Załącznik od „Elona Muska”, czyli jak ominąć filtry antyspamowe poczty Gmail

Gmail to bezpłatny serwis webmail stworzony i rozwijany przez przedsiębiorstwo Google. W październiku 2018 r. miał 1,5 mld użytkowników na całym świecie. Firma dba o bezpieczeństwo korespondencji swoich klientów, stosując własne mechanizmy wykrywania phishingu, złośliwych załączników i spamu. Żadne zabezpieczenia nie są jednak idealne. My przyjrzymy się dwóm podejrzanym e-mailom, które ominęły filtry Gmaila:

Już na pierwszy rzut oka może się wydawać, że powyższe wiadomości wyglądają podejrzanie, co można wywnioskować po bezsensownym temacie e-maila, braku treści wiadomości czy budzącym wątpliwość załączniku .xhtml. Mimo to korespondencja trafiła do kategorii „Odebrane”, co oznacza, że według Gmaila wiadomości te są bezpieczne. Tak zaś wygląda zawartość jednego z załączników:

XHTML to język służący do tworzenia stron WWW ogólnego przeznaczenia. W odróżnieniu od HTML dokumenty pisane w języku XHTML są zgodne z oficjalną specyfikacją XML (to znaczy, że dokumenty w XHTML są poprawnymi dokumentami XML) i dzięki temu można je łatwo generować z innych dokumentów XML za pomocą np. transformacji XSLT, a także automatycznie przekształcać w inne formy XML.

W omawianej sytuacji mamy do czynienia z prostą sztuczką, która działa również w przypadku standardowych plików .html. Mowa tu o wykorzystaniu funkcji Window atob oraz zdarzenia onerror. W momencie otworzenia przez nas pliku .xhtml otwieramy de facto stronę, która próbuje wyświetlić nam obraz o nazwie “bwFI41765760.png”. Ponieważ takowy plik nie został dołączony wraz z plikiem .xhtml, wykonane zostanie zdarzenie onerror, które przekieruje nas do wybranej przez atakującego strony. Docelowy adres URL nie jest jednak podany bezpośrednio, a w formie zaciemnionej, poprzez wykorzystanie kodowania Base64:

Spróbujmy więc „odszyfrować” zaciemniony adres URL:

Bingo! Teraz już wiemy, że głównym zadaniem pliku .xhtml dołączonego w podejrzanych wiadomościach e-mail jest przekierowanie nas na stronę kontrolowaną przez atakującego, która w momencie pisania artykułu została już najprawdopodobniej „zdjęta”:

Gdy strona domen0001.info działała, przekierowywała ona ofiarę do innych złośliwych witryn promujących oszustwo, takich jak np. https://btc[.]bitmininges.site/:

Choć kampania nie należy do najlepiej przygotowanych (niewiarygodna treść e-maili), to fakt, że cyberprzestępcom udało się ominąć zaawansowane filtry i mechanizmy antyspamowe Gmaila w tak prosty sposób, jest dosyć alarmujący.

~ Jakub Bielaszewski