Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 548

В этом номере:


Новости

Dyreza-спам с серверным полиморфизмом

ИБ-компания Bitdefender предупреждает о новой мощной волне спама, нацеленного на засев банковского троянца Dyreza, он же Dyre. За один день румынские исследователи зафиксировали 30 тыс. вредоносных сообщений, рассылаемых с территории США, России, Турции, Франции, Канады и Великобритании.

Судя по наименованию спам-кампании, присвоенному злоумышленниками, – 2201us, она была запущена 22 января и ориентирована, в первую очередь, на американских пользователей. Вредоносные письма имитируют уведомление о входящем факсе и снабжены ссылкой на HTML-файл.

Как показал анализ, этот файл содержит редирект на страницу с сильно обфусцированным Javascript, который при отработке автоматически загружает ZIP-архив со стороннего сайта. Примечательно, что имя этого архивного файла изменяется при каждой загрузке, то есть злоумышленники применяют полиморфизм на уровне сервера для обхода антивирусной защиты.

После загрузки вредоносного кода тот же Javascript перенаправляет браузер пользователя на локализованную страницу службы факсов – видимо, для отвода глаз. Заархивированный исполняемый файл с той же целью снабжен иконкой PDF, его содержимым является даунлоадер, который, в свою очередь, загружает и запускает Dyreza.

Аналитикам Bitdefender удалось также выявить список мишеней банкера, раздаваемого через спам. Ими оказались клиенты финансовых организаций США, Великобритании, Ирландии, Австралии, Румынии и Италии. Исследователи не преминули отметить, что, несмотря на довольно сложную технику атаки, успех невозможен без участия пользователя, который должен открыть вредоносный ZIP-архив и запустить содержимое на исполнение.

Источник: Dark Reading

Главбух крупной компании перевел мошенникам $17,2 млн.

ФБР расследует редкий случай трансграничного мошенничества: получив три поддельных письма от имени главы Scoular Co., главный бухгалтер этой компании по приказу «начальства» совокупно перевел в китайский банк на счета некой фирмы 17,2 млн. долларов. Неприятный инцидент произошел минувшим летом; обманщики до сих пор не найдены, и надежды на возврат утерянных капиталов стремительно тают.

Следует отметить, что Scoular – одна из крупнейших и старейших компаний, базирующихся в Омахе, штат Небраска. Она была основана 120 лет назад, с той поры неизменно торгует зерном и соей в обеих Америках, также обеспечивая перевозки и хранение этих продуктов. В минувшем году Scoular заняла 55 место в списке частных компаний США, публикуемом Forbes.

По всей видимости, мошенники долго и тщательно готовились к целевой атаке. Согласно ФБР, подложные письма пришли в бухгалтерию в конце июня, одно за другим, и получатель ни разу не заподозрил подмену. Все эти сообщения были написаны от имени гендиректора Scoular Чака Элси (Chuck Elsea), но отосланы со стороннего адреса, хотя глава компании предпочитал пользоваться корпоративной почтой.

В первом письме «Элси» попросил главбуха перевести на указанный счет $780 тыс. в связи с некой крупной сделкой – покупкой китайской компании, якобы с благословения и при поддержке SEC (американской комиссии по обороту ценных бумаг). Тем не менее, автор письма призывал пока не разглашать эту информацию, чтобы не нарушить установленный SEC регламент.

Во второй раз «Элси» попросил связаться по телефону с конкретным служащим компании, обычно проводящей аудит для Scoular, чтобы тот сообщил, куда перевести еще $7 млн. Главбух позвонил названному лицу, и в ответном письме получил номер счета в солидном шанхайском банке. В третий раз мошенники таким же образом заполучили 9,4 млн.

Позднее обманутый финансист признался агентам ФБР, что у него и мысли не возникло о подлоге. Дело в том, что в Scoular, действительно, рассматривалась возможность выхода на китайский рынок. Кроме того, бухгалтерия на тот момент плотно общалась со своим аудитором, и почтовый адрес, используемый подставным служащим, выглядел вполне убедительно. При ответе на телефонный звонок тот представился, назвав имя, указанное ранее в письме «Элси».

Расследование ФБР было начато по горячим следам. Как удалось установить, в данной целевой рассылке были задействованы почтовые аккаунты, зарегистрированные в Германии, Франции и Израиле, а также московские сервера. Краденые деньги, действительно, осели в шанхайском банке, на счетах некой Dadi Co. Ltd.

В настоящее время ФБР пытается вернуть выведенные из страны капиталы, заручившись поддержкой «центрального органа любого иностранного государства на основании любого договора или международного соглашения». По факту хищения возбуждено уголовное дело, для ускорения событий ФБР подало в окружной суд Омахи ходатайство о выдаче ордера на выемку. В рамках текущего расследования проведены опросы нескольких руководителей пострадавшей компании; невольный пособник мошенников уже уволен.

Источник: Omaha.com

Масштабный взлом – дополнительный шанс для фишеров

В связи с недавно обнаруженной утечкой компания Anthem Inc., крупнейший в США специалист по медицинскому страхованию, опубликовала предупреждение о фишинговых сообщениях, использующих эту тему.

По сведениям Anthem, сетевые мошенники используют ее имя и предлагают пострадавшим услуги по контролю кредитных рисков. Компания решительно опровергает свою причастность к этим спам-рассылкам и не располагает свидетельствами того, что их авторами являются осуществившие взлом хакеры или что спамеры используют украденную в ходе взлома информацию.

Получателей подобных фишинговых писем предостерегают от искушения пройти по указанной ссылке и ввести свои данные на странице, к которой она привязана. Им также напоминают, что в случае сомнений всегда лучше уточнить полученную информацию, обратившись непосредственно к заявленному источнику по другому каналу – например, по телефону.

Согласно заявлению Anthem, никакого обзвона клиентов по поводу утечки она не производила и никогда не запрашивает данные кредитных карт по телефону. Информацию о киберинциденте ее клиенты, как нынешние, так и бывшие, получат обычным письмом, отправленным через Почтовую службу США. Пострадавшим будут бесплатно предоставлены кредитный мониторинг и дополнительные средства защиты ID.

Напомним, о взломе сетей Anthem общественность узнала в начале текущего месяца. Установлено, что хакерам удалось получить доступ к номерам социального страхования, датам рождения, информации о трудоустройстве и доходах и другим персональным данным клиентов компании. Точное число жертв утечки пока не определено; Anthem оценивает свою клиентскую базу в 69 млн. по всем продуктовым линейкам.

Источник: Anthem

Мошенничество при знакомстве: как, зачем и в каком объеме

В преддверии Дня всех влюбленных американская компания iovation, специализирующаяся на профилактике мобильного и онлайн-фрода, опубликовала результаты целевого мониторинга веб-сайтов знакомств. Согласно этому отчету, в минувшем году 1,37% транзакций на таких ресурсах были мошенническими – против 1,24% в других сферах (игровая индустрия, финансы, розничная торговля и т.п.).

Особенно высоким этот показатель оказался в феврале (1,46%), в период активизации романтической переписки и рассылки «валентинок» в Сети. Под транзакцией iovation подразумевает зафиксированное событие на сайте, произошедшее по инициативе пользователя, как то: регистрация аккаунта, его активация, процедура входа, любые действия по управлению аккаунтом и его покупке.

Схемы мошенничества, использующие возможности сайтов знакомств, весьма разнообразны, но все они, по словам экспертов, нацелены на обман наиболее уязвимых и доверчивых пользователей, имеющих ограниченный круг общения.

«Использующие сайты знакомств мошенники все чаще избирают мишенью пожилых дам, проживающих в сельской местности, и осыпают их знаками внимания, – комментирует Джон Карл (Jon Karl), вице-президент iovation по корпоративному развитию. – Они обычно представляются инженером, работающим за рубежом по крупному проекту. Обманщики усердно обхаживают жертву, даже посылают подарки по праздникам. Почувствовав, что жертва поддалась на приманку, они сообщают ей, что «инженер» попал в затруднительное положение, не может добраться до своего банка, и ему срочно нужен денежный перевод. Во многих случаях жертва уступает таким просьбам».

Согласно iovation, основными разновидностями фрода на сайтах знакомств являются следующие:

  • мошенническая реклама товаров и услуг либо попытки обманом заставить участника сообщества сделать одолжение;
  • массовые спам-рассылки по электронной почте, IM-каналам или в виде постингов;
  • использование поддельных или краденых кредиток для покупки множественных или премиум-аккаунтов с целью совершения мошеннических действий;
  • создание поддельных профилей с недостоверной информацией и чужими фото;
  • сбор персональных данных противозаконными методами (фишинг, распространение кейлоггеров, создание поддельных страниц и т.п.).

«Ранее мошенники завязывали знакомство лишь для того, чтобы выманить деньги, однако ныне они наносят еще больший вред, – сетует Молли О'Хирн (Molly O’Hearn), вице-президент по управлению iovation. – Последнее время резко увеличилось количество случаев шантажа. Обманщики устанавливают доверительные отношения с жертвой и убеждают выслать компрометирующие ее фото или видеоматериалы, а затем вымогают деньги, угрожая переслать компромат ее друзьям и родственникам. Очень важно, чтобы те, кто любит знакомиться онлайн, имели представление о типовых сценариях, сопряженных с рисками, и не пренебрегали информационными видео, которые публикуют службы безопасности сайтов знакомств».

Согласно статистике iovation, основанной на репутации пользовательских устройств – а их в базе компании уже более 2 млрд., в 2014 году наибольший поток мошеннических транзакций на сайтах знакомств исходил с территории Нигерии (29%), Ганы (26%) и Кот-д'Ивуар (15%), а также из Вьетнама и Аргентины (10 и 8% соответственно).

Источник: iovation

Троянец для корпоративных клиентов Microsoft

Исследователи из Cisco обнаружили узконаправленную спам-рассылку, нацеленную на распространение троянца-даунлоадера, известного как Chanitor. Поддельные сообщения написаны от имени Центра поддержки корпоративных лицензий Microsoft (Volume Licensing Service Center, VLSC), персонализированы и предлагают активировать новую открытую лицензию, пройдя по указанной ссылке.

Примечательно, что приведенный в теле письма пример заполнения регистрационной формы использует почтовый адрес получателя этой фальшивки. Сама ссылка спамеров указана как URL в домене microsoft.com, однако итоговый сайт, по свидетельству экспертов, не имеет ничего общего с ресурсами ведущего производителя ПО. Это можно заметить, наведя курсор мыши на предлагаемую ссылку.

При активации этой ссылки на машину пользователя загружается вредоносный ZIP-файл. На настоящий момент выявлено четыре сайта, привязанных к спамерским ссылкам; все они используют WordPress, скомпрометированы и содержат добавленные злоумышленниками страницы загрузки с внедренным Javascript. При отработке последнего посетителю отображается копия стартовой страницы VLSC, поверх которой выводится диалоговое окно загрузки; указанный в нем источник загрузки тоже может выдать подлог, поэтому внимание пользователя отвлекают дизайном, позаимствованным у Microsoft.

Как показал анализ, загруженный ZIP содержит исполняемый файл Windows с расширением .scr. Его содержимое было опознано как даунлоадер Chanitor, который с начала января активно раздается в спаме и при этом используется для загрузки банкера Vawtrak. Сам Chanitor примечателен тем, что вооружен средствами противодействия запуску в «песочнице» и использует анонимную сеть Tor для обмена с C&C-серверами.

Источник: Cisco

Тюменское УФАС: успехи борьбы с SMS-спамерами

На пресс-конференции, состоявшейся 6 февраля в тюменском областном Доме журналистов, представитель местного УФАС заявила об очередной победе: в конце прошлого месяца антимонопольщикам удалось отстоять в суде свое решение о наложении штрафов за противозаконную рассылку SMS-рекламы.

У ответчиков, телекоммуникационных компаний «Лоджик телеком», «Крафт телеком» и «ИнфоБип», еще есть время подать апелляцию, однако представитель надзорного органа выразила уверенность в том, что в итоге правонарушителям придется уплатить штраф. Согласно КоАП, его размер в случае нарушения ФЗ «О рекламе» составляет от 100 тыс. до 500 тыс. рублей.

«Заявления о нарушении требований закона «О рекламе», касающихся SMS-рассылок, поступают к нам постоянно, – отметила заместитель руководителя тюменского УФАС Ирина Поткина. – За 2013 год было 66 таких заявлений, в 2014 году – 127. За каждое нарушение, которое нами выявлено, возбуждается административное производство и накладывается штраф. Так, за прошлый год мы рассмотрели 22 административных дела и вынесли штрафов на общую сумму 2,4 млн. рублей».

По словам Поткиной, ранее суды, как правило, решали такие дела в пользу юридических лиц, рассылающих рекламу: те якобы не обязаны оценивать отправляемые тексты. Однако на этот раз представителям УФАС удалось доказать, что распространителями рекламы являются все участники SMS-рассылки, и, согласно закону, они обязаны заручиться согласием абонентов до ее проведения. На настоящий момент рекорд для Тюменской области – 5 выявленных случаев нарушения требований к текстовой рекламе, приходящихся на одно юрлицо.

«Уже сейчас поток заявлений от граждан по поводу SMS-рассылок уменьшается: ведь ответственность за рассылку теперь несут все участники процесса передачи сообщения, –констатирует Поткина. – На данном этапе операторы связи работают с нами достаточно активно. Они оперативно предоставляют по нашему запросу информацию о том, с кем заключали договор на оказание услуг по передаче SMS-сообщений. Кроме того, они сами сокращают количество таких договоров и ужесточают условия».

Источник: Вслух.ру




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное