Анализ октябрьских спам рассылок

Александр Панасенко 20 Ноября 2013 - 15:29

Общее

Лаборатория Касперского

Вирусы

Вредоносные программы

Спам

...

Спам в октябре 2013 года отличался рассылками на тему приближающихся новогодних праздников и рекламой различных услуг из области белой и черной магии. Кроме того, специалисты «Лаборатории Касперского» отметили увеличение количества предложений по нанесению логотипов компаний на различную сувенирную продукцию. В целом же по итогам второго осеннего месяца рост заказных спам-рассылок рекламного характера привел к увеличению доли общемирового спама до 72,5%.

Эксплуатировать тему зимних праздников спамеры в этом году начали еще летом. В октябре число сообщений с рекламой различных товаров и услуг, так или иначе связанных с празднованием Нового года и Рождества, предсказуемо увеличилось. Подарки, новогодние туры по России и другим странам, варианты проведения школьных каникул – вот лишь часть всего многообразия, которое предлагалось пользователям Рунета в спаме новогодней тематики.

Также в октябре в почтовом трафике встречались рассылки с рекламой различных «магических» услуг. «Специалисты» в области белой и черной магии активно предлагали свои услуги как на просторах Рунета, так и в англоязычном сегменте Интернета. В русскоязычных рассылках преобладали в основном привороты и заговоры чуть ли не на все случаи жизни. Нередко также встречались предложения по обучению магии.

Наконец, в середине осени, когда деловой сезон переживает свой очередной подъем, спамеры активно рассылали сообщения с предложениями нанести логотип компании на самую разную сувенирную продукцию. Такие рассылки, конечно, не новы, однако в октябре эксперты «Лаборатории Касперского» отметили, что ассортимент предметов для нанесения логотипов заметно расширился: теперь фирменный знак компании, по уверениям спамеров, может красоваться не только на авторучках и флешках, но также на спичках, скотче, часах и даже банках с медом.

Среди вредоносных вложений в октябре было заметно преобладание зловредов семейства Bublik. Основная функция программ такого типа – несанкционированная загрузка и установка на компьютер-жертву новых версий вредоносных программ. При этом сами зловреды маскируется под приложение или документ компании Adobe.

Что касается источников спама, то в глобальном Интернете рейтинг лидеров не меняется на протяжении всего года: из Китая, США и Южной Кореи по-прежнему рассылается более половины мирового спама. Некоторые изменения в октябре произошли среди стран-источников спама в Рунете. Так, лидером по распространению нежелательных сообщений в русскоязычном пространстве Сети стала сама Россия: увеличение показателя страны почти на 5% (до 16,4%) позволило ей занять первую строчку рейтинга, переместившись вверх с 4-ой позиции. Второе место принадлежит лидеру прошлого месяца – Вьетнаму (13,1%), чей показатель не изменился с сентября. Третью позицию по-прежнему занимает Тайвань (12%), чья доля незначительно сократилась в октябре.

«Доля мирового спама в середине осени увеличилась на 6,6% и в итоге достигла весенних показателей, что неудивительно – деловая активность после летнего затишья полностью восстановилась. Еще одной осенней традицией является резкое увеличение так называемого праздничного спама. Новый год и Рождество из года в год используются спамерами для рекламы различных товаров и услуг, в том числе напрямую не связанных с упомянутыми праздниками. Обычно волна новогоднего спама длится с октября по декабрь, поэтому в следующем месяце мы снова ожидаем роста количества рассылок подобной тематики», – рассказывает Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: