Лаборатория Касперского фиксирует снижение доли спама в августе

Лаборатория Касперского фиксирует снижение доли спама в августе

В августе доля нежелательной корреспонденции в глобальном почтовом трафике, по подсчетам «Лаборатории Касперского», составила 67,6%, что на 3,6% ниже июльского показателя. Если это и связано с сезоном отпусков, то отдыхать уехали самые безобидные спамеры: доля фишинговых писем по сравнению с предыдущим месяцем увеличилась более чем в 10 раз, а доля писем с вредоносными вложениями – в два с половиной, составив в итоге 5,6% от всех электронных сообщений. Таковы результаты исследования спам-активности за август 2013 года.

Тематика рекламных писем в очередной раз была продиктована сезоном. Специалисты «Лаборатории Касперского» зарегистрировали множество разнообразных рекламных рассылок, эксплуатировавших тему Дня знаний. Как обычно распространители этих писем использовали зашумление заголовков и номеров телефона, чтобы затруднить обнаружение спам-фильтрам. Также спамеры использовали введение изменений системы штрафов с 1 сентября для рекламы пленок, скрывающих номер машины от видеокамер, и других услуг и аксессуаров для автомобилей.

История с мошенническими сайтами по «оплате» штрафов ГИБДД получила продолжение. Эксперты «Лаборатории Касперского» зафиксировали рассылки, в которых злоумышленники предлагали пользователю узнать обо всех задолженностях, включая штрафы, кредиты и налоги. Набор требующихся для этого данных более или менее «стандартный»: паспортные данные, ИНН, номера свидетельств и других документов. Так мошенники собирали информацию о гражданах РФ, которая в дальнейшем могла быть использована для различных махинаций. При этом некоторые сайты требовали подтверждения мобильного номера отправкой SMS, за которое с пользователя без предупреждения списывалась значительная сумма.

 

Серия писем, распространяющих зараженные вложения и ссылки на троянские программы


Вредоносные вложения в письмах стали встречаться в два с половиной раза чаще по сравнению с июлем. Несмотря на то, что сезон отпусков подходит к концу, мошенники продолжают активно рассылать письма-подделки, сообщающие о несуществующем бронировании авиабилетов и отелей – имена наиболее известных компаний этой сферы постоянно находятся в арсенале спамеров. Адрес отправителей фишинговых писем на первый взгляд кажется вполне легитимными, что может усыпить бдительность пользователя. В письме жертву под разными предлогами просят открыть вредоносное вложение или пройти по ссылке, инициирующей загрузку файла на жесткий диск. В обоих случаях компьютер пользователя заражается троянцем Tepfer, занимающимся кражей логинов и паролей.

Доля фишинговых писем увеличилась в десять раз. В августе «Лаборатория Касперского» зафиксировала рассылку писем, якобы пришедших с официального адреса Apple и просивших пользователя подтвердить реквизиты аккаунта iTunes, пройдя по прилагаемой ссылке. Вместе с тем, наиболее часто используемыми для фишинга организациями по-прежнему остались социальные сети.

Тройка стран-лидеров, рассылающих в совокупности более половины спама в мире, не изменилась – это по-прежнему Китай, США и Южная Корея. Однако изменения произошли в Рунете: на вторую строчку с седьмого места переместилась Россия, с территории которой в августе было разослано более 10% нежелательной корреспонденции.

«В летний период спам становится значительно опаснее, возрастает не только количество мошеннических сообщений, но и писем, содержащих вредоносные файлы. Помните, что известные организации очень редко просят передавать личные данные, внезапно подтверждать реквизиты аккаунта или открывать вложения. В подобных случаях лучше связаться со службой поддержки организации, от имени которой пришло письмо, и выяснить, была ли такая рассылка на самом деле», – делится рекомендациями Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru