Спам в октябре 2008

Спам в октябре 2008

"Лаборатория Касперского",  представляет очередной отчет по спам-активности за октябрь 2008 года.

Доля спама в почтовом трафике по сравнению с сентябрем снизилась на 2,3% и составила в среднем 79,9%. Самый низкий показатель отмечен 13 октября - 68,4%, больше всего спама зафиксировано 21 числа - 90,3%. Доля графического спама осталась неизменной в сравнении с прошлыми месяцами - 9%. Процент писем, содержащих вредоносные вложения, вырос в два раза и составил 2,09% от всех электронных сообщений.

В прошлом месяце ссылки на фишинговые сайты находились в 0,83% всех электронных писем, что на 0,21% больше, чем в сентябре. По-прежнему самой атакуемой организациями в октябре остается платежная система PayPal (23,25%), на второе место по этому показателю вышла платежная система American Express, третье место принадлежит интернет-аукциону eBay (22,27%).

Рубрика спам «для взрослых» сохраняет лидерство в пятерке самых популярных спамерских тематик, которая в октябре выглядит следующим образом: спам «для взрослых» (22,6%), «медикаменты; товары и услуги для здоровья» (12,5%), «образование» (11,3%), «отдых и путешествия» - (9,5%), «реклама спамерских услуг» (8,7%).

По-прежнему спам-сообщество прибегает к активному использованию методов социальной инженерии. В октябре популярным мотивом спам-рассылок в Рунете стал экономический кризис и его последствия. Под разными предлогами спамеры предлагали интернет-пользователям помощь в решении финансовых трудностей в период кризиса: от сокращения расходов на междугороднюю связь до советов хранить сбережения в иностранной валюте.

Текущая экономическая ситуация способствует активизации мошеннической деятельности в спам-среде. В прошлом месяце особого внимания спамеров удостоился такой популярный мобильный сервис, как отправка коротких текстовых сообщений. В октябре предложение принять участие в специальных акциях, послав «бесплатно» или за небольшие деньги SMS на четырехзначный премиум-номер, фигурировало в большей части спам-корреспонденции. Мошенники организовывали SMS-рассылки от имени крупных компаний (МТС, МегаФон) и присылали электронные письма от лица администрации известных сайтов (Mail.Ru, Gmail.com), при этом реальная стоимость сообщения, как правило, превышала 300 рублей.

Все большую популярность приобретают спам-атаки через социальные сети. В октябре жертвами действий злоумышленников стали пользователи сайтов «ВКонтакте» и «Одноклассники.ру». Мошенники активно используют методы социальной инженерии в сочетании с фишинг- и спам-технологиями для кражи персональных данных, выманивания денег и повышения посещаемости онлайн-ресурсов.

«Лаборатория Касперского» напоминает пользователям услуг мобильной связи и сети Интернет, о том, что следует предельно внимательно рассматривать предложения по оплате услуг или участию в специальных акциях через отправку SMS-сообщений на короткие номера. Гарантией сохранности вашего времени и средств может служить лишь достоверная информация, полученная из официальных источников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru