Электронный журнал "Спамтест" No. 500 В этом номере: Новости Записки спам-аналитиков Новости Ботнет Cutwail: спам без Blackhole Арест предполагаемого автора Blackhole и стремительное свертывание всех завязанных на этот эксплойт-пак операций вынудили киберкриминал искать альтернативные способы доставки вредоносных программ. Компания Websense проанализировала вредоносные рассылки с ботнета Cutwail за последние 3 месяца и отметила изменения в modus operandi его постоянных клиентов – нескольких криминальных групп, которые ранее арендовали этот крупнейший генератор спама для привлечения пользователей на свои Blackhole-площадки. Похоже, за отсутствием достойной замены им пришлось вернуться к азам старой школы – спам-рассылкам с вредоносными вложениями, и напрячь свою фантазию, чтобы заставить пользователей самих загружать и запускать зловредов в два клика. В середине октября, после того как стало известно об аресте Paunch, эксперты обнаружили, что ряд спамерских ссылок, ранее привязанных к редиректам на Blackhole-ресурсы, стал указывать на другой набор эксплойтов, Magnitude. Однако результат, видимо, не удовлетворил экспериментаторов, так как с середины ноября в исходящем с Cutwail трафике стали все чаще появляться письма с опасными вложениями – в основном, в формате ZIP. «Этот экскурс за кулисы криминального сообщества оказался весьма любопытен, и остается только гадать, почему, повозившись с Magnitude, они от него отказались», – заявил Threatpost руководитель исследовательских проектов Websense Алекс Уотсон (Alex Watson). По его словам, до ареста Paunch количество URL-спама, призванного повысить трафик на эксплойт-площадках, было заметно больше, чем в пост-Blackhole период. Помимо спама с вредоносными вложениями, Cutwail начал активно распространять фишинговые письма, а также рекламу надомной работы и разнообразных диет. При этом сменились лишь целевые страницы, распространяемые посредством спама ссылки на редиректы остались прежними. Похоже, что часть Blackhole-клиентов Cutwail обратилась к другим способам заработка. «Общий уровень вредоносной активности остался стабильным, – комментирует Уотсон, – однако, по моим наблюдениям, переход на прямые вложения и другие подобные изменения катастрофическим образом сказались на успехе спам-кампаний. Мы заметили, что социально-инженерные уловки стали несколько более изощренными и привлекательными для пользователя, но степень успеха ни в какое сравнение не идет с прежними, нацеленными на Blackhole рассылками». Cutwail – это один из самых распространенных и плодовитых ботнетов, он способен генерировать миллионы мусорных писем в сутки. В его состав входят 2 млн. зараженных компьютеров, используемых для распространения спама и зловредов, ворующих не только банковские реквизиты, но также идентификаторы к веб-аккаунтам. Исходящие с Cutwail спам-сообщения часто содержат ссылки, которые ранее вели на Blackhole-площадки. При успешной отработке эксплойта на машину жертвы загружался даунлоудер, который устанавливал другие вредоносные программы, такие как ZeroAccess и Zeus. С арестом Paunch и сходом со сцены Blackhole некоторым криминальным группам пришлось срочно перестраиваться, чтобы вернуть упущенную выгоду. «Они вынуждены упорней работать над социально-инженерной составляющей спам-писем, чтобы вызвать у пользователя искомую реакцию, – комментирует Уотсон. – Вторая особенность, которую мы заметили, – это рост агрессивности закачки зловредов на скомпрометированные компьютеры». По его словам, ранее злоумышленники довольствовались менее сложными атаками, так как Blackhole обеспечивал высокий уровень заражения. «Теперь мы часто сталкиваемся с такими случаями, когда даунлоудер Pony при запуске ворует пароли, затем загружает ZeuS, который, в свою очередь, загружает Cryptolocker, – и все это происходит в течение пары минут, – продолжает Уотсон. – То есть налицо агрессивная установка зловредов, вызванная, скорее всего, стремлением атакующих сохранить тот доход, который они ранее получали за счет широкого распространения инфекции». Вполне возможно, что всплеск активности шифрующих программ-вымогателей, в первую очередь Cryptolocker, тоже порожден дефицитом мощного эксплойт-оружия. Другие операторы зловредов стали массово переводить их на более надежные платформы, Tor или I2P, чтобы продлить срок службы своей бизнес-модели. По словам Уотсона, блокеры-шифровальщики способны обеспечить злоумышленникам прямой доход. «Что касается Cryptolocker, – отмечает он, – бывают случаи, когда успех ему гарантирован. К таким вымогательским схемам особенно уязвимы небольшие компании со слабыми политиками контроля совместных ресурсов и резервного копирования, а также те бизнес-структуры, которые не имеют утвержденного плана действий в чрезвычайных ситуациях». Источник: Threatpost В новый год с гроздью новых зловредов С конца прошлой недели F-Secure наблюдает мощный всплеск спама, нацеленного на засев троянца-банкера ZeuS и вымогателя-блокера Cryptolocker. Спамеры предлагают получателю ознакомиться с ZIP-вложением, якобы содержащим некий важный документ, высланный банком, или, как вариант, – неоплаченный счет от QuickBooks. По свидетельству экспертов, прикрепленный к спам-письму архив содержит исполняемый файл, полезной нагрузкой которого является вредоносная программа Fareit. Данный зловред известен тем, что умеет красть и отправлять хозяевам данные из FTP-клиентов, сохраненные в браузере пароли, а также опустошать кошельки с криптовалютой. Помимо этого, Fareit способен загружать со сторонних ресурсов других зловредов. В данном случае он закачивает р2р-версию ZeuS, известную как Gameover, которая, в свою очередь, загружает печально известного шифровальщика Cryptolocker. По состоянию на 7 января на ловушках борцов со спамом из алабамского университета в Бирмингеме было зафиксировано 4,5 тыс. аналогичных вредоносных сообщений, имитировавших уведомление от банка Wells Fargo. Источник: F-Secure Yahoo ввела дефолтный HTTPS для своей почты Отныне все данные, которыми пользователи обмениваются с почтовыми сервисами Yahoo, будут шифроваться по умолчанию. «Каждый раз, когда вы пользуетесь Yahoo Mail, – поясняет Джефф Бонфорте (Jeff Bonforte), первый вице-президент компании по продукции для информационного обмена, – через веб, мобильный интернет, мобильное приложение или IMAP/POP/SMTP-каналы, – вся информация по умолчанию шифруется 2048-битным ключом. Шифруется все: ваши письма, вложения, списки контактов, календарь и сообщения, отправляемые через Messenger». Безусловно, это нововведение, хотя и запоздалое в сравнении с конкурирующими сервисами, надо только приветствовать, однако в кругу экспертов оно породило массу критических замечаний. Технический директор Qualys Айван Ристик (Ivan Ristic), например, протестировал некоторые серверы Yahoo и поведал Threatpost, что реализация HTTPS не везде одинакова. Часть почтовых серверов используют слабый шифр RC4 для всех браузеров (кроме IE11, не поддерживающего RC4); некоторые применяют AES, причем без надлежащей защиты от хорошо известных атак, таких как BEAST и CRIME. Многие коллеги Ристика также отмечают такое упущение Yahoo, как полное отсутствие поддержки так называемой прямой секретности (forward secrecy) – технологии защиты сессионных ключей, которую давно используют Google, Facebook и Twitter. Источник: Help Net Security «Мегафон»: успехи борьбы с SMS-спамом Согласно пресс-релизу ОАО «Мегафон», в минувшем году специалисты этой компании заблокировали около 1 млрд. спам-сообщений, поступающих из сетей других операторов сотовой связи. «Детальный разбор обращений показал, что наряду с обычной рекламой наши клиенты получают огромный поток сообщений с рекламой наркотических средств, интим-услуг, финансовых пирамид и других сомнительных, а зачастую преступных предложений, — поясняет Сергей Хренов, директор «Мегафон» по предотвращению мошенничества. — Специалисты компании «Мегафон» ежемесячно блокируют более 300 тысяч подобных сообщений. Сегодня мы видим, что общее количество спама, поступающего в сеть «Мегафона», значительно сократилось, снизилось и количество жалоб клиентов на спам». Напомним, весной 2013 года «Мегафон» внедрил систему «Антиспам», которая позволяет блокировать спам-сообщения с буквенно-символьных номеров по жалобам клиентов. К ноябрю технические средства компании заработали в полную силу, блокируя все SMS, отправленные с коротких цифровых и буквенно-символьных номеров, не соответствующих российскому законодательству. «Отдельно стоит отметить, что блокировка спам-рассылок сохраняет не только нервы, но и кошельки клиентов «Мегафона», — добавил Хренов. — В первую очередь речь идет о распространении вредоносного программного обеспечения для смартфонов, нацеленного на вывод средств с банковских карт и лицевых счетов мобильных телефонов». От себя заметим, что мошеннические и вредоносные SMS-рассылки, как правило, производятся с обычных абонентских номеров, блокировать которые российские операторы пока не имеют права. Источник: «Мегафон» Британских клиентов Santander атакуют троянцы Полтора месяца в Великобритании не утихают жалобы на вредоносный спам, который приходит лишь на почтовые адреса, привязанные к индивидуальным счетам в банке Santander. Многие заявители отмечают, что они завели и используют данный адрес исключительно для общения с банком. Служба безопасности Santander ведет расследование, однако утечки пока не обнаружила. Первыми вредоносную рассылку обнаружили эксперты бельгийской security-компании MX Labs. По их свидетельству, сообщения распространяются с поддельного адреса @bbb.org. Само письмо выполнено в форме приглашения на некий семинар по вопросам прямого дебетования и подписано работником банка NatWest, хотя указанный им почтовый адрес прописан в домене rbs.co.uk, который принадлежит иному кредитно-финансовому учреждению – Королевскому банку Шотландии (Royal Bank of Scotland). Поддельное письмо снабжено ZIP-вложением, содержащим вредоносный файл invitation.exe. Последний на настоящий момент опознают почти все антивирусы списка Virus Total (продукты «Лаборатории Касперского» детектируют его как Backdoor.Win32.Androm.cuj). Примечательно, что почтовые адреса, привязанные к онлайн-аккаунтам Santander, светятся лишь в самом банке, на правительственном шлюзе и в веб-службе FastPay британского банка NatWest. Поскольку утечка до сих пор не обнаружена, наиболее вероятной причиной неприятного инцидента, по мнению экспертов, является недобросовестность партнеров Santander, специализирующихся на рекламе. Нельзя исключить и оплошность самих пользователей, которые могли ненароком раскрыть свой эксклюзивный адрес в Сети. Подбор адресов по словарю в данном случае маловероятен: слишком много подделок попало в цель. Источник: The Register Сбежавший спамер вернулся в федеральную тюрьму По сообщениям калифорнийских новостных источников, накануне Нового года из тюрьмы нестрогого режима в Ломпоке сбежала местная знаменитость – первый спамер, которого осудили по тогда еще молодому закону CAN-SPAM. Беглец отсутствовал около суток, а затем сдался властям и был направлен в другое пенитенциарное учреждение. Приговор Джефри Килбрайду (Jeffrey Kilbride) и его подельнику Джеймсу Шафферу (James Schaffer) был вынесен осенью 2007 года. Согласно материалам дела, сообщники специализировались на рекламе порносайтов, старательно маскируя источники спам-рассылок: фальсифицировали адреса отправителей, рассылали письма с голландских IP-адресов и использовали доменные имена, зарегистрированные в Маврикии. Оба спамера получили суровые сроки; с них также были взысканы солидные штрафы с возмещением убытков потерпевшим и конфискацией нетрудовых доходов. Шаффер освободится в ноябре текущего года. Срок, назначенный Килбрайду, истечет в декабре 2015 года, однако не исключено, что из-за побега он будет продлен. Источник: Network World Записки спам-аналитиков Зашифрованное пожертвование Татьяна Куликова, эксперт «Лаборатории Касперского» В сентябре прошлого года мы писали о вредоносном письме, подделанном под извещение от арбитражного суда. К письму прилагался архив с вредоносной программой, которая шифровала документы на компьютере пользователя, попробовавшего прочитать присланную «повестку в суд». Далее злоумышленник предлагал жертве написать письмо по указанному адресу, дабы начать переговоры по восстановлению доступа к зашифрованным файлам. При этом злоумышленник сообщал, что вымогает деньги не ради обогащения, а с целью «откоса от армии». Казалось бы, с окончанием осеннего призыва такие вредоносные письма должны были потерять свою актуальность. Но мошенникам всегда нужен только повод, чтобы залезть в чужой карман – и жалобные истории о призыве остаются всего лишь историями. Потому неудивительно, что мы снова нашли в наших антиспам-фильтрах письмо о возбужденном иске, начатом неизвестно кем и неизвестно по какому делу. И вновь во вложенном ZIP-архиве находилась программа-шифровальщик, детектируемая «Лабораторией Касперского» как Trojan-Dropper.Win32.Dapato.dggc. Однако теперь злоумышленники вымогали деньги не для откупа от военной комиссии, а на строительство храма. Причем требование денежных средств было выставлено в безапелляционном тоне, и злоумышленники не постеснялись заявить, что документы жертвы «зашифрованы святым духом». По двум рассмотренным примерам видно, что злоумышленники стараются выбирать нарочито провокационные темы для своих писем. К добрым чувствам и человеческой жалости обычно взывают разнообразные мошенники, здесь же определенно присутствует элемент глумления как следствие уверенности преступников в собственной безнаказанности. Ведь файлы пользователя уже находятся у них в руках и нет необходимости прикидываться бедными и несчастными для получения вожделенных денег. Чтобы не оказаться в полной зависимости от злой воли киберпреступников, важно помнить всего несколько простых правил: осторожно относиться к неожиданным сообщениям, оказавшимся в вашем почтовом ящике, и не спешить открывать подозрительные вложения и ссылки. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013