el sitio web fraudulento.

RopeMAKER bloqueado en Apple Mail de Mac OSX

En todo caso, es importante detallar que la URL remitida podría tener formato de enlace pero no contendría el link, por lo que el usuario tendría que copiar y pegar el contenido de la URL en un navegador para acceder a la página web. Esto reduce la posibilidad de éxito del ataque, pero no evita la posibilidad de que se utilice ingeniería social para que el usuario termine accediendo al sitio web fraudulento.

¿Existe alguna solución?
Aunque actualmente no se han conocido casos de ejecución de campañas utilizando RopeMAKER y parece una técnica con mayor probabilidad de éxito en casos de spear phishing, es una modalidad interesante que debería ser tenida en cuenta tanto por especialistas en ciberseguridad como por usuarios finales. Al fin y al cabo, si un atacantepudiera cambiar el contenido de un correo electrónico ya enviado de forma dinámica, ¿por qué no añadir esta técnica a su campaña de distribución de malware para intentar maximizar sus opciones de éxito?

La variante Matrix Exploit de ROPEMAKER es difícil de evitar y prevenir. Bloquear por defecto la carga de contenido externo minimiza el riesgo de ser engañado mediante un ataque de este tipo, aunque es una medida que ya se suele emplear con un éxito que no siempre es el deseado. Otra solución obvia es aplicar de forma ágil indicadores de compromiso generados por el servicio de ciberseguridad de la compañía o firmas de anti-virus con las que colabore la empresa es crucial para minimizar el riesgo de que los usuarios finales de la compañía accedan a páginas web conocidas por albergar malware o phishing.


Mario de Benito Aspas 
Samuel Dugo Flores
Telefónica Advanced Global SOC

No hay comentarios:

Publicar un comentario