Десять разводок, которые используют спамеры для заманивания на вредоносные сайты:
Пароль. Спамеры присылают фальшивое сообщение о взломе вашего экаунта на порталах или в социальных сетях. В присланной форме предлагается ввести старый и новый пароли, при этом, вполне возможно, что взломан будет не только экаунт указанного сервиса, но и установлен вредонос на локальное устройство.
Заказ. Новинка фишеров – поддельное письмо, приходящее якобы от крупных авиакомпаний и гостиничных сетей с просьбой подтвердить покупку. Расчёт на то, что получатель бросится отменять заказ, а при переходе по ссылке будет загружен вредоносный код.
События. Медийные события, которые привлекают внимание большого количества людей, используются злоумышленниками для заманивания либо на фальшивый сайт с подробностями, где предложат загрузить новый кодак, либо на форму помощи пострадавшим с требованием ввести реквизиты. Аналогично могут быть использованы и сообщения с поздравлениями.
Приколы. Иногда спамеры от имени друзей рассылают приглашения на якобы интересные ресурсы. Ссылки обычно ведут на сайт с якобы размещённым видео и требованием установки нового кодака, под видом которого устанавливается вредоносная программа.
Брак. Иногда по адресам, зарегистрированным в социальных сетях, приходят предложение о браке. Часто такие сообщения приходят девушкам и незамужним женщинам. Целью является верификация адресов для дальнейшей рассылки спама, но могут быть и другие мошеннические схемы.
Системные сообщения. Спамеры подделывают системные сообщения различных социальных сетей и порталов, чтобы завлечь доверчивого пользователя на свой поддельный сайт. Например, фальшивое сообщение от друзей может привести на сайт злоумышленника, где попросят ввести реквизиты ресурса.
Просьба о помощи. Иногда спамеры придумывают слёзную историю с просьбой помочь и перепостить. Часто в таких сообщениях просят денег или другие ценности. Это часто оказывается фальшивкой - факты, указанные в таких сообщениях стоит проверять.
Лохотрон. По прежнему популярным способом отъёма денег у населения остаются лотереи, в которых получатель сообщения якобы выиграл. Цель разводки - получить "налоги", начальный взнос или ещё что-нибудь. Хотя и верификация почтовых адресов также актуальна.
Скидки. Иногда приходят сообщения о скидках на товары, покупаемые в электронных магазинах. В некоторых случаях это дроп-рекрутеры. Вы платите со своей карты реальные деньги, а они покупают в магазине с ворованной карточки. Потом не удивляйтесь, когда к вам нагрянут маски-шоу.
Ссылка. Специалисты «Лаборатории Касперского» нашли вредоносные ссылки даже на таких надежных ресурсах, как Wikipedia и Amazon, где пользователям разрешено создавать собственные страницы на сайте. Посетители таких ресурсов доверяют ссылкам и переходят на вредоносные ресурсы. К счастью такие ссылки быстро убираются.
Для составления списка были использованы материалы "Лаборатории Касперского".
Компания Dr. Web обнаружила программу-невидимку, которой удавалось скрываться в течении семи месяцев как от пользователей, так и от антивирусных компаний. Компания объявила о выпуске новой версии сканера Dr. Web, который детектирует данного невидимку как Win32.Ntldrbot - ранние версии этой вредоносной программы носили имя Rustock. По данным компании под прикрытием этого невидимки существовала обширная зомби-сеть, рассылающая ежедневно до 30 млрд. спам-сообщений. Владельцы сети специализировались на махинациях с ценными бумагами и фармацевтикой. Невидимка представляет собой файловый полиморфный вирус, который заражает один из драйверов ядра и активно противодействует запуску на других компьютерах и отладчикам уровня ядра. Компания обнаружила уже более 600 экземпляров невидимки, но полностью оценить масштабы заражения не возможно. Пользователи других антивирусов могут проверить свой компьютер на наличие данного вредоноса с помощью бесплатной лечащей утилиты CureIt.
Компания Dr. Web обнаружила вредоносный код, который располагается в загрузочном секторе диска, то есть запускался до старта операционной системы и, соответственно, антивирусов. По классификации Dr. Web этот вредонос получил имя BackDoor.MaosBoot. Троянец также загружал в память операционной системы свой драйвер, который храниться в последних секторах диска и не оформлен в виде файла, то есть традиционные антивирусы его не могут увидеть. Такие загрузчики-невидимки получили наименование буткиты. Вредонос загружается с помощью другой вредоносной программы Trojan.Packed.370 и имеет функции сбора конфиденциальной информации из программ Internet-банкинга. Для лечения от данного вредоносного кода Dr. Web пришлось выпустить новую версию своего антивируса, а точнее его анти-руткит компоненты Dr. Web Shield.
Компания BitDefender обнаружила, что мошенники, которые рассылают "нигерийские" письма, придумали новый прием - использовать сервис Google Calendar для рассылки своих мошеннических сообщений. Причем в каждом сообщении используется индивидуальный адрес электронной почты, что вместе с использованием адресного пространства Google, затрудняет фильтрацию по URL. Исследователи BitDefender подчеркивают, что использование этого метода рассылки спама не проходило этапов тестирования и оценки эффективности, а сразу было использовано в массовой атаке. Компания заблокировала учетные записи, которые используются для рассылки подобных сообщений.
Компания "Лаборатория Касперского" опубликовала отчет о состоянии спама на февраль месяц. Эксперты компании отмечают незначительное увеличение доли спама в электронной корреспонденции по сравнению с январем, что является закономерным результатом - в январе было отмечено снижение активности спамеров. Средняя доля спамерских писем за месяц составила 86,7%, а самый низкий показатель зафиксирован 11 февраля, когда значение этой доли уменьшилось до значения 74%. Максимальный показатель был достигнут 2 февраля - он составил 95,9%.
Тройка тематических лидеров следующая: "Медикаменты; товары и услуги для здоровья" - 24,5%, "Образование" - 15,8% и "Отдых и путешествия" - 10,4%. При этом отмечается значительное (до 1,6%) увеличение доли фишинга в спаме. В частности, мошенники начали распространять фальшивые сообщения о выигрыше в лотерею. Деньги же получаются с "бесплатных" SMS, которые якобы нужно отправить для подтверждения нахождения на территории России. Для получения денег с помощью SMS также эксплуатировалась тема выборов. Получателям предлагалось поучаствовать в SMS-голосовании за того или иного кандидата в президенты. Правда, не указывалось где же будут опубликованы результаты такого "исследования общественного мнения". Также спамеры активно пользуются праздничной тематикой для привлечения внимания к своим сообщениям.
Операторы несанкционированных рассылок нашли новый способ обхода антиспамерских фильтров - с использованием функции автоответа, которая имеется во многих сервисах Web-почты. Для этого спамер регистрирует выглядящий легитимным почтовый ящик, включает в нем функцию автоответа, но вместо сообщения "меня нет в офисе" вписывает текст для несанкционированной рассылки. Затем на зарегистрированный адрес злоумышленник отправляет сообщения с подделанными адресами отправителя из спам-базы, и на эти адреса приходят "автоматические ответы". Преимущество для спамера в том, что все его рассылки отправляются с легитимных ящиков Web-почты, причем "под защитой" средств безопасности, таких как DKIM, DomainKey или Sender ID, что позволяет письмам обходить фильтры. Антивирусные компании блокируют спам с автоответчиков путем анализа заголовков и содержания сообщений. Служба информации OSP
Понедельник, 25 Февраля 2008 г. 02:15
+ в цитатник
Хакерская группировка Cult of the Dead Cow опубликовала инструментарий под названием Goolag, облегчающий поиск уязвимых сайтов через Google для новичков. Поисковые системы применяются взломщиками в этих целях уже давно, однако это не всегда просто - необходимы специализированные скрипты и инструментальные средства. Теперь же все необходимое собрано в одном комплекте. Cult of the Dead Cow известна созданием появившейся около 10 лет тому назад программы Back Orifice, с помощью которой можно было удаленно контролировать Windows-машины. Как и Back Orifice, Goolag может послужить и исследователям, и злоумышленникам. Как заявляют разработчики, приложение является "еще одним инструментом, который поможет владельцам сайтов залатать в них дыры". Goolag снабжен упрощенным графическим интерфейсом. При создании инструментария использовались находки сотрудника Computer Sciences Джонни Лонга, подробно описавшего методы использования Google для поиска уязвимостей в сайтах. Служба информации OSP
Компания "Лаборатория Касперского" зафиксировала 12 февраля распространение спамерских писем, которые эксплуатируют тему "дня святого Валентина" для заражения компьютеров незадачливых пользователей вредоносными программами. Спам представляет собой ссылку на поздравительную "Валентинку", однако в нагрузку к ней с того же сайта посетитель мог получить также вредоносную программу, которая определяется антивирусом Касперского как Packed.Win32.Tibs.ic. По статистике "Лаборатории Касперского" спам, посвященный теме "дня святого Валентина" занимает в почтовых рассылках около 5% всего спама.
Спамеры научились обходить защиту бесплатных почтовых систем от автоматической посылки сообщений. Были зафиксированы рассылки троянских программ, которые загружают картинки с кодами с сайтов Microsoft Live и Google Mail, которые нужно распознать, на сервер распознавания. По утверждениям исследователей сервер успешно может распознать до 35% всех картинок. Впрочем, возможно, что для обхода систем защиты используются какие-нибудь технические приемы, которые не требуют распознавания собственно картинок. Понятно одно - спамеры заинтересовались возможностями бесплатных почтовых служб и будут атаковать их, не взирая на установленные в них системы защиты. Это может привести к общему увеличению количества спама.
Специалисты компании Dambella обнаружили зомби, который связывается с управляющим центром через корпоративный HTTP-шлюз. Это позволило зомби проникать внутрь защищенного периметра и проникать сквозь межсетевые экраны, эмулируя работу обычного пользователя. Отмечается, что зомби-сети этого касса были обнаружены в некоторых компаниях из списка Fortune 50, образовательных учреждениях и у провайдеров. К тому же внутри корпоративной сети эти зомби могли взаимодействовать друг с другом с использованием двух протоколов файлобменных сетей.
На сайте Wikileaks опубликованы якобы полученные в результате утечки информации документы, которые свидетельствуют о том, что полиция Германии заплатила компании Digitask, чтобы та разработала троянскую программу Skype Capture Unit, предназначенную для перехвата трафика Skype и секретной передачи его на удаленный сервер. Еще один документ передает переписку между баварской полицией, Министерством юстиции и прокуратурой относительно распределения расходов на упомянутую систему. Судя по описанию Skype Capture Unit, троянец способен перехватывать сеансы чата, видео- и голосовой связи, а серверная часть - расшифровывать их (весь трафик Skype шифруется по AES с 256-разрядным ключом). Как утверждается в документах, за каждую успешную инсталляцию троянца на обозначенный полицией компьютер Digitask будет получать по 3,5 тыс. евро в месяц. Служба информации OSP
Компании Symantec и Panda Security обнаружила новый тип вредоносного кода, который делает вредоносное ПО невидимым для антивирусов. Код проникает в загрузочный сектор диска (master boot record - MBR), где располагается загрузчик операционной системы. В результате, программа-невидимка запускается еще до старта операционной системы, что позволяет ей прятаться в местах оперативной памяти недоступных для традиционных невидимок, работающих на уровне драйвера операционной системы. Традиционные вирусы практически не могут обнаружить такие вредоносные коды - они способны лишь не дать проникнуть им на компьютер жертвы.
Компания Verisign зафиксировала две волны распространения этого вредоносного кода 12 и 19 декабря 2007 года, после которых было обнаружено около 5 тыс. компьютеров, зараженным данным вредоносным кодом. В основном это компьютеры, работающие под управлением Windows XP, поскольку в Windows Vista при заражении выдавался запрос на разрешение модификации MBR.
Следует отметить, что вирусы, прячущиеся в MBR существовали еще во времена MS-DOS, однако современные их родственники активно используют Internet для своего проникновения на компьютеры и получения заданий от своих владельцев.
На сайте форума ModMyiFone.com появились сообщения о первой троянской программы, разработанной для Apple iPhone. Она называется "iPhone firmware 1.1.3 prep" и представляется как обновления ПО для телефона. Он выводит на экран телефона надпись "Shoes" (Обувь). Однако при попытке удалить данную программу она удаляет некоторые программы из каталога /bin, где хранятся все жизненно необходимые исполнимые программы. На текущий момент установлено, что удаляются утилиты из набора Erica's Utilities, а также модифицируется библиотека шифрования OpenSSH. Троянец был обнаружен компаниями F-Secure и Symantec, специалисты которых не рекомендуют пользователям любых смартфонов устанавливать на них неизвестные сторонние приложения.
Специалисты по информационной безопасности предупреждают о массированном взломе легитимных сайтов с использованием новой тактики, серьезно затрудняющей распознавание атаки. По данным компании Finjan Software, пострадало уже не менее 10 тыс. сайтов, в том числе Web-сервер одного из агентств онлайн-рекламы, осуществляющий хостинг 14 млн. баннеров, предназначенных для показов на других сайтах.
Особенностью атаки является использование "мутирующего" кода на JavaScript, который меняется каждый раз после очередного заражения пользовательского ПК, из-за чего взломанные сайты невозможно обнаружить через поисковые системы. Кроме того, хакеры регистрируют IP-адреса репутационных сервисов, которые обходят Web, определяя риск посещения сайтов, и на запросы от таких сервисов выдают легитимные страницы. Взломанные сайты путем перебора различных уязвимостей пытаются поместить троянскую программу на компьютер посетителя, состав набора используемых уязвимостей тоже регулярно меняется. Служба информации OSP
В декабре появился новый вид вредоносных программ, которые пользуются давно забытым способом автозапуска, - об этом сообщают исследователи из Verisign iDefense Intelligence Team. Обнаруженный ими троянец Mebroot устанавливается на первый сектор жесткого диска - в главную загрузочную запись, которая считывается при запуске компьютера, после чего вирус вносит изменения в ядро Windows таким образом, чтобы затруднить свое обнаружение антивирусным ПО.
По данным iDefense, примерно с середины декабря злоумышленникам удалось заразить с помощью Trojan.Mebroot около 5 тыс. компьютеров путем заманивания пользователей на вредоносные сайты, которые различными способами пытаются внедрить загрузочный rootkit на ПК.
Загрузочные вирусы были широко распространены в эру MS-DOS, однако для последних лет подобные атаки были относительной редкостью. В 2005 году, однако, специалисты eEye Digital Security в ходе доклада на конференции Black Hat показали возможность сокрытия rootkit при помощи записи в MBR. По сведениям iDefense, Trojan.Mebroot создан с использованием кода, продемонстрированного тогда исследователями. Служба информации OSP
Компания Sophos зафиксировала рассылку спама, который начинался так "Я работаю в частном детективном агентстве..." Далее этот "частный детектив" сообщяет, что получил заказ на прослушивание телефонных переговоров адресата. В качестве доказательства к письму приложен RAR-архив, который якобы содержит фрагмент "вчерашнего телефонного разговора". На самом деле внутри архива находится исполнимый файл, который детектируется продуктами Sophos как троянец Troj/Dorf-AH и после запуска начинает установку вредоносного программного обеспечения с сайтов в Internet. В частности, он генерирует фальшивое сообщение от Центра безопасности Windows, которое сообщает о том, что на компьютере якобы обнаружено вредоносное ПО и нужно установить новые средства защиты. Далее следует предложение об установке "антивируса", который после запуска потребует денег на "лицензию".
Компания Aladdin зафиксировала распространение червя при помощи системы мгновенных сообщений компании Microsoft. Вредоносный код распространяется в виде исполнимой программы, но сам червь представляет его как картинку упакованную архиватором zip. Распространяется червь по адресам в книге Messenger, а также может распространяться внутри корпоративной VPN-сети. Причем в последнем случае его жертвами могут стать системы не работающие с Messenger. Такой способ распространения оказался настолько удачным, что за первые сутки своего существования червь успел заразить более 11 тыс. компьютеров по всему миру. Захваченные с помощью этого червя компьютеры вливаются в зомби-сеть, которая крадет пароли, распространяет спам и вредоносное ПО.
На внешних жестких дисках компании Seagate Maxtor Basics 500G, которые были проданы на Тайване, были обнаружены троянцы Virus.Win32.AutoRun.ah, которые воруют пароли от сетевых игр и стирают файлы в формате mp3. Компания Seagate признала факт наличия троянцев, установленных в ее жестких дисках, но не уточнила на какой стадии производства дисков они были внедрены. Однако компания пообещали, что с каждым диском будет поставляться антивирусное ПО "Лаборатории Касперского" - бесплатная 60-ти дневная версия Kaspersky Anti-Virus 7.0. Собственно, это не первый случай заражения червем Virus.Win32.AutoRun.ah продукции Seagate - в сентябре в Нидерландах была зафиксирована продажа диска Maxtor 3200 Personal Storage с предустановленным червем.
Компания ScanSafe обнаружила, что с индийского новостного сайта IndiaTimes пользователь может получить троянца, который подгрузит дополнительное вредоносное ПО. На некоторых страницах сайта были обнаружены дополнительные элементы iframe, которые вели на внешние зараженные сайты. Впервые троянец был обнаружен 25 октября и до 8 ноября, возможно, вообще не был замечен администраторами сайта. В процессе изучения эксплойтов, которыми пользуется троянец, было обнаружено, что для проникновения в систему он применяет несколько уязвимостей, среди которых есть и неизвестные. Некоторые эксплойты обращаются к 18 внешним IP-адресам за своими компонентами. Загруженный вредоносный код плохо детектируется сигнатурными методами, хотя эвристический анализатор ScanSafe все-таки его распознал. Зараженный троянцем компьютер в дальнейшем используется для организации последующих атак.
В России зафиксирован новый вид мошенничества - "пираты наоборот". Раньше пираты только воровал чужой программный код, то теперь они воруют деньги за активацию. Это делается с помощью специального троянца, который при запуске системы выдает сообщение о том, что на компьютере пользователя якобы установлено не лицензионное ПО, которое требует активации. В качестве одного из способов активации троянец предлагает перевести на определенный счет "Яндекс.Деньги" 300 рублей. Для очистки компьютера от троянской программы нужно заблокировать через реестр вызов троянца (driversVinlogon.exe), а затем удалить его с помощью антивируса.