Электронный журнал "Спамтест" No. 459 в этом номере: Новости Новости Andromeda вернулся на просторы интернета Компания Trend Micro обнаружила вредоносную спам-рассылку, использующую имя дубайской авиакомпании Emirates для распространения обновленного бэкдора Andromeda. Англоязычное спам-письмо с вредоносным вложением сообщает «дорогому клиенту» о выполнении его заказа на авиабилет и от имени Emirates желает ему счастливого полета. Вместо копии билета во вложенном файле с двойным расширением .pdf.zip содержится новейшая версия Andromeda – модульного бэкдора, способного загружать и запускать другие вредоносные программы, включая известного троянца ZeuS. По данным Trend Micro, созданный на основе Andromeda ботнет впервые был обнаружен в конце 2011 г. Его операторы расширяют свои владения, рассылая спам с вредоносными вложениями или ссылками, привязанными к эксплойт-площадкам Blackhole. В комплект Andromeda могут входить модули с функционалом кейлоггера, руткита, SOCKS4 прокси, а также модуль для кражи данных, вводимых в веб-формы. Обновления и команды на загрузку разных вредоносных программ в рамках партнерских PPI-программ бэкдор получает с управляющего сервера. По свидетельству экспертов, используемый в ходе текущей спам-кампании Andromeda версии 2.60 способен также распространяться через сменные носители, но копирует при этом лишь отдельные компоненты. Обновленный бэкдор открывает и прослушивает порт 8000, запускает cmd.exe и активно использует функции Windows API для внедрения в запущенные процессы. Согласно статистике Trend Micro, за январь-февраль текущего года Andromeda 2.60 поразил Австралию (53% заражений), Турцию (21%), Германию (8%) и в меньшем объеме – США, Японию, Великобританию, Венгрию, Тайвань, Италию и Индию. Источник: Trend Micro ФТК объявила войну SMS-мошенникам Федеральная торговая комиссия США (FTC) подала восемь исков против распространителей рекламы и владельцев мошеннических веб-сайтов, подозреваемых в причастности к рассылке текстовых спам-сообщений с посулами «бесплатных» призов и подарочных карт. Ответчиками по этим искам названы 29 компаний и физических лиц, совокупно разославших, по данным ФТК, свыше 180 млн. нежелательных SMS. Получателей соблазняли различными призами, в том числе подарочными картами на $1000 от таких крупных ритейлеров, как Best Buy, Walmart и Target. Но кликнув по присланной ссылке, абонент обнаруживал, что для получения «бесплатного» приза он должен заполнить сомнительную анкету и посетить ряд рекламных площадок, где его могли вдобавок подписать на платные услуги. В некоторых случаях претенденты на «подарок» были вынуждены принять свыше десятка подобных предложений, включая оформление кредита и платные подписки, требующие раскрытия финансовой информации. При этом заветный приз нередко оказывался мифом, а персональная информация, собранная в результате спам-кампании, впоследствии продавалась посторонним лицам, использующим эти данные для проведения маркетинговых рассылок. ФТК подала в разных штатах семь исков против авторов нелегитимных SMS-рассылок, включая спамера-рецидивиста Филипа Флору , и один иск против операторов мошеннических сайтов. Американский регулятор надеется добиться судебного запрета на мошеннические методы продвижения платных услуг и ограничить объем спам-рассылок. По утверждению истца, отправители мошеннической SMS-рекламы рассылали ее на произвольные абонентские номера, хотя в 12% случаев тариф получателя не предусматривал использование SMS-каналов. Операторы сайтов, ассоциированных со спамерскими ссылками, нарушали правила добросовестной торговли, так как скрывали от посетителей важную информацию – условия получения «бесплатного» приза, в том числе связанные с финансовыми расходами. Кроме того, по мнению ФТК, операторы мошеннических ресурсов инициируют и оплачивают рекламные спам-кампании, а также получают вознаграждение за накрутку посещений на партнерских веб-сервисах. Источник: Federal Trade Comission Троянский налет на немецкие грузоперевозки Немецкая компания First Class Zollservice & Transportvermittlungs GmbH, специализирующаяся на грузовых авиаперевозках, предупреждает о масштабной спам-рассылке, использующей ее имя и нацеленной на распространение троянских программ. Вредоносные сообщения, озаглавленные «Luftfrachtsendung AWB» (можно перевести как «грузовая авианакладная») и написанные на не очень правильном немецком языке, просят получателя удостовериться в правильности оформления приложенной к письму накладной. Для введения пользователя в заблуждение злоумышленники используют поддельный адрес отправителя info@first-class-zollservice.de. Реальное содержимое вложения AWB-Avis 123-12345678.pdf.zip антивирусные технологии компании Sophos детектируют как вредоносную программу Troj/Agent, и специалисты вендора уже обнаружили две ее разновидности, задействованные в текущей атаке. Кроме того, по оценке Sophos эта вредоносная спам-кампания является наиболее массовой в настоящий момент. Авиаперевозчик рекомендует пользователям удалять письма из этой рассылки сразу после получения и просит ни в коем случае не открывать вредоносное вложение. Скомпрометированный спамерами электронный адрес компании временно заблокирован, клиентов просят пока использовать альтернативный ящик 24stunden@first-class-zollservice.de. Источник: Sophos Заразные слухи Кончина президента Венесуэлы Уго Чавеса, известного своим антиамериканскими взглядами, вызвала большой резонанс во всем мире и породила множество конспирологических слухов о причинах его болезни. Как и следовало ожидать, спамеры с готовностью подхватили горячую новость и использовали ее для создания вредоносных ссылок. Одна из таких спам-рассылок, обнаруженная экспертами «Лаборатории Касперского», использует тягу рядового пользователя к сенсациям, чтобы завлечь его на площадки с эксплойтами. Злоумышленники подготовили провокационный текст письма, намекающий на причастность силовых структур США к смертельной болезни Уго Чавеса, и внедрили в него несколько ссылок, ведущих на российский сайт Znakvoprosa.tv. Это вполне легальный ресурс, который, однако, уже подвергался дефейсу со стороны хакеров. С российского сайта посетитель автоматически перенаправлялся на болгарский ресурс Porkafadonta.com, содержащий сильно обфусцированный JavaScript. При активации он производил проверку версии ОС, установленной на машине жертвы, и запускал эксплойт к уязвимости CVE-2012-0507. По свидетельству экспертов, данный эксплойт детектируют лишь 8 из 46 антивирусов, представленных на сервисе VirusTotal. Например, средства проактивной защиты «Лаборатории Касперского» определяют его как HEUR:Exploit.Java.CVE-2012-0507.gen. Также эксперты не исключают, что в текущей спам-кампании задействован набор эксплойтов BlackHole версии 2.0. Источник: «Лаборатория Касперского» Немецкоязычная Европа атакована троянскими фальшивками Две немецкоязычные спам-рассылки были обнаружены активистами швейцарского security-проекта Abuse.ch. Как установили эксперты, при помощи нежелательной корреспонденции злоумышленники распространяли троянскую программу, а для привлечения внимания получателей спама использовались брэнды ведущих телеоператоров Швейцарии и Германии. Адресованные швейцарцам вредоносные сообщения распространяются с ботнета Cutwail, при этом злоумышленники используют поддельный адрес отправителя и логотип швейцарского оператора Swisscom. Заголовок спам-письма весьма лаконичен: «MMS», а в теле приведен текст на немецком языке, рассказывающий о том, что делать пользователю, если он получил MMS и не может его прочесть. Этот текст полностью скопирован с сайта вышеупомянутой компании. Вредоносное послание снабжено вложением вида MMSXXXXX.zip, содержащим исполняемый файл, замаскированный под jpeg-картинку. По свидетельству экспертов, данный троянец работает на платформе Windows, использует анти-VM защиту и общается с командным сервером по http-протоколу. Центр управления троянцем размещен на домене ophia.ru, оформленном на частное лицо через российского регистратора «Наунет». Аналогичная фальшивка с такой же полезной нагрузкой, но с другим заголовком и текстом распространяется от имени немецкого телеоператора T-Mobile. Активисты отмечают, что источники вредоносных сообщений уже занесены в черные списки Spamhaus, а телеоператор Swisscom давно обезопасил свой домен от абьюзов, опубликовав SPF-запись в DNS. Источник: Abuse.ch McAfee: актуальные ботнеты-спамеры По данным компании McAfee, на сегодняшний день наиболее плодовитым генератором спама является ботнет Festi, на долю которого в январе-марте 2013 г. пришлось 27% почтового мусора. Фаворит со стажем Cutwail с середины прошлого года умерил свой пыл и в новогоднем рейтинге ботнетов-спамеров занял 2 место с показателем 18%. Тем не менее, в настоящий момент Cutwail является крупнейшим из ботнетов, используемых злоумышленниками для рассылки спама. Согласно статистике McAfee, в минувшем году в его состав входило свыше 2 млн. зараженных компьютеров, и лишь к декабрю это число сократилось до 0,5 млн. В пятерку лидеров по исходящему спаму попали также два новичка, Darkmailer (12% глобального спама) и Slenfbot (8%), а замыкает ТОП-5 старожил Maazben (8%). Разрозненная армия Darkmailer резко умножилась в январе; возможно, этот хорошо известный инструмент для рассылки спама получил обновление. Slenfbot никогда не мог достойно соперничать с ведущими игроками спам-рынка, однако с минувшего ноября боевые порядки этого IRC-бота заметно выросли, что позволило ему увеличить производительность и претендовать на первенство наравне с «заслуженными» спамботами. Ботнет Lethic, занимавший в IV квартале 3 место в рейтинге McAfee по спам-рассылкам, в новом году сдал позиции и выбыл из лидеров. Новичок Kelihos сильно отстает от конкурентов по численности и в списке McAfee пока занимает «скромное» 6 место, генерируя 6% глобального мусора. В целом число новых спамботов, регистрируемых экспертами, неуклонно идет на убыль, хотя в разделении по странам эта тенденция проявляется неодинаково. В IV квартале значительный спад заражений наблюдался в Турции (на 70%), Германии (50%), Индии (50%), Испании (45%), Аргентине (44%) и Бразилии (41%). В России и Китае, напротив, количество новых детектов заметно увеличилось - на 43 и 41% соответственно. Небольшой рост был замечен в Польше, Канаде и Индонезии – на 11-19%. Наиболее «космополитичными», по оценке McAfee, являются боты Festi и Cutwail, детектируемые по всему миру. Maazben предпочитает индийскую прописку, Lethic – российскую, хотя в России ему постоянно приходится соперничать с Festi. Kelihos активно осваивает Австралию, Колумбию и Индию. Источник: McAfee Троянец пугает пользователей электронной почты Эксперты компании Sophos обнаружили вредоносную спам-рассылку, распространяемую от имени одного из подразделений Microsoft. Под предлогом наличествующей угрозы взлома почтового ящика организаторы рассылки пытаются убедить получателя открыть вложение, являющееся троянской программой. Письма-фальшивки написаны на английском языке (эксперты отмечают небезупречное правописание), снабжены заголовком «Security» («Безопасность») и рассылаются от имени Digital Crimes Unit (DCU) – подразделения Microsoft, занимающегося ликвидацией ботнетов. Злоумышленники сообщают «дорогому пользователю электронной почты» о некой itw-уязвимости, позволяющей хакерам похитить его персональные данные. С целью ликвидации этой угрозы эксперты DCU якобы разработали новое защитное решение, для получения которого пользователям интернета и продуктов Microsoft необходимо подтвердить свой почтовый адрес, занесенный в базу компании. Для обновления информации получатель письма должен разархивировать вложенный файл Microsoft_STF_install.zip и запустить его содержимое на исполнение. В противном случае хакеры якобы могут взломать почтовый аккаунт пользователя и добраться до личной переписки. Содержимое вложения определяется антивирусными технологиями компании Sophos как один из вариантов Troj/Agent. Очевидно, авторы данной спам-рассылки полагают, что боязнь эксплойта и возможного заражения, а также слепое доверие к уважаемому брэнду – это достаточно сильные мотивы, способные усыпить бдительность рядового пользователя и завлечь его в расставленную злоумышленниками ловушку. Источник: Sophos Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013