Электронный журнал "Спамтест" No. 508 В этом номере: Новости Записки спам-аналитиков Новости HostExploit обновила оценку вредоносной активности Активисты некоммерческой организации HostExploit опубликовали очередной квартальный рейтинг «плохих» хостов и сетей, составленный по результатам изучения более 46 тыс. AS-систем. В подготовке отчета о вредоносной активности также приняли участие компании-партнеры проекта, в первую очередь CyberDefcon, Group-IB и CSIS. Согласно оценке HostExploit, первые три места в непочетном списке Top 50 вновь заняли прежние лидеры, американские компании Landis Holdings (AS11042), New Dream Networks (AS26347) и HostDime.com (AS33182). При этом первая и последняя поменялись местами из-за заметного роста количества C&C ZeuS в сетях Landis Holdings. В ведущей десятке на долю США пришлось 6 позиций, в Тор 50 – 14. Россия расширила свое присутствие в Тор 10 до двух мест, в Тор 50 вошли 8 представителей этой страны. Примечательно, что в десятку лидеров на сей раз попал CDN-провайдер CloudFlare (AS13335, 7 место), известный своей успешной борьбой с DDoS-атаками. В его сетях была обнаружена высокая концентрация зараженных сайтов. Из российских компаний в Тор 10 вошли ISPsystem (AS29182, 5 место) и Masterhost (AS25532, 9 место). Agava (AS43146) за три месяца улучшила свои результаты и выбыла из ведущей десятки, опустившись на 23-ю ступень. В категории «Зараженные сайты» половину позиций Тор 10 заняли американские компании, в том числе лидеры в общем зачете и CloudFlare (2 место). Россия «отличилась» высокой концентрацией C&C ботнетов, на долю россиян в этом рейтинге пришлось 4 позиции из 10-ти. Непочетный список хостеров C&C вновь возглавил российский провайдер IQHost (AS50465), удерживающий первенство в данной категории с 2012 года. Количество командных серверов ZeuS, по данным HostExploit, остается практически неизменным, и скрываются они, как правило, в небольших AS-сетях. Так, непочетный пьедестал в этой категории разделили автономные системы США, Румынии и Украины, насчитывающие не более 6,4 тыс. IP-адресов. Замыкает Тор 10 ZeuS питерский хостинг-провайдер Infobox.ru (AS30968). Ведущая десятка по спаму была определена на основании изучения 100+ тыс. источников нелегитимной корреспонденции. Четыре строчки данного списка, включая верхнюю, заняли иранские компании. Безусловными лидерами по фишингу вновь оказались США, на долю которых в Тор 10 по этому показателю пришлось 8 позиций, хотя пальма первенства была отдана неприметной немецкой AS-сети Sedo GmbH (AS47846). В категории «Эксплойты» вновь лидирует российский провайдер Masterhost, уверенно опережая своих немецких коллег, занявших 2 и 3 места. В итоговом рейтинге стран-источников вредоносной деятельности появился дебютант – Кипр, который сразу утвердился во главе непочетного списка. Эту страну подвела высокая активность ботоводов ZeuS. Вторую строчку заняла Беларусь, в AS-сетях которой обнаружена солидная концентрация источников спама, а также C&C ZeuS и других ботнетов. Прежний лидер, Виргинские острова, спустился на третью ступень странового Тор 10. Россия и США за квартал улучшили свои результаты, что позволило первой отодвинуться с 3 на 7 место, второй – с 9 на 10-е. Новый отчет HostExploit доступен пока лишь в англоязычной версии. Источник: HostExploit Фишинг под маркой Google Эксперты Symantec обнаружили фишинговую рассылку, ориентированную на пользователей Google Docs и Google Drive. Поддельное письмо предлагает получателю ознакомиться с неким важным документом, пройдя по указанной ссылке на Google Docs. На самом деле фишинговый URL ведет на искусно сфабрикованную страницу регистрации Google. Фальшивка размещена на серверах этой компании и доступна через SSL-соединение, что делает ее еще более убедительной. По свидетельству Symantec, фишеры попросту создали папку на Google Drive, пометили ее как общедоступную, загрузили в нее файл и, используя штатные функции этого сервиса, получили URL, который начали раздавать в спаме. Поскольку страница регистрации Google, действительно, вызывается при попытке захода на Google Docs, новая уловка фишеров может оказаться весьма эффективной. Если пользователь оставит свои данные на поддельной странице и нажмет кнопку «Sign in» («Войти»), эта информация будет передана на веб-сервер, контролируемый фишерами, а жертву перенаправят на некий реальный документ на сайте Google Docs. Эксперты напоминают, что ключи к любому аккаунту Google являются ценной добычей для злоумышленников, так как они открывают доступ ко всем остальным службам этой компании, включая Gmail и Google Play. Источник: Symantec Бета-тест для бэкдора Trend Micro обнаружила спам-рассылку, нацеленную на распространение вредоносной программы под видом несуществующей ПК-версии популярной видеоигры Grand Theft Auto V. Игра GTA V для консолей была выпущена Rockstar Games несколько месяцев назад и обрела большой успех. Естественно, ПК-геймеры с нетерпением ждут аналогичный релиз для Windows, хотя разработчик пока никаких заявлений на эту тему не делал. Такая ситуация вполне ожидаемо привлекла внимание злоумышленников, которые никогда не упустят случай использовать новую приманку. Обнаруженные Trend Micro спам-сообщения на плохом английском приглашают получателя принять участие в бета-тестировании GTA V для Windows. Вторая половина письма-ловушки оформлена на словацком языке и содержит не относящиеся к теме ссылки, одна из которых, по данным экспертов, привязана к фишинговому сайту. Однако наибольшую опасность представляет собой вложение promo_code.zip, которое вместо промокода содержит вредоносный файл. Последний снабжен расширением .com, которое намекает на ссылку и легко может ввести получателя в заблуждение. Содержимое com-файла было опознано в Trend Micro как вариант BKDR_ANDROM. Эксперты отмечают, что, распространяя свои приманки, злоумышленники нередко оказываются впереди паровоза. Например, в январе они щедро раздавали зловредов под видом еще не вышедшей версии WhatsApp для ПК. Trend Micro напоминает, что любые предложения спамеров могут оказаться опасными, даже если они кажутся очень привлекательными. Достоверность ожидаемого события всегда можно, обратившись непосредственно к первоисточнику, это сэкономит время, силы и избавит от всех возможных неприятностей. Источник: Trend Micro Operation Windigo – орудие киберкриминала ИБ-компания ESET опубликовала результаты исследования криминальной инфраструктуры, построенной на взломанных Unix-серверах. По свидетельству экспертов, масштабная сеть уже более двух лет используется злоумышленниками для кражи идентификаторов к аккаунтам, перенаправления пользователей на зараженные сайты и рассылки спама. Данная вредоносная кампания получила в ESET кодовое наименование Operation Windigo – по имени злого духа из мифов североамериканских индейцев. Исследование проведено силами специализированной Рабочей группы, в которую, помимо экспертов ESET, вошли участники немецкой группы быстрого реагирования на компьютерные инциденты (CERT-Bund), шведского национального проекта SNIC (компьютерной поддержки научных исследований), а также представители Европейского центра ядерных исследований (CERN) и других заинтересованных организаций. Как показал анализ, инициаторы Operation Windigo устанавливают на взломанных серверах OpenSSH-бэкдор, который ESET детектирует как Linux/Ebury, и используют их для выполнения разных задач, оперируя набором вредоносных компонентов. В частности, такая серверная армия, по данным экспертов, способна ежедневно перенаправлять на зараженные площадки около полумиллиона посетителей. Использование другого компонента, Perl/Calfbot, позволяет распространять с помощью управляемых машин свыше 35 млн. спам-писем в сутки. При этом Perl/Calfbot способен работать на разных платформах, включая Linux, FreeBSD, OpenBSD, OS X и даже Windows. По оценке ESET, за последние 2 года стоящая за Operation Windigo группировка заразила свыше 25 тыс. серверов, из них 10 тысяч все еще находятся под ее контролем. Жертвами Linux/Ebury пали такие известные организации, как cPanel и kernel.org, хотя в настоящее время их системы чисты. Интернациональная рабочая группа уже оповестила тысячи жертв о заражении. Опубликованный ESET детальный отчет призван ускорить процесс очистки: повысить осведомленность об актуальной угрозе и побудить администраторов скомпрометированных ресурсов к активным действиям. Источник: We Live Security Цена знакомства с «принцем» Пользователь Facebook выманил у австрийского паркетчика совокупно 27,5 тыс. евро, представившись принцем Гарри и предложив контракт на обновление полов в Букингемском дворце. Очевидно, что такое предложение показалось австрийцу очень лестным и заманчивым, иначе нелепость ситуации заставила бы его хоть чуточку усомниться в ее правдоподобности. Подозрение не вызвали даже просьбы выслать деньги, якобы на легализацию деятельности заграничного подрядчика на территории Великобритании. Жертва обмана исправно выполнила все инструкции своего «высокопоставленного» корреспондента: вначале перевела 2,5 тыс. евро на некий счет в Lloyds Bank, затем перевела Western Union 22 тыс. евро и еще 3 тысячи. После этого «принц Гарри» прекратил переписку. Через две недели такого молчания австрийский мастер обратился в местную полицию. Расследование запущено, однако полицейские признают, что шансы на возврат денег очень малы. Источник: BBC Записки спам-аналитиков Будьте так щедры, разбогатейте! Анна Володина, эксперт «Лаборатории Касперского» Спамеры — большие мастера петь старые песни на новый лад. Зачем придумывать новый способ обмануть доверчивых читателей, если можно просто получше замаскировать старый? Вот, например, один из самых заслуженных видов мошенничества — финансовая пирамида. Это словосочетание себя уже давно дисрекдитировало, и не так уж много людей захочет попасться на старый крючок. Но что если преподнести его под новым соусом? Например, под модным соусом благотворительности. В рассылке, которую мы недавно обнаружили, спамеры поступили именно так. Ниже вы можете увидеть скриншот одной из страниц сайта, который рекламировала данная рассылка. Мошенники играют на жадности интернет-пользователей, маскируя ее ложной справедливостью. Ты можешь получить больше денег, чем отдал, и одновременно чувствовать себя хорошим — ведь ты поучаствовал в благотворительности! Чем не привлекательная формула? Чтобы доказать потенциальным жертвам, что эта схема является рабочей, в спамерском письме приведены так называемые “реальные доказательства”. На деле эти “доказательства” выглядят как тривиальная схема финансовой пирамиды, чуть усложненная разными статусами ее участников. Вкратце, схема, которую представляют организаторы этой “благотворительности”, такова: одна часть денег, переведенных через эту систему, идет в благотворительные фонды, другая часть перераспределяется между людьми, которые уже сделали пожертвование. Утверждается, что “благотворитель” может однократно перевести свои деньги, после чего только собирать переводы, приходящие к нему от других “благотворителей”. Возникает вечный вопрос, который встает, когда речь идет о финансовых пирамидах: если пользователи получают больше денег, чем вкладывают, то откуда берутся деньги? Участие в этой схеме еще и некоторой благотворительности якобы на благо больных детей представляется типичным топором, который так необходим для наваристой каши, сваренной по любимому рецепту мошенников всех времен. Нам не известно, передаются ли в действительности хоть какие-то деньги от программы Goldline благотворительным фондам, как заявляют ее организаторы. Но мы обнаружили следующее: — Программа Goldline регулярно меняет адреса своих сайтов. Обычно такое поведение характерно для спамеров и разного рода мошенников; — Для раскрутки системы используются спамерские рассылки; — Заявленная схема получения прибыли, а также используемые риторические приемы характерны для финансовых пирамид. Все это приводит нас к следующему выводу: не стоит пользоваться такими программами в надежде на то, что они обеспечат вам быструю прибыль и возможность почувствовать себя хорошим. Слшком велика вероятность того, что ни вы, ни больные дети никогда больше не увидите ваших денег. Если же вы действительно хотите участвовать в благотворительности, выбирайте проверенные фонды и передавайте им деньги напрямую. Никто из них не пообещает вам, что это сделает вас богаче, но ведь цель благотворительности не в этом, не правда ли? Примеры спамовых писем смотрите на сайте Securelist.com/ru. Вашему ПК грозит решение суда! Татьяна Куликова, эксперт «Лаборатории Касперского» Подделки под официальные извещения часто используются киберпреступниками, и не так давно нами была обнаружена рассылка подобных сообщений, якобы написанных судебным приставом. Получателю письма предлагалось до указанной даты (которые различались от письма к письму) покинуть занимаемую жилую площадь. Неподчинившимся угрожали насильственным выселением, крупным административным штрафом и даже уголовной ответственностью. Напугав получателя, злоумышленники предлагали ему открыть заархивированное вложение и узнать, чем были вызваны подобные репрессивные меры. Вместо искомой информации во вложении находился сетевой червь Net-Worm.Win32.Asprox, способный рассылать спам, автоматически искать уязвимые сайты для массового заражения, скачивать и запускать произвольное ПО. Помимо этого вредоносная программа может собирать на зараженном ПК и отправлять своим хозяевам данные почтовых и FTP-аккаунтов, сохраненные пароли и другую ценную информацию). При получении такого сообщения следует обратить внимание на отсутствие логотипов государственной организации, от имени которой пришло письмо. Данную подделку можно было распознать по адресной строке отправителя, к тому же сам почтовый ящик оказался зарегистрированным не на официальном государственном ресурсе, а на стороннем сайте. Наконец, нетипичным для судебных уведомлений является фраза «Важное уведомление о выселении» в поле From. Киберпреступники спекулируют на здоровье людей Мария Вергелис, эксперт «Лаборатории Касперского» Мы уже привыкли к тому, что злоумышленники используют различные хитрости и откровенную ложь для привлечения внимания потенциальных жертв к своим письмам. Однако обнаруженная нами вредоносная рассылка убедительно продемонстрировала, что в своем стремлении к наживе киберпреступники не останавливаются даже перед абсолютно аморальными приемами. Упомянутая рассылка производилась от имени Национального института охраны здоровья и совершенствования медицинской помощи (National Institute for Health and Care Excellence) – неправительственной организации, подотчетной Министерству здравоохранения Великобритании. Заголовок письма с пометкой «важно» сообщал получателю, что речь идет о результатах анализа крови. Текст внутри выглядел следующим образом: «Образец вашей крови был отправлен к нам для дальнейших исследований. Общий анализ крови выявил крайне низкий уровень содержания белых кровяных телец и, к сожалению, у нас есть подозрения на рак. Мы рекомендуем вам распечатать результаты анализа и расшифровку к ним и как можно скорее обратиться с этими данными к своему терапевту». В письмах также указывались следующие данные: уровень содержания в крови белых кровяных телец, гемоглобина и тромбоцитов – при этом цифры в результатах для разных получателей были абсолютно одинаковы. Сами данные были выделены красным, что должно было сигнализировать об опасности и напугать получателя письма. Имена врачей в подписях к сообщениям часто менялись, а их конкретная специализация не уточнялась. В архивах под общим названием CBC_Result_xxxxxxxxxx.zip содержались исполняемые файлы с двойным расширением, маскирующиеся под PDF-документ. Антивирусные продукты «Лаборатории Касперского» определяют их как троянцев семейства Trojan-PSW.Win32.Fareit. Эти шпионы занимаются тем, что крадут cookies браузеров, пароли от FTP-клиентов и почтовых программ, а затем отсылают эти данные на удаленный сервер злоумышленников. Также эти зловреды могут принимать участие в DDoS-атаках, скачивать и запускать произвольное ПО, красть кошельки Bitcoin и прочих криптовалют. При получении подобных новостей необходимо трезво оценить ситуацию. Например, вспомнить, действительно ли вы недавно сдавали какие-либо анализы. Если это так, необходимо, не открывая вложенные в письмо файлы, связаться со своей клиникой и лечащим врачом. Не стоит впадать в панику, это играет на руку преступникам, которые, как мы видим, зачастую лишены малейших проблесков совести. Примеры спамовых писем смотрите на сайте Securelist.com/ru. «Красная карточка» поклонникам футбола Андрей Костин, эксперт «Лаборатории Касперского» Грядет Чемпионат мира по футболу в Бразилии — событие, которое поклонники футбола ждут с не меньшим предвкушением, чем любители спорта ждали Олимпиаду. В ноябре и феврале мы уже писали о мошеннических и вредоносных спам-рассылках, использующих тему футбола для привлечения внимания получателей. Теперь же в руки экспертов «Лаборатории Касперского» попали классические фишинговые веб-сайты, предназначенные для обмана болельщиков и увода средств с их банковских счетов. Обнаруженные нами фишинговые рассылки и веб-ресурсы нацелены на пользователей крупнейшей в Бразилии и странах Латинской Америки платежной системы Cielo. Для введения пользователей в заблуждение злоумышленники используют логотип CIELO, а в качестве приманки обещают возможность выиграть, участвуя в промоакции, различные призы, от небольших, но приятных денежных (100 долларов США) до главных — билетов на Чемпионат мира по футболу. От потенциальных жертв требуется пройти по ссылке в письме и зарегистрироваться на фишинговом сайте, введя в соответствующие поля личные данные: имя, фамилию, дату рождения, номера домашнего и сотового телефонов, адрес проживания и другую конфиденциальную информацию. Далее для получения денежных призов и выигрыша билетов на ЧМ в Бразилии жертва должна была привязать к только что созданному аккаунту свою банковскую карту. При вводе конфиденциальных данных в назначенные поля они отправляются прямиком к мошенникам. Пользователь же видит сообщение, что данные введены успешно и даже получает свой личный промокод для подтверждения участия в акции! Но на электронную почту не приходит никаких обещанных писем с подтверждением, а с банковской карты со временем утекут деньги. Кстати, внимательный пользователь может заметить, что ввод данных осуществляется на веб-странице, не содержащей аббревиатуры HTTPS в начале адресной строки. Это означает, что данная страница не защищена криптографическим алгоритмом SSL, а это должно настораживать, ведь речь идет о передаче конфиденциальной информации. Более подробно о популярных уловках злоумышленников и безопасности онлайн-платежей можно прочитать в нашей тематической статье. Примечательно, что бразильские фишеры чаще других используют для сбора информации веб-страницы, представляющие собой одну большую картинку с вырезанными под поля ввода фрагментами. Поэтому исходный код таких фишинговых страниц часто представляет собой лишь несколько строчек HTML-кода (это картинка и формы для полей ввода) и потому не прост для методов проактивного обнаружения.  Примеры спамовых писем смотрите на сайте Securelist.com/ru. Нянька для «золотой» молодежи Татьяна Куликова, эксперт «Лаборатории Касперского» Какой только скрытый потенциал не предлагают реализовать в своих письмах мошенники! Например, недавно они организовали рассылку с заманчивым предложением поработать наставником для трех милых детишек и тем самым попробовать себя на педагогической стезе. Сирийский чиновник в отставке, опасаясь за судьбу троих детей в связи с нестабильной ситуацией на родине, обыскал весь интернет в поисках надежного опекуна для своего потомства (10, 15 и 19 лет). После тщательного изучения личного профиля получателя письма (скорее всего, добытого на сайте знакомств) он решил довериться ему и попросить позаботиться о детях за скромное вознаграждение - часть от капитала величиной в 10,5 млн. долларов, который сирийский чиновник готов перевести на счет отзывчивого иностранца. Столь крупная сумма объясняется тем, что господин Хафиз Рахим хочет обеспечить своим детям достойную жизнь и образование на чужбине. Сам чиновник находится под домашним арестом и может вести переговоры только по электронной почте, которая, конечно же, расположена на бесплатном хостинге. Но каким бы странным не казалось желание отца отдать трех детей и накопленные непосильным трудом деньги незнакомому человеку, еще более странным мне показался бы отклик на такое письмо от желающего принять на себя опеку над несколькими незнакомыми подростками из чужой страны. Так что на сей раз история мошенников выглядит необычно, но все же не так привлекательно, как стандартные предложения получить миллионы умершего магната. Скорее всего, преступники забыли, что есть вещи, которые нельзя компенсировать даже десятью миллионами долларов. Нервные клетки, например. Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013