Электронный журнал "Спамтест" No. 521 в этом номере: Новости Записки спам-аналитиков Новости Facebook избавилась от ботнета-спамера Семимесячные усилия Facebook и ее партнеров по ликвидации небольшой, но живучей зомби-сети Lecpetex завершились полным успехом. В начале текущего месяца греческая полиция задержала двух предполагаемых авторов и операторов зловреда, рассылавшего вредоносный спам в социальной сети. «Работать на опережение в борьбе с новейшими угрозами нелегко, а Lecpetex оказался на редкость живучим, – подчеркнула Facebook в своем заявлении, отметив также действенную поддержку, которую оказало борцам киберподразделение греческой полиции. – Надеемся, наш пример наглядно показал, насколько полезным и результативным бывает сотрудничество при ликвидации ботнетов, в особенности если злоумышленники используют много онлайн-платформ для достижения своих целей». По свидетельству Facebook, Lecpetex – это модульный Windows-зловред, способный воровать ключи к аккаунтам, рассылать спам, обновляться, загружать другие вредоносные файлы и запускать их на исполнение. В ходе проверки бот по команде с C&C установил компонент для рассылки спама на Facebook, а также DarkComet RAT и Litecoin-майнер. Примечательно, что спам-модуль Lecpetex получает доступ к аккаунту жертвы, воруя куки из браузера, и использует этот доступ для рассылки вредоносного спама по списку контактов («друзей»). Распространяется Lecpetex через вредоносные вложения в спаме, заражая машину в несколько приемов. Вначале атакующие с помощью социальной инженерии заставляют пользователя открыть ZIP-вложение и запустить на исполнение внедренный JAR-файл. В результате на машину жертвы с бесплатного файлообменника загружается основной модуль Lecpetex, который осуществляет дальнейшие загрузки, получая команды с C&C-сервера. «Нам попадались отчеты о загрузках данного бота с торрентов, – отмечают исследователи, – но мы таких случаев не встречали». С декабря по июнь Facebook зафиксировала 20 разных спам-рассылок, проведенных операторами данного ботнета. На пике своей активности Lecpetex контролировал 50 тыс. аккаунтов, и ботоводы прилагали все усилия, чтобы сохранить его работоспособность и активность. «Семь месяцев мы наблюдали, как операторы ботнета экспериментируют, меняя элементы социальной инженерии: внедряют JAR-файлы, применяют VBS-скрипты, намеренно искажают CAB-файлы и ZIP-архивы, – пишет в отчете Facebook. – Ботоводы прилагали большие усилия, чтобы обойти нашу службу сканирования вложений, и неустанно разнообразили специально сформированные ZIP-файлы, которые нормально открываются в Windows, но способны ввести в заблуждение сканеры. Те файлы, которые использовались в спам-сообщениях, тоже часто обновлялись во избежание обнаружения антивирусами». По данным Facebook и греческой киберполиции, Lecpetex успел заразить порядка 250 тыс. компьютеров. Большинство его жертв проживают в Греции, много заражений выявлено также в Польше, Португалии, Норвегии, Индии и США. На Facebook новая угроза была обнаружена в декабре прошлого года, в период всплеска спам-активности. Далее последовала череда мероприятий, которые позволили блокировать ряд командных серверов и аккаунтов, использовавшихся для распространения, тестирования и монетизации зловреда. После этого Facebook обратилась в правоохранительные органы Греции и заручилась их поддержкой. Ботоводы были вынуждены сдать позиции и перенесли центры управления на сервисы одноразовой почты, затем на Pastebin, однако это им не помогло. В греческих СМИ задержанные пока фигурируют, как «студенты, изучающие информатику». Один из таких источников утверждает, что они воровали не только регистрационные данные Facebook, но также ключи к банковским и PayPal-счетам и даже похитили пароль к электронной почте одного из греческих министерств. Источник: facebook.com Спам-бизнес: факты, свидетельства, находки отдельной книгой В американском издательстве Sourcebooks выходит книга Spam Nation («Страна Спам») – плод пятилетнего труда известного журналиста Брайана Кребса (Brian Krebs), своеобразный экскурс в закулисье теневой индустрии, развитие которой исследователь наблюдает еще с времен своей работы в Washington Post. Всем, кто закажет его книгу до 18 ноября, автор обещает экземпляр с факсимильным автографом. Spam Nation можно будет также приобрести в виде цифровой копии. По словам Кребса, внутренние механизмы спам-бизнеса будут представлены вниманию читателей в ходе описания борьбы за власть между крупнейшими спонсорами этой сферы криминальной деятельности, актуальной и в наши дни. Автор Spam Nation вспоминает ботоводов, которые, сменяя друг друга, поддерживали колоссальный поток автоматизированного спама; приводит полученную из первых рук информацию о борьбе за чистоту интернета, а также свидетельства жесткой конкуренции между участниками спам-рынка. Помимо спамерской деятельности, в Spam Nation рассматриваются и другие виды криминального бизнеса, так как создатели и операторы крупных спам-предприятий, по свидетельству Кребса, обычно всеядны. Автор фундаментального исследования также поясняет, сколь важную роль в сетевом андеграунде играют закрытые сообщества и торговые площадки, существующие на базе онлайн-форумов. Особо в Spam Nation рассмотрена история «Российской бизнес-сети» – Russian Business Network (RBN), ушедшего в небытие «непробиваемого» хостинг-провайдера, который из-за специфики своей клиентуры заслужил нелестные прозвища «киберимперия зла» и «мать киберпреступности». Желающим приобрести подписанный экземпляр Spam Nation следует до 18 ноября выслать на адрес издательства свидетельство покупки (email-подтверждение заказа или скан/фото квитанции) с указанием количества экземпляров, имени и адреса для доставки. Заказать книгу можно через Amazon, Barnes & Noble или популярный в округе Колумбия книжный магазин Politics and Prose. Источник: krebsonsecurity.com Symantec: спам и фишинг в июне Symantec опубликовала отчет по интернет-угрозам по итогам июня, вновь до минимума сократив раздел, посвященный почтовому сервису. По всей видимости, компания окончательно перешла на новый формат, и подробного разбора состава и географического распределения спама мы больше не увидим. Согласно статистике Symantec, в минувшем месяце уровень спама в почтовой корреспонденции остался практически неизменным и составил 59,9%. Фишинговая составляющая значительно снизилась, с 1 письма на 395 до 1 на 496. Зараженные вложения содержало 1 письмо из 232, на вредоносный URL-спам пришлось 7,4% электронных сообщений. Количество целевых фишинговых рассылок (spear phishing), напротив, увеличилось; в минувшем месяце эксперты зафиксировали 88 таких атак против 54 в мае. Больше трети адресных писем фишеров, обнаруженных в июне, содержали вложение в формате .doc (19,5%) или .exe (15,4%). Список основных адресатов spear-phishing рассылок остался неизменным, его возглавляют нетрадиционные сервисы и сфера производства с прежними показателями (22 и 19% соответственно). Источник: Symantec (PDF) Обнаружен зловред, похожий на новый GameOver Прошло немногим более месяца с тех пор, как ФБР и Европол эффективно обезглавили ботнет на основе GameOver, захватив контроль над командной инфраструктурой, однако новая находка заставила исследователей заговорить о возможной попытке возрождения грозного банкера. На прошлой неделе эксперты Malcovery Security обнаружили новую спам-кампанию, нацеленную на распространение зловреда, который, по всей видимости, использует бинарный код GameOver. Вредоносные письма имитируют, в основном, уведомления от финансовых организаций, в том числе от M&T Bank и NatWest. Все эти фальшивки снабжены ZIP-вложением, в котором сокрыт исполняемый SCR-файл. «После открытия вложения и активации полезной нагрузки вредоносная программа начала запрашивать некие сайты, используя алгоритм генерации доменов, – комментируют Брендан Гриффин (Brendan Griffin) и Гэри Уорнер (Gary Warner), эксперты Malcovery, проводившие анализ зловреда. – Эти попытки были нацелены на установление соединения с сервером для получения дальнейших команд. Зловред запускается далеко не во всякой песочнице, так как способен отслеживать присутствие VMWare Tools. Другие песочницы не заметят успешное подключение: на генерацию нового произвольного домена у зловреда уходит от 6 до 10 минут; за это время он успевает не только запуститься, но и загрузить веб-инжекты с командного сервера». Хотя прежний GameOver тоже использовал DGA (как резервный механизм при потере связи с пирами), список потенциальных C&C-доменов у новой версии иной, так как прежняя инфраструктура все еще находится под контролем производивших захват организаций. «Новый DGA-список не связан с оригинальным GameOver, но удивительно схож с DGA, который тот использовал, – подчеркивают эксперты. – Новый зловред, похоже, сменил не только DGA-алгоритм, но и сетевую организацию, отказавшись от р2р в пользу доступных через fast-flux командных хостов». По словам исследователей, в ходе анализа новый троянец проявил многие характерные черты, свойственные прежнему GameOver. «Malcovery удалось идентифицировать ряд командных хостов, которые, по нашему убеждению, связаны с данной попыткой возрождения ботнета GameOver, – пишут далее Гриффин и Уорнер. – После подключения к любому из этих узлов зловред демонстрировал поведение, характерное для GameOver, включая список URL и подстроки, используемые для загрузки веб-инжектов, формграбберов и других компонентов, облегчающих кражу информации». Популяция нового зловреда пока не определена, хотя датская CSIS, например, на 11 июня зафиксировала менее 1 тыс. заражений. Эксперты SecureWorks перехватили трафик на одном из сгенерированных по DGA доменов и за 12 часов насчитали 177 зараженных машин, большинство которых прописаны в США, Индии и Сингапуре. SecureWorks также добавила несколько интересных штрихов к результатам Malcovery, установив, что спам-рассылки, нацеленные на засев новой итерации GameOver, осуществляются с ботнета Cutwail; отправляемые на C&C данные шифруются по RSA, а сами доступные через fast-flux серверы хостятся в арендованной прокси-сети, которую также используют операторы Rerdom, KINS (VM-версии ZeuS), Pony Loader и Andromeda. Данная прокси-сеть насчитывает от нескольких сотен до нескольких тысяч активных хостов, размещенных преимущественно на территории России и Украины. Как бы то ни было, новая находка, как отметила Malcovery, «свидетельствует о том, что криминальные элементы, ответственные за распространение GameOver, не собираются ставить крест на этом ботнете, хотя и пережили один из самых масштабных захватов в истории». Источник: blog.malcovery.com В США осужден очередной фишер-гастролер За соучастие в фишинге и грабежах окружной суд штата Коннектикут приговорил гражданина Румынии к тюремному заключению на срок 3 года и 9 месяцев. Согласно материалам дела, Юльян Скьопу (Iulian Schiopu) и другие его соотечественники – участники криминальной группировки на протяжении нескольких лет заманивали пользователей на фишинговые сайты, распространяя подложные уведомления о блокировке доступа к банковскому счету. Для «разблокировки» потенциальной жертве предлагалось пройти процедуру аутентификации, введя в фальшивую форму подробные персональные данные, в том числе банковские реквизиты и номер социальной страховки. Вся похищенная таким образом информация собиралась на email-коллекторах, а затем использовалась для отъема денег с взломанных счетов ― в основном, через банкоматы, размещенные на территории Румынии. От действий мошенников пострадали тысячи клиентов разных американских банков, а также eBay и PayPal. Уголовное дело в отношении румынских фишеров было возбуждено в начале 2007 года, однако первые слушания начались лишь в 2011 году, когда на территорию США прибыли первые фигуранты, арестованные за рубежом. Всего по данному делу проходит 19 ответчиков, которым инкриминируют преступный сговор, банковское мошенничество, махинации со средствами доступа и кражу личности (identity theft) при отягчающих обстоятельствах. Против некоторых из них выдвинуты аналогичные обвинения в других штатах. Скьопу был задержан в мае прошлого года на территории Швеции и впоследствии передан американским властям. Семь его подельников были осуждены ранее и получили от 1 года до 6,5 лет; девять ответчиков пока не пойманы. Источник: www.justice.gov Записки спам-аналитиков Приключения забытого чемоданчика Татьяна Куликова Путаница с багажом или просто забытый кем-то после долгого перелета чемодан – привычная ситуация для работников аэропорта. Однако и такие стандартные обстоятельства «нигерийские» мошенники сумели снабдить многомиллионными подробностями. В письме от имени чиновника аэропорта сообщается, что отправитель послания нашел забытый неким английским дипломатом багаж. После проверки оказалось, что в металлическом ящике содержится 10 миллионов долларов, которые пытались провезти под видом дипломатического груза. Однако богатство не пропустила таможня из-за некорректной декларации, а также из-за того, что политик из Великобритании забыл или просто отказался внести обязательную для подобного багажа пошлину. Автор письма, как это принято в нигерийских посланиях, предлагает переправить этот ценный груз адресату (который, конечно же, никакого отношения к дипломату не имеет), так как его однофамилец был обозначен в качестве получателя многомиллионного состояния. Естественно, услуги чиновника не безвозмездны: 40% от содержимого, что гарантирует сотруднику аэропорта безбедное существование в отставке. Как ни заманчива сама идея оказаться однофамильцем получателя баснословной суммы денег, не стоит забывать, что подобные предложения – лишь ловушка для кошелька. Чужие миллионы, случайное совпадение имен и фамилий – все это постоянные атрибуты «нигерийских» писем. Хочется надеяться, что усилия мошенников выманить деньги у пользователей будут потрачены впустую. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013