Электронный журнал "Спамтест" No. 490 В этом номере: Новости Записки спам-аналитиков Новости Новая ZeuS-атака с ботнета Cutwail Эксперты предупреждают о новой спам-кампании, нацеленной на засев банковского троянца ZeuS. На настоящий момент злоумышленники провели несколько рассылок от имени популярных веб-сервисов Pinterest и Dropbox. По данным Dynamoo’s Blog, предназначенные пользователям Pinterest поддельные сообщения содержат просьбу поприветствовать нового участника, с которым получатель якобы знаком по Facebook. Для этого потенциальной жертве предлагается кликнуть по кнопке Visit Profile, внедренной в тело письма. При активации этой ссылки пользователь через редирект попадает на поддельную страницу загрузки, где ему сообщают о необходимости обновить веб-браузер. Вместо обновления жертва рискует загрузить троянский файл ieupdate.exe. Поддельные письма, распространяемые от имени Dropbox, под разными предлогами предлагают получателю создать новый пароль, воспользовавшись кнопкой Reset Password («обновить пароль»). Соответствующая ссылка, по свидетельству AppRiver, вызывает уже знакомое сообщение об устаревшей версии браузера. При клике на любой объект на этой странице на компьютер посетителя загружается все тот же исполняемый файл ieupdate.exe. По свидетельству экспертов, используемые в данной спам-кампании ссылки привязаны к 54 разным доменам. Вредоносный файл, предлагаемый под видом актуальной версии браузера, закачивается с сайта dynamooblog.ru, зарегистрированного за день до начала вредоносной рассылки. AppRiver не преминула отметить, что имя этого ресурса перекликается с адресом известного security-блога blog.dynamoo.com, первым предупредившего пользователей об актуальной угрозе. Еще несколько важных штрихов к текущей спам-кампании добавили эксперты SecureWorks. По их данным, рассылка вредоносных писем ведется с ботнета Pushdo/Cutwail, который часто используется для засева ZeuS. Загружаемый зловред был опознан SecureWorks как р2р-модификация этого троянца, известная под именем Gameover. Исследователи отметили также, что вместо Blackhole, непременного участника схемы распространения ZeuS, злоумышленники используют другой известный эксплойт-пак ― Magnitude, он же Popads. В этот набор входят эксплойты к уязвимостям CVE-2011-3402, CVE-2013-0633, CVE-2010-1423, CVE-2010-0886 и CVE-2010-0840. SecureWorks насчитала 83 домена, ассоциированных с деятельностью Magnitude в рамках текущей спам-кампании. Информацию об изъятии Blackhole из схемы распространения ZeuS косвенно подтверждают данные Trend Micro, которая за вторую и третью недели октября не обнаружила ни одной серьезной спам-рассылки, привязанной к его площадкам. Вполне возможно, что уход Blackhole в тень напрямую связан с арестом его автора, о котором стало известно в начале октября. Источник: SecureWorks Ваша карта «Сбербанка» НЕ заблокирована! ОАО «ВымпелКом» предупреждает абонентов о новой мошеннической SMS рассылке. Получателю от имени «Сбербанка» сообщают, что его карта якобы заблокирована, и просят позвонить на указанный в сообщении номер. На настоящий момент «ВымпелКом» зафиксировал около 50 попыток отправки таких SMS из сетей небольших региональных операторов. По свидетельству «ВымпелКом», мошеннические сообщения распространяются с коротких номеров, маскирующихся под принадлежащий «Сбербанку» сервисный номер 900. В некоторых случаях отправителем значится 9ОО (вместо нулей заглавные «о»), в иных ― СБ900. Абоненту, позвонившему на указанный мошенниками номер, сообщают, что по его счету якобы зафиксирована попытка несанкционированного снятия средств. Владельцу счета предлагают в короткие сроки добраться до банкомата, чтобы проверить карту, и далее следовать указаниям ответившего «оператора банка». Последний, против обыкновения, отказывается представиться и невнятно отвечает на вопросы о состоянии счета и самом инциденте, что, по словам «ВымпелКома», является верным признаком подмены. Кроме того, следует помнить, что обо всех попытках несанкционированных транзакций банк обычно уведомляет клиента через SMS. Если жертва обмана все же выполнит все полученные по стороннему телефону инструкции, высока вероятность, что его деньги будут в скором времени выведены на счета мошенников. В аналогичных случаях «ВымпелКом» рекомендует прежде всего удостовериться в правильности информации звонком на номер, указанный не в сомнительной SMS, а на карте банка. Обо всех случаях мошенничества оператору можно сообщить на бесплатный номер горячей линии ― для абонентов «Билайн» это 007. В качестве превентивной меры «ВымпелКом» заблокировал номера 9ОО и СБ900 на платформе SMS-Proof (система противодействия входящим спам-рассылкам), а также внес их в общую базу данных, пополняемую в рамках недавно учрежденного антиспам-альянса. Помимо «ВымпелКом», в него входят SMS-агрегаторы «ДЕВИНО ТЕЛЕКОМ», ОСК, «СМС Трафик», «Лоджик Телеком» и «СМС Сервисы», а также новобранцы «СмартКардЛинк», «А1 Системс» и «ИнфоБип». По оценке «ВымпелКом», в настоящее время участники данного партнерства контролируют около 80% массовых SMS-рассылок на рынке России. Источник: «Билайн» Sophos: США ― чемпион года по объемам исходящего спама Согласно статистике Sophos, в 2013 году первенство в «грязной дюжине» стран-источников почтового мусора пока стойко удерживают США. По оценке экспертов, в минувшем квартале вклад этой страны в общий спам-трафик составил 14,6%. Доля Беларуси, занявшей вторую строчку, оказалась меньше почти на две трети ― 5,1%. Третье и четвертое места в непочетном рейтинге по итогам июля-сентября заняли Индия и Италия. Поток спама из этих стран увеличился; с территории каждой, по оценке Sophos, ныне распространяется порядка 4,7% нелегитимных писем. Показатели Китая продолжили уменьшаться, страна спустилась на пятую ступень (4,6%). Новичок Иран, обогнав Перу, оказался на девятой позиции, замыкают этот список Германия и Россия (по 3,0%). Исследователи подчеркивают, что фиксируемые ими объемы исходящего спама могут свидетельствовать лишь о величине и зараженности компьютерного парка в отдельных странах, так как основными генераторами почтового мусора в настоящее время являются спамботы. С учетом численности населения «грязная дюжина» от Sophos выглядит совсем по-иному. За эталонную единицу при этом эксперты принимают «подушное» количество спама, исходящего с территории США, и не рассматривают страны, в которых проживают менее 300 тыс. человек. Итоговые списки, отражающие значительный уровень заражения, в текущем году неизменно возглавляет Беларусь ― страна, по численности населения в 30 раз меньшая, чем США. В III квартале ее показатель по исходящему спаму в пересчете на душу населения оказался в 11,1 раза выше, чем у США. Согласно «подушному» списку, исправными поставщиками нелегитимной корреспонденции являются также Уругвай и Тайвань (4,7 и 3,8 в сравнении с уровнем США соответственно). Эти страны в 2013 году тоже не сходят с непочетного пьедестала. В июле-сентябре за ними последовали Люксембург (2,7) и Македония (2,6), ухудшив свои результаты. Впервые за год в ведущую дюжину по этому показателю попали также Кувейт (7 место) и Израиль (12 место). Источник: Softpedia Symantec о сентябрьском спаме По данным Symantec, в минувшем месяце уровень спама в почтовой корреспонденции вырос на 1,2 процентных пункта и составил 66,4%. Наиболее высокие показатели по странам отмечены в Шри-Ланке (79,7%), по областям – в химико-фармацевтической промышленности (68,5%) и сфере образования (68,4%). Среди стран-источников мусорной почты лидируют США, доля которых в общем потоке почтового мусора в сентябре составила 7,75%. За США в убывающем порядке следуют Испания (6,75%), Италия (5,92%), Финляндия (5,69%) и Индия (5,67%). Следует отметить, что индивидуальные показатели участников сентябрьского Тор 10 распределены достаточно равномерно и весьма скромны: совокупный вклад ведущей десятки в спам-трафик оказался немногим более 50%. В тематическом составе спама по-прежнему преобладает категория «Порно/Знакомства», на долю которой, согласно Symantec, ныне приходится 85,5% мусорной почты. Второе место в этом рейтинге занимают предложения трудоустройства (6,5%). Статистику по размерам спам-сообщений и TLD-доменам, обнаруженным в спамерских ссылках, эксперты представили с отставанием в месяц. По диапазонам величин (до 5 КБ, 5-10 КБ, более 10 КБ) августовский поток разделился примерно одинаково, хотя в предыдущем месяце преобладали письма большого, свыше 10 КБ размера. Среди TLD-доменов в августе лидировал .ru с показателем 44,2% URL-спама, второе место занял .com (30,9%). Польский национальный домен, возглавлявший июльский непочетный список, в августе оказался за его пределами. Фишинговая составляющая почтового трафика в сентябре заметно сократилась: 1 письмо на 1055,7 против 1 на 625,6 в предыдущем месяце. Наиболее высокая концентрация фишинговых сообщений наблюдалась в Южной Африке (1 письмо на 471) и в госсекторе (1 на 189,5). Основными источниками таких сообщений являлись США (42% общего объема) и Великобритания (немногим более 17%). Главной мишенью фишеров остаются финансовые веб-сервисы (76,8% подделок). На долю информационных ресурсов в сентябре пришлось 16,0% фиш-атак. Уровень вредоносных сообщений в почтовом трафике тоже несколько снизился: 1 письмо на 383 против 1 на 340. Наиболее высокие показатели в сентябре наблюдались в ОАЭ и госсекторе (1 на 159,2 и на 106,4 соответственно). Большая часть писем с вредоносными вложениями распространялась с территории Великобритании (41,2% общего объема), Ирландии (21,5%) и США (18,5%). Источник: Symantec «Зевс» нацелился на Восточную Европу С начала года Trend Micro наблюдает спам-кампанию, нацеленную на хищение реквизитов юрлиц в системах онлайн-банкинга Восточной Европы с помощью троянца ZeuS. По свидетельству экспертов, вредоносные рассылки в рамках этой кампании, получившей в Trend Micro кодовое наименование Apollo, проводятся точечно и напоминают spear-phishing атаки. В первом квартале, например, злоумышленники распространяли поддельные сообщения от имени налоговой службы Украины. Эти фальшивки с инструкцией «передать бухгалтеру» были снабжены doc-вложением, якобы содержащим новый указ президента страны. По свидетельству экспертов, при открытии этого файла запускался эксплойт к уже пропатченной уязвимости CVE-2012-0158. В случае успеха на машину жертвы загружался кастомизированный вариант ZeuS и дополнительный компонент с веб-инжектами, заточенными под банки и платежные сервисы Восточной Европы. Для загрузки зловреда данная группировка использует таких посредников, как эксплойт-пак (Bleeding Life) и программа-загрузчик (Pony или Ann Loader). Чтобы определить масштабы Apollo, исследователи на пару дней захватили контроль над несколькими C&C доменами по методу sinkhole. За это время на подставных серверах были зафиксированы попытки подключения с 5+ тыс. разноплеменных IP-адресов. Наибольшее количество заражений обнаружено в странах EMEA (около 75,3%), втрое меньше ― в Северной Америке. В европейском регионе, как и следовало ожидать, больше всех пострадали от инфекции Россия и Украина (43 и 44% соответственно). Источник: Trend Micro МТС уличили в рассылке незапрошенных SMS По итогам расследования, проведенного управлением Федеральной антимонопольной службы по Нижегородской области, рекламная SMS-рассылка ОАО «Мобильные ТелеСистемы» была признана ненадлежащей. Расследование было проведено по жалобе местного жителя, который в заявлении указал, что использует подключенную через сайт МТС услугу «Запрет приема информационных SMS и SMS/MMS». Несмотря на это, он продолжает получать рекламные текстовые сообщения, отправляемые с коротких номеров этого оператора. Расследование подтвердило, что рассылка рекламных SMS в данном случае производилась без предварительного согласия абонента. Нижегородское УФАС усмотрело в действиях МТС нарушение ч. 1 ст. 18 ФЗ «О рекламе». Оператору выдано предписание о прекращении нарушения федерального законодательства. Антимонопольщики также ходатайствовали о возбуждении дела об административном правонарушении. Источник: УФАС по Нижегородской области Записки спам-аналитиков Не успели подготовиться к школе? Тогда время для выпускного вечера! Татьяна Куликова, эксперт «Лаборатории Касперского» Едва иссяк поток рассылок, предлагающий школьную форму и канцтоваров по соблазнительным ценам, как его сменил другой, но также связанный с учебной тематикой. Точнее, с пост-учебной: обнаруженные нами спам-сообщения предлагают получателю услуги по организации выпускных и «последних звонков», причем в почтовых ящиках пользователей эти заманчивые предложения оказались еще до того, как отзвенел первый звонок. Для школьников подобная рассылка, конечно, может послужить стимулирующим напоминанием о том, что конец учебного года не за горами. Для родителей – лишним поводом пересчитать деньги в кошельках и прикинуть свою готовность к окончанию учебного года. А вот заказчиками спам-рассылки явно руководило желание оказаться первыми среди конкурентов в области организации выпускных вечеров. И желание это было настолько сильным, что их не испугала даже перспектива оказаться забытыми за довольно длинный промежуток времени от начала учебного года до его завершения. Мы же снова призываем с осторожностью относиться к соблазнительным предложениям, рассылаемым с помощью спама, так как за ними очень часто скрываются некачественные услуги, способные испортить настроение в самый радостный и торжественный день. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013