Электронный журнал "Спамтест" No. 528 В этом номере: Новости Записки спам-аналитиков Новости Java.com и TMZ содержат вредоносную рекламу, перенаправляющую посетителей на эксплойт-пак Angler Сеть онлайн-рекламы AppNexus снова была задействована в кампании вредоносной рекламы, использующей эксплойт-пак Angler, чтобы перенаправлять пользователей на сайты, содержащие зловред Asprox. По данным компании Fox-IT, популярные веб-сайты, такие как TMZ, Photobucket и Java.com, в последние дни показывали посетителям вредоносные баннеры, являющиеся частью кампании. «Эти веб-сайты сами по себе не были скомпрометированы, но стали жертвами малвертайзинга. Это значит, что провайдер рекламы, действующий на небольшой части сайта, показывает вредоносные баннеры, нацеленные на заражение посетителей зловредами», — сообщила Fox-IT, добавив, что пик этих перенаправлений пришелся на период между 19 и 22 августа. Angler входит в меню эксплойт-паков, продающихся на подпольных форумах и используемых в кампаниях для захвата веб-сайтов и перенаправления жертв на сайты, содержащие банковские зловреды и другое вредоносное ПО. В мае AppNexus показывала вредоносные баннеры, нацеленные на платформу Microsoft Silverlight. Сервис потокового кино и телевидения Netflix работает на основе Silverlight, и ввиду его популярности хакеры загружают паки вроде Angler эксплойтами к Silverlight. Как объясняют в Fox-IT, в текущей кампании эксплойт-пак проверяет, поддерживает ли браузер жертвы уязвимую версию Java или Flash в дополнение к Silverlight, и после этого инициирует загрузку Asprox. В Fox-IT добавили, что связались с AppNexus, проинформировав их о проблеме. Asprox представляет собой спам-ботнет, недавно доработанный для выполнения кликового мошенничества. Использующие его преступники распространяли модифицированный зловред по многим векторам, включая приложения к письмам. «Apsrox прошел через много изменений и модификаций, включая спам-модули, модули сканирования веб-сайтов и даже модули, крадущие учетные данные, — сообщили в Fox-IT. — Эти факты и происходящие события показывают, что Asprox все еще активно разрабатывается и применяется». Как только посетитель попадает на сайт, содержащий вредоносный баннер, его браузер незаметно перенаправляется на сайт ads[.]femmotion[.]com, который перенаправляет его к эксплойт-паку, размещенному на паре других доменов, gloriousdead[.]com и taggingapp[.]com. «Все хосты эксплойт-паки, за которыми мы проследили, используют порт 37702. Работа эксплойт-китов на высоких портах мешает некоторым интернет-инструментам отслеживать HTTP-соединения, так как они обычно сконфигурированы для слежения только за HTTP-портами, — сказали в Fox-IT. — Это также значит, что эксплойт-кит блокируется во многих корпоративных сетях, так как в них запрещены соединения вне обычных HTTP-портов, порта 80 (или прокси-порта и 443 для SSL)». Fox-IT указала, что веб-сайты, содержащие вредоносные баннеры, обычно не имеют понятия, что они показывают такую рекламу. Рекламные сети полагаются на процесс, известный как перенацеливание, когда провайдеры рекламы и контента оставляют за собой данные отслеживания, чтобы следующая реклама не содержала тот же контент. «Это работает так, что пользователь с интересным набором cookies слежения и другими метаданными от какого-либо рекламного провайдера перенацеливается с контента изначальной рекламы на сайте на модифицированные или персонализированные данные, — говорят в Fox-IT. — Мы видели примеры, когда веб-сайт, помогающий с помощью рекламы заражать пользователей, не имел понятия, что помогает доставлять определенный контент определенного провайдера рекламы». Источник: Threatpost Российские пользователи все чаще получают «письма с сюрпризом» По итогам июля 2014 года Россия вошла в десятку стран, где пользователи чаще всего страдают от спама с вредоносными вложениями или ссылками, следует из отчета «Лаборатории Касперского». Данные были получены на основе срабатываний почтового антивируса в разных странах. Россия поднялась с 13-й позиции на 8-ю строчку рейтинга, говорится в докладе антивирусного разработчика. Тройка лидеров в июле этого года осталась без изменений. Чаще всего злоумышленники присылают вредоносное ПО пользователям таких стран, как Германия, США, Великобритания. На четвертое место вышла Индия, которая опередила Бразилию (5-я строчка рейтинга). Хуже, чем в России, пользователям приходится еще в двух странах — Италии (6-я позиция) и Франции (7-е место). И наоборот — значительное снижение доли срабатывания почтового антивируса «Лаборатория Касперского» отметила на территории ОАЭ (страна потеряла за месяц сразу шесть позиций). Наиболее популярным у злоумышленников зловредом в июле 2014 года стал Trojan.Win32.Yakes.fize, ориентированный в первую очередь на кражу паролей. Затем следует Trojan-Spy.HTML.Fraud.gen, представляющий собой поддельную HTML-страницу, которую рассылают по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний — разработчиков ПО и т.д. Третьим по частоте использования преступниками зловредом стал Trojan.JS.Redirector.adf — HTML-страница, содержащая код для перенаправления пользователя на сайт злоумышленника. В целом, по подсчетам «Лаборатории Касперского», в июле доля спама в общем трафике электронной почты увеличилась на 2,2 процентного пункта и составила 67%. Основными темами июньского спама была реклама товаров для защиты от солнца, кондиционеров, вентиляторов, солнцезащитных пленок на окна, бутилированной воды, солнечных очков, косметики по уходу за кожей и организации корпоративных праздников на природе с водными развлечениями. Источник: Threatpost Пользователей обманывают с помощью поддельных писем от интернет-магазинов Спамеры организовали рассылку, замаскированную под письма из интернет-магазинов, сообщает антивирусная компания ESET. В результате, компьютеры пострадавших пользователей входят в состав сети ботов, которую злоумышленники могут использовать в преступных целях. Хитрость спамеров заключается в том, что они распространяют письма, якобы отправленные интернет-магазинами покупателям. В поддельном сообщении торговый онлайн-сервис благодарит пользователя за совершенную им покупку. Далее следуют детали операции – дата, точное время и стоимость товара. Указывается, что платеж совершен с помощью кредитной карты. Пользователя информирую, что он будто бы успешно оформил заказ, детали которого можно посмотреть в приложении. В действительности же, приложение содержит исполняемый EXE-файл с вредоносным ПО, которое детектируется как Win32/TrojanDonloader.Elenoocka. Для большей достоверности письмо подписано вымышленным сотрудником отдела продаж интернет-магазина и даже добавлен некий телефон «для контактов». Впрочем, киберпреступники рассчитывают, что пользователь вначале в любом случае откроет вложенный в письмо файл. После установки на компьютер жертвы троян загружает из интернета другие вредоносные программы. В коде Elenoocka содержится шесть URL-адресов для скачивания файлов, в числе которых – разновидность трояна семейства Kryptik. Win32/Kryptik.CKEY создает вредоносные файлы, прячет их среди системных файлов и открывает доступ для заражения другими видами вредоносного ПО. Также жертвы Kryptik могут войти в состав ботнета, резюмируют специалисты по IT-безопасности. Недавно мошенники также использовали метод атаки на пользователя, связанный с онлайн-магазиными. Они рассылали по электронной почте письма, в которых благодарили за покупку в iTunes Store аркадной игры «World Of Go» стоимостью 9,65 евро. Для отказа от покупки они предлагали перейти по ссылке «Payment Cancellation» в теле письма. Перейдя по ссылке, человек оказывался на поддельном сайте iTunes, вводил данные своего Apple ID для завершения ложной операции, которые становились доступны злоумышленникам. Источник: Threatpost Спам-боты в Instagram крадут «личности» пользователей Новые фейковые аккаунты в Instagram показывают себя наиболее «умными», чем когда-либо, сообщает The Verge. Теперь боты, которые распространяют рекламные сообщения в рамках сервиса, пытаются притвориться реальными людьми, чтобы ввести в заблуждение остальных пользователей. Чтобы обойти спам-фильтры ресурса, боты прибегают к хитроумным махинациям. Они используют имена настоящих посетителей сервиса, крадут их фотографии и подписи к ним. Сами пользователи Instagram начали находить фейковые аккаунты, которые полностью дублируют их собственные. Многие оказываются напуганными этими находками, другие спешат предупредить друзей, что они не создавали дополнительных аккаунтов, и подлинный «я» - только один. Боты не охотятся за чьим-либо аккаунтом конкретно и не пытаются скопировать страничку знаменитости. Они просто пытаются быть похожими на живых людей. Это означает, что под угрозой копирования спамеров находится аккаунт любого человека на Instagram. Не исключено, что такие спам-боты могут стоить дороже на рынке фейковых аккаунтов Instagram. Подобное поведение ботов уже встречалось в таких соцсетях, как Facebook и Twitter, добавляет издание. В частности, спамеры, использующие сервис микроблогов Twitter, воруют имена и добавляют к ним число или букву, копируют фото, биографию, место жительства и начинают рассылать твиты, чтобы фейковые аккаунты выглядели более правдоподобно. Цена варьируется от $ 3 за 100-1000 аккаунтов. Пользователям, которые обнаружили клонирующих их спам-ботов, рекомендуют обращаться в администрацию Instagram. Правда, им придется доказать, что они сами не боты. Для этого необходимо будет отправить фотографию удостоверения личности. Источник: Threatpost Спамеры используют страх перед вирусом Эбола Киберпреступники организовали массовые рассылки, замаскированные под письма Всемирной организации здравоохранения (ВОЗ) с якобы важной информацией о смертельном вирусе Эбола и о том, как уберечься от эпидемии, предупреждает компания Proofpoint, специализирующаяся на компьютерной безопасности. Злоумышленники рассчитывают, что испуг пользователей перед вспышкой вируса приведет к тому, что люди начнут неистово искать методы спасения от недуга в интернете и такого рода рассылка будет максимально эффективной. Фишинговое письмо содержит ссылки на будто бы новые факты, связанные с заболеванием. Однако если пользователь клюнет на приманку и перейдет по ссылкам, то попадет на поддельную страничку ВОЗ, где будет запущен Java-апплет, загружающий на компьютер жертвы вариант банковского трояна Zeus. Фальшивку очень тяжело отличить от подлинных информационных бюллетеней международной организации, предупреждают эксперты. Если установка зловреда на компьютер жертвы пройдет успешно, то ни о чем не подозревающий пользователь получит банковский троян, открывающий постоянный удаленный доступ злоумышленников к его ПК и дающий возможность мошеннику установить дополнительное вредоносное ПО на устройство. Источник: Threatpost Записки спам-аналитиков Антисанкции: помогите распространить троянца Татьяна Куликова, эксперт «Лаборатории Касперского» На прошлой неделе мы зафиксировали рассылку с необычным предложением от «группы российских хакеров». Преступники предлагали ответить на санкции европейских стран против Российской Федерации весьма оригинальным способом – осуществить атаку на правительственные структуры этих стран. Для того чтобы присоединиться к данной акции, пользователю нужно было установить на компьютере некую программу, которая и будет осуществлять скрытую атаку. Согласно гарантиям хакеров, программа будет потреблять минимум трафика и процессорного времени, а после перезагрузки компьютера завершит свою активность до тех пор, пока пользователь не запустит ее снова. В конце письма «обеспокоенные санкциями» хакеры ненавязчиво рекомендовали выключить антивирус. Такая забота о состоянии защиты персонального компьютера объясняется просто - в предлагаемом для скачивания EXE-файле находилось троянское ПО Backdoor.Win32.Kelihos. Данная программа предназначена для кражи конфиденциальной информации, находящейся на компьютере пользователя, а также распространения спама с помощью зараженной машины. Поэтому не стоит поспешно присоединяться к акции киберпреступников: слишком реальна угроза того, что от их действий пострадает в первую очередь персональный компьютер поддавшегося на провокацию пользователя. Примеры спамовых писем смотрите на сайте Securelist.com/ru. А был ли мальчик? Татьяна Куликова, эксперт «Лаборатории Касперского» Людей, желающих воспитывать приемных детей, огромное количество во всем мире. Но для того, чтобы оформить усыновление легальным путем, им иногда приходится ждать месяцы и годы. А спешащие познать счастье отцовства или материнства рискуют стать жертвами мошенников, в том числе «нигерийских». Вот, например, некая вдова из Республики Бенин готова поделиться двумя близнецами, родившимися у нее после смерти мужа. Кроме предложенных на усыновление малышей у женщины (по ее словам) остается еще пять детей. Желающим принять в свою семью маленьких граждан Бенина предлагалось всего лишь написать ответное письмо. В данном случае мы, скорее всего, имеем дело с типичным «нигерийским» мошенничеством, и людям, решившим ответить на столь необычное предложение, пришлось бы выложить довольно крупную сумму денег под благовидным предлогом, например, для вымышленного оформления у адвоката всех необходимых для усыновления бумаг. Взамен мошенники присылали бы слова благодарности, обещания, документы и даже фото очаровательных малюток, якобы ожидающих своих новых маму и папу, однако новые члены семьи вряд ли когда-нибудь доехали бы до своих приемных родителей. Мошенники пытаются извлечь выгоду из всего, что ее может принести, а потом исчезают вместе с поддельными свидетельствами о рождении и фотоальбомами, заставляя своих жертв гадать: а был ли мальчик? Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013