Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 555

В этом номере:


Объявление

Уважаемые читатели, сейчас мы изучаем вопрос частичного дублирования содержимого рассылки на наших тематических веб-сайтах, Securelist.ru и Threatpost.ru. В связи с этим просим вас принять участие в небольшом анонимном опросе http://poll.fm/581cx.

Новости

Заключенный сбежал из тюрьмы, создав фишинговый сайт

Осужденный сумел освободиться из тюремного заключения при помощи поддельного сайта и электронной почты, сообщает BBC.

Хитроумный план побега придумал Нил Мур (Neil Moore), заключенный в тюрьме лондонского района Уондсворт. Он создал фишинговый сайт, внешне напоминающий официальный интернет-ресурс, на котором были указаны адреса и контактные данные Королевского суда. Затем злоумышленник по электронной почте отправил в тюрьму, где сам находился, письмо. В послании содержались требования по его освобождению. В результате преступника выпустили 10 марта 2014 года.

Между тем Нил Мур был осужден за крупное мошенничество на сумму почти 2 млн. фунтов. Преступник выдавал себя за сотрудника Barclays Bank, Lloyds Bank и Santander, успешно убеждая менеджеров крупных организаций выдать ему значительные денежные средства.

Впрочем, три дня спустя Нил Мур сам сдался в руки полиции. Приговор по делу о побеге из-под стражи и восьми фактах мошенничества, по которым Мур признал себя виновным, будет оглашен 20 апреля 2015 года.

Фишинг такого рода можно считать уникальным явлением. Однако в 2014 году массовые фишинговые атаки были зафиксированы практически во всех странах мира. Согласно оценке «Лаборатории Касперского», лидером по проценту атакованных пользователей стала Бразилия — 27,47%. Россия находится на шестом месте (22,6%).

В большинстве своем (42,59%) фишинговые атаки коснулись глобальных порталов, которые объединяют множество сервисов с доступом через единый аккаунт, — например, Google, Yahoo!, Yandex и другие. Специалисты по безопасности подчеркивают, что, совершив одну успешную атаку на портал, киберпреступники получают сразу множество возможностей для дальнейших махинаций — с почтой, социальными сетями, электронными кошельками и остальными сервисами.

Доля атак, направленных на похищение финансовых данных пользователей в России, составила 20%. Злоумышленники стали меньше использовать банковские бренды и сосредоточили свое внимание на интернет-магазинах и платежных системах, утверждают аналитики.

Источник: Threatpost

«Бесплатный сыр» для геймеров

Исследователи из Malwarebytes обнаружили веб-сайт, предлагающий участникам игрового сообщества Steam получить коды доступа в обмен на рекламные действия, причем выполненные за ограниченное время.

На стартовой странице посетителю сообщают, что сайт якобы бесплатно раздает Steam-коды, за которые обычно приходится платить 20 долларов. По свидетельству экспертов, при нажатии кнопки Reserve a Code («заказать код») на странице отображается лишь половина некоего кода (остальное скрыто). Претендент при этом узнает, что вторую половину он получит, если за 45 минут не менее 15 раз расшарит ссылку на этот сайт, в противном случае его заказ будет аннулирован.

Если пользователь успел поработать спамботом, пока таймер не закончил обратный отсчет, ему придется вдобавок заполнить пару сторонних анкет, содержимое которых варьируется в зависимости от региона. Malwarebytes предостерегает, что даже после заполнения этих сомнительных форм нет гарантии, что геймер получит обещанное.

Источник: Malwarebytes

Tele2 подвела годовой итог борьбы с мошенничеством

Tele2, альтернативный оператор мобильной связи на территории России, отчиталась об очередных успехах в реализации федеральной программы по борьбе с мобильным мошенничеством. По оценке компании, за год ей удалось сократить время, необходимое для разрешения проблем абонентов, в шесть раз. На настоящий момент оно в среднем составляет 4 часа.

Согласно статистике Tele2, в 2014 году ее сотрудники приняли от российских абонентов и обработали 17,64 тыс. жалоб на несанкционированные рассылки. При этом 20% таких обращений пришлось на поддельные уведомления о заблокированной банковской карте, 12% – на сообщения о якобы ошибочном платеже, 5% – на ложные сигналы о чрезвычайной ситуации с родственником. Остальные жалобы касались рекламного спама.

На популярные в 2013 году мошеннические схемы Wangiri, в рамках которых абонента вынуждают перезвонить на платный номер, в прошлом году пожаловался всего 61 клиент. По каждому обращению была проведена проверка, и номера аферистов уже заблокированы. Из новых мошеннических сюжетов Tele2 отметила звонки от незнакомцев с информацией о выигрыше ценного приза или с просьбой сообщить код доступа от личного кабинета.

В соответствии с постоянно действующей федеральной программой по борьбе с мобильными преступлениями оператор осуществляет блокировку мошеннического и рекламного трафика. Мониторинг несанкционированных рассылок проводится на ежедневной основе, причем особенно тщательно – в тех регионах, где было зафиксировано наибольшее количество жалоб. В прошлом году такими объектами пристального внимания являлись Самарская, Астраханская, Волгоградская, Костромская и Курганская области.

В октябре 2014 года Tele2 запустила бесплатный сервис «Антиспам-SMS», позволяющий абонентам самостоятельно блокировать входящие SMS-рассылки. Для подключения услуги достаточно отправить бесплатное текстовое сообщение на номер 345, указав номер или имя автора нежелательных SMS. Информацию о видах мобильного мошенничества, способах защиты и профилактики оператор публикует на своем сайте в разделе «Безопасность».

Источник: Tele2

Новый троянец интересуется энергетикой Ближнего Востока

Эксперты Symantec обнаружили нового похитителя информации, которого злоумышленники используют как разведчика в ходе целевых атак, направленных против энергетических компаний. Троянец, получивший название Laziok, распространяется через вложения в спаме, адресованном, в первую очередь, ближневосточным бизнесменам.

Зафиксированные в январе и феврале вредоносные рассылки проводились из одного и того же домена в TLD-зоне .EU; как удалось установить, это был SMTP-сервер, работающий как открытый релей. Целевой спам содержал вредоносное вложение (файл Excel) с эксплойтом против CVE-2012-0158 – уязвимости в общих элементах управления Windows, позволяющей удаленно выполнить произвольный код. Исследователи отмечают, что данная брешь неоднократно использовалась в целевых атаках, в частности, в Red October.

При отработке эксплойта в систему загружается Laziok, который прописывается в директории %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle, создавая новые папки и используя ходовые имена: search.exe, smss.exe, admin.exe, key.exe, taskmgr.exe, chrome.exe и т.п. После этого троянец собирает информацию о системе, включая наличные антивирусы, и отправляет ее своим хозяевам.

Если атакующие сочтут мишень перспективной, они с помощью Laziok загружают дополнительных зловредов. В ходе наблюдаемой Symantec кампании троянец загружал копии ZeuS и бэкдора Cyberat, кастомизированные в соответствии с профилем зараженного компьютера. Эти загрузки производились с серверов, размещенных на территории США, Великобритании и Болгарии.

Исследователи отмечают, что стоящая за Laziok группировка, по всей видимости, не обладает большими техническими возможностями или навыками, коль скоро она использует давно известную уязвимость и загружает вредоносное ПО, широко представленное на черном рынке. Тем не менее, многие пользователи пренебрегают своевременной установкой патчей и годами остаются открытыми для атак такого рода.

Как оказалось, повелителей Laziok больше всего интересуют компании, связанные с добычей и обработкой нефти, газа, а также с производством гелия. Наибольшее число таких мишеней выявлено в ОАЕ (25%), Саудовской Аравии, Кувейте и Пакистане (по 10%).

Источник: Symantec

Новый штраф в рамках канадского закона о спаме

Владельцы популярного в Канаде сайта знакомств Plenty of Fish оштрафованы на $48 тыс. за рассылку почтовых сообщений с нарушением требований антиспам-законодательства.

Согласно канадской Комиссии по радио/телевещанию и телекоммуникациям (Canadian Radio-television and Telecommunications Commission, CRTC), наложившей этот штраф, данное правонарушение было зафиксировано между 1 июля и 8 октября 2014 года. Установлено, что в этот период компания PlentyofFish Media проводила рассылку по своей базе, используя «механизм отказа от подписки, который не был четко обозначен и выделен с тем, чтобы его можно было легко задействовать, как того требует законодательство».

«Этот случай еще раз напомнил предпринимателям, насколько важно произвести переоценку своих механизмов отписки от рассылок и обеспечить их четкое отображение на видном месте, как и простоту использования», – заявила Манон Бомбардье (Manon Bombardier), директор CRTC по надзору за соблюдением и исполнением канадского законодательства.

Операторы сайта Plenty of Fish, пользовательская аудитория которого на настоящий момент превышает 100 млн., уже обновили свой механизм unsubscribe, приведя его в соответствие с новым законом, действующим на территории страны с 1 июля прошлого года. CRTC высоко оценила оперативность PlentyofFish Media и призывает канадцев «продолжать обращаться в Центр приема жалоб на спам при малейших признаках правонарушения».

Напомним, канадский закон о спаме (CASL) разрешает коммерческие рассылки лишь с явно выраженного согласия получателей. Ранее, например, канадские бизнесмены могли считать подписчиками таких пользователей, которые указывают свой почтовый адрес при оплате товаров или услуг; теперь этого недостаточно.

Первый штраф в рамках CASL был наложен в начале марта. CRTC обвинило квебекскую компанию Compu-Finder в проведении рекламных рассылок без согласия получателей и без опции отказа от таких рассылок. Размер штрафа в том случае составил 1,1 млн. канадских долларов.

Источник: Global News

Ролевые игры спамера, создавшего 750 тыс. твит-профилей

Как обнаружили эксперты Symantec, некий спамер-одиночка создал в Twitter около 750 тыс. фиктивных аккаунтов и с их помощью больше года распространял в микроблогах партнерскую рекламу зеленого кофе как средства для похудания. Примечательно, что он отвел этим профилям разные роли: одни имитировали известных персон и новостные брэнды, публикуя спам-твиты с убедительными фото и короткой ссылкой; другие подхватывали и популяризировали эти сообщения, третьи искусственно вздували читательскую аудиторию.

Исследователи присвоили аккаунтам-марионеткам условные наименования Mockingbirds, Parrots и Eggs соответственно («пересмешники», «попугаи» и «яйца»); в последнем случае выбор имени был подсказан аватаром, который по умолчанию ассоциируется с профилем твиттерянина, если нет другой альтернативы. По свидетельству Symantec, в данной спам-кампании было задействовано менее 100 аккаунтов Mockingbirds, около 40 тыс. Parrots и свыше 700 тыс. Eggs.

Mockingbirds использовали имена известных новостных и развлекательных телеканалов (CNN, ABC, TMZ, MTV News, E! Online) или звезд реалити-шоу. Они публиковали 1-4 твита подряд, выжидали от 4 до 12 часов, а затем этот спам удаляли. Parrots отвечали Mockingbirds, восхваляя «волшебную диету», делали ретвиты и помещали спам-рекламу в избранное. Такие поддельные профили пестрели крадеными фотографиями знаменитостей и безвестных красоток, что, по словам экспертов, весьма эффективно привлекало реальных подписчиков; остальных читателей Parrots молчаливо представляли многочисленные «новички» – Eggs. Мошенническая схема, по оценке исследователей, помогала спамеру получать до $60 комиссионных за каждый пробный заказ зеленых кофе-бобов, оформленный с использованием кредитки.

Если операторы Twitter находили и блокировали аккаунт-источник или распространитель нелегитимной рекламы, спамер попросту переносил его функции в профиль другого ранга, превращая Parrot в Mockingbird, а Egg – в Parrot. Однако, невзирая на эти предосторожности, он допустил ряд ошибок, которые позволили его идентифицировать.

«Используемые домены не были зарегистрированы приватно, и потому реальное имя и адрес регистранта оказались в открытом доступе, – поясняет Сатнам Наранг, старший менеджер Symantec по реагированию на ИБ-инциденты. – Учетные записи Bitly, которые он использовал для создания коротких ссылок, оказались привязанными к его профилям в Twitter и на Facebook. Более того, один из Parrot-аккаунтов он использовал для личных нужд и заставил другие Parrots цитировать и помещать в закладки некоторые его твиты. Сложив все эти оплошности, мы смогли связать данную спам-операцию с конкретной персоной».

Symantec поделилась своими находками с Twitter, Bitly, Google и GoDaddy с тем, чтобы те смогли дезактивировать учетные записи, короткие ссылки и домены, связанные с этой спам-кампанией. Эксперты отмечают, что это не единственная криминальная операция такого рода, нелегитимная реклама разных диет на Instagram, Snapchat, Pinterest и Tumblr ежегодно приносит спамерским партнеркам порядка $2 млрд. дохода. Федеральная торговая комиссия США активно борется с онлайн-продажами зеленого кофе, эффективность которого для желающих похудеть давно опровергнута компетентными исследователями, и каждый раз взимает многомиллионные штрафы за обман потребителей.

Источник: Help Net Security

Изобретательные фишеры

Активисты Hoax Slayer обнаружили фишинговую рассылку, нацеленную на сбор двойного урожая – учетных данных пользователей почты My Virgin Media и платежных реквизитов PayPal.

Фальшивки написаны от имени британского интернет-провайдера Virgin Media и сообщают получателю о грядущем апгрейде системы платежей, якобы с тем, чтобы все счета были доступны и оплачивались онлайн. В связи с этим фишеры призывают потенциальную жертву обновить биллинговую информацию, чтобы избежать потери почтового аккаунта.

По свидетельству Hoax Slayer, активация внедренной в тело письма кнопки Sign in («зарегистрироваться») открывает поддельную страницу регистрации Virgin Media. После заполнения этой формы посетитель попадает на вторую страницу-ловушку, где ему предлагают привязать свой аккаунт PayPal к Virgin Media. Здесь требуется ввести не только идентификаторы к PayPal, но также все данные банковской карты, включая PIN-код. Если жертва заполнит и эту форму, ее для отвода глаз перенаправляют на оригинальный сайт Virgin Media.

Британский провайдер опубликовал на своем сайте предупреждение о новой фишинговой рассылке. В случае получения такого письма пользователям не рекомендуют переходить по указанной в нем ссылке либо отвечать фишерам.

Источник: Hoax Slayer

Бэкдор грозит судом и мониторит HTTPS-трафик

Анализируя недавнюю вредоносную рассылку, ориентированную на франкоязычных пользователей, эксперты Trend Micro обнаружили не совсем обычный вариант бэкдора, который они называют GootKit. Помимо выполнения уже известных функций, зловред использует команду RunVNC, видимо, чтобы обеспечить хозяевам непосредственный доступ к зараженной машине, а также способен мониторить шифрованный трафик подобно Superfish – путем установки нового корневого удостоверяющего центра.

Вредоносные сообщения, о которых идет речь, написаны на удивление грамотно и не содержат даже опечаток. Спамеры извещают получателя о грядущей реквизиции его имущества, якобы в погашение долга, и предлагают ознакомиться с постановлением суда, открыв вложение copy du jugement.doc. По свидетельству Trend Micro, при активации этот «документ» для отвода глаз подгружает изображение из хранилища savepic.su, однако основным его назначением является запуск внедренного макроса.

Примечательно, что на маскировочной картинке представлена давняя фотокопия подлинного письма министерства юстиции Франции, которым оно, согласно принятой практике, обычно выражает свой отказ от вмешательства в дела, уже переданные в суд. Не исключено, что эта копия была когда-то похищена из скомпрометированной системы или почтового ящика.

Исследователям удалось определить, что за два мартовских дня это изображение было скачано и просмотрено более 1,7 тыс. раз. Как позднее выяснилось, аналогичные спам-атаки проводились и против жителей других стран, в частности, Италии. При этом картинки-заставки всегда загружались с одного и того же ресурса, savepic.su. Статистика показала, что каждое из них было просмотрено от 1,7 тыс. до 10 тыс. раз. Судя по почтовым адресам, GootKit-спам атаковал как корпоративных, так и индивидуальных пользователей.

Сам процесс заражения, на который нацелены все эти спам-рассылки, проходит в несколько этапов. После активации внедренный в документ Word макрос загружает и запускает на исполнение загрузчик. Для этого создается Application Compatibility Database – sdb-файл с информацией о совместимости программы в Windows и готовым патчем, который устанавливается с помощью команды sdbinst. Затем через параметр командной строки issdb запускается процесс еxplorer.exe, оболочка совместимости (shim) вносит исправление в загрузчик, после чего пропатченный код сразу выполняется. Аналогичным образом патчатся и другие процессы.

Целевой зловред загружается на машину жертвы со стороннего сервера как node32.dll.rk или node64.dll.rk, в зависимости от версии ОС. Примечательно, что обращение к этому серверу происходит по HTTPS, для этого злоумышленники используют самоподписанный сертификат. При запуске GootKit устанавливает соединение с командным сервером по другому URL, однако этот C&C, по свидетельству Trend Micro, размещен на том же IP-адресе, что и сервер загрузки.

Самым интересным моментом оказался способ, которым бэкдор обеспечивает возможность проведения MitM-атак на защищенный трафик. Он просто берет произвольный (легальный) корневой сертификат, присутствующий в зараженной системе, и создает дубликат, присваивая ему такое же имя. Тем не менее, при сопоставлении клона с оригиналом исследователи все же нашли два отличия: срок действия поддельного сертификата заканчивается в 2020 году, а длина его RSA-ключа – лишь 1024 бит.

Более продолжительный мониторинг показал, что злоумышленники используют вредоносный дроппер не только для загрузки GootKit, но также для распространения блокера CryptoWall и банковских троянцев.

Источник: Help Net Security




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное