Электронный журнал "Спамтест" No. 477 В этом номере: Новости Записки спам-аналитиков Новости «Грязная дюжина» от Sophos: Беларусь пошла в гору Согласно статистике Sophos, непочетный список стран-спамеров по итогам второго квартала вновь возглавили США. Второе место заняла Беларусь, поднявшись сразу на две ступени и оттеснив Китай на третью позицию. В апреле-июне к «грязной дюжине» присоединились три новичка: Украина, Казахстан и Аргентина, причем первый резво устремился ввысь и оказался сразу на четвертой строчке. По данным Sophos, вклад США и Беларуси в глобальный спам-трафик составил 13,8% и 11,7% соответственно, Китая и Украины – вдвое меньше (5,9 и 5,5%). Замыкают «грязную дюжину» Россия (2,6%) и Германия (2,5%). При этом первая опустилась на одну ступень, вторая – сразу на четыре. Франция, Перу и Южная Корея на сей раз выпали из списка лидеров. Для Франции это заметный прогресс: в предыдущем квартале эта страна занимала в рейтинге Sophos шестое место. Эксперты отмечают, что присутствие в «грязной дюжине» Китая и Индии (6 место) неудивительно: численность населения в обеих странах превышает 1 млрд., его потребность в доступе к интернету стремительно растет. В США в настоящее время проживают более 300 млн. человек, и проникновение интернета в этой стране весьма высоко. Большинство спама сейчас распространяется с ботнетов, и Sophos в который раз подчеркивает, что отслеживаемый ею поток исходящего спама в разделении по странам свидетельствует лишь об объеме и уровне инфицирования местного компьютерного парка. Инициаторы спам-рассылок могут действовать с территории других стран, используя зарубежные зараженные компьютеры как послушных исполнителей своей воли. Чаще всего так действуют фишеры, распространители зловредов и мошенники, которые особенно тщательно скрывают свое местонахождение. Источник: Dark Reading Спамеры прячут ботнет за взломанными сайтами Компания Trend Micro обнаружила новую тактику, используемую спамерами для повышения жизнестойкости своего ботнета. Злоумышленники разнесли основные функции, выполняемые в рамках спам-кампаний, и свели к минимуму взаимосвязь между функциональными узлами бот-сети. По свидетельству Trend Micro, ботнет StealRat включает три исполнительных уровня: скомпрометированные веб-сайты, рассылающие спам; зараженные системы, используемые для закачки и отдачи данных, необходимых для проведения спам-рассылок; скомпрометированные веб-сайты, загружающие зловреда. Принципиальная схема работы ботнета следующая: жертва заражения подключается к контролируемому ботоводами серверу и сгружает данные для проведения спам-рассылки – адрес резервного почтового сервера, имена отправителей, адреса получателей и спам-шаблон; эта информация передается на скомпрометированный веб-сайт, который использует ее для составления и распространения спам-письма, снабженного вредоносной ссылкой; кликнувшие по вредоносной ссылке получатели попадают на другой скомпрометированный сайт (как правило, порноресурс или интернет-аптеку) и подвергаются атаке. При такой организации сервер спамеров прикрывают три уровня невольных участников ботнета: два из них – скомпрометированные сайты, третий – зараженные машины. «Зараженный ПК служит связующим звеном между сервером и взломанным сайтом – поясняет Джесса де ла Торе (Jessa De La Torre), специалист Trend Micro по реагированию на интернет-угрозы. – Поскольку сервер не взаимодействует напрямую с источником спама, создается впечатление, что спам-письма распространяются с зараженного компьютера. При этом само спам-письмо не несет полезной нагрузки, поэтому видимой связи между ним и вредоносной программой тоже нет. По сути, они [ботоводы] разделили ключевые функции и свели до минимума их взаимодействие, чтобы обрубить все нити, по которым их можно связать друг с другом». Взломанный сайт, используемый для проведения спам-рассылок, содержит набор специализированных php-скриптов и информацию о вредоносной ссылке, которую надлежит вставить в шаблон. При этом в качестве почтовой службы отправителя вредоносных сообщений указывается домен, в котором размещен сайт-генератор спама: [имя отправителя]@[имя домена]. Используемый ботоводами зловред тоже не совсем обычен. Например, при получении инструкций с C&C сервера некоторые его варианты пытаются скрыть сетевой трафик, подменяя имя хоста на google.com. При этом они не подключаются к серверу напрямую, а запрашивают почтовую службу в том же домене, т.е. mx1.[имя домена]. В итоге в генерируемом зловредом сетевом трафике отразится лишь фальшивое имя хоста, с которым установлено соединение, – google.com. За месяц изучения StealRat исследователям удалось получить следующие данные по этому ботнету: рассылку спама производят около 85 тыс. уникальных доменов/IP-адресов; каждый IP/домен в среднем содержит два скрипта для рассылки спама; каждый зараженный компьютер ежедневно отсылает не менее 8,64 тыс. записей на сайты-генераторы спама; спамерская база StealRat содержит порядка 7 млн. адресов потенциальных получателей спама. Источник: Trend Micro Именной троянец в аттаче Анализируя июньские вредоносные сообщения, адресованные держателям банковских счетов, эксперты Websense отметили новую особенность: злоумышленники начали распространять персонализированные вложения. При этом имя, проставленное в названии вложения, совпадает с указанным в строке To: именем адресата, что, по мнению исследователей, указывает на использование автоматического генератора. Одна из таких спам-рассылок проводилась от имени крупнейшего банка Wells Fargo. Вредоносные письма были весьма лаконичными и без обиняков предлагали получателю открыть именное ZIP-вложение и ознакомиться с «важными документами». За время атаки защитные решения Websense заблокировали более 80 тыс. таких сообщений. Заархивированная полезная нагрузка скрывалась в файле с двойным расширением – известная уловка распространителей зловредов. При включенной опции «Скрывать расширения для зарегистрированных типов файлов» этот исполняемый файл выглядел, как обычный PDF-документ, и даже был снабжен соответствующей иконкой. Содержимое вредоносного файла было опознано как даунлоадер Pony – специализированная программа, обычно используемая для загрузки известного зловреда ZeuS. В данном случае, по свидетельству Websense, она загружала на зараженную машину р2р-модификацию этого троянца. Для маскировки своего трафика Pony направлял также запросы к легитимным веб-сайтам. Исследователи отмечают, что ряд вредоносных ресурсов, к которым обращался загрузчик, уже неактивны. Вторая волна опасных рассылок, зафиксированная в середине июня, была ориентирована на тех, кто использует шифрованные каналы. Вредоносные сообщения, написанные от имени некой службы Secure E-mail Message Center, уведомляли получателя о якобы поступившем на его имя конфиденциальном письме. Прочесть его предлагалось, открыв вложенный ZIP-файл (с именем адресата!), который для пущей достоверности был запаролен. Пароль к архиву злоумышленники указали в теле спам-письма, надеясь также обойти этим трюком спам-фильтры. Троянский файл вновь был прикрыт вводящей в заблуждение иконкой Adobe Reader и снабжен двойным расширением. Еще один вариант именных вложений Websense обнаружила в спам-сообщениях, использующих имя Trusteer – компании-разработчика защитного ПО для банковских сервисов. Вредоносные письма предлагали получателю установить новую версию Rapport – продукта Trusteer, предназначенного для нейтрализации банковских зловредов и пресечения несанкционированных транзакций. В ходе данной спам-рассылки Websense заблокировала свыше 36 тыс. таких поддельных писем. Вложенный во вредоносные письма ZIP-архив тоже был именным и содержал троянца, которого «Лаборатория Касперского» детектирует как Trojan-PSW.Win32.Tepfer.odtu. Источник: Websense SMS-спамер пошел на сделку с ФТК Американец Генри Келли (Henry Nolan Kelly), обвиненный Федеральной торговой комиссией США (ФТК) в распространении незапрошенных SMS-сообщений с посулами «бесплатных» призов, заключил мировое соглашение с истцом. В соответствии с судебным решением по договорённости он впредь воздержится от ложных заявлений и от рассылки текстового спама, а также уплатит 60,95 тыс. долларов в возмещение ущерба – все, что он нажил неправедным путем. Иск против Келли был подан ФТК в начале текущего года в рамках масштабной кампании против мошеннических методов продвижения платных услуг в мобильных сетях. По инициативе Комиссии в разных штатах были приняты в судебное производство 8 дел о мошенничестве и рассылке SMS-спама, рекламирующего розыгрыши популярных гаджетов и подарочных карт. Кликнув по указанной спамерами ссылке, абонент обнаруживал, что для получения «бесплатного» приза он должен заполнить сомнительную анкету и посетить ряд рекламных площадок, где его могли вдобавок подписать на платные услуги. При этом сам приз нередко оказывался мифом, а авторы спам-рассылок исправно получали вознаграждение за накрутку кликов и сбор персональных данных, пригодных для проведения маркетинговых рассылок. Согласно исковому заявлению ФТК, Келли за год разослал свыше 20 млн. текстовых сообщений о розыгрыше iPhone и iPad, утаив от получателей, что участие в этих акциях сопряжено с рядом дополнительных условий и может повлечь финансовые расходы. Отныне спамеру запрещено проводить аналогичные рассылки по SMS-каналам. Он также обязался помогать ФТК в ее расследованиях. С компенсацией ущерба регулятору придется повременить: Келли заявил, что пока не в состоянии выплатить требуемую сумму. Источник: FTC Ирландский пицца-мейкер избежал уголовной ответственности за спам Окружной суд Дублина закрыл уголовное дело в отношении компании Four Star Pizza. Ответчик, обвиняемый в рассылке спама, выполнил условие соглашения о признании вины и пожертвовал 4 тыс. евро (около $5,3 тыс.) в фонд местной детской больницы. Согласно обвинительному акту, одна из крупнейших ирландских сетей пиццерий за год разослала на местные почтовые адреса 30 незапрошенных сообщений с рекламой своих услуг. В ходе судебного разбирательства обвинения по 24 эпизодам были сняты, а по шести Four Star Pizza признала свою вину. В соответствии с ирландским законодательством о защите данных рассылка спама считается криминальным деянием. Тем не менее, судья предложил иной выход из неприятной для уважаемого брэнда ситуации. Four Star Pizza перечислила оговоренную на суде сумму в фонд дублинской больницы Temple Street Children’s Hospital и предъявила судье соответствующую квитанцию. Ввиду выполнения ответчиком условий мирового соглашения уголовное дело о нелегитимной рекламе было закрыто. Напомним, что аналогичный групповой иск против известного изготовителя пиццы был подан в Сиэтле, штат Вашингтон, в ноябре прошлого года. Условия, предложенные популярной сети пиццерий Papa John’s в урегулирование конфликта с потребителями, оказались намного более суровыми: американская компания должна уплатить 16,5 млн. долларов в пользу получателей SMS-спама. Если окружной судья одобрит такое решение, каждый из истцов получит в возмещение ущерба $50 и бесплатную пиццу. Источник: All Spammed Up Записки спам-аналитиков Китайская грамота на службе у спамеров Анна Володина, эксперт «Лаборатории Касперского» Спам – явление интернациональное. В наши фильтры попадают незапрошенные письма, написанные на самых разных языках, с использованием самых разных письменных систем. Встречается и арабская вязь, и индийское слоговое письмо, и корейские, китайские, японские иероглифы... В некоторых аспектах спамеры всего мира похожи друг на друга, но в то же время у рассылок из определенной страны есть свои особенности, которые интересно обнаружить и изучить.  В последнее время я плотно работала с незапрошенными письмами на китайском языке и обнаружила три приема, характерных для этого спама. Небольшое отступление: каждый иероглиф в китайской письменности обозначает один слог. В отличие от буквенных письменностей, здесь нельзя вычленить элемент, который обозначал бы звук “a” и элемент, который обозначает звук “b”. Китайский иероглиф соответствует слогу “ba” целиком и может не иметь ничего общего с иероглифами, которые соответствуют слогам “ma” или “be”. Более того, в китайском языке значимыми являются не только звуки, но и тоны, с которыми они произносятся, и по-разному интонированный слог “ba” также может записываться разными иероглифами без каких-либо общих элементов. Но это не значит, что китайский иероглиф монолитен. Все китайские иероглифы состоят из так называемых черт – счетного (хоть и очень большого) количества элементов. Обычно черты не связаны или очень опосредованно связаны со значением и звучанием иероглифа. Но важно – в данном случае, для спамеров – что некоторые из них могут использоваться как самостоятельные иероглифы. Тут мы и подходим к сути первого приема. Спамеры всех стран периодически пытаются исказить текст так, чтобы его сложнее было отфильтровать спам-фильтром. В этой вечной борьбе им всегда приходится удерживаться на тонкой грани: текст должен быть искажен так, чтобы одурачить спам-фильтр, но при этом не затруднять прочтение написанного. Особенность китайского письма предоставляет возможность сделать это легко и изящно: нужно всего лишь вместо одного иероглифа, состоящего из двух черт, написать два, сотоящих каждый из одной. Спам-фильтр может не соотнести такую фразу с известными ему примерами спама, а читающий по-китайски пользователь соотносит прочитанное с контекстом и понимает, что имелся в виду один иероглиф. Китайские спамеры не брезгуют и более интернациональным приемом – намеренным искажением слова в надежде, что спам-фильтр будет пройден, а пользователь поймет смысл написанного из контекста. Для этого они заменяют одну из черт в иероглифе на другую, но похожую на нее. Третий прием мы уже встречали в спаме на русском и английском языках. Авторы тех писем вставляли между значимыми буквами рекламных фраз другие, замусоривающие, написанные блеклым цветом или маленьким шрифтом, чтобы не так бросаться в глаза. Этот прием борется с контентной фильтрацией спам-фильтров, но на привычных нам языках текст всегда становится менее читабельным. Даже если “мусорные” буквы выкрашены в цвет фона, значимый текст в таких письмах получается разреженным, неудобным глазу. Для письма на китайском языке, написанного с помощью такого же приема, эта проблема стоит гораздо менее остро. Исторически каждый иероглиф был отдельным словом. И сегодня тексты на китайском языке почти всегда пишутся без пробелов. Так что любой текст с равным расстоянием между иероглифами воспринимается нормально. Кроме того, даже если буквы между иероглифами скрыты недостаточно хорошо, они меньше замусоривают для читающего текст, чем “мусорные” буквы среди таких же, но значимых букв в письмах на европейских языках. Примеры иероглифов и незапрошенных писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013