Брайан Кребс о вредоносных рассылках

Известный журналист и исследователь Брайан Кребс проанализировал  отчеты о вредоносных рассылках, зафиксированных студентами филиала университета штата Алабама в г. Бирмингем (UAB ― University of Alabama at Birmingham) в рамках исследовательского спецпроекта.

Эти отчеты составляются каждые сутки и помогают отслеживать актуальные интернет-угрозы в почтовом сервисе. Они также содержат информацию об элементах социальной инженерии, используемых злоумышленниками, способах доставки вредоносных программ и результаты их детектирования по списку VirusТotal.

Жертвами вредоносного спама нередко становятся представители малого и среднего бизнеса, однако они, как правило, не разглашают детали таких кибератак или вовсе не в курсе того, каким образом были прорваны их заслоны и какой зловред за это ответственен. Посему Кребс решил составить профиль современных атак через почту, используя данные UAB за период 21 мая – 20 июня текущего года.

Согласно университетской статистике, около ⅔ вредоносных рассылок в настоящее время стремятся привлечь пользователей на взломанные и специально созданные сайты с наборами эксплойтов. Такие письма-ловушки обычно снабжены ссылками, реже ― вложенной html-страницей с javascript-кодом. Иногда злоумышленники используют оба способа в рамках одной и той же спам-кампании. Среди целевых эксплойт-китов преобладает BlackHole, собирающий обильные урожаи за счет незакрытых уязвимостей в популярных плагинах. В минувшем месяце он использовался, в основном, для установки ZeuS, а также червя Cridex и троянского дроппера Dapato. 

Чтобы вынудить получателя перейти по вредоносной ссылке или открыть опасный аттач, спамеры используют разного рода приманки ― в частности, подделывают свои письма под срочные сообщения известных организаций. Наибольшей популярностью у почтовых распространителей зловредов пользуются такие брэнды, как Amazon.com, Better Business Bureau, DHL, Facebook, LinkedIn, PayPal, Twitter и Verizon Wireless.

В спамерских вложениях, обнаруженных UAB за минувший месяц, наиболее часто встречался вирус Andromeda, иногда ― ZeuS или Cridex. Примечательно, что большинство зловредов, распространявшихся по электронной почте, плохо детектились: процент обнаружения по VirusТotal в среднем составлял около 25 при медианном показателе 19%.