Отправляет email-рассылки с помощью сервиса Sendsay

Электронный журнал "Спамтест". Все о борьбе со спамом

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 5.849 RSS
  Апрель 2013  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


За последние 60 дней ни разу не выходила


Сайт рассылки: http://www.securelist.com
Открыта: 09-06-2003

Автор
Лаборатория Касперского

Статистика

5.849 подписчиков
0 за неделю
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 463

В этом номере:

Новости

Android-троянцы приходят с почтовым спамом

Согласно данным SecureWorks, многофункциональный троянец Stels, работающий на платформе Android, ныне распространяется вместе с р2р-модификацией ZeuS в рамках единой спам-кампании с участием ботнета Cutwail.

Обнаруженные экспертами вредоносные письма имитируют уведомление Налоговой службы США (IRS) и приурочены к заключительному этапу подачи налоговых деклараций в этой стране. От имени налогового органа злоумышленники сообщают получателю письма об ошибках, якобы допущенных в поданном им документе, и предлагают кликнуть по указанной ссылке, чтобы исправить декларацию.

Пройдя по ссылке, пользователь попадает на взломанный ресурс, который определяет версию ОС визитера и используемый им веб-браузер. Если заход осуществлен с мобильного устройства на базе Google Android, посетителю демонстрируется страница с предложением обновить Flash Player для корректного отображения контента. Под видом апдейта на смартфон загружается архивный исполняемый файл flashplayer.android.update.apk, содержащий троянца Stels. Для его установки требуется разрешение пользователя, а кроме того, поскольку программа загружена не с официального сайта Google Play, жертва должна задействовать опцию "Unknown Sources" в настройках безопасности, т.е. разрешить установку приложения из стороннего источника.

Если получатель фальшивого письма использует Microsoft IE, Mozilla Firefox или Opera, то после перехода по спамерской ссылке ему будет продемонстрирована поддельная страница IRS с вредоносным iframe, перенаправляющим браузер на страницу с Blackhole. Мало того, все ссылки на данной странице запускают вредоносный pdf-файл, который эксплуатирует уязвимость CVE-2010-0188 в Adobe Reader/Acrobat. В случае успешной атаки на машину жертвы загружается р2р-версия ZeuS, известная как Gameover. Если визитер не использует ни Android, ни названные браузеры, его перенаправляют на мошеннический сайт.

Эксперты SecureWorks проанализировали образцы Stels и установили, что данный Android-троянец способен воровать информацию из списка контактов жертвы, отправлять и перехватывать SMS-сообщения, осуществлять звонки на премиум-номера, а также загружать и запускать на исполнение другие вредоносные файлы. Он работает в фоновом режиме, общается с центром управления по HTTP и, судя по всему, умеет также рассылать почтовый спам, используя анонимный прокси-сервис anonymouse.org. Эксперты обнаружили других похитителей SMS, схожих по кодовой базе со Stels, и полагают, что все они происходят из одного источника или созданы с помощью одного и того же тулкита.

Следует отметить, что спам-рассылки – довольно необычный способ распространения Android-зловредов, которые, как правило, скачиваются жертвами из неофициальных магазинов приложений. Так, более ранние варианты Stels, обнаруженные экспертами F-Secure в конце прошлого года, раздавались с веб-портала spaces.ru под видом бесплатных версий игр и вспомогательного ПО для Android.

Источник: SecureWorks

Войне в Корее, громкие банкротства и Cridex

Эксперты компании ThreatTrack Security зафиксировали всплеск вредоносного спама, использующего «горячие» темы для распространения червя Cridex.

Для привлечения внимания пользователей спамеры используют сенсационные заголовки, сообщающие о войне с Северной Кореей, банкротствах крупнейших банков, ужесточении налогов или вселенских катаклизмах. Каждое письмо состоит из короткого текста, например, «Hi, bad news» (Привет, плохие новости), заголовка с префиксом Fwd: Re: и ссылки на сенсационную новость.

Инициаторы спам-кампании используют большое количество URL, привязанных к разным доменам и ведущих на сайты с набором эксплойтов Blackhole. В случае успешной эксплуатации уязвимости на компьютер жертвы загружается червь Cridex, ворующий пароли к аккаунтам в социальных сетях и системах онлайн-банкинга.

ThreatTrack напоминает, что даже самые «горячие» новости лучше узнавать из доверенных источников, а кликать по присланным ссылкам – плохая идея.

Источник: ThreatTrack Security

В России хотят узаконить понятие «спам»

Министерство связи и массовых коммуникаций РФ подготовило поправки к федеральному закону «О связи», касающиеся регулирования контентных услуг, рекламных SMS-рассылок и спама.

Первый законопроект, предложенный Минкомсвязи, призван обеспечить дополнительные гарантии соблюдения прав абонентов при оказании контент-услуг. Согласно этой поправке, предоставление такого рода услуг и списание денег с абонентского счета в их оплату возможно лишь с прямого согласия абонента. Сервис-провайдеров обяжут предоставлять абонентам информацию о стоимости и содержании услуг до получения такого согласия.

В связи с ростом жалоб на непрошеную рекламу, распространяемую в виде текстовых сообщений, Минкомсвязи предлагает закрепить в законе «О связи» понятие спама, предоставив операторам правовую основу для противодействия массовым рассылкам. В настоящее время российский оператор не имеет права фильтровать SMS-сообщения и отказываться от их доставки, даже если есть уверенность, что это спам.

Второй законопроект трактует спам как массовую рассылку сообщений рекламного характера, которая не согласована с абонентом и не исходит непосредственно от оператора. Авторы законопроекта подчеркивают, что предлагаемые ими ограничения не распространяются на рекламу, рассылка которой согласована с абонентами. Новая поправка позволит оградить россиян от спама, не лишая добросовестных рекламодателей возможности проводить коммерческие рассылки в адрес своих подписчиков.

Источник: Минкомсвязь России

Спамеры освоили принтеры Hewlett-Packard

Компания Sophos предупреждает о вредоносной рассылке, использующей брэнд Hewlett-Packard для заманивания пользователей на зараженные страницы.

Вредоносные спам-сообщения имитируют уведомление корпоративного принтера Hewlett-Packard ScanJet, которое обычно отсылается по электронной почте после окончания обработки документа. Эта уловка не нова, однако прежде вредоносная программа скрывалась во вложенном файле, замаскированном под результат сканирования. Сейчас ситуация изменилась: обнаруженные Sophos подделки содержат не опасное вложение, а ссылку, направляющую пользователя на страницу с вредоносным ПО. По свидетельству экспертов, эта страница размещена в российской доменной зоне.

Возможно, распространение зловредов посредством фальшивых уведомлений «от принтера» утратило былую эффективность, и киберпреступники решили опробовать альтернативный способ заражения. Как бы то ни было, Sophos призывает корпоративных пользователей к бдительности и при получении служебных сообщений рекомендует прежде всего удостовериться в подлинности их отправителя.

Источник: Sophos

Зловред прячется за Юникодом

В начале апреля эксперты McAfee обнаружили in the wild семейство вредоносных программ, предназначенных для проведения фишинговой атаки посредством модификации системного файла hosts.

Особого внимания заслуживает техника, выбранная злоумышленниками для распространения вредоносной программы. Ее исполняемый код упакован в zip-файл вместе с пустым файлом readme.txt. Формат ZIP предполагает, прежде всего, наличие заголовка с сигнатурой 0x04034B50, но вместо него исследователи обнаружили маркер порядка байтов (BOM) в кодировке UTF-8, представленный как 0xEFBBBF. Юникод символ BOM нередко встречается в текстовых файлах и потоках данных, многие популярные программы, обнаружив этот символ, предполагают, что документ использует кодировку UTF-8. Так, например, при попытке открыть zip-архив средствами Windows 7 система сообщила, что файл поврежден. А вот архиваторы сторонних разработчиков, такие как 7-Zip, WinRAR и др., проигнорировали BOM и корректно открыли архив. Возможно, злоумышленники сделали ставку на наличие одного из таких архиваторов на компьютере жертвы или просто стремились обойти почтовые антивирусы и спам-фильтры, ориентированные на стандартный формат ZIP.

Роль полезной нагрузки выполняет программа-инсталлятор, название которой злоумышленники собирают из слов Golaya, Russkaya и Devochka в произвольных сочетаниях. Инсталлятор в фоновом режиме запускает на исполнение командный файл и скрипт VBScript, и в результате выгодные злоумышленниками изменения вносятся в системный файл hosts. Далее при попытке обращения к сайтам «ВКонтакте», «Одноклассники» или Mail.ru жертва заражения попадает на стороннюю страницу, имитирующую запрошенный сайт и предназначенную для кражи персональных данных.

Проанализированные экспертами McAfee образцы вредоносного кода в большинстве своем оказались идентичными и различались лишь хэшем. Последний генерировался в привязке по времени и типу архиватора. Эксперты отмечают устойчивый рост обнаруженной угрозы: в базе VirusTotal уже числится свыше 5 млн. представителей данного семейства зловредов.

Источник: McAfee



Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013
В избранное