Nesta campanha, algumas das URLs levam a nomes de domínio que estão em cirílico. Estes domínios foram traduzidos para o alfabeto Inglês através de punycode. Para quem não sabe, Punycode é uma maneira de converter caracteres Unicode em um conjunto de caracteres menores; os URLs em punycode precisam ser decodificados, primeiramente, a fim de ver o seu formato original.
O uso de nomes de domínios internacionais (IDNs), pode representar adicionais riscos de segurança para os usuários, e esses usuários podem ser redirecionados para uma página de phishing, que parece ter a mesma URL de um site legítimo. Além disso, os IDNs também permitem que spammers possam criar mais domínios de spam, não se limitando a caracteres no idioma Inglês. Isso pode tornar mais difícil, o bloqueio de sites maliciosos.
Esta técnica não é nova, mas o uso do Punycode em uma campanha de e-mail desencadeada pelo BHEK não é comum. Os usuários que clicam nos links são redirecionados para vários locais, até que eles são levados para o local de hospedagem de um malware (detectado como TROJ_PIDIEF.SMXY ), que explora uma falha no Adobe Reader e Acrobat ( CVE-2009-0924 ) para baixar e executar outros tipos de malware no sistema que está vulnerável.
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...sing-punycode/