Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 554

В этом номере:


Новости

CryptoWall грабит жертву в тандеме с FareIt

Исследователи из Trend Micro обнаружили вредоносную рассылку, нацеленную на загрузку сразу двух целевых зловредов – вымогателя CryptoWall 3.0, известного также под именем Crowti, и шпиона FareIt.

Сообщения спамеров оформлены как письмо от претендента (имярек) на замещение вакантной должности и снабжены вредоносным вложением в формате ZIP, поименованным так же, как и заголовок, – Resume (имярек). Вложение, по словам экспертов, содержит скромный JS-файл, содержимое которого было опознано как даунлоадер. Весьма странно, что злоумышленники в данном случае не используют более привычные для резюме форматы – DOC, PDF или RTF, рискуя вызвать подозрения у потенциальной жертвы. Возможно, обход почтовых антивирусов был для них важнее, и они решили повысить процент доставки, используя обфусцированный код и файл малого размера.

Как показал анализ, при активации данный зловред загружает из Сети (по двум URL) исполняемые файлы, но с расширением JPG, – старый трюк, который способен ввести в заблуждение неудачно построенные системы обнаружения вторжений. Содержимым этих файлов, по свидетельству Trend Micro, являются CryptoWall новейшей модификации и FareIt.

После запуска блокер создает новый процесс explorer.exe для получения прав администратора (если они есть у жертвы); такой «законный» системный процесс помогает ему обходить сканеры, использующие белые списки. CryptoWall/Crowti также удаляет все теневые копии с помощью утилиты vssadmin.exe (командой Delete Shadows /All /Quiet), чтобы исключить эту возможность восстановления зашифрованных файлов.

Примечательно, что адрес командного сервера данного зловреда, с которого он получает публичный RSA-ключ, прописаны в его коде. CryptoWall шифрует все наличные документы, базы данных, письма, изображения, аудио- и видеозаписи, а также исходные коды жертвы по RSA-2048, присваивая каждому итогу произвольное расширение. В каждой папке с шифрованными данными он создает файл HELP_DECRYPT с требованием выкупа (на настоящий момент он составляет 500 долларов). По окончании шифрования зловред открывает один из этих файлов, чтобы отобразить жертве грозное сообщение.

Для оплаты дешифратора пользователю предлагают пройти в анонимную сеть Tor; если он не отдал деньги в указанные сроки, сумма выкупа удваивается. В случае неуплаты злоумышленники грозят уничтожить приватный ключ, лишив жертву возможности вернуть файлы, оказавшиеся в заложниках.

Пока CryptoWall отвлекает жертву своими сообщениями, FareIt тоже не теряет времени даром. Он крадет регистрационные данные, сохраненные в почтовых и FTP-клиентах, веб-браузерах, а также идентификаторы к кошелькам Bitcoin. Видимо, инициаторам данной спам-рассылки выкупа показалось мало, и они решили использовать дополнительную схему монетизации своих усилий.

Согласно статистике Trend Micro, на настоящий момент зараженность CryptoWall 3.0 наиболее высока в Австралии и Новой Зеландии (совокупно 50,38% детектов). Несколько лучше, но тоже печальна ситуация в Северной Америке (24,18%) и Европе (14,27%).

Во избежание больших потерь эксперты рекомендуют регулярно создавать резервные копии важных файлов и никогда не открывать вложения в письма из неизвестных или неподтвержденных источников.

Источник: Help Net Security

Спамеры предлагают доступ к незапущенной службе Whatsapp

Эксперты ИБ-компании Emsisoft обнаружили мошенническое сообщение, которое распространяется в мессенджере WhatsApp по цепочке и с большой скоростью. Это поддельное приглашение опробовать услугу речевого вызова – Whatsapp Calling, которая была ранее анонсирована социальной сетью, и на самом деле все еще находится на стадии разработки.

Whatsapp – популярный веб-сервис, и его пользователи с большим нетерпением ждут запуска новой возможности для общения. На это и рассчитывают спамеры. Предвосхищая события, они не только дают понять адресату, что Whatsapp Calling уже доступна, но и просят его выполнить часть работы за них – разослать 10 друзьям аналогичное приглашение присоединиться к (несуществующей) программе тестирования.

Как оказалось, для доступа к Whatsapp Calling, обещанного спамерами, претенденту придется также принять участие в некоем опросе, что, вероятнее всего, принесет доход инициаторам мошеннической рассылки.

Эксперты отмечают, что легитимное приглашение к участию в каком-либо тестировании никогда не сопровождается просьбой заспамить всех знакомых. Emsisoft советует доверять только надежным источникам и проверять полученную информацию, обращаясь к официальным пресс-релизам. Компания также напоминает хорошо известную истину: если предложение кажется слишком заманчивым, чтобы быть правдой, то, скорее всего, это обман.

Источник: Emsisoft

Возвращение Nj-RAT

Пользователи антифишингового сайта PhishMe сообщают о подозрительных письмах, распространяющихся от имени операторов онлайн-хранилища eDisk.eu. В письме сообщается, что некий пользователь этого ресурса оставил для получателя ссылку на EXE-файл, который был туда загружен для скачивания.

По свидетельству экспертов, активация указанной ссылки открывает страницу загрузки с соответствующей опцией. Предлагаемый файл на самом деле содержит троянца удаленного доступа, скомпилированного на .NET 4.0, что достаточно необычно: большинство современных зловредов написаны на C/C++. Использование .NET позволяет вирусописателю осложнить работу вирусным аналитикам.

При запуске данный зловред, опознанный как Nj-RAT, копирует себя как %temp%/explorer.exe и пытается установить соединение с одним из DDNS-сервисов. В случае успеха он отсылает хозяевам собранную и зашифрованную по Base64 информацию. Как удалось установить, в данном случае управление троянцем осуществляется через специально созданные страницы Facebook.

Активисты PhishMe отмечают, что с апреля прошлого года Nj-RAT практически исчез с интернет-арены. Видимо, новая спам-рассылка означает, что злоумышленники не готовы списать Nj-RAT со счетов, хотя на черном рынке много других, более популярных инструментов этого класса.

Источник: PhishMe

В Сыктывкаре ищут телефонных мошенников

В ходе проверки правоохранительных органов на предмет полноты регистрации сигналов о преступлениях прокуратура Эжвинского района г. Сыктывкар выявила 16 эпизодов мошенничества, в результате которого жителям Омской, Псковской и Тверской областей был причинен совокупный ущерб в размере более 370 тыс. рублей.

Как оказалось, во всех случаях пострадавшие получили мошенническое SMS-уведомление о том, что они якобы совершили в системе QIWI миллионный платеж и выиграли новенький Volvo XC90. Забрать его предлагалось, позвонив по указанному номеру.

В ответ на звонок претендентам сообщали, что для получения «приза» нужно перечислить на некий счет 0,5% суммы выигрыша. Спустя некоторое время доверчивый «счастливчик» тем же путем узнавал, что «комиссия» якобы увеличилась, и ему вновь придется платить. Обокрав таким образом свою жертву, мошенники прекращали дальнейшее телефонное общение.

Как удалось установить, все звонки в рамках данной мошеннической схемы совершались злоумышленниками из Эжвинского района Сыктывкара. Примечательно, что в 15 случаях пострадавшие в полицию не обращались, так как не надеялись, что хищение будет раскрыто. Шестнадцатой жертве мошенничества, проживающей в Тверской области, полицейские отказали в приеме заявления.

Материалы проверки сыктывкарская прокуратура направила в городское управление МВД для решения вопроса об уголовном преследовании виновных. Проведя предварительное расследование, полиция возбудила 16 уголовных дел по ч. 2 ст. 159 УК РФ (мошенничество). В ржевскую межрайонную прокуратуру Тверской области направлен материал о факте отказа в приеме заявления от пострадавшего – для организации проверки и принятия соответствующих мер.

В настоящее время УМВД Сыктывкара проводит мероприятия, направленные на выявление инициаторов и исполнителей мошеннической схемы.

Источник: Прокуратура РФ

Trend Micro о вредоносных макросах в спаме

В конце прошлого года Microsoft зафиксировала резкий рост спам-потоков, нацеленных на распространение вредоносного ПО через макросы Office. Новая статистика от Trend Micro полностью подтверждает эту тенденцию, которая пока продолжает сохранять актуальность.

По данным Trend Micro, злоумышленники активно раздают таким образом даунлоудеры и дропперы, загружающие, в основном, банковских троянцев – Dridex, Rovnix, Vawtrak и Neurevt, он же Beta Bot. При этом они используют вложения в форматах DOC, DOCM, XLS, а с недавних пор и XLSM. Вредоносные письма с такими аттачами обычно имитируют уведомления финансового характера: это может быть поддельное подтверждение платежа или заказа, извещение о неоплаченном счете, штрафе или о денежном переводе.

Одна из новейших спам-рассылок, обнаруженная экспертами, использует имя Air Canada, чтобы побудить получателя открыть прикрепленный к письму DOC-файл, в котором якобы содержится копия оплаченного им электронного билета на авиарейс. Открыв это вложение, пользователь видит неразборчивый текст и лукавый совет включить макрос, если кодировка некорректна.

Если он последует этой инструкции, на его машину загрузится дроппер Bartalex, который открывает дверь для Upatre и награждает жертву дополнительными компонентами в зависимости от используемой версии Windows. Все эти файлы необходимы Bartalex для загрузки других зловредов.

Большинство вредоносного аттач-спама, объемы которого, по оценке Trend Micro, растут, нацелено на распространение Upatre, однако поток вредоносных макросов тоже увеличивается, хотя и не так резво. По мнению экспертов, в ближайшие месяцы можно ожидать дальнейший рост этой злонамеренной активности.

Источник: Trend Micro




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное