Электронный журнал "Спамтест" No. 468 В этом номере: Новости Записки спам-аналитиков Новости Спамеры предлагают присоединиться к НАТО Компания Webroot зафиксировала появление поддельных спам-сообщений, написанных от имени НАТО и нацеленных на сбор персональных данных под предлогом обеспечения трудоустройства в этой организации. В спам-письме, озаглавленном «NATO Vacancies» («вакансии в НАТО»), подробно изложены миссия НАТО, требования к претендентам на трудоустройство, а также приведен перечень из 30 вакантных должностей в бельгийском, британском и американском офисах организации. Эксперты Webroot для пробы подали заявку, и сразу получили положительный ответ с вложенными копиями заявления о приеме на работу и анкеты для собеседования, которые следовало заполнить и отправить по указанному адресу. Эти подробнейшие веб-формы и оказались ловушкой: претендент на замещение привлекательной должности должен был выложить спамерам персональные данные и уйму дополнительной информации: категорию и сроки допуска к закрытым материалам, наличие работающих в НАТО родственников, даты и цель своих поездок за рубеж и т.п. Эксперты Webroot отмечают, что спамеры хорошо выполнили домашнюю работу: их ответное сообщение было подписано именем реального работника отдела кадров НАТО. А вот почтовый адрес, на который «счастливчику» предлагалось выслать заполненные формы и резюме, подкачал: он был привязан к домену островного государства, который преобразуется в несколько немецких IP-адресов, уже используемых злоумышленниками под редиректы для Blackhole. Источник: Webroot «Зевс» в формате RTF В середине мая Trustwave зафиксировала спам-рассылку с Cutwail, нацеленную на распространение троянца ZeuS посредством вложения в необычном для этого ботнета формате – RTF. Поддельные сообщения, написанные от имени Citibank или Bank of America, имитируют уведомление о состоянии счета получателя и содержат прикрепленный файл, якобы с детализацией последних платежных транзакций. Об этом говорят как заголовок спам-письма (Merchant Statement – «сводный счет»), так и имя вложения (statement ID + набор цифр), формат которого указан как DOC. По свидетельству экспертов, данное вложение на самом деле является RTF-файлом и содержит эксплойт, использующий уязвимость CVE-2012-0158 в MS Office. Эта брешь, связная с ошибкой в коде mscomctl.ocx, неоднократно использовалась в целевых атаках против активистов-правозащитников. Trustwave отмечает, что формат RTF необычен для ботнета Cutwail, доселе тот раздавал лишь исполняемые файлы или ссылки на вредоносные сайты с эксплойтами. Уязвимость CVE-2012-0158 актуальна для Microsoft Office устаревших версий: Office 2003 SP3, 2007 SP2/SP3, 2010 Gold и проч. Она была закрыта около года назад. Выполняемый в результате эксплойта шелл-код расшифровывает и устанавливает в директорию %TEMP% троянский файл, изначально внедренный во вредоносный RTF документ. После его инсталляции пользователю для отвода глаз открывается безобидный DOC-файл, предварительно загруженный в ту же папку %TEMP%. Исполняемый файл был опознан экспертами как ZeuS. Источник: Trustwave Pushdo обзавелся генератором доменов Эксперты Damballa обнаружили новую модификацию троянца Pushdo, использующую DGA-алгоритм для защиты контроллеров ботнета от блокировки и угона. Один из крупнейших ботнетов, сформированный на базе многоцелевого троянца Pushdo, существует уже пять лет и за это время пережил четыре попытки закрытия со стороны security-сообщества. Pushdo способен загружать на компьютер жертвы других зловредов, таких как ZeuS и рассылать спам с помощью модуля Cutwail. Кроме того, он постоянно совершенствуется, расширяя свой арсенал самозащиты. В дни своего процветания ботнет Pushdo, сдаваемый в аренду другим злоумышленникам, насчитывал до 1 млн. зараженных машин и распространял миллиарды нелегитимных сообщений, в том числе вредоносных. В настоящее время он занимает в рейтинге ботнетов-спамеров от Trustwave второе место, заметно уступая фавориту Kelihos/Hlux. Новый вариант Pushdo, обнаруженный Damballa, снабжен резервным механизмом обращения к C&C – специализированным алгоритмом (DGA, Domain Generation Algorithm), который с заданной частотой воспроизводит списки одноразовых доменных имен, сгенерированных на основе случайной выборки. Пытаясь связаться с центром управления, бот последовательно перебирает позиции списка и направляет запросы DNS-серверу до тех пор, пока не обнаружит работающий домен. Использование DGA для маскировки истинного местонахождения C&C ― трюк отнюдь не новый и достаточно эффективный. Его с успехом применяли ботоводы Kraken, Srizbi, Sinowal, Waledac, Kido, р2р-модификация ZeuS и Virut, чтобы повысить жизнестойкость командной инфраструктуры. Специалистам из Damballa совместно с экспертами SecureWorks и Техническим университетом штата Джорджия удалось внедриться в один из новых кластеров Pushdo по методу sinkholing и получить следующие результаты: за два месяца перехваченный C&C домен запросили около 1,1 млн. уникальных IP-адресов; подставной C&C сервер (sinkhole) ежедневно регистрировал 35 тыс. уникальных IP-подключений; генератор доменов Pushdo позволяет создавать 1,38 тыс. уникальных доменных имен в сутки; среди зараженных веб-узлов числятся несколько правительственных учреждений США, господрядчики и военные ведомства; DGA-вариант Pushdo получил наибольшее распространение в Индии, Иране, Мексике, Таиланде, Индонезии и США. Проведенный SecureWorks анализ также показал, что новый Pushdo способен генерировать фальшивый трафик, направляя его на легитимные сайты с целью маскировки своих C&C. При этом список ложных контактов включает 200 доменных имен. Кроме того, подавая команду на загрузку других зловредов, командный сервер шифрует содержимое вредоносного файла и маскирует его под jpeg-картинку. Эксперты Seculert тем временем сообщают, что ботоводы Pushdo заметили слежку и поменяли DGA-алгоритм. Вместо com-доменов он теперь генерирует имена, привязанные к TLD-зоне .kz. Seculert зафиксировала два новых варианта обновленного троянца, раздаваемые с нескольких взломанных сайтов. В кратком изложении совместный отчет Damballa, SecureWorks и университетских исследователей доступен на сайте Damballa, полнотекстовую версию предоставляют Damballa и SecureWorks. Источник: Damballa Blackhole под пьюникод-соусом В середине мая Trend Micro обнаружила Blackhole-спам с необычными ссылками, использующий стандартный формат подтверждения заказа, якобы оформленного получателем в популярной сети розничной торговли Walmart. Примечательно, что в качестве адреса отправителя спамеры указали домен, отличающийся от легитимного оригинала лишь дополнительной буквой. По свидетельству Trend Micro, некоторые рассылки, задействованные в данной спам-кампании, привязаны к кириллическим доменам. Имена последних, по всей видимости, были преобразованы в ASCII-формат с помощью Punycode. Введение в оборот разноязычных доменных имен (IDN) создало дополнительные возможности для абьюзов. Злоумышленники могут перенаправить пользователя на фишинговую страницу, URL которой по виду неотличим от адреса легального ресурса. IDN также открыли спамерам дополнительные возможности для регистрации новых доменов, которые становится все труднее отслеживать и блокировать. Использование спамерами зашифрованных в Punycode URL – трюк не новый, однако, как отмечает Trend Micro, в Blackhole-спаме он ранее не применялся. При активации такой ссылки получатель вредоносного письма через несколько редиректоров попадает на сайт с эксплойтами – в частности, с эксплойтом к уязвимости CVE-2009-0924 в Adobe Reader/Acrobat. Источник: Trend Micro Записки спам-аналитиков Беспокоишься о финансах? Распакуй архив! Татьяна Куликова, эксперт «Лаборатории Касперского» Письма-подделки под официальные уведомления различных финансовых институтов, в первую очередь банков, являются излюбленным приемом фишеров. В таких письмах получателя под благовидным предлогом просят ввести конфиденциальные данные на «официальном» сайте, который на самом деле является копией настоящего сайта банка, или прислать их «администрации» в ответном письме. Но иногда злоумышленники используют имена известных финансовых институтов совсем для других целей. Так, 13 мая нами была зафиксирована рассылка, создатели которой выдавали себя за представителей крупнейшего европейского банка HSBC. Под предлогом возникновения проблем с последним банковским платежом, злоумышленники настойчиво рекомендовали получателю письма открыть вложенный архив HSBC_Payment_2839181.zip для получения более подробной информации о транзакции. Увы, распаковка архива и открытие находящегося в нем файла не решали несуществующие банковские проблемы. Вместо этого на компьютер инсталлировалась вредоносная программа Trojan-PSW.Win32.Fareit.beq, предназначенная для кражи cookies браузеров, паролей от FTP-клиентов, данных авторизации на почтовых сервисах и другой информации. По всей видимости, атака была ориентирована на клиентов банка HSBC – таковых насчитывается более 50 миллионов по всему миру. Им, как и клиентам других финансовых институтов, следует помнить, что банки никогда не рассылают своим клиентам заархивированные исполняемые файлы. Поэтому самое лучшее, что можно сделать, получив подобное сообщение, это удалить его. Также можно позвонить в службу технической поддержки банка и проверить легитимность письма. В противном случае высока вероятность того, что преступники получат доступ к вашему банковскому счету или завладеют важной персональной информацией. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Внимание: мошенничество! Дарья Гудкова, эксперт «Лаборатории Касперского» Последнее время к нам в ловушки часто попадают письма, в которых некто со звучным английским именем просит зарезервировать отель или билеты на самолет для себя и семьи. "Ошиблись адресом," - подумает наивный пользователь, получивший подобное письмо и будет неправ. У более продвинутого пользователя могут возникнуть некоторые подозрения. Во-первых, в письме отсутствует личное обращение. Во-вторых, отсутствует название резервируемого отеля и даже страны предполагаемого пребывания. Вместо этого можно найти фразы "your country", "your area", весьма характерные для спамеров, рассылающих письма массово. Кроме того, язык таких писем кажется слегка неестественным, не характерным для его носителей. В тексте часто присутствуют грамматические и пунктуационные ошибки. Итак, письмо вызывает подозрение, но в чем же подвох? На самом деле такое письмо - часть мошеннической схемы по отмыванию денег с украденных кредитных карт. Если получатель письма действительно оказался представителем отеля и ответил на письмо, мошенники пришлют ему следующее, с реквизитами кредитной карты и просьбой снять сумму денег, существенно превышающую расходы по оплате брони. Остаток мошенники просят выслать на указанный ими адрес через Western Union. Аргументируют они свою просьбу тем, что эту часть денег получит турагент, который организует поездку. При этом авторы писем придумывают разнообразные причины, почему ни агент не может снять деньги с их кредитки, ни они не могут переслать ему деньги переводом. Через некоторое время мошенники снимают бронь отеля, получая вторую часть своих денег (уже "чистых") обратно. Как правило, подобные письма приходят на корпоративные адреса, особенно страдают ящики с говорящими частями, такими как info. Адреса же отправителей находятся в бесплатных почтовых системах (в основном Yahoo и Gmail). Если адресат ответил хотя бы на одно подобное письмо, далее они будут валиться к нему с завидной регулярностью. Этот вид мошенничества - одна из вариаций "нигерийской" схемы, но существенно менее известная. Такое мошенничество существует уже много лет, хотя раньше злоумышленники предпочитали присылать работникам отелей поддельные чеки и снимать бронь, возвращая реальные деньги. Теперь же, с повсеместным развитием онлайн-банкинга, в ход идут в основном украденные кредитки. Мы советуем пользователям просто удалять подобные письма. Сотрудникам отелей же следует быть еще более аккуратными, ведь участие в подобной афере может грозить им судебными преследованиями за отмывание денег. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Таинственные цифры и романтическое послание Татьяна Куликова, эксперт «Лаборатории Касперского» Весна уже на исходе, но у спамеров романтическое настроение все еще в разгаре. Среди привычных рассылок, рекламирующих виагру или недорогой отдых, нам все чаще стали встречаться предложения знакомств с юными и привлекательными девушками. Видимо, «прекрасные незнакомки» настроены очень решительно, так как для распространения своих посланий они использовали различные спам-приемы, в том числе и давно известные, но ныне почти не встречающиеся. Например, получателю приходило письмо, которое на первый взгляд могло показаться бессмысленным набором цифр и черточек. Но если уменьшить масштаб изображения, можно увидеть, как «случайное» сочетание подчеркиваний и восьмерок превращается во вполне четкий рисунок, содержащий ссылку и краткое описание того, что можно найти, пройдя по ней. А чтобы окончательно запутать спам-фильтры, перед рисунком и после него были добавлены строчки из стихотворений - конечно же, романтические. Однако любителям русских красавиц, разгадавшим присланный спамерами ребус, не стоит рассчитывать на скорое знакомство с прекрасной и одинокой девушкой. Сайт, на который вела ссылка, является спамерским, поэтому в итоге получателей письма ждет не романтическое знакомство, а навязчивая реклама товаров и услуг. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013