Ropemaker permite a atacantes cambiar el contenido de un correo recibido
Un nuevo exploit de correo electrónico, denominado Ropemaker, permite a un usuario malicioso editar el contenido de un correo electrónico, una vez que se ha entregado al destinatario y ha pasado a través de los filtros necesarios.
Por ejemplo, un atacante puede cambiar una URL benigna por una URL malintencionada en un correo electrónico recibido en una bandeja de entrada, o editar cualquier texto en el cuerpo de un correo electrónico siempre que lo desee, todo ello sin acceso directo a esa bandeja de entrada.
Descubierto por primera vez por el equipo de investigación de Mimecast, una explotación exitosa podría afectar incluso a aquellos que utilizan SMIME o PGP para firmar sus correos.
"El origen de Ropemaker radica en la utilización de las tecnologías de correo electrónico y Web, más específicamente hojas de estilo en cascada (CSS, por sus siglas en inglés) usadas en HTML", explicó Matthew Gardiner, portavoz de Mimecast, en un blog. "Aunque el uso de las tecnologías web ha hecho que el correo electrónico sea más atractivo visualmente y dinámico en relación con su predecesor basado en texto, también ha generado un vector de ataque explotable para correo electrónico".
"Ropemaker podría ser aprovechado en formas que solo están limitadas por la creatividad de los atacantes, que la experiencia nos dice, a menudo es ilimitada", añadió.
Brian Robison, director de tecnología de seguridad de Cylance, dijo que hay aspectos de la amenaza que no son necesariamente nuevos, pero que aun así deben permanecer en el radar de cualquier organización.
"Esta advertencia simplemente destaca el hecho de que, si usted recibe un correo electrónico con una URL, un atacante podría cambiar el destino real de esa URL por algo no esperado", explicó vía correo electrónico. Las aplicaciones modernas de correo despliegan HTML como si se tratara de una página web utilizando CSS para hacer que el correo electrónico se vea bien. Actualmente, una práctica común dentro de cada organización legítima de mercadotecnia en el mundo.
"Los correos electrónicos de phishing han estado aprovechando esto durante algún tiempo, incluyendo usar enlaces a la fuente original para que parezca más legítimo. Por ejemplo, usted recibe un correo electrónico de su banco. El correo electrónico extrae los encabezados y logotipos directamente del sitio web del banco, posteriormente el botón es enlazado a un sitio distinto como bancomalo punto com, o lo engañan para hacer clic en ese enlace y exponer sus credenciales en el sitio bancario falso ", añadió.
La técnica funcionará en la mayoría de los clientes de correo electrónico populares y servicios de correo electrónico en línea. Afortunadamente, Mimecast todavía tiene que esperar para ver a Ropemaker explotado activamente.