Электронный журнал "Спамтест" No. 542 В этом номере: Новости Новости Asprox по-прежнему составляет угрозу бизнесу Компания Palo Alto Networks, специализирующаяся в области сетевой безопасности, опубликовала свой первый отчет о вредоносных атаках в корпоративном секторе. Согласно представленной в нем статистике, в минувшем октябре на долю ботов Asprox пришлось около 80% зафиксированных компанией инцидентов, затронувших более 1,9 тыс. организаций разного профиля. Windows-троянец Asprox (в классификации «Лаборатории Касперского» Net-Worm.Win32.Aspxor), он же Kuluoz и Zortob, объявился в Сети приблизительно к лету 2007 года. Созданный на его основе ботнет долгое время использовался исключительно для рассылки фишинговых сообщений и для распространения других зловредов (лжеантивирусов, ZeroAccess, Papras) в рамках партнерских PPI-программ. За истекший период Asprox неоднократно демонстрировал всплески бурной активности и пережил несколько попыток свержения, каждый раз уходя в долгое подполье. Он также претерпел множество модификаций, в результате которых обрел четко выраженную модульную архитектуру и научился воровать ключи от разных аккаунтов. Отдельный модуль Asprox помогает ему автоматически распространяться, сканируя сайты на предмет возможности SQL-инъекций. Последнее время данный зловред часто раздается через вредоносный спам, который сам же генерирует. В настоящий момент вредоносные рассылки с Asprox вновь находятся на подъеме. Усиление этой активности эксперты начали фиксировать накануне Дня благодарения. По свидетельству спам-аналитиков из университета Алабамы, троянец расширил список привычных имитаций и ввиду праздничного сезона распространяет подложные письма от имени HomeDepot, WalMart, CostCo, Target, Krogers и Walgreens. Используя брэнды известных ритейлеров, злоумышленники сообщают получателям, что их заказ готов и его можно забрать в ближайшие часы. С информацией о заказе пользователю предлагают ознакомиться, открыв вложение или перейдя по указанной ссылке, которая на самом деле загружает зловреда со скомпрометированного сайта. Риск заражения Asprox особенно велик для жителей Северной Америки. Согласно статистике Palo Alto, от его атак больше прочих страдают представители сферы здравоохранения, розничной торговли и финансового сектора. При этом основным способом распространения не только Asprox, но и других зловредов являются спам-рассылки (87% попыток заражения), в меньшей степени – атаки через браузер (11,8%). Эти показатели для разных вертикалей неодинаковы: так, для торговых организаций доля вредоносных атак через веб (HTTP) составляет 28%, для представителей гостиничного бизнеса – лишь 2%. Отчет Palo Alto составлен на основе данных о попытках доставки вредоносного ПО через 50 разных веб-приложений, работающих в сетях пользователей облачной платформы компании. В репрезентативную выборку вошли 2363 представителя 10 ключевых вертикалей из 82 стран. Источник: The Register Symantec о спаме и фишинге по итогам ноября Согласно статистике Symantec, в минувшем месяце уровень спама в электронной почте практически не изменился: 54,6% против 55,3% в октябре. Концентрация фишинговых сообщений после сентябрьского спада продолжает стремиться ввысь. В ноябре ловушкой было 1 письмо из 647, тогда как в предыдущем месяце – 1 из 1610. Частота вредоносных вложений также идет на подъем: в ноябре зараженные письма составляли 1 на 246, в октябре – 1 на 329, в сентябре 1 на 351. На долю email с вредоносными ссылками в минувшем месяце пришлось 41,3% писем; в октябре этот показатель был значительно ниже и составлял около 7%. Число целевых атак фишеров (spear phishing) к концу года, напротив, показывает тенденцию к снижению. В ноябре Symantec фиксировала лишь 43 таких инцидента в сутки, в предыдущем месяце – 45. Свои адресные ловушки фишеры предпочитают оформлять в формате .doc (25,9% вложений) или .exe (16,4%), хотя частота использования таких аттачей в spear-phishing атаках заметно уменьшилась. Показатели для .txt и .pdf увеличились в разы и составили 11,2 и 4,4% соответственно. Наибольшее количество spear-phishing атак зафиксировано в сфере нетрадиционных услуг (гостиничный, туристический, ремонтный сервис – совокупно 20%) и в промышленном производстве (20%); их показатели, согласно Symantec, различаются сотыми долями процента. На долю финансов, страхования и недвижимости в ноябре пришлось 17% целевых атак фишеров. Источник: Symantec Upatre замечен в раздаче Dyreza Даунлоадер Upatre – неотъемлемое звено многих схем доставки банкеров и вымогателей-блокировщиков на компьютеры жертв разорительных киберпреступлений. На прошлой неделе Microsoft предупредила пользователей об очередной заряженной Upatre спам-рассылке, нацеленной на засев банковского троянца Dyreza. Последний известен не только тем, что ворует банковские данные, он также принимал непосредственное участие в атаках на пользователей Salesforce.com и был замечен в загрузках посредством эксплойта той же уязвимости, которую использовала группировка Sandworm для проведения APT-атак. Обнаруженные Microsoft спам-письма уведомляют получателя о денежном переводе в размере $35,292, якобы пришедшем на его имя, и снабжены вредоносным вложением payment1872.zip. В этом архиве скрывается Upatre, замаскированный под SCR- или PDF-файл. После запуска даунлоадер обращается к одному из двух заданных доменов, continua[.]ltd[.]uk или odecarequipa[.]com, для загрузки варианта Dyreza, который MS детектирует как Dyzap.h. Большинство жертв Dyzap.h проживают в США, небольшая популяция этого зловреда обнаружена также в Канаде. В минувшем октябре американская CERT выпустила информационный бюллетень, предупреждая пользователей об активизации спам-рассылок, нацеленных на засев Dyreza. На тот момент зловред раздавался с помощью PDF-вложений, использующих уязвимости в устаревших версиях Adobe Reader. Известный как Dyreza и Dyre банкер обладает широкими возможностями для хищения информации и используется преимущественно для кражи идентификаторов к банковским сайтам. Для перехвата трафика Dyreza использует технику, известную как browser hooking (перехват запросов браузера), и способен при этом обходить SSL-защиту сеансов в IE, Firefox и Chrome. Эксперты датской ИБ-компании CSIS отметили, что операторы Dyreza зачастую применяют атаки MitM (Man-in-the-Middle) и в результате получают возможность просматривать SSL-трафик в открытом виде и даже обходить двухфакторную защиту. Полтора месяца назад датские исследователи обнаружили также Dyreza-спам, ориентированный на клиентов швейцарских банков и использующий только что пропатченную уязвимость в Windows OLE. Злоумышленники сокрыли код эксплойта в PPT-вложении; при его отработке на машину жертвы загружался банковский зловред. По свидетельству CSIS, этот же эксплойт был ранее замечен в APT-атаках группы Sandworm против государственных и отраслевых организаций Восточной Европы. Атака на клиентуру Salesforce с помощью Dyreza имела явно выраженный целевой характер. В начале сентября операторы веб-сервиса Threatpost предупредили пользователей о том, что один из их партнеров обнаружил спам-рассылку, нацеленную на кражу учетных данных Salesforce.com. Такие идентификаторы представляют особую ценность для злоумышленников, так как клиенты используют Salesforce для проведения внутренних торговых операций, CRM и других важных бизнес-задач. Источник: Threatpost Подсчитали – прослезились Как выяснили участники интернет-проекта Hoax-Slayer, мошенники, сделавшие ставку на доверчивость и уязвимость одиноких сердец и сетевых романтиков, продолжают процветать, несмотря на совместные усилия экспертов, активистов и других просветителей. Так, по данным Австралийской комиссии по вопросам конкурентной политики и защиты прав потребителей (Australian Competition and Consumer Commission, ACCC), в уходящем году жертвы неудачных онлайн-знакомств совокупно отдали обманщикам более $23 млн. – и это только те, кто не постеснялся заявить о собственном промахе. Обращения по поводу разорительных знакомств, приобретенных в Сети, составили 74% жалоб, полученных ACCC за последние четыре месяца. В настоящее время подложные знакомства – самый распространенный вид онлайн-мошенничества в Австралии. Аналогичные данные по Великобритании датированы прошлым годом: за год официальные службы приема жалоб на скам и фрод в этой стране собрали более 2,8 тыс. заявлений в отношении сетевых знакомств, которые обошлись потерпевшим в £24,5 млн. При этом суммы индивидуальных потерь в отдельных случаях доходили до 850 тыс. фунтов. Как удалось установить, ищущих «вторую половинку» британцев больше прочих обижают их соотечественники, а также – в убывающем порядке – жители США, Нигерии, Ганы и России. Действующий под эгидой ФБР Центр приема жалоб в отношении киберпреступлений (Internet Crime Complaint Centre, IC3) в 2012 году зарегистрировал около 4,5 тыс. обращений по поводу поддельных онлайн-знакомств, при этом заявители совокупно потеряли более $55 млн. Жители Канады за тот же период отдали сетевым «ромео» и «джульеттам» $17 млн. Вымогательство в ходе романтической переписки из года в год занимает первую строчку перечня самых разорительных видов сетевого мошенничества в этой стране. Новозеландцам романтические приключения в Сети в прошлом году обошлись, по данным министерства бизнеса, инноваций и занятости, в $680 тыс., так как жалобы подали лишь 130 граждан. Информационный ресурс Scamwatch министерства по делам потребителей Новой Зеландии привел на тот период другие данные – $1,3 млн., отметив, что индивидуальные потери в семи случаях составили более $100 тыс. Комментируя эту печальную статистику, Hoax-Slayer отмечает, что сетевым мошенникам такого рода больше склонны доверяться дамы 40-59 лет, хотя в некоторых странах большинство жертв – мужчины. Обманщики обычно вначале проводят разведку, собирая информацию о перспективных объектах в социальных сетях, специализированных чатах и на сайтах знакомств, а затем вовлекают будущую жертву в переписку, предлагая воспользоваться более приватными каналами – телефоном или электронной почтой. Они поддерживают контакт неделями, месяцами, даже годами, не скупясь на комплименты и нежные слова, пока жертва не сядет прочно на крючок, а затем начинают под разными предлогами просить деньги – сначала небольшие суммы, затем, если корреспондент охотно идет навстречу, аппетиты мошенников начинают расти. Увлеченная жертва упрямо не хочет верить в обман, но когда это все-таки случается, бывает уже поздно: исчерпав ее финансовые возможности, аферисты попросту исчезают, разрушив все мечты и надежды на счастливый исход. Обращаться к властям в таких случаях потерпевшие, как правило, не спешат: одни слишком подавлены, чтобы думать об этом, другие не желают публично признаваться, что их провели. В настоящее время многие популярные сайты знакомств публикуют предупреждения, если обнаружат поддельные профили или случаи мошенничества на своем сервисе. Кроме того, Hoax-Slayer рекомендует проверять фото, опубликованные в профиле, поиском на Google Images (в некоторых браузерах это можно сделать, щелкнув по изображению правой кнопкой мыши): мошенники часто заимствуют чужие фото из Сети. Следует также обращать внимание на грамотность своего корреспондента, поддельные письма на английском языке обычно содержат много ошибок, хотя их автор уверяет, что он – уроженец англоязычной страны. Подлог может выдать удаленное местонахождение виртуального знакомого и его упорное нежелание встретиться лицом к лицу. В любом случае Hoax-Slayer предостерегает пользователей от искушения оказать финансовую помощь тем, кого они ни разу не встречали, или раскрыть им банковские данные. Источник: Hoax-Slayer Депутат просит Роскомнадзор наказать SMS-спамеров Член комитета Госдумы по безопасности и противодействию коррупции Илья Костунов направил главе Роскомнадзора письмо с просьбой привлечь к ответственности распространителей текстового спама, который приходит на его мобильный телефон. В письме депутат ссылается на поправки к федеральному закону «О связи», вступившие в силу 21 октября. Согласно новой редакции, распространение рекламы по сетям электросвязи, включая сотовую связь, без предварительного согласия адресата запрещается. По словам Костунова, он такого согласия на перечисленные им рассылки не давал. «Закон принят. Подписан. Но спам продолжает приходить, – поясняет «Известиям» парламентарий. – Я обратился с требованием в Роскомнадзор, чтобы они привлекли к ответственности хотя бы тех, кто лично мне присылает нежелательные SMS. На основании ответа Роскомнадзора необходимо будет разработать новый документ, который позволит защитить покой граждан, в идеале – без их специального обращения». Вадим Ампелонский от имени Роскомнадзора заявил «Известиям», что жалобы на несанкционированные рассылки, подпадающие под юрисдикцию ФЗ «О рекламе», должен разбирать орган, контролирующий исполнение этого закона, то есть ФАС. Роскомнадзор следит за соблюдением операторами связи лицензионных условий. В этих лицензиях оговорена обязанность оператора соблюдать федеральные законы, постановления правительства и иные нормативно-правовые акты. «При проведении плановых проверок мы, естественно, обращаем внимание и на то, как операторы реализуют положения закона «О связи», регламентирующие рассылку SMS с коротких номеров, – отметил представитель Роскомнадзора. – Надо сказать, что все крупные операторы создали соответствующий инструментарий, позволяющий абоненту прекратить назойливую рассылку». Как выяснили «Известия», весь указанный в запросе Костунова SMS-спам пришел с обычных, десятизначных номеров, а новые поправки допускают блокировку лишь в случае использования отправителем коротких или буквенно-цифровых номеров. Журналисты указывают, что в законе «О связи» понятие рассылки определяется как «автоматическая передача абонентам коротких текстовых сообщений... или передача абонентам коротких текстовых сообщений с использованием нумерации, не соответствующей российской системе и плану нумерации...». «Обратите внимание на слова «с использованием нумерации, не соответствующей... плану нумерации», – комментирует формулировку основатель проекта «SMSненадо.ру» Федор Ченков. – Обычные номера сотовой связи плану нумерации соответствуют, и приходящие с них SMS блокировать на основании существующего закона нельзя». Как выяснилось, у ФАС тоже есть опасения, что вошедшие в силу изменения в законодательстве спровоцируют повальный переход SMS-спамеров на десятизначные номера. Выступая на недавно прошедшей в Москве конференции MIXX Russia, заместитель руководителя ФАС Андрей Кашеваров отметил: «Ограничив возможность передачи SMS-спама через короткие цифровые и буквенные номера, мы решили только часть проблемы. Мы прекрасно понимаем, что в дальнейшем этот контент перейдет на контент длинных десятизначных номеров. Решив первую часть проблемы, мы решим и вторую. Тем более что подходы, которые могут ограничить распространение нежелательной рекламы для абонентов, уже сформулированы». Источник: «Известия» Dyre переходит в спам-наступление По оценке ThreatTrack Security, троянец-банкер Dyre, он же Dyreza, усердно пытается заполнить нишу, освободившуюся после свержения ZeuS/GameOver. Он уже активно раздается с помощью Upatre – того же даунлоадера, который широко использовали операторы GameOver; использует алгоритм DGA, расширяет список своих жертв, выходя за рамки чисто финансовых интересов, а недавно начал распространять других зловредов, в частности, спамботы. Одним из этих спамботов является не что иное, как Cutwail – специализированный модуль троянца Pushdo, на основе которого построен крупнейший и давно функционирующий ботнет, который и по сей день используется для распространения через спам всевозможных зловредов, включая блокеров-шифровальщиков. Ботнет Pushdo ответственен за львиную долю Upatre-спама, целевой нагрузкой которого в настоящее время часто оказывается Dyre. Эксперты отмечают, что, научившись загружать Cutwail, этот банкер приобрел дополнительную возможность для экспансии. Два другие спамбота, которые загружает Dyre, не обеспечивают ему такой симбиоз, хотя один из них, использующий Microsoft Outlook жертвы, генерирует именные письма с вложениями, в которых скрывается Upatre. Что касается мишеней Dyre, их круг стал расширяться с момента атаки на Salesforce. Как оказалось, операторов данного банкера интересуют не только данные финансовых аккаунтов, но также другие учетные записи, способные предоставить информацию для проведения более узконаправленных атак. На прошлой неделе эксперты ThreatTrack обнаружили еще одну нестандартную для Dyre атаку: он открыл охоту на email-адреса и пароли посетителей CareerBuilder.com. По словам исследователей, операторы банкера потенциально могут использовать эту информацию для взлома пользовательских аккаунтов и сбора дополнительных данных или попытаться получить доступ к другим онлайн-сервисам, если владельцы краденых идентификаторов используют один и тот же пароль на все случаи жизни. Более того, персональные данные, включенные в резюме претендентов на трудоустройство (домашний адрес, номер телефона, предыдущее место работы и т.п.), могут составить хороший пакет для реализации убедительных мошеннических схем. Источник: HackSurfer Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013