Cybercriminosos desenvolveram uma nova técnica para contrabandear malware através de defesas de gateways de email seguros, conforme descoberto por pesquisadores que identificaram uma campanha recente de roubo de informações. Em um relatório divulgado na quarta-feira, foi comprovado que é possível subverter as funções de varredura estática do appliance Cisco IronPort, embora a técnica provavelmente tenha sucesso em gateways de email seguros de diversos fabricantes. A técnica, embora não sofisticada conceitualmente, depende de ocultar a verdadeira extensão do arquivo malicioso do scanner, exibindo uma extensão de arquivo de engano.

Hackers colocaram o arquivo malicioso em um arquivo comprimido. Devido à forma como os gateways de email seguros analisam o conteúdo de um arquivo arquivado, eles puderam rotulá-lo de forma enganosa como um arquivo mpeg. Os hackers colocaram a verdadeira extensão .html no rodapé do arquivo, mas o IronPort não detectou a discrepância entre o cabeçalho e o rodapé. Alguns aplicativos de descompactação usados pelos pesquisadores para analisar o arquivo malicioso conseguiram sinalizar a discrepância, mas ironicamente, aplicativos de desktop que trataram o arquivo malicioso corretamente como um arquivo HTML em vez de um arquivo mpeg também permitiram que o código malicioso fosse executado.

A varredura dinâmica de anexos de email por gateways seria a solução ideal, disseram os pesquisadores, mas as limitações de poder de processamento tornam essa solução muito cara.