Электронный журнал "Спамтест" No. 445 в этом номере: Новости Спам в октябре 2012 Новости Явление Koobface твиттерянам Panda Security предупреждает о новой спам-рассылке на Twitter, использующей элементы социальной инженерии для распространения червя Koobface, замаскированного под видеоплеер YouTube. Злоумышленники незатейливо предлагают твиттерянам посмотреть, как президент США наносит удар в челюсть обидчику-расисту. Прямое сообщение, рассчитанное на падких на сенсации простаков, снабжено ссылкой, открывающей поддельную страницу Facebook. Здесь посетителя обязывают ввести личные Twitter-идентификаторы, чтобы воспользоваться нужной программой. По свидетельству экспертов, эти данные попадут к злоумышленникам и позволят от имени жертвы рассылать аналогичные сообщения всем читателям ее микроблога. После ввода требуемой информации пользователя перенаправляют на сайт с “видеороликом”, оформленный в стиле Facebook. При этом ему вполне ожидаемо предлагают обновить “YouTube-плеер”, нажав кнопку “Install” (на самом деле YouTube использует преимущественно Adobe Flash). При ее активации на компьютер пользователя загружается зловред, которого Panda детектирует как вариант Koobface – червя, питающего слабость к социальным сетям. Число жертв текущей спам-кампании, по оценкам экспертов, уже составило около 2 тыс.; в основном, это шведы и британцы. Ботнет, построенный на основе Koobface, затих еще в январе и с тех пор был практически незаметен. Очевидно, что после громких публикаций, открывших связанные с ним имена, ботоводы решили на какое-то время лечь на дно, чтобы не дразнить гусей. Появление червя в Twitter после долгого молчания еще раз свидетельствует о том, что 99% ссылок на провокационные материалы, распространяемых в этой доверенной среде, являются опасными ловушками. В подобных случаях эксперты рекомендуют обязательно удостовериться в том, что автор сенсационного сообщения отправил его по своей воле, а не с подачи автомата. Источник: pandalabs.pandasecurity.com Источник: pandalabs.pandasecurity.com Источник: theregister.co.uk Пойманы вымогатели, рассылавшие SMS-спам С подачи отдела "К" ГУ МВД РФ по Волгоградской области арестованы два мошенника, распространявших по России тревожные текстовые сообщения с просьбой срочно пополнить счет на чужом телефоне. Отчаянный призыв "Мам кинь утром на Билайн (номер телефона) 950 рублей. Мне не звони. Позже объясню" способен вызвать искомую реакцию даже у самых осмотрительных абонентов. По оценкам полиции, за неполный год подозреваемые разослали свыше 2,6 млн. таких SMS. Если предположить, что на их удочку попадался каждый сотый получатель, жестокая схема могла за истекший период принести своим авторам около 25 млн. руб. Сумму, проставленную в SMS, – 950 руб. – мошенники выбрали не случайно: пополнить счет стороннего мобильного оператора можно, как правило, не более чем на 1 тыс. руб. Кроме того, если жертва, обнаружив обман, обратится в правоохранительные органы, хищение будет признано мелким (в пределах 1 тыс. руб.) и дело будет расследоваться в административном, а не в уголовном порядке. Расследование данного дела было начато в январе 2012 г. по жалобам нескольких жителей Волгограда. В его ходе было установлено, что мошеннические SMS-сообщения рассылаются из Пскова. Отыскав нужную квартиру, уже опустевшую, полицейские обнаружили в ней сотни SIM-карт и 19 мобильных телефонов, работающих на отправку SMS. Ковровые рассылки проводились с помощью специальной программы, в их обеспечение на телефоны заливались тысячи абонентских номеров. С каждой трубки в среднем отправлялось 12 текстовых сообщений в минуту. Несложно подсчитать, что весь программно-аппаратный комплекс работал с потенциальной производительностью 330 тыс. SMS в сутки. В результате оперативно-розыскных мероприятий киберкопам удалось установить личность обитателя “нехорошей” квартиры. Им оказался 36-летний житель Смоленска. В последний день октября подозреваемого и его 29-летнего брата задержали на территории Смоленской области. Как оказалось, оба они имеют судимость за имущественные преступления (покушение на собственность, т.е. кражи, грабежи, вымогательство, мошенничество). Новая схема обеспечила братьям-рецидивистам постоянный доход. Они снимали квартиры в разных регионах России, оставляли в них включенные телефоны и запускали соответствующее ПО. Телефонный номер, на который жертве предлагалось положить деньги, был зарегистрирован на подставное лицо. Соответствующая SIM-карта имела привязку к электронному кошельку, с которого мошенники осуществляли переводы на платежные онлайн-счета. Большая часть краденых капиталов впоследствии обналичивалась через банкоматы по поддельным картам, остальное шло на “развитие бизнеса”: оплату услуг сотовой связи, платежных систем и транзакций, закупку оборудования и SIM-карт. Во избежание обнаружения сообщники меняли SIM-карту, как только через нее проходило 30-60 тыс. рублей. Расследование показало, что от данной мошеннической схемы пострадали жители 25 российских регионов. Величина ущерба, причиненного действиями криминального дуэта, устанавливается. Задержанные направлены в Волгоград, где против них возбуждены уголовные дела по факту мошенничества (ч. 1 ст. 159 УК РФ). Источник: 34.mvd.ru Источник: 67.mvd.ru Детектор лжи на одной кнопке Группа американских исследователей создала плагин для Chrome, позволяющий автоматически распознавать в Gmail-почте цепочечные письма, непроверенные слухи, а также мошеннические и опасные сообщения, использующие провокационные темы. Большая часть этого почтового мусора распространяется из доверенных источников – присылается друзьями и родственниками, жаждущими поделиться “сенсацией” или тревожным слухом. Так называемые цепочечные письма вдобавок провоцируют получателя на пересылку сомнительного контента своим знакомым. В США героями досужих вымыслов часто становятся видные политические деятели или звезды шоу-бизнеса и спортивной арены. Популярной темой американских “уток”, лавиной распространяющихся по почтовым каналам, являются сказки про Обаму: президент вернул Аляску России, упразднил одну из ярчайших национальных традиций – установку рождественской елки перед Белым домом и т.п. Докопаться до истины всегда можно, посетив новостные сайты, специальные сервисы или заглянув в справочники, однако возбужденный пользователь подсознательно не хочет, чтобы их разубеждали. Он спешно нажимает кнопку “forward” и отправляет очередную легенду в долгое плавание по Сети. Спустить его на землю и пресечь спам-истерию могли бы более трезвомыслящие адресаты, но им жаль тратить время на раскопки. Для ускорения этого процесса и было написано новое расширение Chrome. Чтобы узнать реальное положение дел, достаточно нажать одну кнопку, и программа внесет поправки в открытое письмо или даст ссылку на более подробный и проверенный источник. Плагин, получивший название LazyTruth (“правда для ленивых”), проводит контент-анализ входящих сообщений на Gmail и проверяет их по базам PolitiFact и FactCheck.org – онлайн-проектов, специализирующихся на разоблачении мифов и опровержении ложных слухов. Цепочечные письма, по свидетельству разработчиков, объединяет обилие восклицательных знаков, ошибок в правописании и анонимность. В таком сообщении обязательно есть приписка: “это не розыгрыш” (this is not a hoax!!!!!!!!!). В дальнейшем авторы проекта планируют применить более тонкую настройку, учитывающую языковые различия в фразировке и национальный контекст. Аналогичные расширения будут написаны для других браузеров и почтовых сервисов. Создатели LazyTruth намерены продолжить исследование содержимого цепочечных писем, их эволюции и способов распространения, а также собрать статистику по срокам жизни этих писем в Сети, длине живых цепочек и активности их участников. Источник: niemanlab.org Опрос: SMS-спам в Великобритании и США Согласно результатам опросов, проведенных по заказу Cloudmark, за минувший год текстовый спам получали две трети британцев и американцев, использующие мобильные устройства для обмена SMS. Однако большинство таких корреспондентов не знают, как грамотно избавиться от непрошеных сообщений. Онлайн-опросы, спонсированные Cloudmark, были проведены в конце сентября. В них приняли участие 1164 жителя Великобритании в возрасте от 16 лет и 2475 граждан США 18 лет и старше. Из них в SMS-обмене регулярно участвуют 87% британцев и 72% американцев. Последние, судя по результатам опроса, довольно легкомысленно относятся к нелегитимным сообщениям: 14% опрошенных признались, что переходили по ссылкам, присланным в спаме, 9% звонили по указанному отправителем номеру. Особенно склонны рисковать молодые люди 18-34 лет, их показатели в полтора раза превысили средний уровень по всей выборке. На полученный спам 31% британцев и 41% американцев отвечают словом “STOP”, не осознавая, что тем самым подтверждают активность своего номера и провоцируют спамеров на дальнейшие рассылки. Лишь немногие знают (10% британцев и 15% американцев), что о таких случаях надо извещать оператора, пересылая непрошеные SMS на короткий номер 7726. Соответствующая служба международного альянса сотовой связи GSMA, запущенная на базе Cloudmark, позволяет провайдерам получать детализированные отчеты о спаме, оперативно блокировать номера злоумышленников и сдерживать их миграцию в мобильный сервис. Для удобства Cloudmark представила результаты опросов по США и Великобритании в графическом виде. Источник: cloudmark.com Источник: cloudmark.com Троянизированная MMS Компания Sophos предупреждает о масштабной вредоносной рассылке, замаскированной под уведомление от британского телеоператора Vodafone. Авторы спам-рассылки от имени Vodafone извещают получателя о том, что на его абонентский номер якобы пришла MMS. Картинку можно посмотреть, сохранив вложенный архив на компьютере. Для пущей убедительности в адресе отправителя проставлен домен Vodafone, хотя это, по словам экспертов, чистой воды подделка. В теле спам-письма даже указан конкретный номер, с которого прислана “MMS”, – разумеется, взятый с потолка. Троянский файл, скрытый в zip-вложении, снабжен двойным расширением .jpeg.exe. По всей видимости, такой трюк призван убедить получателя в том, что содержимым данного файла является jpeg-изображение. Возможно также, злоумышленники сделали ставку на тех пользователей Windows, которые выставили в свойствах папки “скрывать расширение”. Источник: nakedsecurity.sophos.com Спам в октябре 2012 Дарья Гудкова, "Лаборатория Касперского" Октябрь в цифрах Главные события месяца Письма с вредоносными вложениями. Продолжение истории Политический спам Праздники в спаме Географическое распределение источников спама Вредоносные вложения в почте Фишинг Заключение Октябрь в цифрах Доля спама в почтовом трафике по сравнению с сентябрем уменьшилась на 4,5% и составила в среднем 68%. Доля фишинговых писем в почтовом потоке по сравнению с сентябрем не изменилась и составила 0,03%. В октябре вредоносные файлы содержались в 3,25% всех электронных сообщений, что на 0,15% ниже показателя прошлого месяца. Главные события месяца Письма с вредоносными вложениями. Продолжение истории Доля спама продолжает падать, но количество спама с вредоносными вложениями и ссылками на вредоносные ресурсы остается весьма высоким. Много в мусорном трафике и мошеннических писем. В октябре спамеры продолжали активно использовать различные трюки для распространения вредоносных zip-файлов. На этот раз они рассылали письма, подделанные под официальные уведомления о штрафах за превышение скорости, а также уже встречавшиеся нам ранее подделки под сообщения о бронировании отелей и авиабилетов. Появился новый вариант фальшивых вредоносных сообщений о бронировании отелей. Ранее распространялись подделки под сообщения от booking.com на английском языке. Теперь под удар попала известная онлайн-служба резервирования отелей hotel.de, поддельные письма от которой рассылаются на английском и немецком языках. В письме с вложенным вредоносным zip-архивом предлагается подтвердить бронь в 5-звездочном отеле Brenner’s Park-Hotel & Spa в Баден-Бадене. В zip-архиве находится exe-файл, детектируемый «Лабораторией Касперского» как Trojan-Ransom.Win32.Gimemo.atjk. Чтобы нанести вред компьютеру пользователя, кроме фальшивых официальных уведомлений спамеры использовали и более личные темы. Например, злоумышленники рассылали поддельное приглашение на свадьбу, содержащее вредоносное