Un grupo de investigadores de la Universidad Ben-Gurion ha publicado un nuevo método para detectar correos electrónicos maliciosos que, según dicen, supera a los 60 programas antivirus más vendidos.
La mayoría de los motores antivirus examinan partes específicas del correo electrónico, como los archivos adjuntos, buscando códigos maliciosos que podrían interrumpir el equipo de un usuario si se ejecutaran. Es como revisar el equipaje de mano de alguien en busca de contrabando. Mientras que ese es el lugar más lógico para que un guardia fronterizo busque, no es el único lugar donde un contrabandista podría esconder algo. El software antivirus actual no detecta las áreas clave del correo electrónico que tienen más probabilidades de contener códigos incorrectos.
«Las soluciones de análisis del correo electrónico existentes sólo analizan elementos específicos del correo electrónico mediante métodos basados en reglas y no analizan otras partes importantes», dijo en un comunicado de prensa Nir Nissim, director del Laboratorio de Malware de la Familia David y Janet Polak de Cyber@BGU. Por ejemplo, el número y el tamaño de los archivos adjuntos es una muestra típica de un correo electrónico sospechoso, al igual que el número de destinatarios, ya que la mayoría de los atacantes de correo electrónico buscan el mayor número de víctimas potenciales. Pero esos no son los únicos indicadores.
Liderados por Aviad Cohen, un estudiante de doctorado e investigador del BGU Malware Lab, los investigadores tomaron 33.142 correos electrónicos, de los cuales aproximadamente un tercio eran maliciosos, y aplicaron varias metodologías de aprendizaje por máquina para encontrar indicadores comunes de correo electrónico defectuoso, que los populares paquetes de software de detección de virus como Kaspersky, McAfee y BitDefender pasaron por alto. Apodaron a la herramienta resultante Email-Sec-360°.
«Los resultados muestran que los correos electrónicos maliciosos pueden detectarse eficazmente, si se usan nuestras nuevas funciones con algoritmos de aprendizaje automático. Además, nuestras novedosas características mejoran la detección de correos electrónicos maliciosos cuando se utilizan junto con características sugeridas por trabajos relacionados», escriben los investigadores en su artículo.
Por ejemplo, algunas etiquetas HTML en el cuerpo de un correo electrónico, como «<iframe>», una etiqueta que abre una ventana en otra página web pero sin enlazar con ella, es uno que la mayoría de los filtros ignoran. Otro indicador que se pasa por alto son los enlaces en los que el texto de la URL es diferente del enlace al que va, así como los archivos adjuntos en los que el tipo de extensión, como.PDF o.XLSX, no coincide con el tipo de archivo real.
Identifican unas 100 características principales que podrían permitir a los algoritmos de aprendizaje automático detectar el malware mucho mejor. Son el tipo de cosas que no sabrías buscar si no puedes analizar una tonelada de correos electrónicos maliciosos en busca de alguna característica común, una característica que va más allá del código malicioso en sí mismo.
«En el trabajo futuro, ampliaremos nuestra investigación e integraremos el análisis de archivos adjuntos como PDFs y documentos de Microsoft Office dentro de Email-Sec-360°, ya que a menudo son utilizados por los hackers para conseguir que los usuarios abran y propaguen virus y malware», dijo Nassim.
Fte. Defense One
