Электронный журнал "Спамтест" No. 556 В этом номере: Новости Записки спам-аналитиков Объявление Уважаемые читатели, сейчас мы изучаем вопрос частичного дублирования содержимого рассылки на наших тематических веб-сайтах, Securelist.ru и Threatpost.ru. В связи с этим просим вас принять участие в небольшом анонимном опросе http://poll.fm/581cx. Новости Трудный выбор: отдать миллион или сидеть еще 4 года Два года назад проживающий в Великобритании нигериец Рилван Ошоди (Rilwan Adesegun Oshodi) был приговорен к 8 годам лишения свободы за организацию мошеннической схемы отъема денег с банковских счетов с помощью краденых реквизитов. Ему также был назначен штраф в размере 1 млн. фунтов стерлингов (около $1,5 млн.) в возмещение ущерба, причиненного противозаконными действиями его группировки. Ныне британский суд продлил осужденному срок уплаты штрафа еще на полгода, в противном случае его заключение будет продлено еще на 4 года. Согласно материалам дела, интернациональная преступная группа, возглавляемая Ошоди, два года грабила клиентов британских банков, покупая реквизиты счетов и кредитных карт у профессионального фишера из Египта. Расследование деятельности данной группировки было начато по жалобе британской подданной, проживавшей на тот момент в ЮАР. В конце 2011 года она получила по электронной почте письмо, имитирующее извещение от ее банка. Недолго думая, женщина прошла по указанной ссылке на (поддельную) страницу и ввела на ней свои данные. Купив эту информацию у фишера, мошенники смогли изменить номер мобильного телефона, привязанный к аккаунту жертвы в банке Santander, и за 36 часов беспрепятственно вывести более £1 млн. на 64 подставных счета, открытых дропами-наемниками в разных банках. Как оказалось, большую часть награбленного мошенники обналичили и спустили за 3 дня новогоднего шопинга, скупая все подряд, от шампанского и чизбургеров до золота и дорогой электроники. Расследование показало, что заходы в аккаунт жертвы сообщники осуществляли через голландскую VPN-сеть, а также через ряд скомпрометированных британских компьютеров, работавших как прокси. Однако один раз Ошоди совершил ошибку, засветив в транзакциях свой ПК, и это дало киберкопам необходимую зацепку. Нигериец был арестован вместе со своей сообщницей, уроженкой Сьерра-Леоне, которая звонила в Santander от имени жертвы, чтобы произвести замену мобильного номера. При обыске у Ошоди были изъяты компьютеры, на которых хранились реквизиты 11 тыс. кредитных карт и регистрационные данные их владельцев. Потенциальные потери по этим счетам, открытым в 20 британских и американских банках, могли бы в совокупности составить £2,5 млн. Полицейские нашли также поддельные удостоверения личности и готовые инструменты для проведения фишинговых атак, которыми главарь преступной группы запасся, видимо, с целью расширить свои операции и исключить продавцов-посредников. Кроме того, британским киберкопам удалось идентифицировать более 100 счетов, открытых дропами в разных банках с целью вывода краденых денег. Как оказалось, Ошоди ранее уже был судим за мошенничество, получил полтора года, по выходе на свободу дал подписку о невыезде и скрылся, так как ему грозила депортация. По сохранившимся на его компьютере записям чатов была установлена личность фишера, у которого Ошоди регулярно покупал краденую информацию. Египтянин был задержан в сентябре 2012 года, когда прилетел в Великобританию с частным визитом. Впоследствии выяснилось, что заморский гость занимался не только фишингом, используя готовые инструменты для таких атак и кейлоггеры, но также использовал сканеры уязвимостей с целью взлома чужих баз и сбора почтовых адресов. На веб-сервере, поднятом фишером в зарегистрированном им ирландском домене, была обнаружена обширная база краденых данных, 66 фиш-паков, поддельные страницы и отчеты об успешности противозаконных email-кампаний. Другие сообщники были также задержаны в 2012 году в ходе скоординированных полицейских рейдов. Участникам преступной группы были предъявлены обвинения в преступном сговоре, мошенничестве и отмывании денег. В итоге низовые исполнители (дропы) получили по 1 году или немногим больше, подружка Ошоди – 4 года, египетский фишер – 6 лет. Источник: The Register Обновление Dyre обошлось жертвам в миллион За первые три месяца текущего года троянец Dyre резко поднялся ввысь в иерархии финансовых зловредов. Недавно злоумышленники из Восточной Европы, распространяющие Dyreza/Dyre, добавили в свой арсенал еще один элемент социальной инженерии – учредили колл-центр, чтобы выуживать у жертв пароли и одноразовые коды транзакций в обход систем двухфакторной аутентификации. Новый трюк обнаружили исследователи из IBM, которые уже зафиксировали ряд мошеннических транзакций, осуществляемых с помощью этого нововведения. По их оценке, расширение мошеннической схемы за счет ввода в строй подставного колл-центра уже принесло операторам Dyre более 1 млн. долларов. «Они, действительно, радикально изменили подход и технологию в первом квартале», – комментирует Джон Кун (John Kuhn), старший вирусный аналитик из подразделения управляемых услуг IBM по обеспечению информационной безопасности. Помимо новой социально-инженерной уловки, операторы Dyre теперь применяют DDoS в качестве дымовой завесы, позволяющей опустошить солидный счет буквально за секунды. DDoS-атака против банка или его корпоративного клиента служит отвлекающим маневром и помогает злоумышленникам беспрепятственно совершать кражи. С конца прошлого года популяция Dyre, по свидетельству Куна, возросла почти на порядок, счет детектов пошел уже на тысячи. «Добыча паролей с помощью колл-центра – это весьма смелое нововведение», – констатирует эксперт. Опрошенные IBM жертвы-американцы утверждают, что отвечающие на звонки мошенники хорошо говорят по-английски и не дают ни малейшего повода заподозрить обман. Маскировочные DDoS, по словам Куна, применяются избирательно, лишь в тех случаях, когда мошенники выводят большие суммы. «Чтобы выиграть время при отъеме денег, они проводят против целевой организации мощную DDoS-атаку по методу отражения, – поясняет Кун. – Их цель – отвлечь ресурсы [во время мошеннической транзакции] или вызвать их истощение, чтобы жертва не смогла вновь зайти в банковский аккаунт». Троянец Dyre существует в Сети около года и уже причинил много неприятностей, причем не только финансовым организациям. Он был замечен в краже учетных данных Salesforce.com, а также в использовании Windows-эксплойта против той же уязвимости, которую атаковала APT-группа Sandworm. По схеме заражения Dyre мало отличается от других банкеров, таких как ZeuS и его итерации. Он обычно распространяется через ссылки или вложения в целевых фишинговых письмах, предназначенных определенному служащему или группе служащих в организации. В случае успеха на машину жертвы вначале устанавливается даунлоадер Upatre, который открывает бэкдор и загружает Dyre. Вооруженный веб-инжектами для сотен банков троянец отслеживает заходы жертвы в корпоративный банковский аккаунт и отображает ей сообщение о проблеме, предлагая позвонить по бесплатному номеру. С помощью социальной инженерии злоумышленники выуживают у жертвы информацию, позволяющую обойти меры против мошенничества, введенные банком. После этого они выводят деньги на сторонние счета – под прикрытием DDoS-атаки, если суммы достаточно велики. IBM также отметила, что операторы Dyre заботятся о сохранении жизнеспособности операций, приносящих им миллионы. «Мы отслеживаем сэмплы Upatre, которые множатся с частотой 10-20 в сутки или даже больше; злоумышленники постоянно его переписывают и видоизменяют, чтобы уберечь от детектирования, – комментирует Кун. – У них, видимо, хорошая техподдержка, которая ведет всесторонний учет. Эта практика себя оправдывает, помогая им доставлять Upatre в обход периметровой защиты». Согласно наблюдениям IBM, с начала года код Upatre уже несколько раз подвергался пересмотру. «В некоторых случаях код был полностью переписан, – пишет Кун. – Мы подвергаем код обратному инжинирингу, и иногда он совсем иной. Они постоянно меняют имена, хэши, способ сжатия, даже иконку вложения. Жертве предлагается исполняемый .scr, однако иконка уверяет, что это PDF-файл». Статистика IBM показывает, что Dyre – самый плодовитый из современных банкеров, по популяции он обогнал Neverquest, Bugat, ZeuS и пару бразильских троянцев. И число таких заражений продолжает расти, особенно в Северной Америке, где детектов Dyre почти в два раза больше, чем в Европе. «Предложение позвонить и DDoS-атаки – это разительные перемены, – заключает Кун. – Не знаю, есть ли еще какая-либо кампания или троянец, которые бы атаковали бизнес-структуры, а не индивидуальных пользователей. Эти злоумышленники охотятся за большими деньгами, и весьма успешно». Источник: Threatpost В США заработал трекер деятельности скамеров Ассоциация частных предприятий в США и Канаде по совершенствованию деловой практики (Better Business Bureau, BBB) запустила для американцев новый информационный ресурс о мошенничестве – Scam Tracker. Помимо информации о разновидностях таких преступлений, обычной для просветительских сайтов, здесь представлена интерактивная карта текущей статистики. Выбрав любой штат на карте, посетитель может ознакомиться со списком видов мошенничества, которые актуальны для этой местности на данный момент, и по каждому получить подробности. На Scam Tracker также реализована возможность поиска по отдельным параметрам: по названию в соответствии с принятой классификацией, типу (кредитные карты, правительственные гранты, поддельные чеки и т.п.), конкретному штату, общей сумме потерь и отчетному периоду. В соответствии с принятой практикой новый ИБ-сайт предоставляет пользователям удобный инструмент для подачи сообщений о правонарушениях – через кнопку Report a Scam. Источник: Hoax-Slayer Записки спам-аналитиков Доставим вирус в любую точку земного шара Татьяна Щербакова, эксперт «Лаборатории Касперского» В последнее время мы фиксируем в спам-трафике резкий рост числа вредоносных рассылок, содержащих макровирусы. Их авторы распространяют сообщения от имени крупных организаций, магазинов, сервисов и т.д., а также маскируют вложения под различные финансовые документы. В марте злоумышленники рассылали поддельные вредоносные сообщения от имени международных служб доставки. В письме на английском языке получателя информировали, что курьер компании не смог доставить отправление из-за неверного почтового индекса, и для того, чтобы назначить повторную доставку, необходимо распечатать вложенный в письмо файл. У пользователя файл с расширением .doc, скорее всего, не вызовет никаких подозрений, однако именно такие файлы (как и .xls) часто используются злоумышленниками для распространения так называемых макровирусов – вредоносных скриптов, вставленных в файл как макрос. В рассматриваемой рассылке вложенный документ содержал загрузчик Trojan-Downloader.MSWord.Agent.hb, который скачивал и запускал троянца Trojan.Win32.Yakes.kfhc. Большинство писем с макровирусами написаны на английском языке, однако встречались и рассылки, нацеленные на русскоговорящих пользователей. Письма также написаны от имени службы доставки, но адрес отправителя, зарегистрированный на сервисе бесплатной почты, сразу выдавал подделку. Файл во вложении детектируется "Лабораторий Касперского" как Trojan-Downloader.MSWord.Agent.hd, задачей этого зловреда также является скачивание и запуск другого вредоносного ПО. Для современных антивирусов детектирование макровирусов не является проблемой, и злоумышленники надеются именно на невнимательность и незащищенность самих пользователей. Многие не знают, что макрос, написанный на специальном языке VBA и встроенный в документ Word или Excel, обладает функциями обычной программы и может использоваться в преступных целях. Поэтому необходимо не только пользоваться антивирусным ПО и проверять подозрительные файлы, но и с осторожностью относится к вложениям, рассылаемым по электронной почте. Примеры спамовых писем смотрите на сайте Securelist.ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013