вложение. Политический спам Осенью внимание мирового сообщества было направлено на главное политическое событие в США – выборы президента. В самый разгар предвыборной кампании спамеры предлагали пользователям высказать свое предположение о том, кто станет следующим президентом США, и стать обладателем подарочной карты Visa на 250 долларов. Ввод электронного адреса почты в соответствующем поле такого письма, скорее всего, приведет к тому, что адрес попадет в базу спамеров и будет использоваться для рассылки спам-сообщений самых различных тематик. Нами были замечены и другие рассылки, связанные с темой выборов. Среди них были как призывы поддержать одного из кандидатов, так и реклама пресловутых часов «как у президента». Кроме того, президентская тема использовалась, чтобы заманить пользователей на различные сайты. Пройдя по ссылке в данном письме, пользователь попадал на мошеннический сайт, где ему показывали видео про якобы легкий заработок в интернете. Конечно, никакого отношения к президенту видео не имело. Праздники в спаме Праздник Halloween, с размахом отмечающийся в Европе и Америке, в этом году не был обделен вниманием спамеров. Англоязычные письма пестрили различными предложениями к празднику, в их числе – реклама разнообразных именных сумок, дверных ковриков, фоторамок и футболок, светящихся в темноте. Активно используется тема праздников для рекламы всевозможных распродаж и скидок. На этот раз в честь Наlloween спамеры предлагали приобрести новые и подержанные машины от производителя со скидкой. Оформление рекламы не обошлось без светящейся тыквы и летучих мышей. Традиционно в октябре спамеры начинают напоминать пользователям о приближении зимних праздников. В этом году было зафиксировано множество рассылок на тему Нового года и Рождества, в которых предлагалось приобрести различные сладости, сувениры, билеты на новогодние экскурсии и многое другое. В «новогоднем» спаме товары рекламировались с учетом специфики рынка. Например, в ориентированном на российский рынок русскоязычном спаме предлагались миниатюрные валенки ручной работы, крепящиеся к поверхности при помощи магнита или подвески. Российским пользователям спамеры также предлагают изготовление искусственных интерьерных и уличных елок под заказ, а англоязычные покупатели к Рождеству могут купить жестяную банку и, соблюдая нехитрую инструкцию, вырастить зимнюю красавицу в домашних условиях. Географическое распределение источников спама Среди стран – источников спама, распространяемого по всему миру, как и в сентябре, лидируют Китай (30,7%) и США (27,3%). Из этих двух стран рассылается около 58% всей мусорной почты. В пятерку лидеров также вошли страны, уже давно привлекающие спамеров слабой защищенностью компьютеров: Индия (5,8%), Вьетнам (4,3%) и Бразилия (2,6%). В Рунете ситуация выглядит иначе. Большая часть спама приходит в российский регион из Индии (16,9%) и Вьетнама (15,7%). В этом месяце количество спама из Вьетнама и Индии почти сравнялось. Спам из Китая (8,2%) в Рунете лишь на третьем месте. В октябре уменьшилась (-2,4%) доля спама, приходящего в Рунет из США, и эта страна сместилась с пятой на девятую позицию (2,3%). Вредоносные вложения в почте Вредоносные файлы содержались в 3,25% всех электронных сообщений, что на 0,15% ниже показателя прошлого месяца. Распределение срабатываний почтового антивируса по странам В рейтинге срабатываний почтового антивируса второй месяц наблюдаются серьезные колебания. Лидером по количеству срабатываний, как и в сентябре, остается Германия (-1,25%). Однако, начиная со второй строчки, рейтинг сильно изменился. Снова в топе появились США (+5,82%), лишь немного отстающие от Германии. Великобритания (+4,2%) тоже вернула свои позиции и заняла третью строчку рейтинга. Испания (-3,94%), занимавшая в сентябре вторую позицию, не попала даже в десятку. Россия сместилась с третьей на четвертую позицию, хотя ее доля практически не изменилась (+0,26%). ТОP 10 вредоносных программ, распространенных в почте На первом месте с большим отрывом оказался Trojan-Spy.Win32.Zbot.fsfe – модификация давно известной шпионской программы ZueS/Zbot, предназначенной для кражи данных клиентов различных платежных онлайн-сервисов . Zbot – универсальный троянец, нацеленный на аккаунты многих банков. Вирусописатели постепенно совершенствуют его код, данная модификация отличалась методом упаковки. Надо признать, что хотя Zbot давно не появлялся в TOP 10 вредоносных вложений в почте, нельзя сказать, что киберпреступники про него забыли. Мы часто видим вредоносный спам, не содержащий вложений, но содержащий ссылку на вредоносный ресурс. Если эксплойтам, находящимся на этом ресурсе, удается найти уязвимость в программном обеспечении пользователя, то на его компьютер загружается и запускается исполняемый вредоносный файл-загрузчик, который, в свою очередь, часто подгружает на зараженную машину именно программу семейства Zbot. Шесть строчек в топе занимают различные модификации Trojan-Ransom.Win32.PornoAsset. Суммарно доля этого семейства составила 55,2% от всех распространенных в почте вредоносных программ. Это так называемые блокеры – программы-вымогатели, блокирующие операционную систему и требующие заплатить деньги за разблокировку. Напомним, что впервые представители этого семейства попали в TOP 10 в сентябре, тогда в рейтинге присутствовало четыре модификации PornoAsset. Мы уже предупреждали пострадавших пользователей, что даже если они заплатят злоумышленникам, их системы разблокированы не будут. В случае заражения компьютера такой программой пользователю не имеет смысла тратить деньги, а следует обратиться за помощью к специалистам, которые объяснят, как разблокировать систему. Ни лидер прошлого месяца Backdoor.Win32.Androm.kv, ни предыдущий лидер рейтинга Trojan-Spy.HTML.Fraud.gen даже не вошли в TOP 10. Отметим, что цель Trojan-Spy.HTML.Fraud.gen и нынешнего лидера Trojan-Spy.Win32.Zbot.fsfe одинаковая – кража аккаунтов пользователей к системам онлайн банков и платежным системам. Возможно, злоумышленники просто чередуют свои «инструменты», чтобы добраться до денег пользователей. Фишинг Доля фишинговых писем в почтовом потоке по сравнению с сентябрем не изменилась и составила 0,03%. После летнего затишья увеличилась доля фишинговых атак на финансовые и платежные организации (+2,85%), существенно выросла доля атак на онлайн-магазины и интернет-аукционы (+5,42%). В случае успеха подобных атак злоумышленник сможет добраться до персональных данных пользователя, дающих доступ к его аккаунтам в системах оналайн-банкинга и платежных системах, и завладеть его деньгами. Доля атак на социальные сети уменьшилась на 10,23%, вследствие чего социальные сети сместились с первой строки рейтинга на четвертую, уступив даже поисковикам. Мы прогнозировали уменьшение количества таких атак, правда, ожидали его чуть раньше – в сентябре. Дело в том, что в летние месяцы фишеры атакуют, в основном, школьников и студентов, проводящих время в социальных сетях. С восстановлением деловой активности фокус атак смещается на финансовые организации. Заключение Президентские выборы в США, как и ожидалось, привлекли внимание спамеров. Вряд ли после окончания выборов имя Обамы будет упоминаться в спаме столь часто. Чтобы заманить пользователя на вредоносный ресурс или выманить у него деньги, спамеры наверняка найдут и используют другие горячие темы – например, последствия урагана «Сэнди», затронувшего Нью-Йорк. В целом, все больше спама рассылается из США и Китая. Эти страны лидировали в рассылке спама несколько лет назад, и теперь потоки спама из них вновь увеличиваются. Большое количество интернет-пользователей в этих странах создает благоприятные условия для рассылки спама с зараженных компьютеров. В Рунет же спам чаще приходит из других стран – Индии и Вьетнама. В октябре стало больше вредоносных программ и фишинговых писем, ориентированных на кражу денежных средств пользователей. По-видимому, такое положение дел сохранится. Пользователям следует быть особенно осторожными при оплате покупок в Сети, вводе конфиденциальных данных в интернете, не проходить по ссылкам в спамовых письмах, не открывать вложения от неизвестных отправителей и своевременно обновлять программное обеспечение. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012