Cloudmark наблюдает рост потоков SMS-спама

Cloudmark наблюдает рост потоков SMS-спама

В минувшем году Cloudmark обнаружила свыше 359 тыс. уникальных вариантов текстового спама, разосланного американским и британским абонентам. Пик спамерской активности в SMS-сервисе пришелся на декабрь; за этот месяц эксперты зафиксировали более 53 тыс. уникальных спам-рассылок.

Статистика, приведенная в годовом отчете Cloudmark, основана на данных специализированной службы 7726, учрежденной в начале 2012 года международной ассоциацией провайдеров сотовой связи GSMA. Cloudmark является оператором этого сервиса, широко доступного в США и Великобритании, и осуществляет проверку жалоб на SMS-спам, поступающих от абонентов, сбор и анализ сопутствующей информации, а также рассылку отчетов провайдерам-участникам, пишет securelist.com.

По оценке Cloudmark, наиболее распространенной темой SMS-спама в минувшем году являлась раздача подарочных карт от имени крупных торговых сетей – Walmart, Best Buy, Target и т.п. На долю этой категории пришлось 44% текстовых спам-сообщений. Спамеры также настойчиво предлагали в безвозмездное пользование пробные версии iPhone или iPad (11%). По свидетельству экспертов, оба варианта заманчивых предложений носили мошеннический характер: чтобы ими воспользоваться, абонент должен был принять участие в сомнительном опросе, засветив персональные данные, или посетить ряд рекламных площадок, оплачивающих спамерам каждый визит. При этом вожделенный «приз» легко мог оказаться мифом.

В Великобритании преобладал мошеннические SMS предложения компенсации за неправильно оформленную страховку по кредиту – так называемый PPI-спам (Payment Protection Insurance). Умышленное завышение размеров банковской страховки в этой стране давно приобрело масштабы эпидемии, и в связи с огромным количеством жалоб кредиторов обязали выплачивать компенсацию за их ошибки. Многие британские компании специализируются на юридическом сопровождении таких рекламаций и широко рекламируют свои услуги, хотя среди этих «стряпчих» встречаются и откровенные мошенники. PPI-спам – чисто британское явление; по данным Cloudmark, на пике его вклад в мусорный SMS-трафик достигал 60%.

Многие мошеннические SMS, обнаруженные экспертами, предлагали также рабочие вакансии (3% спама) и романтические знакомства (2%). Особую категорию составили фишинговые SMS-рассылки, на долю которых в минувшем году пришлось 5% текстового мусора. Пик фишерских атак пришелся на сентябрь и октябрь. Как показывает практика, SMS-фишинг обычно ориентирован на клиентуру определенного банка, мобильного оператора или на жителей отдельно взятого региона. Фишеры, использующие SMS-каналы, не распространяют ссылки на сайты-ловушки, но указывают номер телефона, по которому абоненту предлагается срочно позвонить. Отвечающий на этом номере робот может представиться, например, работником анти-фрод службы банка и, сообщив жертве о некоем «расследовании», выманить у нее реквизиты банковской карты (обычно дебетовой), PIN-код и другую приватную информацию.

Cloudmark отметила также чисто рекламные категории SMS-спама: быстрый кредит (8% общего объема), SMS-услуги (4%), скупка старых автомобилей (3%), продажа автомобилей (2%).

В конце минувшего года эксперты обнаружили простейший ботнет, составленный из Android-устройств и специализирующийся на рассылке текстового спама. Спамбот, на основе которого он построен, – в Lookout его окрестили SpamSoldier – распространяется в комплекте с пиратскими играми через SMS-рассылки. Списки абонентских номеров и шаблоны для спама зловред получает по http-каналу с командного сервера, его производительность на пике составляет свыше 0,5 млн. сообщений в сутки. В конце декабря C&C сервер и ключевые домены SpamSoldier были заблокированы; к этому времени его оператор успел разослать порядка 5-10 млн. вредоносных SMS и заразить несколько тысяч мобильных устройств.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru