Hoy nos hacemos eco de un nuevo ataque a los correos electrónicos. Se ha denominado ROPEMAKER y permite a un atacante cambiar el contenido de los mensajes recibidos por los destinatarios a través de archivos CSS remotos. Su nombre viene de las iniciales de Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky, que significa que los mensajes han sido manipulados de forma remota una vez han llegado a su destino.
ROPEMAKER
Un atacante envía un correo electrónico en formato HTML a una víctima pero en lugar utilizar código CSS incorporado en el código, usa un archivo CSS cargado desde su servidor. El objetivo es escribir y enviar un correo electrónico inicialmente benigno, que el atacante modifica posteriormente modificando el contenido del archivo CSS alojado en su servidor.
El correo electrónico benigno inicial pasa los escáneres de seguridad locales instalados en la red del destino, pero no se detectan los cambios en el contenido del correo electrónico cuando ocurren.
Esto se debe a que los sistemas de seguridad de correo electrónico no vuelven a escanear los mensajes enviados a las bandejas de entrada de los usuarios, sino sólo a los correos electrónicos entrantes en el momento de su entrega.
Dos tipos
Francisco Ribeiro, investigador de seguridad de Mimecast y el que ha descubierto este ataque, dice que identificó dos métodos para llevar a cabo una acción de ROPEMAKER.
El primer método se denomina ROPEMAKER Switch Exploit y depende de los atacantes que cambian la función «display» de CSS de varios elementos. Por ejemplo, un atacante podría enviar un correo electrónico con dos enlaces, uno bueno y otro malo, y mostrar sólo el bueno. Después de la entrega del correo electrónico, el atacante puede modificar el archivo CSS remoto y habilitar el enlace malicioso mientras oculta el bueno.
La segunda técnica se llama ROPEMAKER Matrix Exploit y se basa en incrustar matrices de todos los caracteres ASCII para cada letra dentro del correo electrónico. Utilizando reglas de visualización CSS, el atacante puede activar la visibilidad de cada letra, una por una, y volver a crear el texto que desea que aparezca en el correo electrónico en cualquier momento que desee.
Ambos ataques son invisibles para los escáneres de correo electrónico, pero el exploit de Matrix produce mensajes de correo electrónico muy grandes, ya que los atacantes necesitarán incorporar una matriz alfanumérica para cada letra de su mensaje, algo que los productos de seguridad de correo electrónico podrían configurarse para encontrarlo.
No hay que temer
En cualquier caso y según explican desde Mimecast, los usuarios no deben de temer por este tipo de ataques. Se trata de algo inusual y que además puede ser fácilmente filtrado. Es posible bloquear la carga de recursos CSS remotos.
Como siempre indicamos, lo mejor es mantener nuestro equipo actualizado y con software adecuado que nos permita hacer frente a posibles amenazas. Mantener nuestra privacidad y seguridad es importante para que nuestros dispositivos funcionen correctamente y no tengamos problemas a la hora de trabajar con ellos.