Электронный журнал "Спамтест" No. 559 В этом номере: Новости Объявление Уважаемые читатели! С сожалением сообщаем вам о том, что мы приняли решение закрыть электронный журнал «Спамтест» и прекратить рассылку. Читать о последних событиях, касающихся спама и фишинга, вы можете на нашем сайте Threatpost, в том числе посредством рассылки или RSS. Заметки спам-аналитиков «Лаборатории Касперского» и ежеквартальные спам-отчеты будут, как и прежде, публиковаться на сайте Securelist. Спасибо, что были с нами все эти годы, Редакция «Спамтест» Новости Cloudmark о спаме по итогам I квартала В минувшем квартале Cloudmark зафиксировала тенденцию к сокращению источников спама: с начала года совокупное количество IP-адресов, рекомендуемых ИБ-компанией к блокировке, уменьшилось на 13%. Непочетный рейтинг стран-лидеров по числу IP, внесенных в черные списки Cloudmark, по-прежнему возглавляют США. Публикуя новую статистику, эксперты не преминули особо отметить успехи борцов со спамом из Румынии и Панамы. С конца 2012 года Cloudmark стабильно блокирует 20-25% адресного пространства Румынии, однако за последний год этот показатель резко пошел на убыль и ныне составляет лишь 6,2%. В настоящее время Румыния занимает лишь пятое место в рейтинге стран по общему числу блокируемых IP – после США, Китая, Германии и России. Аналогичным образом изменилась ситуация со спамом и в Панаме. До начала текущего года Cloudmark регулирно блокировала более 10% панамских IP – в основном, те, что числятся за ведущим хостинг-провайдером, Panamaserver.com. Однако с января эксперты наблюдают лишь очень короткие спам-рассылки, исходящие с территории Панамы, и в настоящее время блокируют лишь 1,5% адресного пространства этой страны. После долгого перерыва в список лидеров по доле блокируемого адресного пространства вернулась Саудовская Аравия (блокировано 6,4% наличных адресов). В этом ухудшении повинен крупнейший интернет-провайдер страны, Saudinet. Cloudmark полагает, что основной причиной здесь являются повышение зараженности сетей и наличие большого количества взломанных аккаунтов – в отличие от Румынии и Панамы, где спамеры предпочитают покупать услуги и практикуют так называемый snowshoe-метод, рассылку вручную с высокой ротацией IP-адресов. Тем не менее, в марте Саудовская Аравия показала тенденцию к улучшению, так что можно ожидать, что ситуация со спамом здесь скоро исправится. Что касается SMS-спама, эксперты на сей раз рассмотрели лишь положение дел в Великобритании, так как в остальных странах особых изменений не произошло. На территории Великобритании в марте наблюдался резкий рост объемов SMS-спама, рекламирующего онлайн-казино. По данным Cloudmark, нелегитимная реклама игорных заведений обычно не особо досаждает британцам; в 2014 году на ее долю пришлось лишь 4% жалоб на SMS-спам, однако в минувшем квартале этот показатель возрос с 5 до 21%. Столь резкий подъем эксперты связывают с запуском новой маркетинговой партнерки по продвижению услуг BGO Entertainment, крупнейшего представителя британского игорного бизнеса (в этой стране он легален). Тем не менее, в тематическом составе британского SMS-спама по-прежнему преобладают предложения краткосрочных займов (34% жалоб) и помощи в получении компенсации за ущерб от несчастного случая (27%). С полнотекстовой версией квартального отчета Cloudmark можно ознакомиться на сайте компании (требуется регистрация). Источник: Cloudmark Зловредный макрос загружается из облака Trend Micro наблюдает новые многотиражные спам-рассылки, нацеленные на распространение банкера Dyre с помощью зловредного макроса Microsoft Office – дроппера Bartalex. Примечательно, что вредоносный документ Word, который используется для доставки Bartalex, на сей раз не вложен в спам-письмо, а закачивается с Dropbox по указанной спамерами ссылке. Эксперты фиксируют тысячи подложных писем, имитирующих извещения от американской клиринговой палаты ACH, факс-сервисов, служб доставки наземной почты, платежных и биллинговых систем. Во всех случаях получателю предлагается ознакомиться с деталями, перейдя по ссылке, внедренной в тело письма. При активации этой ссылки пользователь перенаправляется на страницу Dropbox, сообщающую, что для просмотра документа необходимо включить режим редактирования и разрешить использование макросов. По свидетельству Trend Micro, при оформлении этой страницы злоумышленники использовали старый логотип Microsoft Office 2010. Если посетитель последует их инструкции, он запустит Bartalex, который наградит его банковским троянцем, известным как Dyre и Dyreza. На настоящий момент исследователи насчитали более 1 тыс. вредоносных ссылок, привязанных к Dropbox. Trend Micro уже сообщила операторам популярного облачного сервиса о выявленном злоупотреблении. Эксперты также отметили, что вариант Dyre, распространяемый с помощью текущей спам-кампании, нацелен преимущественно на американские банки, такие как JP Morgan, U.S. Bank, California Bank & Trust, Texas Capital Bank и т.п. Наибольшее количество заражений Bartalex обнаружено в США (35,52% детектов), а также в Канаде и Австралии (11,54 и 11,06% соответственно). Источник: Trend Micro По горячим следам: зловред для Websense В Websense зафиксирована адресная спам-рассылка, нацеленная на засев троянской программы удаленного доступа, замаскированной под продукт «Лаборатории Касперского». Вредоносный спам предназначался служащим ИБ-компании, он появился спустя три дня после анонса о выкупе Websense лидером американской оборонной индустрии Raytheon и о создании нового совместного предприятия. Злоумышленники от имени Raytheon лаконично приветствуют новых сотрудников и предлагают воспользоваться паролем к вложенному файлу. Тема письма повторяет не совсем корректную фразу, приведенную в теле письма: Welcome to join Raytheon («Приветствуем вас присоединиться к Raytheon»). При этом в письме отсутствует приличествующая такому случаю информация о самой сделке, компании-покупателе, соцпакете и т.п., только эта короткая, подозрительно малограмотная фраза. Здесь нет также никаких конкретных имен (отправитель не представился, что было бы вполне ожидаемо), следов форматирования – вообще никаких свидетельств связи рассылки с уважаемым брэндом. При анализе служебные заголовки спам-письма явили истинный источник отправки: в строках Message-ID: и Receved: был указан японский домен. В строке From: отправителем значился @raytheon.com, но проверка на наличие соответствующей SPF-записи тоже обнаружила подлог. Вложенный в спам-письмо запароленный ZIP-архив содержал самораспаковывающийся RAR, в котором был сокрыт зловред в тандеме с инсталлятором «Лаборатории Касперского». По свидетельству Websense, злоумышленники в данном случае используют метод предварительной загрузки DLL, позволяющий обходить антивирусы. Такой же прием с успехом применили взломщики Anthem в начале текущего года. В RAR-архиве были обнаружены три файла: безобидный setup.exe, подписанный сертификатом «Лаборатории Касперского» (уже отозванным), вредоносная динамическая библиотека (msi.dll) и сильно обфусцированный инсталлятор Windows (.msi). Обычно setup.exe использует легитимную msi.dll из набора Windows для установки KAV, поясняют эксперты, но в данном случае ее вредоносный двойник из RAR-архива прописывается в той же директории, которую загружает инсталлятор «Лаборатории Касперского». А порядок в Windows таков, что динамические библиотеки в первую очередь загружаются из текущей рабочей директории; если искомого файла там не оказалось, система продолжает поиск в других каталогах. При активации вредоносная msi.dll запускает на исполнение setup.msi. В итоге на машину жертвы устанавливается RAT-троянец PlugX, который подключается к C&C-серверу, запрашивая японский домен, и поддерживает с ним связь на порту 80 по шифрованному каналу. К счастью, отмечает Websense в заключение, ее сотрудники защищены от таких угроз. Источник: Websense Хакерская атака на SendGrid оказалась серьезной Компания SendGrid, оператор облачной почтовой платформы, признала, что проникновение хакеров в ее сети, о котором широкая общественность узнала три недели назад, оказалось намного более глубоким, чем сообщалось ранее. Согласно новому заявлению провайдера, злоумышленники скомпрометировали учетную запись одного из сотрудников SendGrid и использовали ее для получения доступа к другим системам, в которых хранятся данные клиентских и корпоративных аккаунтов, а также списки электронных адресов, с которыми работают клиенты компании. По данным SendGrid, в настоящее время ее почтовый сервис насчитывает 180 тыс. подписчиков, в том числе таких, как airbnb, Foursquare, Spotify и Uber, и ежемесячно отсылает 14 млрд. писем. Почтовый провайдер рекомендует своим клиентам сменить пароли и активировать двухфакторную аутентификацию. Пользователям также напоминают о стандартных мерах безопасности в отношении паролей: не публиковать идентификаторы в репозиториях исходных кодов, в том числе на Github, и не использовать один и тот же пароль на разных сайтах. Взлом на SendGrid был обнародован 9 апреля; компания тогда заявила, что хакерам удалось скомпрометировать учетную запись одного из клиентов, связанного с платежной системой Bitcoin. Этот доступ злоумышленники использовали для рассылки фишинговых сообщений с целью перекачки криптовалюты на контролируемые ими аккаунты. По словам представителей SendGrid, это был единичный инцидент; одновременно в New York Times появилась заметка, автор которой утверждала, что взлом затронул всю веб-платформу компании. В минувший понедельник глава службы безопасности SendGrid Дэвид Кэмпбелл (David Campbell) заявил, что проведенное совместно с органами правопорядка и экспертами расследование показало компрометацию одного из корпоративных аккаунтов. В феврале и марте атакующие использовали этот доступ, чтобы добраться до внутренних систем компании. По словам Кэмпбелла, в этих системах хранятся данные клиентуры SendGrid: имена пользователей, почтовые адреса, хэшированные и посоленные пароли. Хакерам также удалось получить доступ к базам со списками клиентских адресатов и их контактной информацией. «Кражу клиентских списков и контактов экспертиза не подтвердила, однако мы на всякий случай решили произвести сброс паролей во всей системе, – отметил главный безопасник SendGrid, уточнив, что платежные данные в ней не хранятся и никакая финансовая информация клиентов не пострадала. – Обнаружив взлом, мы сразу заблокировали несанкционированный доступ и приняли дополнительные меры в обеспечение безопасности клиентов, сотрудников и самой платформы». Кэмпбелл также заявил, что для клиентов, использующих DKIM, – а таких у SendGrid около 600, будут сгенерированы новые ключи с внесением соответствующих изменений в DNS-записи. «Мы сознаем, что доставка почты является важным элементом деловых операций наших клиентов, и приносим им глубочайшие извинения за причиненные неудобства, – сказал в заключение представитель пострадавшей компании. – Безопасность является приоритетной задачей для SendGrid, и мы продолжим трудиться и зарабатывать ваше доверие, прилагая все усилия для повышения надежности нашего сервиса». Источник: SendGrid Нигерийские спамеры схвачены в Европе Авторы рассылок в жанре «нигерийский спам» арестованы Европолом, сообщается на официальном сайте европейских правоохранителей. Речь идет о 10 членах транснациональной преступной группы, основную часть из которых составляли граждане Нигерии. В операции принимали участие свыше 13 сотрудников итальянской финансовой полиции, а также эксперты из разведывательной службы Европола, специализирующейся на финансовых преступлениях, и агенты американского ФБР. В общей сложности было произведено 10 арестов и 32 обыска. Арестованные подозреваются в онлайн-мошенничестве на сумму свыше 2,5 млн евро. По данным следствия, жертвами киберпреступников стали сотни частных лиц и десятки компаний в Европе и за ее пределами. Как заявляют представители Европола, правоохранительные органы проанализировали тысячи финансовых операций, чтобы выявить все денежные потоки, которые направлялись злоумышленникам. Преступная группа опиралась на сеть пособников, которые помогали обналичивать нажитые незаконным образом средства. Электронные переводы становились «живыми» деньгами зачастую за тысячи километров от того места, где жертва производила отправление. Выявить получателей удалось только благодаря скоординированным действиям разных стран, добавляют в Европоле. К слову, недавно эксперты по безопасности отметили, что «нигерийские спамеры» стали куда более агрессивны в своих атаках. Раньше они отправляли письма с просьбой о помощи в банковских операциях, связанных с переводом денег, якобы облагаемых большим налогом, или сообщали о недавней смерти очень богатого человека «с такой же фамилией», как у получателя письма, с предложением содействовать в получении денег с банковского счета этого человека. Однако теперь и они начали добавлять в свои письма ссылки на вредоносный контент. По подсчетам исследователей, в 2014 году примерно одно из шести посланий спамеров (свыше 15% от общего количества спам-сообщений) стремилось заразить вирусом компьютеры пользователей. Источник: Threatpost Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013