Спам в мае 2009 года

Спам в мае 2009 года

В мае доля спама в почтовом трафике по сравнению с апрелем увеличилась на 2% и в среднем составила 84,7%. Самый низкий показатель отмечен 2 мая — 76,8%, больше всего спама зафиксировано 17 числа — 88,9%. Вредоносные файлы содержались в 0,03% электронных сообщений, ссылки на фишинговые сайты находились в 0,69% всех электронных писем. Последнее время фишеры предпочитают совершать атаки на популярные ресурсы PayPal и eBay и меньше внимания уделяют банковским системам.

В настоящее время рынок спам-рекламы живет по законам сложившегося рынка, находящегося под давлением экономического кризиса. Судя по всему, спамеры продолжают терять рекламодателей из реального сектора экономики. Если в феврале доля спама категории «Другие товары и услуги» составила 20,7%, то в марте она уменьшилась до 12,4%, в апреле до 9,8%, а в мае на нее пришлось всего лишь 5,6% спамовых писем. Отметим, что по-прежнему высокая доля рекламы спамерских услуг также свидетельствует о дефиците заказов в спамерских конторах.

Вместе с тем, инициаторами рассылок спама четырех из пяти тематических рубрик, попавших в мае в топ, были сами спамеры. В спамовых письмах рубрик «Медикаменты; товары и услуги для здоровья» (32,4%), «Реклама спамерских услуг» (18,5%), «Реплики элитных товаров» (10,8%) рекламируются товары и услуги, предлагаемые самими спамерами. Большинство порносайтов, реклама которых рассылается в спаме «для взрослых» (6,9%), по многим признакам также контролируется спамерами.

Единственной рубрикой из пятерки лидеров, в которой заказчики рассылок не имеют непосредственного отношения к спам-бизнесу, оказалась рубрика «Образование» (7,9%). В мае широко рекламировались ресурсы, на которых якобы можно получить доступ к заданиям и ответам ЕГЭ. На всех сайтах, протестированных «Лабораторией Касперского», оплативший услугу получал «уникальную» возможность познакомиться с… тренировочными заданиями прошлых лет. На многих из них предлагалась «SMS-поддержка» на экзамене, предполагающая отсылку SMS-сообщения на короткий номер (напомним, что дорогие SMS-сообщения, отправленные на короткие номера, часто используются мошенниками для наживы).

Популярной темой мая стала «борьба» со свиным гриппом. Ссылки в спам-письмах, якобы ведущие на сайты с информацией о препарате «Тамифлю», вели на сайты, предлагающие контрафактные виагру и циалис.

Майские праздники также не оставили спамеров равнодушными. Поздравления и стандартные открытки рассылались для того, чтобы донести до пользователей рекламную информацию. Цинично воспользовалась торжествами в честь Дня Победы одна из крупных спамерских компаний. Под торжественными словами о победе над фашизмом она разместила свой слоган: «Наши письма доходят всем».

В техническом отношении спамеры не продемонстрировали ничего принципиально нового. Чтобы увеличить эффективность доставки писем в ряде случаев рассылались картинки, где каждый символ сообщения был записан на фоне четырехугольников разного цвета и размера. Практика уже много раз доказала, что столь изысканно оформленные письма становятся практически нечитаемыми.

Ожидается, что в июне может вырасти процент спама, связанного с образованием, так как многочисленные мошенники стремятся извлечь выгоду из предэкзаменационного «мандража».

С полной версией майского спам-отчета можно ознакомиться на сайте Securelist.com

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru