Спамеры начали активно использовать URL-сокращатели
Главная » Новости

Спамеры начали активно использовать URL-сокращатели

Александр Панасенко 26 Октября 2011 - 15:11
...

Антивирусная компания Symantec сообщает, что спамеры начали значительно более активно использовать системы сокращения и маскировки URL-адресов для обхода систем безопасности, реализованных в популярных продуктах для борьбы со спамом. Также спамеры начали более активно создавать собственные сервисы для работы систем URL-сокращения.



По словам Ника Джонстона, старшего инженера по программному обеспечению Symantec, на сегодня Symantec известны как минимум 87 сервисов URL-сокращения, активно используемые спамерами. Джонстон говорит, что спамеры используют свободно доступные скрипты для сокращения URL-адресов и очень редко самостоятельно пишут код для кастомизации работы систем. Наиболее активно URL-сокращатели сейчас используются в фармацевтическом спаме, сообщает cybersecurity.ru

В мае этого года Symantec заметила, что некоторые рекламные сайты начали использовать сокращатели адресов, но дальнейшие исследования показали, что сокращатели тогда выступали лишь в качестве временных редиректоров на подлинные проекты спамеров. Сейчас же спамеры начали самостоятельно организовывать и использовать полноценные сокращатели. Подобная стратегия прежде не использовалась.

В исследовании, проведенном Symantec, все рекламируемые сайты, работающие через полноценную систему URL-сокращения были размещены на серверах неназванной британской хостинговой компании. В Symantec говорят, что уведомили хостера об использовании его ресурсов спамерами. В свою очередь домены были зарегистрированы в России.

По словам специалистов, применение систем сокращения URL-адресов представляет собой проблему для спам-фильтров, так как те не могут точно определить, переводит ли адрес-маска на истинный сайт спамеров или же он используется, например, социальной сетью для сокращения адреса. Напомним, что на сегодня наиболее активно системы URL-сокращения используются в сети Twitter, которая налагает 140-символьный лимит на длину сообщения. Впрочем, в соцсетях ссылки, прежде чем помещаться под систему URL-сокращения проверяются на вредоносность.

 На сегодня в Symantec отмечают, что с технической точки зрения заблокировать URL-сокращатели несложно, однако они могут быть использованы и для легитимных целей. Сейчас антивирусная компания с уверенностью о блокировке говорит в отношении домена 3xy. info, который применяется только для рассылки спама.

Следующая главная новость »
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Критическая уязвимость в TLP позволяет обойти защиту Linux
Екатерина Быстрова 08 Января 2026 - 18:51
Linux Уязвимости программ Домашние пользователиКорпорации
Критическая уязвимость в TLP позволяет обойти защиту Linux

В популярной утилите TLP, которую многие владельцы ноутбуков на Linux используют для управления энергопотреблением, обнаружили критическую уязвимость. Причём проблема нашлась во время обычной проверки пакета командой SUSE Security Team и располагается во вполне штатном коде.

Брешь получила идентификатор CVE-2025-67859 и затрагивает версию TLP 1.9.0, где появился новый profiles daemon.

Этот демон работает с root-правами и управляет профилями питания через D-Bus. Задумка хорошая, но реализация подвела: в механизме аутентификации Polkit нашлась логическая ошибка, которая фактически позволяет обойти проверку прав.

Как объясняют исследователи, демон должен был строго проверять, кто именно отправляет команды. Но из-за ошибки любой локальный пользователь мог взаимодействовать с ним без должной аутентификации — а значит, менять системные настройки питания от имени root.

На этом сюрпризы не закончились. В ходе анализа специалисты SUSE нашли ещё несколько проблем, уже связанных с исчерпанием ресурсов. В частности, механизм profile hold, который позволяет временно «зафиксировать» профиль питания, оказался совершенно без валидации. Локальный пользователь мог создавать неограниченное количество таких блокировок, причём без прав администратора.

В итоге это открывает прямую дорогу к DoS-атаке: демон начинает захлёбываться от бесконечных записей в структуре данных, куда попадают числа, строки с причиной и идентификаторы приложений — всё это полностью контролируется клиентом.

Любопытно, что SUSE вспомнила похожую историю с демоном управления питанием в GNOME: аналогичную проблему находили ещё несколько лет назад. Отдельно исследователи отметили вопросы к механизму «куки», которыми отслеживаются profile hold. Формально речь шла о предсказуемости значений, но в сочетании с отсутствием лимитов это лишь расширяло поверхность атаки.

К счастью, реакция была быстрой. SUSE сообщила об уязвимостях разработчикам ещё в декабре, и в версии TLP 1.9.1 проблема уже закрыта. В частности, число одновременных profile hold теперь жёстко ограничено числом 16, что убирает риск истощения ресурсов.

AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »
Мошенники навязывают мессенджер MAX
Новость
Мошенники навязывают мессенджер MAX
Иск к Роскомнадзору из-за звонков в WhatsApp и Telegram отклонён
Новость
Иск к Роскомнадзору из-за звонков в WhatsApp и Telegram откл...
Уволенный админ сменил пароли 2500 коллег и нанёс ущерб на $862 тыс.
Новость
Уволенный админ сменил пароли 2500 коллег и нанёс ущерб на $...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.