Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 551

В этом номере:


Новости

DMARC помогает спамерам оценить доставку TorrentLocker

По данным Trend Micro, распространители вымогателя-шифровальщика TorrentLocker, использующие электронную почту, начали снабжать свои сообщения цифровыми подписями SPF и DKIM, чтобы обойти спам-фильтры. А с недавних пор злоумышленники прилежно штудируют отчеты DMARC, которые содержат уйму полезной для них информации, помогающей повысить процент доставки.

Напомним, механизмы аутентификации SPF и DKIM позволяют получателю удостовериться в подлинности отправителя: соответствующая подпись сигнализирует о сохранности послания и о том, что его источник авторизован владельцем соответствующего домена. Используя также протокол DMARC, отправитель получает возможность публично заявить об использовании таких защитных систем, как SPF и DKIM, а также оглашать свою политику в отношении писем, не прошедших проверку на аутентичность, что значительно ускоряет фильтрацию входящего трафика на стороне получателя.

Как отмечает Trend Micro, отчеты DMARC содержат такую информацию, как данные интернет-провайдера, имя и контакты почтовой службы, IP-адреса, результаты проверки на аутентичность по SPF и DKIM. Такие сведения помогают отправителю оценить функционирование его инфраструктуры, работу подрядчиков, а также вероятность атаки на его домен или брэнд.

К сожалению, эту же обратную связь теперь используют в своих интересах злоумышленники. Если отчеты DMARC отсылаются на зарегистрированный ими домен, они получают возможность собирать информацию по вредоносным письмам, отвергнутым получателями; вести учет своих посланий, прошедших проверку по SPF и DKIM, и выявлять провайдеров, способных беспрепятственно обеспечить доставку.

Страной-лидером по заражениям TorrentLocker, зафиксированным Trend Micro с ноября по февраль, является Австралия; на ее долю в указанный период пришлось 67,7% детектов. Согласно статистике компании, общее число заражений TorrentLocker заметно возросло в декабре, резко снизилось в январе и в минувшем месяце вновь устремилось ввысь.

Источник: Trend Micro

SMS-червь вместо карты Amazon в подарок

ИБ-компания Adaptive Mobile предупреждает об экспансии нового Android-червя, раздающегося через SMS-спам, который он генерирует и рассылает по всем контактам жертвы. В качестве приманки злоумышленники предлагают подарочную карту от Amazon на сумму 200 долларов, получить которую якобы можно, пройдя по указанной ссылке и загрузив APK-файл с необходимой программой.

По оценке экспертов, новый червь, которого они нарекли Gazon, весьма прост и ничем не примечателен. При запуске на устройстве жертвы он воспроизводит мошенническую страницу, предлагающую претенденту на подарок принять участие в онлайн-опросе. На самом деле отсюда начинается путешествие пользователя по разным сайтам, каждый из которых предлагает розыгрыш призов, сомнительное ПО или игрушку, якобы с Google Play.

Примечательно, что каждый такой переход приносит барыши операторам Gazon. Тем временем резидентный зловред в фоновом режиме ищет телефонную книгу и начинает рассылку аналогичных спам-предложений, снабженных ссылкой на вредоносный код.

По свидетельству Adaptive Mobile, на момент публикации (2 марта) Gazon не детектировался ни одним антивирусом из списка Virus Total. Исследователи обнаружили свыше 4 тыс. зараженных устройств во всех больших сотовых сетях Северной Америки и заблокировали более 200 тыс. вредоносных сообщений, сгенерированных Gazon. Судя по статистике переходов по вредоносной ссылке, сгенерированной на Bitly, данный зловред проник и в другие регионы.

Как удалось установить, данный аккаунт на Bitly привязан к профилю Facebook, владельцем которого, по всей видимости, является реальный пользователь. Данная вредоносная спам-кампания для него отнюдь не дебют, ранее он же распространял ссылку на поддельную страницу, предназначенную подписчикам популярного мессенджера WhatsApp. В настоящее время и вредоносный URL, и ассоциированный с ним Facebook-аккаунт заблокированы, так что дальнейшее распространение Gazon можно считать приостановленным. Удалить зловреда, по данным Adaptive Mobile, можно штатными средствами Android.

Источник: Adaptive Mobile

Новая фарминг-атака меняет DNS-настройки роутера

Фарминг-атака (pharming) – это, по сути, сетевое вторжение, целью которого является перенаправление веб-трафика жертвы на сервер, контролируемый злоумышленниками; обычно это достигается путем изменения настроек DNS на сетевых устройствах. Некоторые из таких атак начали осуществляться через интернет и при посредстве спамовых и фишинговых рассылок.

Исследователи из «Лаборатории Касперского», наблюдающие этот тренд уже некоторое время, в сентябре обнаружили целевую кампанию, ориентированную на бразильских владельцев домашних роутеров. В ходе этой атаки злоумышленники применили комбинацию drive-by загрузок и элементов социальной инженерии, чтобы похитить регистрационные данные для систем онлайн-банкинга и других ценных веб-сервисов.

В конце минувшего месяца компания Proofpoint, специализирующаяся на защите систем обмена сообщениями, опубликовала отчет о новейшей итерации фарминг-атаки, также проведенной в Бразилии. В ходе этой вредоносной кампании, которая стартовала в декабре и продолжалась до середины января, исследователи наблюдали малотиражные фишинговые рассылки, объемом менее 100 сообщений, адресованные клиентам одного из крупнейших поставщиков телекоммуникационных услуг в стране – компании Oi, недавно переименованной в Telemar Norte Leste S/A.

Авторы фишингового письма предупреждали получателей об окончании срока действия аккаунта и предлагали пройти по ссылке, чтобы исправить ситуацию. Как оказалось, указанные фишерами страницы были специально созданы для эксплуатации известных CSRF-уязвимостей в роутерах UTStarcom и TP-Link, распространяемых телеоператором Oi. Вредоносный iFrame с внедренным JavaScript также пытался получить доступ к странице администратора перебором дефолтных логина и пароля. В случае успеха злоумышленникам открывалась возможность изменить настройки DNS: в качестве основного DNS-сервера подставить контролируемый ими IP-адрес, альтернативного – публичный DNS Google.

«Подстановка действующего DNS-сервера как альтернативы позволяла сохранить обслуживание DNS-запросов клиентов данной сети при потере доступа к DNS злоумышленников, – поясняют эксперты в информационном бюллетене. – В этом случае невелик шанс, что пользователь обнаружит проблему и обратится за помощью в техподдержку телеком-провайдера, специалисты которого в состоянии отследить и исправить привнесенные модификации».

При таком способе атаки злоумышленникам не нужно взламывать общедоступные DNS-серверы, чтобы перенаправить трафик. Он также облегчает проведение MitM-атак, необходимых для перехвата банковских реквизитов или ключей к почтовым ящикам.

«Это весьма элегантная схема, – комментирует Кевин Эпштейн (Kevin Epstein), вице-президент Proofpoint по инновациям в сфере защиты и управления данными. – Такая атака, судя по тому, как она выстроена, почти незаметна. На лэптопе не остается никаких следов, кроме присланного [фишингового] сообщения, и компрометацию в данном случае сможет обнаружить лишь профессиональный безопасник, авторизовавшийся в роутере».

Лучшей страховкой от таких атак является смена пароля на роутере, особенно если пароль был предоставлен интернет-провайдером и до сих пор используется по умолчанию.

Данная проблема не ограничивается точечными атаками на территории Бразилии, потенциально уязвим любой роутер с дефолтными регистрационными данными. Фабио Ассолини (Fabio Assolini) из «Лаборатории Касперского», живущий в этой стране, наблюдает такие атаки в среднем 4 раза в сутки. «Речь идет не о единичной фарминг-кампании, это массовое явление», – подтверждает эксперт.

Последние год-полтора взломы роутеров происходят все чаще, растет и число исследователей, старающихся определить масштаб и серьезность проблемы. В некоторых случаях, как с уязвимостью Misfortune Cookie в популярном встроенном сервере RomPager, в группе риска оказываются миллионы сетевых устройств, включая домашние роутеры. Так, на прошлогодней конференции DEF CON конкурсанты SOHOpelessly Broken продемонстрировали 15 уязвимостей нулевого дня в роутерах, которые были впоследствии доложены вендорам и успешно устранены.

Авторы обнаруженной Proofpoint атаки охотились лишь за ключами к системам онлайн-банкинга, однако их аппетиты, по свидетельству Эпштейна, растут. «Насколько мы можем судить [по PoC эксплойтам], атакующие преследуют финансовые интересы, что типично для большинства киберпреступлений, однако используемая ими техника применима и в других случаях, – заявил эксперт. – Если требуется перехватить трафик для проведения DDoS атаки или для проникновения в сети компании, этот способ тоже годится, так как позволяет полностью контролировать пользователя по принципу «человек посередине».

Источник: Threatpost

Новый зловред в Skype

«Лаборатория Касперского» предупреждает о новой вредоносной кампании в Skype. Первые спам-сообщения со ссылкой, активной лишь в Internet Explorer, были зафиксированы 3 марта.

По свидетельству экспертов, текст вредоносного сообщения сдублирован на двух языках, испанском и английском. Его единственная цель – убедить получателя перейти по указанной ссылке:
Dios Mio! [имя пользователя в Skype] video: http://********skype.info/video/?n=[ имя пользователя в Skype]
Oh, My God ! [имя пользователя в Skype] video: http://********skype.info/video/?n=[ имя пользователя в Skype]

Внедренная в сообщение ссылка привязана к поддельному сайту видеоматериалов, который пестрит комментариями, также призванными стимулировать интерес к предложенному «ролику». Здесь посетителю вполне ожидаемо предлагают загрузить некий плагин, якобы необходимый для просмотра видео.

Загружаемый под видом плагина setup.exe на самом деле является самораспаковывающимся RAR-архивом, который содержит установочный пакет GUI. В итоге незадачливый скайпер получает вредоносную программу, обладающую функционалом adware и бэкдора. После инсталляции она к тому же начинает рассылать аналогичный спам по всему списку друзей жертвы.

Согласно «лаборантам», все необходимые зловреду инструкции он получает со специального сервера. Он также снабжен встроенным SMTP-клиентом, потенциально позволяющим рассылать спам и с машины жертвы.

Эксперты также отмечают, что бинарный код, раздаваемый злоумышленниками из Сети, меняется с периодичностью в несколько часов – для обхода систем сигнатурного анализа. Защитные решения «Лаборатории Касперского» детектируют данную угрозу как Trojan-Dropper.Win32.SkyDll.a.

Источник: Securelist




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное