Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 471

В этом номере:


Новости

Новый бэкдор стирает MBR и блокирует Рабочий стол

Компания Trend Micro обнаружила новый опасный бэкдор, распространяемый как вложение в спам-сообщения.

Одно из таких вредоносных писем, попавшее в поле зрения компании, написано на немецком языке и от имени известного поставщика стройматериалов призывает получателя оплатить некую задолженность. Судя по скриншоту, опубликованному экспертами, уточнить название этой компании злоумышленники явно поленились.

К поддельному письму прикреплен ZIP-файл, который адресату предлагается открыть, чтобы ознакомиться с деталями «долга». Содержимое этого вложения Trend Micro детектирует как BKDR_MATSNU.MCB, то есть бэкдор. По свидетельству экспертов, данный зловред способен по удаленной команде отправлять на C&C сервер информацию о зараженной машине, а также стирать главную загрузочную запись (MBR). Более того, MATSNU умеет блокировать доступ к операционной системе, после чего выводит на экран сообщение с требованием выкупа, – этот функционал, по всей видимости, позаимствован у вредоносных программ-блокеров, таких как Reveton.

Специалисты Trend Micro полагают, что для реализации вымогательской схемы бэкдор закачивает дополнительный вредоносный модуль. Возможно также, что отдельные версии MATSNU изначально укомплектованы специализированной подпрограммой; в этом случае удаленная команда на блокировку выполняется легче и быстрее.

Источник: Trend Micro

Осторожно, подделка!

Высший Арбитражный Суд РФ (ВАС) предупреждает о появлении мошеннической рассылки, использующей имя судебного органа для распространения вредоносных ссылок.

Согласно поступающим в ВАС заявлениям, неизвестные злоумышленники рассылают гражданам поддельные извещения о якобы начатом в их отношении исковом производстве. Для проверки этой информации получателю предлагается перейти по ссылке, указанной в спам-сообщении.

ВАС отмечает, что спамеры используют несуществующий адрес отправителя noreplay@ на закрепленном за этим судебным органом домене. Приведенная в мошенническом письме ссылка, по имеющимся данным, привязана к вредоносному ресурсу.

В настоящий момент ВАС России принимает предусмотренные законодательством меры для пресечения данного мошенничества. Граждан призывают к бдительности и просят при получении аналогичных писем пересылать их на адрес ВАС для приобщения к материалам проводимой проверки.

Источник: ВАС РФ

Новая атака Dorkbot

В середине мая ESET зафиксировала масштабную спам-кампанию, нацеленную на распространение червя Dorkbot по каналам Skype и Gtalk.

Вредоносные сообщения провоцировали пользователя пройти по короткой ссылке и посмотреть на его «замечательное фото». По данным исследователей, при активации такой ссылки на машину получателя спама загружается даунлоадер, который ESET детектирует как Win32/PowerLoader.A. Данный зловред загружает и запускает дроппер Dorkbot – IM-червя, обладающего функционалом бэкдора. Dorkbot, как известно, способен выполнять разные функции, большинство которых заложены в разных модулях бота: подключаться к C&C серверу, красть пароли, рассылать спам, подгружать вредоносные файлы, осуществлять накрутку кликов, шифровать файлы и требовать выкуп и т.п. В данном случае червь, по свидетельству ESET, проводит рассылку спам-сообщений по контактам пользователя каждые 15 минут.

В начале спам-кампании злоумышленники маскировали свои ссылки с помощью службы Google URL Shortener (goo.gl). Затем они переключились на другие сервисы укороченных ссылок – bit.ly, ow.ly, urlq.d, is.gd, fur.ly, что, впрочем, никак не отразилось на статистике переходов. По данным goo.gl, за двое суток с начала IM-атаки по вредоносным ссылкам перешли более 490 тыс. пользователей. При этом 83% переходов были осуществлены на платформе Windows, остальные – на устройствах под iOS, Mac OS X, Linux и BlackBerry. Четверть переходов по вредоносным ссылкам bit.ly пришлись на Германию (свыше 8,5 тыс. в абсолютном выражении), 5% – на Россию.

Согласно совокупной статистике генераторов коротких ссылок, больше прочих от данной спам-рассылки пострадали пользователи России, Германии, Бразилии, Колумбии, Мексики и США. К счастью, большинство сервисов сокращения ссылок уже заблокировали вредоносные URL, однако, как справедливо отмечает ESET, атакующие все еще могут подавать команды ботам, что позволит развить первоначальный успех.

Следует заметить, что это далеко не первая атака Dorkbot, проведенная в Skype. Эксперты рекомендуют пользователям воздерживаться от перехода по ссылкам в незапрошенных сообщениях, приходящих на электронную почту, в мессенджерах и социальных сетях.

Источник: ИТАР ТАСС

«Ярмарка тщеславия» по-фишерски

Эксперты Bitdefender обнаружили целевую фишинговую рассылку (spear phishing), ориентированную на руководителей высшего звена. Чтобы повысить шансы на успех, злоумышленники взывают к тщеславию получателей и ограничивают срок действия «заманчивого предложения».

Фальшивое сообщение написано по-английски и «в последний раз» уведомляет получателя, что его биография якобы отобрана для публикации в престижном вестнике «Top 100 Executives of 2013 Magazine» («100 лучших руководящих работников 2013 года»). Пользователю также сообщают, что попасть на страницы этого издания – большая честь, которой удостаиваются лишь самые достойные и успешные управленцы. Кандидату не придется платить за публикацию, от него требуется лишь подтвердить согласие, кликнув по указанной ссылке, – и сделать это надо до 30 июня.

По свидетельству Bitdefender, названного фишерами журнала не существует, как не существует и его главного редактора, от имени которого ведется спам-рассылка. При переходе по предложенной ссылке пользователь попадает на страницу с регистрационной формой; после ее заполнения персональная информация направляется прямиком к злоумышленникам.

Источник: BitDefender

Спамеры используют открытые редиректы CNN и Yahoo

В социальной сети Twitter началась спам-кампания, рекламирующая различные диеты. Для обхода защитных фильтров спамеры в своих ссылках используют открытые редиректы на сайтах CNN и Yahoo.

Ссылки на легальные сайты выглядят вполне невинно, и, учитывая принятые в социальной среде доверительные отношения, эта спам-реклама распространяется с большой скоростью. Что скрывать, выбранная спамерами тема актуальна для многих, и столь «ценная» информация пользуется у твиттерян большим спросом. Особый успех имеют спам-сообщения, использующие звездные имена или названия известных медийных компаний.

По свидетельству исследователей, при активации ссылки, присланной в спаме и привязанной к ресурсам CNN или Yahoo, пользователь перенаправляется на сомнительный сайт, раздающий советы страждущим. Один из источников диет-спама собрал 7,6 млн. читателей, которые с готовностью пересылали сообщения безвестных авторов, помогая спамерам.

Источник: E Hacking News

Винодела оштрафовали за спам-рекламу

Австралийской компании Cellarworks Wine назначен штраф в размере 110 тыс. долларов за рассылку рекламы в нарушение национального закона о спаме.

Штраф был наложен правительственным надзорным органом ACMA (Australian Communications and Media Authority) по результатам проверки. Было установлено, что винодельческая компания распространяла рекламные сообщения без опции отказа (opt out), в том числе на адреса, владельцы которых ранее отказались от маркетинговых рассылок. И то, и другое противоречит требованиям австралийского закона Spam Act, посему Cellarworks Wine придется уплатить штраф.

По всей видимости, у правонарушителя не было специальной программы, автоматически вставляющей опцию opt out в коммерческие бюллетени, – такие приложения в Австралии существуют, если верить специалистам по маркетингу Marketing Angels. В итоге пострадал не только карман, но и репутация провинившегося рекламодателя: он может потерять часть своей клиентуры и остаться без новых заказов.

Источник: All Spammed Up


Записки спам-аналитиков

Автопереводчик на службе у "нигерийцев"

Мария Рубинштейн,
эксперт «Лаборатории Касперского»

Мы уже писали о том, что авторы «нигерийских писем» широко используют автопереводчик и таким образом добираются до тех, с кем без помощи передовых лингвистических технологий никак не нашли бы общего языка. Так появляются на свет забавные языковые уродцы, которые, увы, все же находят своих жертв: иные интернет-пользователи, едва разобрав в тексте на ломаном языке «наследство», «миллионы долларов» и «риска нет», немедленно отвечают новоявленному благодетелю, вступают с ним (или с ней, если лирическая героиня письма - юная девушка-сирота из богатого рода) в переписку и в результате совершенно добровольно отдают мошенникам свои сбережения.

За последние несколько недель к нам попало несколько писем, объединенных одним сюжетом, но написанных на разных языках. Носителям и знатокам каждого из этих языков сразу видно, что текст пропустили через Google Translate (или какой-то подобный автопереводчик).

В каждом из писем речь идет о состоянии покойного миллиардера мистера (пана, герра...) Сабы Масри, погибшего в 2010 году в авиакатастрофе. Пишут на разных языках многочисленные сотрудники то ли одного, то ли разных лондонских банков: Джей Горен (по-немецки и по-словацки), Бернард Грин (по-чешски), Кристофер Джонсон (по-немецки и по-нидерландски), Джон Оуэн (по-немецки), Артур Райан (по-шведски), Вебстер Майкл, Морган Сильва, Уильям Смит (по-нидерландски). Все эти господа рассказывают, что, поскольку мексиканский магнат разбился вместе со своими наследниками, его миллионы на банковском счету больше никому не принадлежат. Получателю предлагается предстать перед правлением банка в качестве родственника покойного, получить наследство и разделить его с сотрудником банка.

Катастрофа, повлекшая гибель Сабы Масри, действительно произошла в 2010 году. О ней писал журнал Forbes и многие другие издания. Вероятно, мошенники полагают, что использование имени реального человека придаст их обещаниям некую дополнительную солидность.

Очевидно, все эти тексты переводились с английского языка; слово daughter-in-law (невестка, жена сына) почему-то оказалось автопереводчику не по зубам, и злополучное «in-law» так и кочевало из перевода в перевод. Зато шестнадцать с половиной миллионов фунтов везде остались неизменными.

Примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное