Электронный журнал "Спамтест" No. 503 В этом номере: Новости Записки спам-аналитиков Новости Mozilla устранила обход фильтра в Thunderbird Компания Mozilla закрыла серьезную брешь в почтовом приложении Thunderbird, которая позволяет обойти фильтр, блокирующий HTML-тэги в электронных сообщениях. Используя эту уязвимость, злоумышленник получает возможность выполнить вредоносный код на машине получателя спам-письма. Атакующий может использовать уязвимость в Thunderbird 17.0.6, внедрив в почтовое сообщение закодированный скрипт и связанный с ним HTML-тэг. «По умолчанию HTML-тэги, такие как script и iframe, в Thunderbird блокируются и отфильтровываются сразу после их ввода, – поясняют эксперты из пакистанской Vulnerability Laboratory, обнаружившие данную брешь. – Составляя письмо, злоумышленники могут легко обойти входной фильтр [Thunderbird], внедрив зашифрованный по base64 вредоносный скрипт/фрейм и тэг object. Эксплойт запускается, когда жертва решает ответить или переслать полученное письмо». Чтобы убедиться в наличии проблемы, исследователи проверили описанную выше схему на практике и отметили в информационном бюллетене следующее: «Интересно, что при первоначальном просмотре полезная нагрузка отфильтровывается, однако при нажатии жертвой кнопки Reply или Forward эксплойт успешно отрабатывает». Никаких других действий от пользователя в данном случае не требуется. В новейших версиях Thunderbird опасная брешь уже исправлена, и пользователям рекомендуется срочно произвести обновление. Источник: Softpedia Хакерский сервис под прицелом В США, Румынии, Индии и Китае задержаны 11 граждан по подозрению в причастности к адресному взлому почтовых аккаунтов. Аресты проведены по итогам международного расследования, запущенного ФБР с целью пресечения деятельности сайтов, принимающих заказы на предоставление хакерских услуг. Арестованным американцам уже предъявлены обвинения; двое из них предположительно являются операторами местных хакерских сервисов, трое других – их клиентами. Согласно материалам дела, заказчики предоставляли хакерам имена владельцев почтовых ящиков, а те добывали пароли. Оплата хакерских услуг производилась через PayPal; ответчикам инкриминируются около 6 тыс. эпизодов взлома. Если их вина будет доказана, операторам нелегальных сервисов грозит до 5 лет лишения свободы, заказчикам – до 1 года. В Румынии судят четырех предполагаемых операторов местных сайтов, также выполнявших заказы на взлом личной почты. Блюстителям правопорядка удалось выявить около 1,6 тыс. почтовых аккаунтов, взломанных по заказу за полтора года работы этих сервисов. ФБР также проверяет еще одного румынского гражданина на причастность к данному теневому бизнесу. Все свидетельства указывают на то, что этот задержанный – неоднократно судимый хакер Gucifer, получивший известность после взлома почты ряда политических деятелей США, Румынии и Великобритании. Арестованный в Индии житель г. Пуна предположительно является оператором двух местных хакерских сервисов, коих в этой стране, по оценкам индийских спецслужб, примерно полтора десятка. Помимо перлюстрации чужой почты, они по заказу также взламывают сайты, интересуются содержимым банковских счетов и даже оказывают матримониальные услуги. Такие веб-сервисы пользуются популярностью у конкурирующих компаний, покупающих собственность риэлторов, букмекеров и родителей, имеющих детей на выданье. Не исключено, что местные хакеры-бизнесмены также продают свои находки криминальным группировкам и свободным охотникам за информацией. Два хакерские сайта, взятые на прицел индийскими властями, за два года обслужили 935 запросов на взлом почтовых аккаунтов, преимущественно американских. В Китае по подозрению в неавторизованном доступе к почтовым ящикам был задержан хакер, известный под псевдонимом Brent Liu. По имеющимся данным, он тоже является оператором теневого веб-сервиса, который за год с небольшим выполнил около 300 заказов по взлому электронной почты. Источник: US Attorney Office Фиктивное выселение и зловред впридачу Эксперты Dynamoo's Blog обнаружили вредоносный спам, имитирующий уведомление о выселении по суду. Данная спам-рассылка, по всем признакам, является продолжением декабрьской спам-кампании, запущенной с ботнета Asprox и нацеленной на засев того же зловреда. По свидетельству Dynamoo's Blog, грозные поддельные уведомления о выселении написаны на плохом английском языке, что должно сразу же насторожить получателя. Чтобы заставить пользователя открыть вредоносное ZIP-вложение, спамеры указывают ограниченный срок, в который якобы нужно освободить помещение, грозят штрафом и насильственными мерами. Вложенный ZIP-архив содержит исполняемый файл, замаскированный под документ Word. На настоящий момент последний определяется как вредоносный большинством антивирусов списка VirusTotal («Лаборатория Касперского» детектирует его как Backdoor.Win32.Androm). Согласно ThreatExpert, данный зловред подключается к C&C-серверу в Италии или Южной Африке. Источник: Dynamoo's Blog Новая ловушка для пользователей Twitter Trend Micro обнаружила в Twitter очередную порцию спам-предложений приобрести дополнительных подписчиков микроблога (followers). По свидетельству экспертов, авторы данной рассылки, против обыкновения, верны своим обещаниям, но также используют профили отозвавшихся твиттерян для развития спам-кампании и загрузки партнерской рекламы. Как мы уже отмечали, высокопоставленным и начинающим твиттерянам в большой степени свойственно стремление получить признание социального сообщества, материальным выражением которого является число читателей персонального микроблога. Чтобы повысить этот показатель, тщеславные участники Twitter нередко покупают солидные списки читателей, составление и сбыт которых давно поставлены на поток в сетевом андеграунде. Спам-сообщения о продаже списков (фальшивых) читателей – давно не новость на сервисе микроблогов, однако такие предложения нередко далеки от истины: обманщики выуживают у клиентов деньги и персональные данные, не давая ничего взамен. По свидетельству Trend Micro, авторы новых спам-предложений действительно выполняют обещанное, но с пользой для себя. Ссылка, указанная ими в сообщении «GET MORE F0LL0WERS» («Получи больше подписчиков»), через Google-редирект ведет на сайт, предоставляющий соискателю премиумные и «бесплатные» списки. Для увеличения аудитории потенциальных клиентов спамеры также распространяют свое предложение, используя Twitter-сервис Discover и тематические списки. Предлагаемая твиттерянам «бесплатная» опция требует авторизации в профиле некоего приложения LAAY PAAY, которое на самом деле обеспечивает хозяевам доступ к аккаунту жертвы. После его авторизации пользователя возвращают на спамерский сервис и показывают страницу, имитирующую процесс обработки запроса. В итоге соискатель приобретает случайных читателей, в том числе владельцев приватных аккаунтов. Платный сервис спамеров, согласно их заявлению, гарантирует поминутное добавление подписчиков, защиту от рекламы и мгновенную активацию. Стоимость этой услуги – около 6 евро с оплатой через PayPal. Однако это тоже развод: все проданные таким способом читатели – это другие подписчики данного «сервиса». Соглашаясь на его услуги, твиттерянин предоставляет данные своего профиля в распоряжение мошенников – независимо от того, платит он или нет, и те используют его как перспективного «читателя» и как дополнительный источник своих спам-рассылок. Trend Micro также отмечает, что в том случае, если клиент спамеров решит обратиться к ним за новым списком «читателей», ему придется вновь регистрироваться и заново проходить всю процедуру подписки. У авторов данной мошеннической схемы есть и еще одна цель: они также от имени своих жертв в фоновом режиме загружают стороннюю рекламу, обеспечивая таким образом дополнительный доход себе и своим партнерам. Эксперты зафиксировали 35 раздельных доменов, задействованных в данной спам-кампании. Все они привязаны к одному и тому же IP-адресу с американской пропиской. На долю американцев при этом приходится почти 70% визитов на мошеннический сервис; в Тор 5 стран входят также Турция, Новая Зеландия, Великобритания и Филиппины. Операторы Twitter уже заблокировали некоторые аккаунты, вовлеченные в мошенническую торговлю «читателями», и удалили твиты на эту тему. Источник: Trend Micro Внимание, новый блокер-шифровальщик The Hacker News предупреждает о новоявленном Windows-блокере, распространяемом посредством спама и через р2р-сети. Появившийся в минувшем сентябре CryptorBit шифрует все файлы на жестком диске, в том числе документы, аудио, фото и видео, и требует выкуп за расшифровку, которую злоумышленники не производят даже после получения денег. Такие спам-сообщения могут быть написаны от имени лица, знакомого получателю, и включают вредоносную ссылку или вложение. После успешной инсталляции зловред на английском языке уведомляет пользователя о том, что все его личные файлы зашифрованы, и требует выкуп в размере от 50 до 500 долларов. Для оплаты жертве предлагается в течение суток скачать Tor-браузер и зайти на некий сайт, размещенный на onion-домене. Однако выполнение требований вымогателей ситуацию не исправит: уплатив выкуп, жертва заражения получит лишь фальшивый, бесполезный ключ. Попав на машину пользователя, CryptorBit, по свидетельству экспертов, оседает в системной директории %AppData% и легко вычищается обычным антивирусом. Однако восстановить зашифрованные файлы можно лишь с помощью штатной функции System Restore (восстановление системы). Основным средством защиты от данного зловреда, как и от прочих аналогов, является своевременное создание резервных копий. The Hacker News также рекомендует хранить важные файлы на серверах, а не на десктопах или в локальных папках. Источник: The Hacker News Sophos: Беларусь – чемпион по исходящему спаму на душу населения Компания Sophos опубликовала рейтинг стран-лидеров по количеству исходящих спам-рассылок по итогам октября-декабря 2013 года. «Грязную дюжину», как и предыдущие три квартала, возглавили США, на долю которых в конце года пришлось 14,5% глобального мусора. В списке стран-спамеров, учитывающем численность населения, 1 место вновь заняла Беларусь, которая удерживала эту непочетную позицию на протяжении всего минувшего года. Вторую строчку в страновом рейтинге по совокупному спам-потоку занял Китай с долей 8,2%, третью – Россия (5,5%), которая поднялась сразу на 9 позиций. Беларусь, напротив, улучшила свой общий показатель (4,7%) и спустилась со 2-й ступени на 4-ю. За ней следуют Украина (4,5%, ранее 9 место) и покинувшая 3-ю позицию Индия (3,8%). Замыкает «грязную дюжину» дебютант Вьетнам. В пересчете исходящего мусора на душу населения «спампионом», как отмечено выше, является Беларусь, показатель которой оказался в 10,4 раза выше, чем у США (Sophos принимает уровень этой страны за 1,0). По словам экспертов, такая ситуация означает, что «вероятность получения спама с произвольно взятого белорусского компьютера в 10 раз выше, чем с американского». На второе место «подушного» списка поднялся Кувейт (6,0), на третьем остался Тайвань (3,5). Украина заняла 8 строчку, новый участник Тор 12 Исландия – последнюю. Сами США откатились на 27-ю позицию. Источник: Sophos Твиттерян атакует вымогатель В конце января глава антиспам-тестировщиков Virus Bulletin Мартейн Гротен (Martijn Grooten) обнаружил на Twitter спам-рассылку, призванную повысить посещаемость страниц, показывающих поддельное сообщение полиции с целью вымогательства. По свидетельству эксперта, данный случай не грозит заражением, это довольно бесхитростная атака через браузер с элементами социальной инженерии. Снабженные ссылками разноязычные фальшивые твиты («Какой креатив!», «Рада поделиться», «Классный сайт!» и т.п.) распространяются с легитимных аккаунтов, по всей видимости, скомпрометированных. Гротен полагает, что злоумышленники просто приобрели списки взломанных профилей на черном рынке. Все указанные спамерами линки привязаны к домену appspot.com, используемому Google App Engine. Данный веб-сервис позволяет клиентам бесплатно регистрировать поддомены. С поддомена appspot.com посетитель перенаправляется на другие редиректоры, использующие бесплатные DNS-сервисы и привязанные к одному и тому же турецкому серверу, а оттуда – на лендинг-страницу. Во избежание попадания этой страницы в черные списки вымогатели, по свидетельству Гротена, зарегистрировали в ряде доменов поддомен alert-police. Как обнаружил эксперт, во всех случаях регистратором являлась британская служба 123-Reg. Отображаемое в браузере поддельное сообщение обвиняет пользователя в просмотре запрещенного контента и предлагает уплатить небольшой щтраф во избежание судебного преследования. Гротен отмечает, что мошенники при этом используют геопривязку: данное сообщение воспроизводится на понятном посетителю языке и с логотипом соответствующего правоохранительного органа. Эксперт насчитал около 30 логотипов в коллекции авторов атаки и отметил их сходство с графикой, используемой блокером Reveton. Однако в данном случае вымогателем является не вредоносная программа, а веб-сайт, удерживающий пользователя на определенной странице. Сотня фреймов, подгружаемых в браузер, создает впечатление, что уйти с этого сайта нельзя. Напомним, аналогичная схема вымогательства была зафиксирована минувшим летом, и ФБР даже выпустило предупреждение, пояснив, что избавиться от навязчивых фреймов можно перезапуском браузера и очисткой его истории. Есть и другой путь – упорно давить в диалоговом окне кнопку «Leave the page» («Уйти с этой страницы»), пока загрузки iframe не иссякнут. Что касается текущей Twitter-атаки, Virus Bulletin уже передал информацию о мошеннических доменах регистратору 123-Reg, и тот уже удалил соответствующие записи из DNS. Эксперты также уведомили об абьюзе хостинг-провайдера, у которого вымогатели разместили свою лендинг-страницу. Источник: Virus Bulletin Yahoo Mail предупреждает об утечке Yahoo обнаружила попытку неавторизованного доступа к ряду аккаунтов на ее почтовом веб-сервисе. Масштабы утечки пока не определены, сервис-провайдер приступил к сбросу скомпрометированных паролей и оповещению пострадавших по почте и SMS. Компания также обратилась в правоохранительные органы, надеясь с их помощью отыскать и наказать виновников взлома. По словам Yahoo, полученные на настоящий момент свидетельства указывают на то, что атакующие получили список логинов и паролей Yahoo Mail путем взлома сторонней базы данных. «Мы не обнаружили доказательств прямой кражи из систем Yahoo, – говорится в заявлении компании, опубликованном на Tumblr. – Запущенное нами расследование показало, что доступ к ящикам Yahoo Mail был получен с помощью вредоносной программы, вооруженной списком логинов и паролей. Атака была нацелена, по всей видимости, на хищение имен и почтовых адресов из последних писем, отправленных с этих аккаунтов». В связи с инцидентом Yahoo напоминает пользователям о необходимости регулярной смены паролей, которые должны содержать разные знаки и символы. Не следует также использовать один и тот же пароль на разных сайтах и сервисах. Источник: Yahoo Записки спам-аналитиков Счастливые миллионеры желают поделиться? Татьяна Щербакова, эксперт «Лаборатории Касперского» Письма о выигрыше в лотерею - традиционная уловка «нигерийских» мошенников. Зачастую автор такого письма представляется счастливым обладателем многомиллионного выигрыша, который уже не знает, на что потратить неожиданное богатство, и хочет заняться благотворительностью. За последние месяцы мы обнаружили несколько спам-рассылок, написанных от имени различных людей, выигравших в лотерею недавно или несколько лет назад. Так, в декабре мы получили несколько разных рассылок, написанных от имени одной и той же семейной пары, которая получила свой выигрыш еще в 2012 году. Письма имели разное оформление и легенду, однако везде предлагаемая жертве сумма составляла 800 тысяч фунтов стерлингов, а для убеждения получателя в подлинности информации о лотерее указывалась одна и та же ссылка на видеозапись интервью победителей. Мошенники постарались быть предельно краткими и не стали излагать детальную информацию в теле письма. Однако письма одной из рассылок содержали текстовое вложение, в котором сообщалось, что в рамках благотворительное проекта электронный адрес получателя был выбран в числе трех счастливчиков, которым и достанутся деньги. Имя другой семейной пары, получившей выигрыш в ноябре 2013 года, мошенники также использовали для придания достоверности своим письмам. На этот раз спамеры сообщали о пожертвовании в размере одного миллиона фунтов. В письме не сообщалось никаких деталей относительно получения денег, равно как не было никаких объяснений, почему победители решили поделиться деньгами именно с получателем. Чтобы узнать все эту информацию, будущей жертве нужно было ответить на мошенническое письмо. Использовали спамеры и более свежие поводы. В середине декабря 2013 года простой житель Канады выиграл 40 млн. долларов в лотерею, а в начале января 2014 мы обнаружили мошенническую рассылку от имени новоиспечённого миллионера. Как и ожидалось, мошенники пытались заманить получателя суммой в 1,2 млн. долларов, а также рассказом, что миллионер якобы раздает весь свой выигрыш в память о своей жене, которая умерла от рака два года назад. Для создания сюжетов для своих писем злоумышленники используют различные реальные происшествия. Это могут быть как трагические (смерть известных людей, теракты, природные катастрофы), так и приятные события, например, выигрыш в лотерею. Но каким бы не был сюжет мошеннических писем,  не стоит верить в рассказы их авторов о желании поделиться деньгами. Помните, что указанные в письме реальные имена и ссылки на настоящие публикации в известных изданиях не являются гарантией достоверности изложенной истории. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Черное золото или Черная дыра в кошельке Татьяна Куликова, эксперт «Лаборатории Касперского» Совсем недавно был выпущен на свободу бывший глава нефтяной компании «Юкос» Михаил Ходорковский. В России еще гадают о причинах амнистии, а мировые таблоиды продолжают следить за каждым шагом экс-бизнесмена. Для «нигерийцев» эта новость стала поводом для нового трагического рассказа, единственной целью которого является получение денег у доверчивых пользователей. По версии «нигерийцев», целая группа российских нефтяных магнатов (преувеличение, сделанное явно для того, чтобы потенциальную жертву не удивлял размер итоговой суммы) оказалась под следствием по обвинению в мошенничестве. К счастью для получателя письма, они успели перевести свои многочисленные миллионы на доверенный счет в одном из банков Великобритании. И теперь загадочный посредник, мистер Maharais Abash просит получателя предоставить личный счет в банке для того, чтобы на него можно было бы перевести нефтяной капитал, 50 миллионов долларов. Конечно же, дело носит строго конфиденциальный характер - ни британская, ни российская стороны не должны ни о чем догадываться. Освобождение Ходорковского повлекло за собой настоящий взрыв креатива у «нигерийцев», так как больше нечем объяснить тот факт, что на 15 лет тюремного заключения осудили не одного нефтяного магната, а целую группу. К счастью, именно этот факт позволяет вовремя уличить мошенников во лжи и не попасться к ним на удочку. Достаточно просто создать запрос в поисковой системе и выяснить, что никаких массовых арестов среди российских олигархов не производилось, а 50 миллионов долларов ожидают своего получателя не в банке, а всего лишь в воображении мистера Maharais Abash. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013