Активность рассылки спама возросла

Активность рассылки спама возросла

По данным Symantec, в мае мусорная составляющая почтовой корреспонденции увеличилась на 3,3 пункта и достигла 67,8%. Тенденция к росту этого показателя в текущем году наблюдается впервые. Самые высокие уровни спама зафиксированы в Саудовской Аравии (77,0%), а также в Польше, Венгрии, России (73,6%) и Китае.

В разделении по сферам хозяйственной деятельности больше прочих от почтового мусора страдала автомобильная промышленность (71,1%). Наибольшее количество нежелательных писем распространяется из Индии (15,2% глобального спама) и Вьетнама (8,3%). В майский список лидеров по спам-рассылкам попали также Канада, Бразилия, США и Россия (4,0%), пишет securelist.

70-80% нелегитимных сообщений, заблокированных в апреле-мае, рекламировали порноресурсы и сайты знакомств, 14-19% ― медицинские препараты. В спамерских ссылках преобладал TLD-домен .com (66,6% URL), присутствие российской национальной зоны возросло до 7,5%. В минувшем месяце в список TLD, наиболее популярных у спамеров, был впервые занесен домен Бразилии (3,4%). Половина непрошеных писем по размеру не превышали 5 КБ; доля крупных (свыше 10 КБ) посланий несколько увеличилась и составила 19,8%. Последние, как правило, содержали вложенный файл, который нередко оказывался вредоносным.

Доля сообщений, нацеленных на распространение зловредов, к концу апреля увеличилась и в мае в среднем составляла 0,27% почтовой корреспонденции (1 письмо на 365,1). 26,2% этих посланий были снабжены ссылками ― на 16,9 пункта больше, чем в предыдущем месяце. Наиболее высокие уровни вредоносной активности в почтовых каналах наблюдались в государственном секторе (1 письмо на 83,5), а в географическом разделении ― в странах Западной Европы и в Австралии. В Люксембурге и Нидерландах этот показатель составил 1 письмо на 167,2; в Голландии ― 1 на 174,7; в Германии 1 на 342,2 (0,29%). Наибольшее количество вредоносных писем исходило с территории США (66,1%) и Великобритании (15,3%). Кроме последней, в этот непочетный Топ 10 попали еще 5 западноевропейских стран, включая Германию (1,6%) и Францию (0,5%).

Активность фишеров в мае несколько снизилась, доля поддельных сообщений в общем объеме почтовой корреспонденции составила 0,18% (1 письмо на 568,3). Наибольшее количество фишинговых атак зафиксировано в Голландии, Великобритании, Южной Африке, Канаде и Австралии, а в разделении по отраслям хозяйственной деятельности ― в публичном секторе (1 письмо на 96,4). Половина фишинговых сообщений исходила с территории США, 7,5% ― из Германии, 4,2% из Бразилии. В десятку лидеров по таким рассылкам вошли также Великобритания, Канада, Франция (3,1%) и Россия (2,4%).

Количество сайтов, используемых для фишинга, в мае увеличилось на 16,3%, причем 65,9% из них были созданы автоматизированными средствами. Согласно статистике Symantec, число последних с апреля выросло более чем в полтора раза. Количество ловушек, ориентированных на неанглоязычных пользователей, увеличилось на 7,5%. Особое внимание фишеры уделяют носителям португальского, французского, итальянского и немецкого языков. Больше половины фишерских подделок были обнаружены на территории США; 6,4% ― в Германии. 55,5% фишерских ловушек, зафиксированных в минувшем месяце, имитировали банковские сайты, 23,9% ― сервисы электронной коммерции, 16,8% — ресурсы поставщиков информационных услуг.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru