Электронный журнал "Спамтест" No. 552 В этом номере: Новости Новости CYREN о спаме по итогам 2014 года Согласно статистике CYREN, дневная норма почтового мусора за минувший год сократилась почти на 30%, с 78,2 до 54,6 млрд. Самым урожайным месяцем оказался август, когда эксперты фиксировали в среднем 107,9 млрд. спам-писем в сутки, самым спокойным – май (27,8 млрд./сутки). Основной тематической категорией нелегитимных сообщений являлась реклама фармацевтических препаратов, на долю которой в 2014 году, по данным CYREN, пришлось 42,32% спама. Предложения трудоустройства составили 23,36% спам-потока, «биржевой» спам – 11,68%, реклама диет 8,76%. Хотя поток нелегитимных сообщений уменьшился, исследователи отмечают, что почтовые каналы остаются основным вектором атак злоумышленников. Так, количество фишинговых URL, фиксируемых исследователями, за год увеличилось на 233%, до 2,5 млн. На фишинг в отчетный период пришлось 5,84% спама; наиболее популярными брэндами у фишеров являлись PayPal, Apple и Google. В прошлом году CYREN также обнаружила 1,06 млн. вредоносных URL, что на 159% больше, чем в предыдущем году. Среднесуточная норма писем с вредоносными вложениями выросла в полтора раза, с 1,69 до 2.5 млн. Самая масштабная вредоносная кампания наблюдалась в декабре, с двумя пиками по 10,7 млрд. писем с аттачами в сутки. В первом и втором квартале распространители Zbot и Dridex начали впервые экспериментировать с макросами Microsoft Office и к концу года поставили эту несколько подзабытую технику на поток. В начале ноября CYREN отметила мощный всплеск вредоносного спама, свыше 3,02 млрд. писем в сутки, использующего макросы Office для раздачи обновленных репаков (VBA-версий) банковских троянцев. В следующем месяце эти спам-атаки продолжились, эксперты фиксировали до 1,2 млрд. вредоносных макросов в сутки. Представленная в годовом отчете статистика основана на результатах анализа более 5 трлн. транзакций, зарегистрированных в прошлом году по пользовательской базе CYREN. На настоящий момент ее численность, по оценке компании, превышает 600 млн. Источник: CYREN Банкер Dridex распространяется через макросы в XML-файлах С недавних пор распространители банковского троянца Dridex взяли на вооружение макросы Microsoft Office и вначале часто использовали документы Excel как приманку, чтобы вынудить получателя вредоносного письма загрузить зловреда. Хотя Microsoft по умолчанию отключила использование макросов еще в 2007 году, злоумышленники продолжают эксплуатировать эту возможность и на сей раз остановили свой выбор на XML-формате. За несколько мартовских дней на ловушки Trustwave попало несколько сотен спам-сообщений, использующих элементы социальной инженерии с целью убедить получателя, что вредоносное XML-вложение – вполне безобидный текстовый файл. Во всех случаях вредоносные письма были оформлены как извещение о платеже, а вложение на самом деле представляло собой документ Microsoft Word с вредоносным макросом, подвергнутый сжатию и шифрованию по base64, а затем сохраненный в XML-формате. «XML-файлы – это давно устоявшийся бинарный формат для документов Office, – поясняет Карл Сиглер (Karl Sigler), менеджер Trustwave по сбору информации об интернет-угрозах. – Если в данном случае открыть его двойным нажатием кнопки мыши, произойдет автоматический запуск приложения Word и макросов, если пользователь ненароком их включил». Для большей надежности злоумышленники внедрили также функцию всплывающего окна с инструкциями по включению макросов Office – якобы в обеспечение корректного отображения «отчета о платеже» или для пущей безопасности. «Что в действительности приводит к обратному эффекту, – добавил Сиглер. – На деле все не так сложно, как кажется. Злоумышленники рассчитывают на слепое доверие пользователя к XML-файлам или на его незнакомство с этим расширением». Если пользователь поддался на приманку и запустил даунлоадер, загружающий Dridex, итоговый зловред выполняет функции обычного банковского троянца. Он фиксирует заход жертвы в систему онлайн-банкинга и осуществляет инъекцию в HTML-код веб-сайта, чтобы украсть ключи к банковскому счету. По словам Сиглера, им впервые встречается XML-документ в качестве приманки. «В крупных организациях местным администраторам иногда дозволено включать макросы, – комментирует Сиглер. – Некоторые широко пользуются этой возможностью, но скорее как исключение, чем как правило. В большинстве случаев используются дефолтные настройки. Трудно сказать, почему в данном случае злоумышленники отдали предпочтение XML. Может быть, они ищут новый вектор для атак, так как поддельные документы Excel оказались малоэффективными. Возможно также, что потенциальные жертвы не готовы включать макросы по их подсказке, и атакующие просто ищут способ повысить отклик». Банкер Dridex является преемником Cridex, некоторые эксперты относят его к тому же семейству, что и GameOver/ZeuS. Последний успешно использовался киберкриминалом на протяжении нескольких лет в разных мошеннических схемах. Последняя крупная спам-кампания, нацеленная на распространение Dridex, была ориентирована на клиентов британских банков. Отдельные всплески спама с вредоносными макросами были замечены еще в минувшем октябре; поддельные спам-письма, имитирующие извещение о платежах от компаний разного профиля, распространялись солидным тиражом вплоть до середины декабря. Источник: Threatpost В Канаде выписан первый штраф за нарушение закона о спаме Канадская компания Compu-Finder, специалист по корпоративному обучению, оштрафована на $1,1 млн. за рассылку рекламных писем без согласия получателей. Это первый штраф, наложенный Комиссией по радио/телевещанию и телекоммуникациям (Canadian Radio-television and Telecommunications Commission, CRTC) в рамках CASL – закона о спаме, вступившего в силу на территории страны в минувшем июле. У штрафника есть месяц, чтобы оспорить постановление канадского регулятора. «Они не предприняли никаких усилий, чтобы поменять практику ведения бизнеса, – отметила Манон Бомбардье (Manon Bombardier), директор CRTC по надзору за соблюдением и исполнением канадского законодательства. – Пользователи отписывались от email-рассылок, но все равно продолжали их получать; некоторые даже обращались в компанию с заявлением: «Я отказался от рассылки, но все равно продолжаю получать письма», однако это не помогло». Compu-Finder вменяются как минимум четыре эпизода рассылки с нарушением требований CASL за период с июля по сентябрь. Компания получила предварительное уведомление от CRTC и дополнительное время на приведение маркетинговой деятельности в соответствие законодательству, однако никаких мер для исправления ситуации не приняла. Как оказалось, правонарушитель давно практикует агрессивные методы маркетинга – с 2008 года, однако призвать его к ответу стало возможным лишь с принятием закона о спаме. Напомним, согласно CASL, потолок штрафов за несоблюдение его требований для юридических лиц составляет 10 млн. канадских долларов. По словам Бомбардье, с момента введения в силу антиспам-законодательства CRTC получила свыше 245 тыс. жалоб на нарушение CASL; этот поток и по сей день велик, в среднем 1 тыс. заявлений в сутки. Источник: CBC News В США судят спамеров, укравших базы у email-провайдеров Окружной суд штата Джорджия заслушал обвинения, выдвинутые американскими властями против двух граждан Вьетнама, которые подозреваются в краже более 1 млрд. email-адресов из клиентских баз почтовых провайдеров с целью рассылки заказной спам-рекламы. Несколькими днями ранее большое жюри федерального суда утвердило обвинительный акт в отношении канадского подданного, помогавшего вьетнамцам монетизировать спам-рассылки. Согласно материалам дела, в период с февраля 2009 по июнь 2012 гг. вьетнамец Вьет Куок Нгуен (Viet Quoc Nguyen), проживавший в Нидерландах, проник в сети как минимум восьми действующих на территории США email-провайдеров и украл конфиденциальную информацию, в том числе базы клиентов, предназначенные для маркетинговых рассылок, – совокупно более 1 млрд. почтовых адресов. Эти данные Нгуен и его сообщник Зянг Хоанг Ву (Giang Hoang Vu), также житель Голландии, использовали для распространения рекламного спама на десятки миллионов почтовых ящиков. Эта утечка считается крупнейшей в истории американского интернета, в июне 2011 года она даже послужила поводом для особого запроса в конгрессе. Давид-Мануэль да Силва (David-Manuel Santos Da Silva), совладелец и президент канадской компании 21 Celsius Inc., а также оператор ее сайта Marketbay.com, заключил со спамерами партнерское соглашение и выплачивал им комиссионные за продвижение сомнительных товаров – например, платных копий продуктов Adobe. По предварительным оценкам, в период с мая 2009 г. по октябрь 2011 г. Нгуен и да Силва выручили около $2 млн. за товары, проданные благодаря спам-рассылкам. Согласно обвинительному заключению, Нгуен получал доступ к интересующей его информации разными методами, в том числе атаковал служащих маркетинговых компаний вредоносными письмами. Целевые рассылки позволяли ему устанавливать на компьютеры бэкдор и впоследствии выкачивать данные на голландский веб-сервер. Более того, получив контроль над корпоративным компьютером, вьетнамец использовал его для рассылки рекламного спама. ФБР расследовало это громкое дело на протяжении нескольких лет. В расследовании также приняли участие Секретная служба США, спецотдел Налоговой службы и правоохранительные органы Нидерландов. В августе 2012 года на территории этой европейской страны были проведены обыски, благодаря чему с утечками было покончено. Тогда же был арестован Ву и спустя два неполных года препровожден в США. В минувшем феврале спамер признался в преступном сговоре и компьютерном мошенничестве. Приговор ему будет вынесен в конце апреля. Да Силва был задержан в прошлом месяце на территории аэропорта Флориды. На днях ему предъявили обвинения в преступном сговоре и отмывании денег. Нгуен пока не пойман. Источник: US Department of Justice Спамеры раздают Cryptowall в CHM-формате Эксперты румынской ИБ-компании Bitdefender обнаружили новую спам-рассылку, нацеленную на распространение мощного блокера-шифровальщика Cryptowall. На сей раз вымогатели избрали не совсем обычный формат для вредоносного файла – CHM (Compiled HTML Help), чтобы свести к минимуму необходимое взаимодействие с потенциальной жертвой и повысить вероятность заражения. Дело в том, что CHM (Compiled HTML Help), разработанный Microsoft формат файлов контекстной справки, позволяет автоматически запускать содержимое при открытии файла. Такие файлы обычно содержат набор html-документов, изображений, JavaScript, подвергнутых сжатию. Они могут также включать содержание с гиперссылками, индекс ключевых слов или базу для полнотекстового поиска по содержимому страниц. «Эти файлы в высокой степени интерактивны и используют ряд технологий, включая JavaScript, который может перенаправить пользователя по внешней ссылке сразу после открытия CHM, – поясняет главный ИБ-стратег Bitdefender Каталин Косой (Catalin Cosoi). – Злоумышленники начали использовать chm-файлы для автоматического запуска вредоносного кода, который происходит при их открытии. В этом есть здравый смысл: чем меньше взаимодействия с пользователем, тем выше шанс заражения». Вредоносные сообщения, обнаруженные Bitdefender, имитируют уведомление о входящем факсе, в поле From: заголовка подставлен тот же домен, в котором размещен компьютер потенциальной жертвы. По всей видимости, данная спам-рассылка ориентирована на корпоративных служащих, ведь для организаций потеря доступа к важным данным грозит нарушением рабочих процессов, и вероятность уплаты выкупа за расшифровку файлов в таких случаях весьма высока. Исследователи наблюдают новую Cryptowall-кампанию с прошлого месяца; вредоносные письма замечены на территории разных стран, в том числе в Великобритании, США, Нидерландах, Дании, Швеции, Словакии и Австрии. Насколько удалось определить, вредоносный спам распространяется с серверов Вьетнама, Индии, Австралии, США, Румынии и Испании. Источник: Help Net Security Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013