Электронный журнал "Спамтест" No. 454 в этом номере: Новости Записки спам-аналитиков Новости Blackhole-спам атакует с новой силой В январе эксперты зафиксировали новый всплеск спам-рассылок, призванных повысить посещаемость эксплойт-площадок Blackhole. Такие вредоносные письма обычно маскируются под уведомления от легальных организаций или популярных веб-служб и содержат ссылку на взломанный сайт, перенаправляющий посетителя на целевой ресурс с эксплойтами. Согласно статистике Trend Micro, к концу минувшего года потоки Blackhole-спама возросли, а затем спамеры сделали недельный перерыв – видимо, и у них бывают новогодние каникулы. С 8 января эксперты наблюдают возврат этих спам-рассылок, использующих элементы социальной инженерии для достижения заветной цели. В минувшем месяце обнаружены зловредные письма, распространяемые в рамках Blackhole-кампании и имитирующие уведомления от Hewlett-Packard, банка Федерального резерва США, некоммерческой организации Better Business Bureau (BBB). В конце января спам-фильтры Webroot и Panda Security зафиксировали еще одну тему, тоже не новую, – запрос на подтверждение блокировки аккаунта Facebook. По свидетельству Webroot, фальшивое сообщение, ориентированное на участников социальной сети, составлено с большим профессионализмом и тиражируется десятками тысяч экземпляров в сутки. В целом, по оценке Trend Micro, Blackhole-рассылки участились, но стали менее масштабными. Эксперты полагают, что спамеры стараются таким образом вывести данный вектор атак из-под прицела, сохранив совокупный объем спам-потока. С этой же целью, очевидно, они стали дифференцировать эксплойт-загрузки в рамках одной спам-рассылки: отмечены случаи, когда при активации спамерской ссылки через Chrome загрузка вредоносных файлов производилась, а через IE или Firefox – нет. Сам набор эксплойтов Blackhole, согласно наблюдениям экспертов, с сентября претерпел ряд изменений. Версия 1.х уже нигде не используется, за несколько месяцев злоумышленники провели полный апгрейд до версии 2,0. Исчезли и прежние URL из 8 знаков в произвольном сочетании, облегчавшие выявление и мониторинг веб-сайтов, связанных со спам-рассылками. Новые уязвимости добавляются в набор очень быстро, в течение нескольких дней с момента публикации. Последнее время Blackhole используется для распространения банковских троянцев, в частности, ZeuS; червя Cridex и троянских блокировщиков (Reveton). Источник: Trend Micro Источник: Webroot APWG: фишеры ставят на зловредов Согласно статистике Антифишинговой рабочей группы (APWG), в III квартале минувшего года, как и в предыдущем, число традиционных фишинговых атак продолжило снижаться – в основном, за счет сокращения количества атак на финансовый сектор и сервисы розничной торговли. В сентябре эксперты обнаружили 46,9 тыс. поддельных сайтов – на 26% меньше, чем в апреле. Число уникальных фишинговых рассылок с мая снизилось на 35% – до 21,7 тыс. в сентябре. Тем не менее, за год активность фишеров увеличились – по оценке MarkMonitor, одного из соавторов отчета, на 45%. Современные фишеры стали чаще обращаться к помощи вредоносных программ. Каждый день появляются сотни новых сайтов, вовлеченных в drive-by атаки, и привязанные к ним URL распространяются по почтовым каналам тиражом в сотни, тысячи и миллионы экземпляров. При этом эксперты отмечают, что применение зловредного арсенала вряд ли сведет на нет обычный фишинг: расходы на проведение соответствующих рассылок и создание страниц-имитаций ничтожны, а drive-by атаки требуют более солидной подготовки и капиталовложений. В III квартале APWG обнаружила около 148,4 тыс. URL, используемых в фишерских атаках, – на 15% меньше, чем в предыдущий отчетный период. Около половины из них включали имя атакуемой организации. Количество брэндов-мишеней в июле составило 428, к октябрю этот месячный показатель снизился. При этом фишеры явно отдавали предпочтение крупным целям, – в основном, банковским и платежным сервисам, на долю которых в III квартале пришлось 34,4 и 32,1% атак соответственно. Вдвое возросло число фишинговых атак на онлайн-аукционы – до 4,6%. Доля предприятий розничной торговли составила лишь 7,8%, поставщиков интернет-услуг – 7,3%, соцсетей – 2,9%. Большинство фишинговых сайтов размещались на взломанных веб-серверах. Около половины ловушек, по данным Internet Identity – еще одного соавтора отчета, – были привязаны к TLD-зоне .com. 73% сентябрьских подделок были обнаружены на территории США. Остальные позиции в сентябрьском Тор 10 по этому показателю распределились следующим образом: 2 место – Великобритания (3,69%), 3-е – Казахстан (3,69%), за ним в убывающем порядке следуют Голландия (1,93%), Германия (1,58%), Россия (1,39%), Канада, Франция (1,08%), Гонконг и Украина. При этом Россия и Франция, занявшие в июле 2 и 6 места, за квартал улучшили свои показатели в разы. Вредоносные программы, отслеживаемые APWG, занимаются мониторингом пользовательской активности, сбором и кражей регистрационных данных с пользовательских компьютеров. Как правило, фишеров интересуют ключи к онлайн-счетам, коммерческим сервисам и бесплатной почте. За июль-сентябрь эксперты зарегистрировали свыше 6 млн. новых зловредов, большинство которых составили троянцы. По данным Panda Security, эти вредоносные программы ответственны за 78% локальных инфекций с фишинговым функционалом. Наибольшая плотность зараженных ПК зафиксирована в Китае (свыше 53% компьютерного парка), Южной Корее (около 53%) и в Турции (42,5%) при среднестатистическом показателе 30,68%. В десятку с самыми низкими результатами вошли 8 европейских стран, включая Швейцарию (22,46%) и Германию (23,57%). Включенную в квартальный отчет APWG статистику по распределению по странам вредоносных хостингов (по IP-адресам), которые использовались для распространения кейлоггеров или даунлоадеров, загружавших кейлоггеры, представила компания Websense. Наиболее опасными в этом отношении по-прежнему являются американские ресурсы, на долю которых в июле-сентябре пришлось свыше половины таких хостингов. Полный текст отчета APWG за III квартал 2012 г. можно скачать в соответствующем разделе сайта этой организации. Источник: Business Wire Новый антиспам-сервис пользуется у новозеландцев успехом За полгода работы новозеландской бесплатной службы 7726, ускорившей процедуру подачи жалоб на SMS-спам, количество таких заявлений по стране увеличилось почти в 5 раз. Ранее новозеландцы сигнализировали о текстовом спаме в 2 приема: сначала пересылали непрошеную SMS на выделенный номер, а затем через интернет заходили на сайт министерства внутренних дел, чтобы сообщить дополнительные данные. Многие абоненты находили такую процедуру слишком хлопотной, количество жалоб на SMS-спам составляло лишь 1-2 в неделю. Отныне заявителю, переславшему полученное спам-сообщение на номер 7726, приходит ответ со ссылкой на специализированный сайт для мобильных устройств https://7726.govt.nz, где можно оставить сопутствующую информацию. Министерство внутренних дел Новой Зеландии запустило этот веб-сайт в минувшем июне. Его разработкой занималась местная компания Run The Red, сотрудничающая со многими телеоператорами. Разработчик также выделил защищенный SMS-канал для новой службы и предоставил свою CRM-платформу для обработки входящих жалоб. В настоящее время количество жалоб на текстовый мусор в Новой Зеландии составляет 1-2 в сутки. По словам операторов нового сервиса, большинство сообщений, пересылаемых на номер 7726, – настоящий спам. Спецслужбы министерства внутренних дел способны быстро пресечь противозаконные рассылки, однако большое количество спамовых SMS-сообщений приходит в страну из-за рубежа, что затрудняет поиск и блокировку источников. Рассылка нелегитимных сообщений по SMS каналам, равно как по электронной почте и IM, запрещена в Новой Зеландии с 2007 года. К сожалению, местный закон о спаме не распространяется на телефонию, VoIP-сервис и факсимильную связь, и блюстители правопорядка сетуют, что пока ничего не могут поделать с таким злом, как ковровый автообзвон. Источник: stuff.co.nz Источник: cellular-news Не верьте троянцам, отвергающим вашу кредитку Webroot предупреждает о масштабной рассылке поддельных сообщений от имени Booking.com, снабженных ссылкой на вредоносный файл. Эти спам-письма рассылаются тысячами и извещают клиента гостиничного сервиса о том, что оплата брони в отеле его кредиткой не принята. Спамеры указывают при этом некий номер – якобы заказа, перечисляют причины, по которым транзакция могла быть отвергнута, и от имени Booking.com подтверждают готовность сохранить бронь за данным клиентом. Получателю спам-письма предлагается обновить кредитку в течение 1,5 суток, а также активировать кнопку-ссылку, чтобы распечатать, заполнить и отослать в отель бланк заказа на бронирование. Webroot зафиксировала 7 URL, привязанных к разным TLD-доменам, по которым при нажатии этой кнопки загружается вредоносная программа. Две трети антивирусов из списка VirusTotal детектируют ее как вариант троянского даунлоудера Kuluoz. После запуска зловред пытается подключиться к командному серверу перебором IP адресов. По свидетельству экспертов, эти IP и ранее были связаны с вредоносной деятельностью. Источник: Webroot В каждой шутке есть ложка дегтя По свидетельству Sophos, на Facebook запущено цепочечное письмо, которое утверждает, что этот социальный сервис якобы будет закрыт на профилактику в последних числах февраля – с 29 по 31. Это спамовое сообщение-шутка распространяется, в основном, на французском языке, но встречаются и англоязычные варианты. Как и большинство цепочечных писем, оно вполне безобидно: никаких мошеннических уловок или, тем паче, вредоносных ссылок. Эксперты отмечают, что многие получатели исправно следуют инструкциям спамеров и пересылают «предупреждение» друзьям, не задумываясь о том, есть ли такие числа в текущем месяце. Некоторые, оценив хорошую шутку, голосуют кнопкой Like. Цепочечные письма довольно часто – и очень быстро – распространяются в социальных сетях, и злоумышленники вполне могут их использовать для сбора данных перспективных мишеней. Эксперты предупреждают: те, кто бездумно соглашается переслать спам-письмо дальше по цепочке, обычно так же легко попадаются на удочку мошенников или распространителей вредоносных ссылок. Источник: Sophos Записки спам-аналитиков Особенности праздничного спама Дарья Гудкова С началом февраля мы замечаем все больше рассылок, посвященных Дню всех влюбленных. Практически во всех таких рассылках пользователям предлагают купить цветы. Рассылки, рекламирующие цветы ко Дню святого Валентина, - это такая же классика спама, как, к примеру, реклама медикаментов для повышения потенции. «Цветочные» рассылки с одинаковыми шаблонами письма и даже одинаковыми ценами рассылаются ежегодно. Как и спам-реклама виагры, «цветочный» спам является частью партнерской программы: спамер получает деньги не за количество разосланных писем, как при прямом заказе, а за каждого пользователя, который купит букет, пройдя по распространенной в спаме ссылке. Однако между партнерками, распространяющими виагру, и «цветочными» партнерскими программами есть одно важное отличие. Если виагра рекламируется вне зависимости от сезона и календарных праздников, то спам-реклама цветов «привязана» к предпраздничным периодам. И канун Дня всех влюбленных является для «цветочных» партнерок, пожалуй, самой горячей порой. Хотя День святого Валентина и набирает популярность в России, в нашей стране он все же не так популярен, как на Западе. Это отражается и в спаме: большинство писем "валентинова спама" рассылается на английском языке. Зато в России есть свои уникальные праздники, в числе которых — День Защитника отечества. И в спаме на русском языке уже сейчас можно легко найти рекламу различных подарков к 23 февраля — от реплик телефонов Vertu и мелких сувениров до танца живота. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012