Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 558

В этом номере:


Новости

Dyre сменил дроппер и грузится по HTTPS

По свидетельству ThreatTrack Security, операторы банковского троянца Dyre, он же Dyreza, изменили Upatre и используют другой даунлоудер, известный как Ruckguv. Примечательно, что код Ruckguv при этом подписан действующим сертификатом, а загрузка банкера из интернета осуществляется с использованием защищенного HTTPS-протокола.

В настоящее время Ruckguv активно раздается с хостинг-сайтов и файлообменников посредством URL-спама. После активации на зараженной машине он внедряет свою .dll в запущенный процесс svchost.exe, а затем устанавливает HTTPS-соединение для загрузки Dyre со скомпрометированного ресурса. Эксперты отмечают, что использование HTTPS повышает шансы на доставку целевого зловреда, так как защищенные соединения обычно мониторятся реже, чем обычные HTTP.

Для подписи Ruckguv злоумышленники используют сертификат некой компании KONSALTING PLYUS OOO. Юридические компании с таким именем, действительно, существуют, если верить поисковой выдаче Google. Некоторые из них зарегистрированы в России («ООО» – все-таки русскоязычная аббревиатура), однако нет гарантии, что используемый в данном случае сертификат не подделка. Настораживает также тот факт, что указанная дата выдачи сертификата совсем свежая, 4/17/2015.

Источник: ThreatTrack Security

Steam встанет спамерам в копеечку

Корпорация Valve сократила функциональность учетных записей Steam, владельцы которых потратили менее 5 долларов на этой платформе. Новая политика доступа в социальном сообществе геймеров была введена для ограничения спама и фишинга на этом веб-сервисе.

«Злоумышленники часто пользуются возможностями комьюнити, создавая учетные записи и не вкладывая ни цента, чтобы сократить индивидуальные риски, связанные с противоправной деятельностью, – поясняют представители Valve на сайте техподдержки Steam. – Различать законопослушных и злонамеренных пользователей лучше всего по их поведению в отношении расходов, так как последние обычно не тратят деньги, чтобы обеспечить долговечность своим аккаунтам. Поскольку это распространенный тренд, мы решили ограничить доступ к некоторым функциям комьюнити, пока владелец Steam-аккаунта не потратит как минимум 5 долларов на этой платформе».

Раскошелившись в Steam-магазине или купив специальную карту для Steam-кошелька, владелец учетной записи сможет полноценно использовать возможности игровой платформы, а именно:

  • рассылать приглашения друзьям,
  • открыть групповой чат,
  • участвовать в голосовании на Greenlight (выбор игр), Steam Reviews (отзывы о товарах) и Workshop (мастерские дополнений к играм);
  • проводить сделки на торговой площадке Steam,
  • стать постоянным участником форумов Steam,
  • повышать уровень своего профиля (сброшенного до 0) и зарабатывать коллекционные карточки Steam (Trading Cards),
  • загружать контент на Steam Workshop,
  • участвовать в обсуждении контента, выложенного на Steam Workshop;
  • использовать веб-API Steam,
  • использовать браузерный и мобильный чат.

Ограничение бесплатного доступа – не единственная инновация для повышения безопасности Steam. Неделю назад Valve запустила бета-тестирование новой системы двухфакторной аутентификации, предусматривающей отправку одноразовых паролей на мобильный телефон. После испытания в полевых условиях эта опция будет доступна всем участникам Steam-сообщества.

Источник: Gamespot

Upatre отказался от HTTP, отдав предпочтение SSL

За последний месяц эксперты Talos Group (подразделение Cisco) зафиксировали не менее 15 уникальных спам-кампаний, нацеленных на засев даунлоудера Upatre. По свидетельству Talos, авторы этих вредоносных рассылок используют разные адреса отправителя, темы и имена вложений, однако полезная нагрузка при этом остается неизменной. Тем не менее, с середины апреля злоумышленники вновь обновили Upatre, как это не раз уже было: зловред обрел менее приметный пользовательский агент и стал использовать SSL-шифрование для всех коммуникаций с C&C-сервером.

Примечательно, что все Upatre-рассылки, обнаруженные Talos, очень коротки, продолжительностью не более двух суток. Многие из этих вредоносных писем имитируют стандартный ответ на коммерческое предложение или смету и распространяются с именных адресов, скорее всего, скомпрометированных. Имя вложенного ZIP- или RAR-архива соответствует заявленной теме. Он содержит исполняемый файл, замаскированный под PDF-документ и снабженный соответствующей иконкой.

При открытии этого файла на машину жертвы загружается и отображается реальный PDF-документ, используемый для отвода глаз, пока в фоновом режиме происходит установка Upatre. По свидетельству экспертов, до 17 марта атакующие использовали с этой целью старую публикацию о виагре, которую на тот момент собирались лицензировать в Великобритании. Позднее загрузку зловреда стала маскировать прокламация против американских боевых дронов.

С апреля вредоносный архив сменил формат на RAR и стал раздаваться запароленным, с паролем в теле письма и ссылкой на соответствующий Windows-архиватор. Однако маскировочный документ и полезная нагрузка остались прежними.

При активации Upatre прежде всего устанавливает прописку IP-адреса жертвы с помощью публичного сервиса. Вначале это был checkip.dyndns.org, к середине апреля зловред стал использовать icanhazip.com. Затем он связывается с командным сервером и отправляет GET-запрос, содержащий дату заражения, страну происхождения, кодовый номер вредоносной кампании, имя хоста и версию ОС, используемую жертвой. Основной задачей Upatre является загрузка других зловредов; в большинстве случаев, зафиксированных Talos, это был банкер Dyre, он же Dyreza.

По свидетельству экспертов, до середины апреля почти весь обмен Upatre с C&C осуществлялся с помощью стандартного HTTP-протокола. Как исключение, зловред изредка использовал нестандартный HTTP-порт или применял SSL-шифрование. С появлением новой версии Upatre отслеживать его трафик стало намного сложнее: после идентификации IP и короткого обмена с C&C все коммуникации Upatre начали шифроваться в обязательном порядке. Даже загрузка маскировочного PDF-документа стала скрытной, а потом злоумышленники и вовсе отказались от этой уловки. По оценке Talos, на долю нешифрованных данных теперь приходится менее 1% трафика, которым зараженный хост обменивается с C&C-сервером.

Пользовательский агент Upatre тоже претерпел значительные изменения. Ранее, по данным Talos, он был нестандарным и потому весьма заметным. Вначале это были некие testupdate, onlyupdate и подобные им уникальные экземпляры, несколько месяцев назад появился Mazilla/5.0. Обновленный Upatre отказался от экзотики в пользу стандартизации и использует Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0, который вызывает меньше подозрений.

Источник: Cisco

В WhatsApp появилась функция «Пожаловаться на спам»

Если сообщение прислано с номера, отсутствующего в списке контактов, новый пользовательский интерфейс WhatsApp предоставляет получателю выбор: пожаловаться на спам и заблокировать номер или занести отправителя в телефонную книгу.

Как отмечает корреспондент Android Police, пользователи популярного мессенджера WhatsApp и ранее имели возможность блокировать незнакомые номера, с которых получали подозрительные ссылки или нежелательную рекламу. Если какого-то особо назойливого абонента блокировали несколько пользователей, его могли временно или даже постоянно изгнать с мобильного сервиса.

Тем не менее, эта услуга не позволяла указывать причину, по которой пользователь предпочел заблокировать тот или иной номер. Отныне WhatsApp сможет выявлять спамеров при содействии самих пользователей. Прежняя опция блокировки все еще присутствует в раскрывающемся меню в разделе More («Дополнительно») и отображается в беседе, если пользователь ответил незнакомцу, но не внес его в список контактов.

По данным Android Police, новый UI появился в одной из версий WhatsApp между 2.12.12 и 2.12.30, которые пока доступны лишь на самом сервисе или на APK Mirror. Текущая версия WhatsApp в официальном Play Store – 2.12.5, функция блокировки спама в ней отсутствует.

Источник: Android Police

Новый мошеннический ивент на Facebook

Используя функцию Facebook Event (Мероприятия), неизвестные злоумышленники продвигают возможность приобретения бесплатных билетов на авиарейсы компании Delta Air Lines. Активисты Hoax Slayer предупреждают, что это лишь очередная мошенническая схема, коих много в социальных сетях, и нацелена она на сбор персональных данных пользователей, а также на получение финансовой выгоды от привлечения посетителей на сомнительные партнерские сайты.

Аферисты утверждают, что, присоединившись к заявленному мероприятию Fly Delta («Летайте Delta»), фейсбукер якобы имеет шанс получить два бонусных билета от этой компании с порогом в 600 миль (965,4 км). Для этого потребуется не только присоединиться к «мероприятию», но и пригласить на него еще 300 участников, добавить комментарий и лишь после этого активировать ссылку Find Tickets («получить билеты»).

Претендента уверяют, что в результате всех этих действий он получит билеты в течение двух рабочих дней. Как оказалось, это пустое обещание, и те, кто поддастся на эту приманку, лишь помогут мошенникам распространять фальшивую весть и набить карман.

По свидетельству Hoax Slayer, при нажатии кнопки Find Tickets пользователь попадает на поддельную страницу Delta Air, где ему предлагают принять некое предложение, чтобы разблокировать доступ к бесплатным билетам. Если претендент согласен и активирует Confirm Tickets («подтвердить заявку»), ему предоставят выбор из нескольких «предложений». Все эти ссылки ведут на разные сайты, раздающие призы в обмен на участие в онлайн-опросе.

Эти ресурсы созданы исключительно для сбора персональной информации, которая впоследствии будет передана сторонним лицам, занимающимся маркетингом. После заполнения таких анкет фейсбукеры начнут получать рекламные звонки и письма, а если оставят свой мобильный номер, обретут подписку некоего «SMS-клуба», который начнет списывать с их счета по нескольку долларов за каждое присланное сообщение.

Сами организаторы мошеннического «мероприятия» будут получать комиссионные за каждый визит своих жертв на анкетные сайты. И сколько бы те ни участвовали в опросах, обещанных билетов они так и не получат.

Источник: Hoax Slayer


Записки спам-аналитиков

Спам стучится в ваш WhatsApp

Татьяна Щербакова,
эксперт «Лаборатории Касперского»

Традиционные предложения разослать рекламу по электронным ящикам и телефонам пользователей, приобрести базы электронных адресов и телефонных номеров, а также специальное программное обеспечение для осуществления рассылок по-прежнему часто попадаются нам в мусорном трафике. В то же время спамеры постоянно ищут новые пути для рекламы своих услуг и повышения количества заказов на нежелательные рассылки. Как следствие, мессенджеры WhatsApp и Viber, быстро завоёвывающие популярность у пользователей, все чаще упоминаются в спаме.

Чаще других такие упоминания встречаются в поддельных уведомлениях от WhatsApp и Viber, содержащих вредоносные ссылки и вложения, в указываемых спамерами контактах для обратной связи, а также в предложениях заказать рассылку спама на номера WhatsApp и Viber или приобрести специальное спамерское ПО. Кроме того, популярные мессенджеры в основном предназначены для пользователей смартфонов и планшетов и позволяют пересылать не только текстовые сообщения, но также изображения, видео и аудио – спамеры упоминают об этом в своих письмах для привлечения заказчиков.

В обнаруженных нами предложениях на английском языке в основном предлагается приобрести ПО для проведения рассылок. В письме содержатся детальное описание возможностей программ и контактные данные продавца.

В Рунете спамеры предлагали услуги по проведению рассылки по базе номеров WhatsApp и Viber. В сообщениях чаще использовался графический спам, а адреса его отправителей были зарегистрированы на сервисах бесплатной электронной почты. Кроме того, письма в основном рассылались от не внушающих доверия компаний, которые в качестве контактных данных указывали только телефоны и электронные адреса, опять же зарегистрированные на сервисах бесплатной почты.

Мы рекомендуем не пользоваться услугами компаний, рекламирующих свои товары и услуги при помощи спама, так как нет никакой гарантии, что их качество будет соответствовать обещаниям спамеров.

Примеры спамовых писем смотрите на сайте Securelist.ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное