Электронный журнал "Спамтест" No. 506 В этом номере: Новости Записки спам-аналитиков Новости Эксперты предупреждают об экспансии XtremeRAT По данным FireEye, инициаторы спам-рассылок, обычно заряженных ZeuS или другими банкерами, переключились на иную полезную нагрузку. В настоящее время они активно раздают XtremeRAT – средство удаленного администрирования, способное обеспечить злоумышленникам контроль над системой жертвы. XtremeRAT используется сетевым криминалом как минимум с 2010 года, – как правило, в целевых атаках, но иногда и для коврового сбора информации, которую можно отсеять и выгодно продать на черном рынке. Данный инструмент позволяет атакующим поддерживать интерактивную связь с зараженной системой, выкачивать и загружать файлы, вносить изменения в системный реестр, манипулировать запущенными процессами и сервисами, делать скриншоты и вести видео- и аудиозапись. Некоторые варианты XtremeRAT умеют также регистрировать ввод с клавиатуры и заражать флэшки. Тем не менее, использование таких бэкдоров предполагает ручную сортировку краденой информации, этот процесс очень трудоемкий, и атакующие обычно отдают предпочтение вредоносным программам, позволяющим автоматизировать отбор, таким как банкеры. Отказ от автоматизации в данном случае, по мнению FireEye, мог быть вызван следующими, отнюдь не взаимоисключающими причинами: стремлением скрыть истинные мишени атаки; поиском альтернативы популярному инструментарию, авторы которого попали под арест или прекратили техподдержку; повышением обороноспособности потенциальных мишеней – банков, финансовых институтов; авторы специализированных троянцев не всегда успевают реагировать на такие нововведения, и вполне возможно, что RAT как инструмент более универсальный на каком-то этапе оказывается эффективнее, хотя и скромнее по зоне охвата; элементарной жадностью: бери все, что можешь взять, а потом можно разобраться и выгодно продать доступ к перспективным системам или найденные ценности. Эксперты FireEye собрали и проанализировали 165 образцов XtremeRAT, которые использовались в атаках на энергетические и нефтеперерабатывающие предприятия, финансовые институты и представителей сферы высоких технологий. Распространялись эти бэкдоры, в основном, посредством вложений в поддельные письма от налоговых служб, написанные на испанском языке, хотя была обнаружена и англоязычная спам-рассылка, использующая недавний теракт в Кении как приманку. Исследователи также подменили один из C&C-серверов XtremeRAT и за полтора месяца насчитали 12 тыс. инфицированных узлов (IP-адресов), размещенных в 40 странах. При этом 92,7% заражений было обнаружено на территории Колумбии. Источник: FireEye Google поможет отказаться от ненужной рекламы Пользователям почтового сервиса Gmail больше не придется выискивать в рекламных письмах кнопку «Unsubscribe», порой тщательно замаскированную. Отписаться от неактуальной рассылки теперь можно не открывая письма: эта кнопка волей Google теперь четко видна и выведена в поле заголовка маркетингового сообщения, рядом с адресом отправителя. На первый взгляд от нововведения выигрывают лишь получатели писем, которые обрели дополнительную возможность контролировать входящий поток, однако Google уверена, что оно будет полезным и для рекламодателей. По мнению провайдера, его новая опция поможет бизнес-структурам повысить транспарентность и уберечь рекламу от попадания в спам-карантин. «Одной из самых больших проблем, присущих системе фильтрации Gmail, является идентификация нежелательных сообщений – легкой формы спама», – поясняет Виджей Эранти (Vijay Eranti), лидер борцов с злоупотреблениями на Gmail. По его словам, пользователи электронной почты иногда подписываются на рекламные рассылки, но на каком-то этапе решают, что такие сообщения им не нужны. Если получателю с ходу не удается найти опцию отказа, он просто помечает легитимное письмо как спам, нажимая соответствующую кнопку. Его сигнал передается на фильтр, и если таких сигналов много, защитная система Google начнет классифицировать отправителя рекламных писем как спамера. В результате у такой компании могут появиться проблемы с доставкой любой исходящей почты. Источник: PC World Symantec: в январе активность спамеров снизилась Согласно статистике Symantec, в минувшем месяце уровень спама в почтовой корреспонденции снизился на 1,9 процентных пункта и составил 62,1%. Наиболее высокие показатели зафиксированы в Шри-Ланке (74,7%), а также в таких отраслях, как добыча полезных ископаемых (64,2%) и промышленное производство (63,2%). Ведущую десятку стран-источников почтового мусора по итогам января возглавила Канада, вклад которой в глобальный спам-трафик составил 7,7%. За ней в убывающем порядке следуют Испания (6,8%), Россия (6,4%) и США (5,9%). Замыкают этот непочетный список Украина и Румыния (3,2 и 3,1% соответственно). В тематическом составе январского спама преобладала категория «Порно/Знакомства», на долю которой пришлось 75,2% мусорного потока. Второе место заняла реклама фармацевтических препаратов (20,1%). Рейтинг TLD-доменов, обнаруженных в спамерских ссылках, и данные о размерах спам-сообщений Symantec представила по состоянию на конец декабря. TLD-лидером в этом месяце вновь оказался .COM с показателем 33,1%, на третью ступень поднялся .RU (13,2% ссылок). В декабрьском спам-потоке заметно увеличилось количество крупных, весом более 10 КБ писем, на долю которых пришлось 52,3% почтового мусора. Фишинговая составляющая январской корреспонденции сократилась до 1 письма на 1444 против 1 на 1053 в предыдущем месяце. Наиболее высокие уровни фишинга наблюдались в ЮАР (1 письмо на 540), а в разделении по областям хозяйственной деятельности – в госсекторе (1 на 761). Основными источниками фиш-писем являлись США (39,9% общего количества), Австралия (27,1%) и Великобритания (24,3%). Больше половины (58,1%) обнаруженных экспертами фишинговых сайтов были созданы автоматизированными средствами. Большинство сайтов-ловушек имитировали ресурсы финансовых организаций (67,5%) или информационные службы (29,1%). Концентрация писем с вредоносными вложениями тоже снизилась – до 1 сообщения на 431 против 1 на 164 в декабре. Наиболее высоким этот показатель оказался в Венгрии и ЮАР (1 письмо на 217 и на 221 соответственно), а также в госсекторе (1 на 309). Основными поставщиками зараженных сообщений в январе являлись США (66,5% общего объема) и Великобритания (15,0%). Источник: Symantec Tele2 подвел итоги борьбы с SMS-спамом По оценке Tele2, альтернативного оператора на рынке сотовой связи России, количество жалоб на непрошеные SMS-рассылки в его сетях за последние 5 месяцев сократилось на 45%. В 2013 году абонентская служба этого телеоператора ежемесячно регистрировала порядка 5,2 тыс. таких обращений, в новом году этот показатель снизился до 2,86 тысячи. Tele2 полагает, что этот успех является результатом реализации запущенной им программы по защите абонентов от спама. С ноября оператор начал блокировать SMS-сообщения буквенно-цифровых отправителей, которые не состоят в договорных отношениях с Tele2 или его партнерами-агрегаторами. Абоненты Tele2 также могут самостоятельно ограничивать входящие сообщения, используя услугу «Черный список». В этот блоклист можно вносить короткие номера, текстовые подписи отправителей, а также абонентские номера с DEF-кодом доступа. Источник: Карелинформ Нижегородцы стали чаще жаловаться на SMS-спам 25 февраля в Нижнем Новгороде прошла пресс-конференция, посвященная подведению итогов работы местного управления Федеральной антимонопольной службы в 2013 году. Отвечая на вопросы журналистов, начальник отдела контроля финансовых рынков, рекламы и недобросовестной конкуренции Ольга Швецова отметила рост количества жалоб на непрошеную SMS-рекламу. По словам Швецовой, в минувшем году в нижегородское УФАС поступило 280 обращений по фактам, содержащих признаки нарушения федерального закона «О рекламе». В 2012 году антимонопольщики приняли 260 таких жалоб. В большинстве случаев заявители жалуются на навязчивую рекламу, распространяемую без согласия получателя по SMS-каналам. Представитель федерального ведомства отметила, что найти нарушителя в таких случаях не всегда легко. Винить оператора сотовой связи в распространении спама довольно бесперспективно, хотя заметим, такие прецеденты в российской практике были. Согласно действующему в стране законодательству, оператор не имеет права блокировать сообщения или отказываться от их доставки. В минувшем году нижегородским УФАС было возбуждено 119 дел по признакам нарушения ФЗ «О рекламе», вынесено 99 решений о правонарушении и выдано 209 предписаний. В том числе УФАС рассмотрело 12 дел о распространении рекламы по сетям электросвязи без согласия абонентов (в виде SMS или посредством обзвона). Источник: Новости Нижнего Новгорода Записки спам-аналитиков Обет нигерийцев: клятвы - наши, деньги – ваши Татьяна Куликова, эксперт «Лаборатории Касперского» Истории нигерийских спамеров часто поражают умением обыгрывать один и тот же мошеннический ход при помощи разных жизненных ситуаций. В большинстве своем это ситуации глубоко трагические, связанные либо с чьей-нибудь смертью, либо с обострением политической ситуации. Поэтому попытка отдать свои капиталы (или существенную их часть) в добрые, пусть и чужие, руки может оказаться полной неожиданностью, если она подается как исполнение обета, данного Богу. А именно под этим предлогом некий инженер решил отдать несколько десятков тысяч долларов выбранному случайным образом пользователю интернета. Согласно легенде, некоторое время назад он заключил выгодный контракт в Австралии, но после выполнения работ его услуги не оплатили. В отчаянии инженер пообещал Богу отдать 250 тысяч долларов США кому угодно, если он сумеет получить свои честно заработанные деньги. Конечно же, эта история не могла окончиться ничем, кроме хеппи-энда. Практически на днях правительство Австралии согласилось полностью погасить свой долг перед мистером Брэди. И теперь счастливый инженер решил выполнить данный обет и готов выплатить 250 тысяч долларов незнакомцу, которым, конечно же, оказался получатель письма. Но, хотя Google и подтверждает существование фирмы, принадлежащей мистеру Брэди, не стоит всерьез относиться к сообщению с предложением получить круглую сумму. На мошеннический характер письма указывает то, например, что основатель крупной фирмы пишет с домена fbi.gov. Остается надеяться, что желающих предоставить свой кошелек ради выполнения мистером Брэди священного обета не найдется. Так как хэппи-энд для мошенников часто оборачивается трагедией для их жертв. Примеры спамовых писем смотрите на сайте Securelist.com/ru. «Подарок» давним клиентам Apple Татьяна Щербакова, эксперт «Лаборатории Касперского» В январе мы обнаружили фишинговые письма, которые мошенники рассылали от имени компании Apple. В письмах содержалось заманчивое предложение приобрести карту на скидку в размере 150 евро в любом европейском AppStore, заплатив за нее всего 9 евро. Кроме того, в письме подчеркивалось, что получить карту могут только преданные пользователи «яблочных» гаджетов. Для оформления заявки на получение карты фанату Apple следовало открыть вложенную  в письмо HTML-страничку и заполнить все предложенные поля, в том числе указать полную информацию о своей банковской карте, включая трехзначный код проверки подлинности, указанный на ее обратной стороне. В обмен на предоставленную информацию мошенники обещали в течение 24-х часов прислать по электронной почте дисконтную карту. Но это, конечно, была очередная уловка для обмана пользователей, как и использование логотипа компании Apple и автоподписи в конце письма. Мошенники охотятся не только за логинами и паролями от личных кабинетов, но и за банковской информацией пользователя, и для достижения намеченной цели могут наобещать жертве что угодно. Неопытному пользователю бывает достаточно трудно раскрыть обман, однако просьба предоставить конфиденциальную банковскую информацию или данные для входа в личный кабинет - верный признак фишингового письма. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Тайный покупатель: опасайтесь подделок Татьяна Куликова, эксперт «Лаборатории Касперского» Предложение поработать «тайным покупателем» является одной из распространенных ловушек мошенников. Они предлагают подработать в свободное время, и,  в случае согласия, высылают фальшивый чек на очень большую сумму денег, которая должна компенсировать работнику расходы на закупку товаров и проведение исследования. Оставшуюся после выполнения работы часть суммы жертва возвращала мошенникам. Поэтому, когда банк аннулировал присланный чек как поддельный, счет незадачливого «тайного покупателя» уходил в минус. Однако пользователь становится все более подкован в области интернет-безопасности, и преступникам все чаще приходится прибегать к различным уловкам, чтобы достичь своей цели. Одним из таких приемов стала подделка мошеннических писем под рассылку крупного сайта, специализирующегося на работе с «тайными покупателями». В письме, которое поступило якобы от компании Mystery Shopper Inc, предлагалось посмотреть описание вакансии, но демонстрируемая ссылка имела отношение к другому ресурсу, также специализирующемуся на подобных маркетинговых исследованиях. Адрес настоящей странички мошенников становился виден после перехода по указанной ссылке. Естественно, он не имел никакого отношения к официальным ресурсам Mystery Shopper Inc. На мошеннической странице говорилось о преимуществах подработки в качестве «тайного покупателя», а для получения желаемой работы ее авторы предлагали заполнить небольшую анкету с личными данными (полное имя, возраст, почтовый адрес и адрес электронной почты). Я заполнила анкету, и в ответ пришло письмо с подробной инструкцией для осуществления исследовательской деятельности в качестве «тайного покупателя». В конце письма следовали уверения в том, что чек на все необходимые расходы будет выслан по указанному в анкете адресу. Главным же фактом, доказывавшим мошеннический характер этого письма, было то, что в качестве контактной информации указывались не почтовые адреса компаний, от имени которых было написано письмо, а бесплатные почтовые ящики. Для того чтобы не попасться на уловки спамеров, достаточно просто соблюдать несколько правил предосторожности. Игнорировать письма, пришедшие с ресурсов, на которых вы не были зарегистрированы. Внимательно отслеживать, по какому адресу перенаправляет ссылка в письме. И тогда искушение потратить кучу денег по фальшивому чеку минует ваш кошелек. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013