Электронный журнал "Спамтест" No. 472 В этом номере: Новости Записки спам-аналитиков Новости «Зевс» начал распространяться через флэшки С начала февраля Trend Micro наблюдает рост активности ZeuS – хорошо известного семейства банковских троянцев. После утечки исходного кода новые модификации зловреда обрастают дополнительным функционалом. В частности, новая модификация ZeuS, обнаруженная экспертами в начале июня, использует необычный для этого троянца способ распространения – через сменные носители. «Самоходный» ZeuS доставляется на компьютер жертвы под видом PDF-документа – например, счета-фактуры, – который может быть прислан вложением в спаме или по неосторожности закачан из интернета. Открытие этого файла в Adobe Reader инициирует запуск эксплойта, при этом пользователю выводится сообщение о некой ошибке. Пока жертва пытается как-то выйти из положения, на ее машину в фоновом режиме устанавливается ZeuS, который при запуске подключается к C&C серверу и загружает обновление. Для реализации функции самораспространения данный зловред отыскивает на зараженной машине съемный диск или флэш-накопитель и создает на нем скрытую папку со своей копией, а также ярлык для быстрого доступа. По свидетельству специалистов Trend Micro, такой способ распространения ZeuS весьма необычен: как правило, для засева троянца злоумышленники прибегают к эксплойт-пакам и/или к рассылке спам-сообщений с вредоносным вложением. Пожалуй, единственным отступлением от этих канонов была схема двухступенчатой загрузки с использованием файлового вируса Murofet. Появление «самоходной» версии, по мнению исследователей, может в значительной мере ускорить процесс распространения опасной инфекции. Источник: Softpedia Беларусь – новый лидер по рассылке спама По данным Symantec, в марте и апреле мусорная составляющая почтовой корреспонденции увеличилась до 71-72%, а в мае сократилась до 67%. Интересно, что Тор 10 стран-источников спама все три месяца возглавляла Беларусь, которая ранее еле дотягивала до низших позиций в первой двадцатке. Вклад Беларуси в глобальный спам-трафик в марте составил 13,54%, в апреле – 18,92%, в мае 12,64%. Возрос и поток почтового мусора из Казахстана. В марте-апреле эта страна занимала в рейтинге Symantec четвертую строчку, а в мае опустилась до седьмой. Согласно статистике компании, в мае на втором месте по исходящему спаму оказались США (7,85% общего объема), третье место заняла Украина (5,17%). Россия оказалась за пределами первой десятки. Наиболее высокие уровни спама наблюдались в Саудовской Аравии (82,4%), финансовом секторе (83,0%) и на малых предприятиях с численностью штата до 250 человек (77,0%). Подавляющее большинство нелегитимных сообщений (79-80%) продвигали порноресурсы и веб-сайты знакомств. На долю рекламы фармацевтических препаратов в минувшие месяцы приходилось 11-12% спама, рекламы поддельных предметов роскоши – 4-5%. Около половины нелегитимных писем по размеру не превышали 5 КБ, доля объемных спам-сообщений в апреле увеличилась до 27%. Эксперты отметили рост числа блокируемых в спаме ссылок, привязанных к TLD-зоне .pw. До недавних пор эта доменная зона ассоциировалась с островным государством Палау, а с начала 2013 года в ней была открыта свободная регистрация, и домен теперь расшифровывается как Professional Web – «веб для профессионалов». По результатам марта-апреля Symantec выделила четыре TLD-зоны, наиболее часто встречающиеся в URL-спаме: .com (42 и 31% соответственно), .ru (26 и 30%), .pw (около 12% в апреле), .us (апрель – 5,7%). Вредоносная составляющая почтовой корреспонденции с начала мая снизилась на 0,134 процентных пункта – до 0,238% (одно письмо на 420,2). Больше прочих от вредоносных писем страдали жители Южной Африки (1 на 211,1), Великобритании и Нидерландов, а также представители госсектора (1 на 99,1). Основная масса майских спам-сообщений с вредоносными вложениями распространялась с территории США (49,7%) и Великобритании (19,6%). 28,8% писем, заблокированных почтовыми антивирусами Symantec, содержали вредоносную ссылку. Среди угроз, обнаруженных на компьютерах конечных пользователей, по-прежнему преобладают модификации Ramnit (17,5%) и Sality (7,7%). Статистику по фишингу по итогам марта-мая Symantec планирует опубликовать в следующем выпуске Intelligence Report. Источник: Symantec В США осужден участник фишерской группы Решением окружного суда штата Коннектикут гражданин Румынии Драгош Дрэгич (Dragoş Nicolae Drăghici) заключен под стражу на 6,5 лет за соучастие в масштабной фишинговой схеме. Это первый приговор по делу румынских фишеров, по которому проходит еще 18 ответчиков. Расследование деятельности данной группировки было начато ФБР в 2005 году по жалобе одной из жительниц Коннектикута. Она получила по электронной почте подозрительное сообщение о блокировке онлайн-аккаунта Peoples Bank. Для исправления ситуации получателю предлагалось перейти по внедренной ссылке на сайт банка и заполнить веб-форму. При проверке указанная ссылкой страница оказалась поддельной, ее единственным назначением являлся сбор конфиденциальной информации. Как впоследствии выяснилось, аналогичные фишинговые сообщения распространялись от имени других американских банков, а также от имени популярного онлайн-аукциона eBay и платежной системы PayPal. Все данные, введенные жертвами фишинга в фальшивые веб-формы, отправлялись по электронной почте на ящики-коллекторы или напрямую сообщникам в Румынию. Было установлено, что Дрэгич и другие участники фишерской группировки проживают в одном и том же румынском регионе. Сообщники зачастую действовали порознь, однако не теряли контакта друг с другом, постоянно обмениваясь опытом, хакерским инструментарием и краденой информацией. На совместно используемых ящиках-коллекторах группы скапливались тысячи писем с данными кредитных и дебетовых карт, PIN-кодами и персональными данными владельцев банковских счетов. Краденая информация обеспечивала фишерам доступ к этим счетам, и те их регулярно опустошали – чаще всего через местные банкоматы. Согласно материалам дела, Дрэгич промышлял фишингом не менее 6 лет: собирал почтовые адреса, проводил спам-рассылки, создавал поддельные сайты и использовал краденые данные. Сам он считает себя хакером, так как неоднократно взламывал чужие компьютеры, чтобы использовать их для рассылки поддельных писем и размещения страниц-ловушек. В почтовом ящике фишера было обнаружено более 6 тыс. краденых номеров кредитных и дебетовых карт. На основании договора об экстрадиции Дрэгич вместе с семью соотечественниками был передан американским властям. В Болгарии, Хорватии и Канаде удалось задержать еще троих подельников, которых постигла та же участь. В декабре 2012 года Дрэгич признался в преступном сговоре и махинациях со средствами доступа. Источник: The United States Attorney’s Office Опасный спам с британских аккаунтов Британская компания Omniquad, специализирующаяся на защите серверов Yahoo, предупреждает об активизации спам-рассылок с легальных адресов почтового сервиса, принадлежащих клиентам ведущего телеоператора страны BT Group. По свидетельству экспертов, все нелегитимные письма содержат ссылку на страницу с рекламой средств для похудания, запрашивающую у посетителя номер кредитной карты. Данную спам-кампанию Omniquad наблюдает уже два месяца, однако за последние недели активность спамеров заметно возросла. По оценке Omniquad, в настоящее время ссылка на одиозный диет-сайт присутствует в каждом десятом письме, отправленном с почтовых серверов BT Yahoo! Mail, и в каждом седьмом, исходящем непосредственно с Yahoo! Mail. По всей видимости, речь идет о массовом взломе почтовых аккаунтов – эксперты насчитали не менее 50 тыс. адресов, с которых распространяется данная спам-реклама. Поскольку Omniquad – компания небольшая и обслуживает порядка 500-700 клиентов, истинные масштабы текущей спам-кампании могут быть намного серьезнее. В качестве заголовка в спам-письмах приведена лишь приветственная фраза типа «hello» или «good afternoon». Во избежание блокировки используемые спамерами URL постоянно меняются: сегодня указывают на некий php-объект, завтра на файл с другим расширением. Ротация доменных имен тоже весьма высока, и при ограниченном тираже рассылки они просто не успевают отразиться в ходовых блоклистах. BT признала, что ряд ее адресов задействован в данной спам-кампании, и помогает почтовому провайдеру в проведении расследования. Владельцам почтовых ящиков Yahoo, заметившим подозрительную активность, рекомендуется сменить пароль. С июля BT начнет переводить клиентов на собственный почтовый сервис, доступ к которому будет осуществляться через обновленный веб-портал BT.com. По словам телеоператора, BT Mail будет предоставлять весь комплекс современных услуг, включая встроенный антивирус и систему фильтрации спама. Портал BT Yahoo! будет упразднен, однако владельцы почтовых ящиков BT Yahoo! Mail смогут какое-то время пользоваться ими через особую ссылку на BT.com. Источник: PC Pro «Партнерка» по рекламе казино в действии Компания Webroot предупреждает об агрессивной спам-рассылке, нацеленной на распространение программы показа рекламы (adware) онлайн-казино Злоумышленники рассылают десятки тысяч спам-сообщений, провоцируя получателей кликнуть по ссылке, приведенной в теле письма. По свидетельству экспертов, при активации этой ссылки пользователь попадает на красочно оформленную страницу, предлагающую опробовать некий клиент казино-сервиса. Вариантов оформления рекламной страницы множество, но все они продвигают по сути одно и то же приложение – потенциально опасную программу (PUP), чаще всего детектируемую как W32/Casonline. По всей видимости, текущая спам-рассылка проводится в рамках партнерской программы, опекающей казино-сервисы, и те щедро платят спамерам и распространителям adware за привлечение посетителей на свои веб-сайты. Все ссылки, обнаруженные Webroot в спам-письмах, привязаны к TLD-зоне .com и используют говорящие имена: luckynuggetcasino, 888casino, allslotscasino и т.п. Один из ассоциируемых с ними IP-адресов уже известен экспертам по вредоносным рассылкам. Источник: Webroot У американских SMS-спамеров сезонная перезагрузка По оценке Cloudmark, преобладающей категорией среди незапрошенных текстовых сообщений, рассылаемых на номера американских телеоператоров, ныне является фишинг. В минувшем мае на долю поддельных уведомлений от имени банка, нацеленных на кражу финансовой информации, пришлось 32% SMS-спама. Фишинговые SMS-сообщения, как правило, уведомляют получателя о мнимой блокировке его банковского счета якобы из-за обнаруженных мошеннических транзакций или иной подозрительной деятельности. Для исправления ситуации абоненту предлагается позвонить на указанный номер или воспользоваться присланной ссылкой. Согласно статистике Cloudmark, доля фишинговых SMS в составе распространяемого на территории США текстового спама с начала года выросла с 2 до 32%. В минувшем месяце спамеры также с усердием продвигали порноконтент и услуги сайтов знакомств. Такая SMS реклама обычно распространяется в рамках партнерских программ, выплачивающих спамерам вознаграждение за накрутку посещений на продвигаемых ресурсах. По данным Cloudmark, на долю спама «взрослой» тематики в мае пришлось 24% текстовых сообщений, а в пиковые дни – до 60%. Третье место в тематическом рейтинге компании заняла реклама пунктов скупки подержанных авто (9%). Главным источником этих нелегитимных SMS-сообщений, написанных на английском и испанском языках, является штат Флорида. Его жители уже полтора года страдают от непрошеных предложений; один из местных адвокатов даже подал иск против бесцеремонных рекламодателей, что, впрочем, никак не отразилось на потоках текстового спама «автомобильной» тематики. Эксперты также отметили умеренный рост нелегитимных SMS с предложениями быстрого займа. Реклама ссуды «до получки» в США обычно носит маркетинговый характер и распространяется через посредническую сеть издателей. Тем не менее, недобросовестные распространители этой рекламы нередко злоупотребляют своими полномочиями: используют спам-рассылки, обмениваются абонентскими базами и даже могут потребовать у заемщика предоплату в счет ссуды – без гарантий ее предоставления. В преддверии сезона летних отпусков поток SMS-спама, сулящего подарочные карты с известным брэндом, сменился мошенническими предложениями «бесплатных» круизов. Тема раздачи «подарков» от имени крупных ритейлеров стала стремительно терять популярность у спамеров после того, как Федеральная комиссия США (ФТК) подала групповой иск против компаний, использующих этот предлог для навязывания платных услуг. По данным Cloudmark, призывы выиграть круиз в экзотическую страну в мае составили 72% мошеннического SMS-спама, рекламирующего розыгрыш разных «призов». Источник: Cloudmark Австралийцы подсчитали убытки от скама По оценке Австралийской комиссии по вопросам конкурентной политики и защиты прав потребителей (Australian Competition and Consumer Commission, ACCC), в 2012 году жители этой страны потеряли по вине мошенников свыше 93 млн. австралийских долларов (около 88 млн. долларов США). За год государственный антимонопольный орган получил около 84 тыс. жалоб на мошенничество. Антимонопольщики отметили, что австралийцы стали более осмотрительными: 88% заявителей указали, что, столкнувшись с мошенничеством, не понесли никаких убытков. Суммы индивидуальных потерь пострадавших в большинстве случаев не превысили 500 долларов. Наиболее распространенной формой мошенничества в Австралии являются «нигерийские» схемы, которые постепенно перекочевывают в каналы сотовой связи. Согласно статистике АССС, на долю мошеннических SMS и голосовых сообщений в минувшем году пришлось 56% жалоб, на онлайн-скам – немногим более 35%. К сожалению, жертвы «нигерийского» мошенничества зачастую слишком обескуражены и стесняются во всеуслышание заявить о собственном промахе. Антимонопольщики зафиксировали рост числа случаев обмана при совершении покупки в интернете. По сравнению в 2011 годом этот показатель увеличился на 65%. На инциденты, связанные с хакерскими атаками, в минувшем году пришлось 13% обращений. Источник: ACCC Записки спам-аналитиков Яблоко развода Надежда Демидова, эксперт «Лаборатории Касперского» Популярность продукции Apple растет, а вместе с ней растет и желание мошенников подзаработать на ее владельцах. Целью злоумышленников является кража данных Apple ID, дающих доступ к хранящейся в iCloud   личной информации пользователя (фотографии, контакты, документы, почта и т.д.) и покупкам, которые владелец аккаунта совершил в фирменном магазине iTunes Store. Многие злоумышленники заходят еще дальше и пытаются украсть данные банковской карты, используемой для оплаты покупок. Инструментом мошенников являются фишинговые сайты, маскирующиеся под известный официальный ресурс apple.com. С начала 2012 года и по сегодняшний день мы наблюдаем заметный рост числа срабатываний веб-антивируса при  переходе пользователей нашего продукта на подобные поддельные сайты, что является следствием возросшей активности злоумышленников. За вышеупомянутый период мы фиксировали в среднем около 200 тысяч срабатываний в день. Для сравнения, в 2011 году аналогичный показатель составлял около 1 тысячи срабатываний. В отдельные дни количество срабатываний веб-антивируса, детектирующего фишинговые подделки под apple.com, превышало среднее значение в несколько раз. Мы отметили несколько скачков, самые значительные из которых произошли 6 декабря 2012 года (939549 срабатываний) и 1 мая 2013 года (856025 срабатываний).  Периодический рост активности злоумышленников и, как следствие, количества срабатываний веб-антивируса можно объяснить важными событиями в жизни компании Apple. Например, декабрьский скачок произошел сразу после открытия iTunes Store в России, Турции, Индии, Южной Африке и еще в 52 странах мира. Каким образом пользователи попадают на поддельные сайты? Один из самых популярных приемов – распространение ссылок на фишинговые сайты в спам-рассылках. Например, мошенники рассылают от имени компании Apple сообщения, в которых просят получателя подтвердить свой аккаунт, пройдя по ссылке в письме. Она ведет на поддельную страницу, где злоумышленники просят ввести Apple ID и пароль, а затем крадут эти данные и используют их в своих целях. При этом страница, как правило, весьма умело копирует стиль официального сайта Apple, а все содержащиеся на ней ссылки редиректят на страницы apple.com. Часто мошенников выдает адресная строка: она может содержать «apple.com» в том или ином виде, но опытный пользователь без труда опознает подделку. Однако если сайт открыт в мобильном браузере Safari на iPhone или iPad, пользователь может не обратить внимания на адресную строку, поскольку та скрывается из вида сразу после загрузки страницы. Также мошенники могут добавить на страницу дополнительный элемент (например, картинку), изображающий адресную строку с легитимным адресом. Этот элемент, предназначенный для введения пользователя в заблуждение, займет место реальной адресной строки. Для того чтобы обезопасить свой аккаунт, вы можете подключить двухэтапную проверку для Apple ID, включающую регистрацию одного или нескольких доверенных устройств. Впоследствии на эти устройства будут передаваться четырехзначные коды подтверждения. В результате двухэтапная проверка исключает возможность несанкционированного доступа или внесения изменений в вашу учетную запись на сайте Мой Apple ID и предотвращает совершение покупок посторонними с помощью вашей учетной записи. Однако это не убережет вас от потери денег, если вы сами передали мошенникам данные своей банковской карты. Поэтому, если вам пришло письмо от имени компании  Apple или ее сотрудников, будьте бдительны: не лишним будет позвонить в службу технической поддержки Apple и убедиться в легитимности письма. Кроме того, не стоит переходить по присланной ссылке, лучше сами вбейте нужный адрес в адресной строке. А если вы все же перешли по ссылке на сайт, внимательно изучите его содержимое, проверьте адрес страницы в соответствующей строке браузера.  Соблюдение этих нехитрых правил поможет вам не стать жертвой мошенников и сохранить свои данные в неприкосновенности. График срабатываний веб-антивируса и примеры спамовых писем смотрите на сайте Securelist.com/ru. Новые «нигерийские сказки» из России Татьяна Щербакова, эксперт «Лаборатории Касперского» В мае, после некоторого затишья, «нигерийские» мошенники вновь удивили нас захватывающими историями. Напомним, что наиболее популярный сюжет «нигерийских» писем заключается в просьбе помочь сберечь якобы имеющиеся у героя сюжета миллионы и обещании крупных сумм за предоставленную помощь. В России наиболее популярными героями «нигерийского» спама становятся известные бизнесмены, их родственники, друзья и партнеры, обладающие миллиардными состояниями. Часто волна «нигерийских» рассылок регистрируется после каких-либо громких событий, например, смерти, судебных разбирательств и скандалов, связанных с известными людьми. Однако на этот раз в наши ловушки попались письма, герои которых не были связаны с известными людьми, зато сами по себе являлись весьма примечательными персонажами. Так, в одной из рассылок «нигерийский» автор выдавал себя за гениального программиста из России, который ищет заграничного партнера для создания совместного предприятия. За помощь в организации переезда в США или Европу неизвестный гений обещает долю в бизнесе, который имеет все шансы стать сверхприбыльным. Судите сами: уже в 9 лет гениальный программист создал атомную бомбу из теннисного мяча и 10 киловольтного трансформатора, а сейчас занят разработкой электростанции нового поколения, которая за счет уникального источника энергии будет в 200 тысяч раз мощнее существующих атомных станций. Герою даже пришлось отказаться от Нобелевской премии, чтобы не раскрывать секрет своего изобретения. Однако создание источника энергии требует денег, которые гениальный программист надеется получить за счет продаж разработанной им уникальной системы управления контентом (CMS). Именно это ПО станет фундаментом, на котором будет стоять будущая процветающая компания, которую герой письма планирует создать вместе с его получателем. Чтобы убедить потенциальную жертву в успехе своего мероприятия, гениальный программист рассказывает, что за свое изобретение в области энергетики он был выбран некой внеземной цивилизацией, которая оставила гению послание на стене соседнего дома. В качестве доказательства появления пришельцев автор письма приводит ссылку на свой сайт, где якобы размещены фотографии межпланетного корабля в небе над Челябинском, сделанные в сентябре 2011 года. Размещенная в письме ссылка действительно ведет на реальный сайт с фотографиями, однако размещенные на нем снимки производят впечатление довольно грубой подделки. Также можно предположить, что Челябинск в качестве места полета пришельцев упоминается в письме не случайно – мошенники рассчитывают вызвать у получателя ассоциации с челябинским метеоритом, падение которого активно обсуждалось во всем мире. В конце письма автор приводит реальный телефонный номер Министерства Обороны США, по которому якобы подтвердят существование космического корабля и пришельцев. Дальнейшее развитие событий можно предсказать: в ходе переписки так называемый программист, скорее всего, попросит у жертвы некоторую сумму денег на билеты или другие расходы, связанные с переездом из России, но останется на родине, пополнив свой кошелек деньгами обманутой жертвы. Еще одно интересное письмо написано от имени одинокого пенсионера из России, которого могут выселить из квартиры за долг в размере 1100 евро. Автор рассказывает грустную историю о том, что он якобы работал инженером-конструктором , но после распада СССР власти не оценили ударный труд и два года не платили ему пенсию. Да и сейчас «нигерийский» пенсионер получает весьма скромную сумму, которой не хватает даже на еду. В такой ситуации герой письма видит единственный выход: продать почку или часть печени, чтобы погасить долг за жилье. И поэтому он ищет человека, которому нужны органы для пересадки. С помощью таких историй мошенники пытаются вызвать у получателя письма чувство жалости, вдруг потенциальная жертва не только найдет покупателя на дешевые органы, но и перешлет скромную денежную сумму для поддержки «пенсионера». Особенность письма заключается в том, что мошенники не предлагают получателю огромные суммы денег, что традиционно для «нигерийских» писем, вместо этого они рассчитывают на то, что жертва по собственной инициативе перечислит деньги на их счет. Все же находятся пользователи, которые до сих пор верят в такие нелепые истории. Следует помнить, что существует много сценариев «нигерийских» писем, и если вы все же поверили обманщикам и ответили им, то стоит немедленно прекратить общение с ними, даже если у вас просят очень маленькую сумму денег. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013