Электронный журнал "Спамтест". Все о борьбе со спамом (inet.safety.spamtest) : Рассылка : Subscribe.Ru

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 5.850 RSS

← Июнь 2013 →
	1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

За последние 60 дней ни разу не выходила

Сайт рассылки: http://www.securelist.com
Открыта: 09-06-2003

Автор

Лаборатория Касперского

Статистика

5.850 подписчиков
0 за неделю

← Все выпуски →

Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 471

В этом номере:

Новости
Записки спам-аналитиков

Новости

Новый бэкдор стирает MBR и блокирует Рабочий стол

Компания Trend Micro обнаружила новый опасный бэкдор, распространяемый как вложение в спам-сообщения.
Одно из таких вредоносных писем, попавшее в поле зрения компании, написано на немецком языке и от имени известного поставщика стройматериалов призывает получателя оплатить некую задолженность. Судя по скриншоту, опубликованному экспертами, уточнить название этой компании злоумышленники явно поленились.
К поддельному письму прикреплен ZIP-файл, который адресату предлагается открыть, чтобы ознакомиться с деталями «долга». Содержимое этого вложения Trend Micro детектирует как BKDR_MATSNU.MCB, то есть бэкдор. По свидетельству экспертов, данный зловред способен по удаленной команде отправлять на C&C сервер информацию о зараженной машине, а также стирать главную загрузочную запись (MBR). Более того, MATSNU умеет блокировать доступ к операционной системе, после чего выводит на экран сообщение с требованием выкупа, – этот функционал, по всей видимости, позаимствован у вредоносных программ-блокеров, таких как Reveton.
Специалисты Trend Micro полагают, что для реализации вымогательской схемы бэкдор закачивает дополнительный вредоносный модуль. Возможно также, что отдельные версии MATSNU изначально укомплектованы специализированной подпрограммой; в этом случае удаленная команда на блокировку выполняется легче и быстрее.
Источник: Trend Micro

Осторожно, подделка!

Высший Арбитражный Суд РФ (ВАС) предупреждает о появлении мошеннической рассылки, использующей имя судебного органа для распространения вредоносных ссылок.
Согласно поступающим в ВАС заявлениям, неизвестные злоумышленники рассылают гражданам поддельные извещения о якобы начатом в их отношении исковом производстве. Для проверки этой информации получателю предлагается перейти по ссылке, указанной в спам-сообщении.
ВАС отмечает, что спамеры используют несуществующий адрес отправителя noreplay@ на закрепленном за этим судебным органом домене. Приведенная в мошенническом письме ссылка, по имеющимся данным, привязана к вредоносному ресурсу.
В настоящий момент ВАС России принимает предусмотренные законодательством меры для пресечения данного мошенничества. Граждан призывают к бдительности и просят при получении аналогичных писем пересылать их на адрес ВАС для приобщения к материалам проводимой проверки.
Источник: ВАС РФ

Новая атака Dorkbot

В середине мая ESET зафиксировала масштабную спам-кампанию, нацеленную на распространение червя Dorkbot по каналам Skype и Gtalk.
Вредоносные сообщения провоцировали пользователя пройти по короткой ссылке и посмотреть на его «замечательное фото». По данным исследователей, при активации такой ссылки на машину получателя спама загружается даунлоадер, который ESET детектирует как Win32/PowerLoader.A. Данный зловред загружает и запускает дроппер Dorkbot – IM-червя, обладающего функционалом бэкдора. Dorkbot, как известно, способен выполнять разные функции, большинство которых заложены в разных модулях бота: подключаться к C&C серверу, красть пароли, рассылать спам, подгружать вредоносные файлы, осуществлять накрутку кликов, шифровать файлы и требовать выкуп и т.п. В данном случае червь, по свидетельству ESET, проводит рассылку спам-сообщений по контактам пользователя каждые 15 минут.
В начале спам-кампании злоумышленники маскировали свои ссылки с помощью службы Google URL Shortener (goo.gl). Затем они переключились на другие сервисы укороченных ссылок – bit.ly, ow.ly, urlq.d, is.gd, fur.ly, что, впрочем, никак не отразилось на статистике переходов. По данным goo.gl, за двое суток с начала IM-атаки по вредоносным ссылкам перешли более 490 тыс. пользователей. При этом 83% переходов были осуществлены на платформе Windows, остальные – на устройствах под iOS, Mac OS X, Linux и BlackBerry. Четверть переходов по вредоносным ссылкам bit.ly пришлись на Германию (свыше 8,5 тыс. в абсолютном выражении), 5% – на Россию.
Согласно совокупной статистике генераторов коротких ссылок, больше прочих от данной спам-рассылки пострадали пользователи России, Германии, Бразилии, Колумбии, Мексики и США. К счастью, большинство сервисов сокращения ссылок уже заблокировали вредоносные URL, однако, как справедливо отмечает ESET, атакующие все еще могут подавать команды ботам, что позволит развить первоначальный успех.
Следует заметить, что это далеко не первая атака Dorkbot, проведенная в Skype. Эксперты рекомендуют пользователям воздерживаться от перехода по ссылкам в незапрошенных сообщениях, приходящих на электронную почту, в мессенджерах и социальных сетях.
Источник: ИТАР ТАСС

«Ярмарка тщеславия» по-фишерски

Эксперты Bitdefender обнаружили целевую фишинговую рассылку (spear phishing), ориентированную на руководителей высшего звена. Чтобы повысить шансы на успех, злоумышленники взывают к тщеславию получателей и ограничивают срок действия «заманчивого предложения».
Фальшивое сообщение написано по-английски и «в последний раз» уведомляет получателя, что его биография якобы отобрана для публикации в престижном вестнике «Top 100 Executives of 2013 Magazine» («100 лучших руководящих работников 2013 года»). Пользователю также сообщают, что попасть на страницы этого издания – большая честь, которой удостаиваются лишь самые достойные и успешные управленцы. Кандидату не придется платить за публикацию, от него требуется лишь подтвердить согласие, кликнув по указанной ссылке, – и сделать это надо до 30 июня.
По свидетельству Bitdefender, названного фишерами журнала не существует, как не существует и его главного редактора, от имени которого ведется спам-рассылка. При переходе по предложенной ссылке пользователь попадает на страницу с регистрационной формой; после ее заполнения персональная информация направляется прямиком к злоумышленникам.
Источник: BitDefender

Спамеры используют открытые редиректы CNN и Yahoo

В социальной сети Twitter началась спам-кампания, рекламирующая различные диеты. Для обхода защитных фильтров спамеры в своих ссылках используют открытые редиректы на сайтах CNN и Yahoo.
Ссылки на легальные сайты выглядят вполне невинно, и, учитывая принятые в социальной среде доверительные отношения, эта спам-реклама распространяется с большой скоростью. Что скрывать, выбранная спамерами тема актуальна для многих, и столь «ценная» информация пользуется у твиттерян большим спросом. Особый успех имеют спам-сообщения, использующие звездные имена или названия известных медийных компаний.
По свидетельству исследователей, при активации ссылки, присланной в спаме и привязанной к ресурсам CNN или Yahoo, пользователь перенаправляется на сомнительный сайт, раздающий советы страждущим. Один из источников диет-спама собрал 7,6 млн. читателей, которые с готовностью пересылали сообщения безвестных авторов, помогая спамерам.
Источник: E Hacking News

Винодела оштрафовали за спам-рекламу

Австралийской компании Cellarworks Wine назначен штраф в размере 110 тыс. долларов за рассылку рекламы в нарушение национального закона о спаме.
Штраф был наложен правительственным надзорным органом ACMA (Australian Communications and Media Authority) по результатам проверки. Было установлено, что винодельческая компания распространяла рекламные сообщения без опции отказа (opt out), в том числе на адреса, владельцы которых ранее отказались от маркетинговых рассылок. И то, и другое противоречит требованиям австралийского закона Spam Act, посему Cellarworks Wine придется уплатить штраф.
По всей видимости, у правонарушителя не было специальной программы, автоматически вставляющей опцию opt out в коммерческие бюллетени, – такие приложения в Австралии существуют, если верить специалистам по маркетингу Marketing Angels. В итоге пострадал не только карман, но и репутация провинившегося рекламодателя: он может потерять часть своей клиентуры и остаться без новых заказов.
Источник: All Spammed Up

Записки спам-аналитиков

Автопереводчик на службе у "нигерийцев"

Мария Рубинштейн,
эксперт «Лаборатории Касперского»
Мы уже писали о том, что авторы «нигерийских писем» широко используют автопереводчик и таким образом добираются до тех, с кем без помощи передовых лингвистических технологий никак не нашли бы общего языка. Так появляются на свет забавные языковые уродцы, которые, увы, все же находят своих жертв: иные интернет-пользователи, едва разобрав в тексте на ломаном языке «наследство», «миллионы долларов» и «риска нет», немедленно отвечают новоявленному благодетелю, вступают с ним (или с ней, если лирическая героиня письма - юная девушка-сирота из богатого рода) в переписку и в результате совершенно добровольно отдают мошенникам свои сбережения.
За последние несколько недель к нам попало несколько писем, объединенных одним сюжетом, но написанных на разных языках. Носителям и знатокам каждого из этих языков сразу видно, что текст пропустили через Google Translate (или какой-то подобный автопереводчик).
В каждом из писем речь идет о состоянии покойного миллиардера мистера (пана, герра...) Сабы Масри, погибшего в 2010 году в авиакатастрофе. Пишут на разных языках многочисленные сотрудники то ли одного, то ли разных лондонских банков: Джей Горен (по-немецки и по-словацки), Бернард Грин (по-чешски), Кристофер Джонсон (по-немецки и по-нидерландски), Джон Оуэн (по-немецки), Артур Райан (по-шведски), Вебстер Майкл, Морган Сильва, Уильям Смит (по-нидерландски). Все эти господа рассказывают, что, поскольку мексиканский магнат разбился вместе со своими наследниками, его миллионы на банковском счету больше никому не принадлежат. Получателю предлагается предстать перед правлением банка в качестве родственника покойного, получить наследство и разделить его с сотрудником банка.
Катастрофа, повлекшая гибель Сабы Масри, действительно произошла в 2010 году. О ней писал журнал Forbes и многие другие издания. Вероятно, мошенники полагают, что использование имени реального человека придаст их обещаниям некую дополнительную солидность.
Очевидно, все эти тексты переводились с английского языка; слово daughter-in-law (невестка, жена сына) почему-то оказалось автопереводчику не по зубам, и злополучное «in-law» так и кочевало из перевода в перевод. Зато шестнадцать с половиной миллионов фунтов везде остались неизменными.
Примеры спамовых писем смотрите на сайте Securelist.com/ru.

Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}