Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 519

В этом номере:


Новости

APWG об активизации фишеров в I квартале

За первые три месяца текущего года участники Антифишиговой рабочей группы (APWG) обнаружили свыше 125 тыс. фишинговых сайтов – на 10,7% больше, чем в предыдущем квартале. Наиболее популярной TLD-зоной у фишеров осталась .COM, на долю которой в отчетный период пришлось 46% доменов, используемых для размещения поддельных страниц. Список лидеров по фишингу среди региональных доменов вновь возглавил .BR (3% общего количества). Согласно статистике APWG, фишеры по-прежнему предпочитают размещать свои ловушки на территории США.

В I квартале APWG получила около 172 тыс. уникальных отчетов о фишинговых рассылках по ее клиентской базе – на 6,8% больше, чем в октябре-декабре. Количество атакуемых брэндов увеличилось с 525 до 577. Основными мишенями фишеров, как и в предыдущем квартале, являлись платежные системы, на долю которых пришлось 46,5% атак. Второе место в рейтинге популярности у фишеров заняли финансовые организации с показателем 20,1%, третье – предприятия розничной торговли и сферы обслуживания (11,5%).

Процент зараженных компьютеров растет; по данным PandaLabs, одного из соавторов отчета, в январе-марте зараженность глобального компьютерного парка составила 32,77%. Наиболее высокие уровни инфицирования наблюдались в Азии и Латинской Америке, а в разделении по странам – в Китае (52,36%), Турции и Перу (43,59 и 42,14% соответственно). Россия по этому показателю заняла в рейтинге APWG шестое место (41,08%), немного уступив Эквадору и Боливии.

Большинство угроз, обнаруженных PandaLabs на компьютерах пользователей, составили троянцы (79,7% заражений). Основным хостером троянцев и даунлоудеров, используемых для фишинга, являются США.

Источник: APWG

Возвращение «биржевого» спама

Symantec фиксирует значительный рост объемов графического спама, большую часть которого составляет реклама мелких акций, распространяемая в рамках мошеннических схем pump and dump («накачка-сброс»).

В минувший уикенд на долю нелегитимных писем-картинок, по данным компании, пришлось более 52% совокупного спам-потока, тогда как всю предыдущую неделю этот показатель едва превышал 2,23%. В основном, это «подсказки» в отношении безнадежных акций, котировки которых в ближайшие дни якобы пойдут в гору.

Создавая повышенный спрос с помощью таких спам-рассылок, мошенники, действительно, добиваются повышения курса, но на очень короткий период и всегда успевают нажиться на разнице до неизбежного дефолта.

Источник: Symantec

На кого нацелены фиш-паки?

Американская ИБ-компания PhishLabs проанализировала около 9 тыс. готовых комплектов для проведения фишинговых атак, которые обнаружила в мае на скомпрометированных и специально поднятых серверах, в файлообменных сетях, на теневых онлайн-форумах, а также на разных сайтах, где контент производят сами пользователи.

Такие фиш-паки обычно включают готовые к установке поддельные страницы, изображения, скрипты и серверный код, предназначенные для сбора пользовательской информации в короткие сроки и с минимальными трудозатратами. По словам экспертов, готовый инструментарий иногда предоставляется фишерам на безвозмездной основе, но в таких случаях часто содержат бэкдор, позволяющий авторам и дистрибьюторам фиш-пака получать копии краденых данных и даже устанавливать контроль над серверами, используемыми для его размещения.

Проведенное PhishLabs исследование вполне ожидаемо показало несколько иной разброс мишеней, чем более традиционный анализ фишинговых рассылок и сайтов. Так, 21% фиш-паков оказались нацеленными на клиентуру финансовых организаций, 20% предназначались для атак на платежные системы, 19% – на социальные сети, 17% – на email-сервисы.

При этом некоторые фиш-паки имели все признаки продукта широкого потребления, другие были более узконаправленными или персонального пользования, третьи оказались плодами кустарного производства, нацеленными на конкретную мишень. Фишинговые сайты, созданные с помощью готовых комплектов, обычно продвигаются путем подмены поисковой выдачи (черная оптимизация), а также через ссылки в поддельных письмах, SMS-, IM-сообщениях, на социальных сайтах и в блогах.

Полученные PhishLabs результаты отражают, прежде всего, специфику фишерского инструментария, имеющего повышенный спрос на черном рынке. Компания надеется, что ее находки будут полезным дополнением к той статистике по фишингу, которую регулярно публикуют другие ИБ-компании.

Источник: PhishLabs

Новая ориентировка на CryptoDefense

Начиная с уикенда, AppRiver наблюдает спам-кампанию, использующую не совсем обычный социально-инженерный трюк, чтобы заставить получателей открыть вредоносное вложение. Спамеры от имени нью-йоркской полиции предупреждают пользователей о неком убийце, якобы разгуливающем на свободе.

По свидетельству экспертов, вредоносные письма рассылаются с поддельного адреса ALERT@nyc.gov и имитируют информационные бюллетени, распространяемые по подписке с официального сайта NYC.gov. Фальшивка, выполненная в обычном текстовом формате, содержит лишь сопроводительную информацию: заголовок «бюллетеня», имя отправителя («полиция г. Нью-Йорк»), номер алерта, идентификатор автора выпуска, идентификационный номер подписчика и т.п. При этом цифровые идентификаторы – единственные (случайные) переменные в спамерском шаблоне.

Сам бюллетень, по уверениям спамеров, прикреплен к письму в виде заархивированного PDF-файла. Как оказалось, под иконкой Adobe Reader в ZIP-вложении сокрыт вредоносный SCR-файл; эксперты опознали его как новейшую, исправленную версию блокера-шифровальщика CryptoDefense.

Проведенный AppRiver анализ показал, что, утвердившись в системе, вымогатель прежде всего скрытно удаляет теневые копии и отключает компонент восстановления системы, чтобы жертва не смогла вернуть полоненные файлы системными средствами. Шифрование файлов в данном случае осуществляется ключом, полученным с командного сервера. C&C-домен жестко прописан в коде CryptoDefense; в ходе проверки зловред устанавливал соединение с babyslutsnil[.]com (IP 199.127.225.232) на порту 80.

Эксперты напоминают, что лучшая защита от серьезного криптоблокера – надежное резервное копирование, причем эти копии следует хранить за пределами общей сети. Уступать требованиям вымогателей AppRiver не рекомендует: уплата выкупа не всегда гарантирует возврат данных и лишь раззадоривает злоумышленников.

Источник: AppRiver

Поддельные письма от антивирусных компаний

«Доктор Веб» предупреждает о спам-рассылке, использующей имена известных антивирусных компаний с целью распространения вредоносных программ-шифровальщиков.

Одно из таких спам-писем от имени «Доктор Веб» сообщало об экспансии вымогателей и предлагало открыть вложение, якобы содержащее инструкцию по противодействию вредоносным программам и тестовый лицензионный ключ.

По свидетельству экспертов, вместо инструкции вложенный файл содержал вредоносный скрипт, который загружает на компьютер троянца семейства BAT.encoder. Пользуясь случаем, «Доктор Веб» заявил, что никогда не рассылает и не планирует рассылать подобные письма, и призвал пользователей к бдительности. Подобные сомнительный спам рекомендуется сразу удалять.

«Лаборатория Касперского» уже фиксировала похожие, но англоязычные рассылки в прошлом году. Обращаясь к получателю от имени одной из ведущих антивирусных компаний, спамеры предлагали немедленно обновить систему с помощью вложенного файла, который на самом деле содержал троянца-банкера семейства ZeuS. Аналогичным образом злоумышленники пытались распространять почтового червя NetSky, маскируя его под надежное средство очистки компьютера.

Источник: «Доктор Веб»




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное