Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 458

В этом номере:


Новости

Asprox обновленный

По свидетельству компании Trend Micro, операторы ботнета-спамера Asprox, исчезнувшего с радаров два года назад, усовершенствовали свое детище и вернули его в строй.

Asprox появился на интернет-арене в 2007 году и вначале использовался, в основном, для рассылки фишинговых сообщений. Позднее он стал усердно обслуживать партнерские программы, связанные с распространением фармакологического спама и лжеантивирусов. После затяжного простоя, примерно в середине 2010 г. ботоводы провели масштабную кампанию по расширению своих владений, используя автоматизированные SQL-инъекции и наборы эксплойтов. Тем не менее, зловредный спам с Asprox, имитирующий уведомления DHL, FedEx и Почтовой службы США, иссяк к концу того же года, и до недавних пор этот ботнет, по данным Trend Micro, был почти незаметен.

Как выяснилось, за минувший период операторы Asprox произвели несколько модификаций, позволивших ощутимо повысить эффективность ботнета. Теперь он располагает обширным набором спам-шаблонов, поддерживающим большое разнообразие тем и языковых версий. Одноименный червь (Net-Worm.Win32.Aspxor по классификации «Лаборатории Касперского»), на базе которого построена данная бот-сеть, имеет четко выраженную модульную архитектуру и использует в качестве дроппера троянца Kuluoz. Для функциональных модулей предусмотрено RC4 шифрование с частой сменой криптоключей. Компонентов, предназначенных для рассылки спама, у нового Asprox несколько, причем один из них производит рассылку исключительно с легальных (взломанных) аккаунтов. Особый модуль выполняет сканирование сайтов на наличие уязвимостей, чтобы червь мог использовать их для самораспространения через Сеть. Еще один компонент отвечает за кражу ключей к пользовательским аккаунтам на ftp-серверах, сайтах и почтовых сервисах.

Согласно статистике Trend Micro за ноябрь-февраль, самая обширная популяция Asprox базируется в Северной Америке (67,88% детектов). Американцы же больше прочих страдают от спама, распространяемого с этого ботнета (74,83% от общего количества). На страны региона ЕМЕА приходится 13,28% Asprox-спама, включая сообщения, написанные на немецком и испанском языках. В настоящее время данный ботнет используется для рассылки фармакологического спама, вредоносных сообщений, нацеленных на дальнейшую экспансию Asprox, а также для PPI-загрузок лжеантивирусов, ZeroAccess и Papras. С подробным отчетом о современном состоянии ботнета-спамера можно ознакомиться на сайте компании.

Источник: Trend Micro

Commtouch: коротко о спаме в IV квартале 2012

По данным компании Commtouch, в октябре-декабре уровни спама в нефильтрованном почтовом трафике колебались в пределах 71-80%. Суточная норма почтового мусора в среднем составила 90 млрд. сообщений, на пике – 134 млрд., а к концу года снизилась до 52 миллиардов.

Следует заметить, что общая статистика Commtouch по спаму не учитывает нелегитимные письма с вредоносными вложениями. Количество последних, как отмечают эксперты, в октябре-ноябре увеличилось, однако с середины декабря вредоносные потоки резко пошли на убыль и сократились до годового минимума.

В отчетный период спамеры по-прежнему охотно использовали форму уведомления от социального сервиса (LinkedIn, Facebook), чтобы заманить посетителей на целевые веб-сайты. Свою рекламу, равно как фишинговые и вредоносные страницы, они предпочитали размещать на взломанных ресурсах образовательных учреждений. Основная масса спам-сообщений, обнаруженных в IV квартале, была посвящена рекламе дешевых медикаментов, реплик элитных товаров и биостимуляторов для мужчин.

Квартальный рейтинг стран, зараженных спамботами, вновь возглавила Индия, доля которой, впрочем, уменьшилась с 21% до 17,5%. За ней следуют Китай (9,5%) и Вьетнам (8,0%), доля Бразилии упала до 2,1%, и страна спустилась со 2 места на 12-е. Россия, последний участник прежней пятерки лидеров, поднялась на 4-ю строчку, увеличив свой показатель с 4,5% до 5,4%.

Источник: Commtouch

Отлов тунца в корпоративных водах

Proofpoint, американский провайдер облачных защитных решений, предупреждает о новой разновидности фишинговых рассылок, успешно обходящих традиционные средства сигнатурного анализа и репутационные фильтры.

По свидетельству экспертов компании, эти фишинговые атаки эффективно сочетают скорость и массовость автоматизированных рассылок с высокой ротацией кастомизированного контента, характерного для целевого фишинга (spear phishing). Десятки тысяч нелегитимных сообщений, снабженных ссылками на зараженные сайты, распространяются за короткий промежуток времени, составляющий от одного до нескольких часов. При этом атакующие задействуют тысячи исходящих IP-адресов, поддельных имен отправителя, уникальных URL, заголовков и текстов. Такое разнообразие и короткие сроки рассылок способны ввести в заблуждение традиционные системы фильтрации и обеспечить зловредным письмам сравнительно высокий процент доставки.

За полгода Proofpoint проанализировала свыше 1 млрд. почтовых сообщений и зарегистрировала десятки таких атак по всему миру. В компании их называют «longlining» – атаки по типу ярусного лова (в продолжение рыболовных ассоциаций). Согласно Большой советской энциклопедии, орудия ярусного лова применяются при промышленной добыче рыбы ценных пород (тунца, лосося и др.) и представляют собой многокилометровый трос на поддерживающих буях, к которому привязаны тысячи крючков на длинных поводках.

В начале минувшего октября, например, эксперты зафиксировали longline-атаку, проведенную с территории России. За три часа злоумышленники разослали 135 тыс. фишинговых писем, адресованных 80 разным компаниям. Во избежание обнаружения они использовали около 28 тыс. IP-адресов и 35 тыс. имен отправителя, а также свыше 20 скомпрометированных веб-сайтов, превращенных в источники drive-by загрузок и ассоциированных с фишинговыми URL. При этом ни одна из мишеней не получила более 3-х идентичных сообщений. По данным Proofpoint, на долю данной рассылки в целевых организациях пришлось менее 0,06% совокупного почтового трафика (тогда как спам-реклама составила 19%, письма с вредоносным вложением – 11%).

Аналогичные longline-рассылки наблюдались также в IV квартале и начале 2013 года. В ходе одной из этих атак фишеры несколько раз возобновляли рассылку, продолжительность которой каждый раз не превышала одного часа, и совокупно распространили около 28,8 тыс. целевых сообщений, адресованных 200 организациям. В ходе данной кампании было задействовано 813 уникальных URL, рассылавшихся с 2,18 тыс. разных IP-адресов. И вновь каждая мишень получила не более 3-х одинаковых писем.

Эксперты отмечают, что при относительной массовости longline-рассылок их эффективность не может не вызывать тревогу. 10% вредоносных URL, пробивших корпоративные фильтры, были активированы. Почти каждый пятый роковой «клик» (19%) был произведен, когда служащий проверял корпоративную почту, находясь за пределами защищенного пространства, – из дома, в дороге или с мобильного устройства. Во всех этих случаях drive-by загрузкам предшествовал эксплойт уязвимости в браузере, pdf-ридере или Java-приложении. В результате действий эксплойта на машину жертвы, как правило, устанавливался руткит.

Специализированную статью, посвященную longline-атакам, можно скачать на сайте Proofpoint (требуется регистрация).

Источник: Proofpoint

США вернули первенство в «грязной дюжине»

Согласно статистике Sophos, наибольшее количество спама в IV квартале 2012 года распространялось с американских компьютеров – 18,3% от общего объема.

Непочетное первенство по спам-рассылкам США утратили год назад, и на протяжении трех кварталов рейтинг стран-спамеров, публикуемый Sophos, возглавляла Индия. Но в октябре-декабре эта страна опустилась на 3-ю строку с результатом 4,2% от мирового объема спама, слегка опережая Перу (4,0%) и пропустив вперед Китай (8,2%). Заметно уменьшились потоки исходящего спама из Италии, которая покинула 2-е место и ныне делит позиции с 5-й по 7-ю с Францией и Южной Кореей (у всех по 3,4%). За ними следуют Тайвань и Россия, вновь примкнувшие к «грязной дюжине» (по 2,9%).

В разделении источников спама по континентам по-прежнему лидирует Азия (36,6%), хотя ее вклад в общий спам-трафик уменьшился на четверть. Второе место удерживает Европа (27,5%), на третью ступень поднялась Северная Америка, резко увеличив свой показатель с 9,5 до 22,0%.

Источник: Sophos

Kelihos играет на повышение

С середины февраля 2013 года компания Trustwave наблюдает активизацию спам-рассылок, распространяемых при помощи ботнета Kelihos.

По свидетельству экспертов, в настоящее время Kelihos, он же Hlux, специализируется на рассылке так называемого pump&dump спама. Нелегитимные письма, снабженные броскими заголовками, призывают получателей приобретать «перспективные» акции безвестных компаний. Такие мошеннические рассылки призваны повысить спрос на неликвидный товар, чтобы их инициаторы успели сбыть его по вздутой цене накануне неизбежного дефолта, положив разницу в свой карман.

Согласно статистике Trustwave, в период с 25-го февраля по 3-е марта на долю Kelihos приходилось 9,7% глобального спама. При этом 2-го марта поток резко увеличился, и уже 5 марта на долю Kelihos пришлось свыше 50% почтового мусора, зафиксированного на спам-ловушках компании.

Источник: Trustwave's SpiderLabs




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное