Архив

Эффективность систем фильтрации вынуждает спамеров разнообразить камуфляж

Исследователи Cloudmark опубликовали список наиболее характерных приемов, которые спамеры используют для обхода защитных фильтров. Данные были получены на основе анализа внутренней статистики компании за истекшие полгода.

По оценке Cloudmark, в настоящее время уровень спама в США составляет 90-95% почтового трафика. Чтобы повысить результативность доставки нелегитимной корреспонденции в условиях непрерывного совершенствования средств сетевой защиты, инициаторам спам-рассылок приходится прибегать к все более изощренным методам маскировки, порой доходящим до абсурда.

Одним из облюбованных спамерами трюков является мозаичное представление слова, которое в соответствии с правилами рекламного искусства должно отпечататься в сознании потенциального покупателя. В качестве примера эксперты приводят императив «BUY» («КУПИ»), набранный заглавными буквами, которые составлены биржевыми идентификаторами релевантных ценных бумаг, продвигаемых по мошеннической схеме «накачка-сброс».

В «биржевом» спаме также большую популярность стало приобретать «скрэмблирование» — шифрование путём перестановки и инвертирования групп символов. При этом наименования компаний, котировки и биржевые идентификаторы подчас искажаются до полной неузнаваемости.

Нередки случаи обыгрывания в спамовом контенте визуальных эффектов с подстановкой в слово буквоподобных символов – «0» вместо «о» или «1» вместо «i». Более креативным способом маскировки искомого символа является его передача в виде иносказания («@» = «собака», «.» — «точка»).

Не отказались авторы нелегитимных рассылок и от такого проверенного метода, как графический спам. Хотя большинство современных средств фильтрации оснащены функцией распознавания картинок, эта разновидность спама способна ввести в заблуждение текстовые фильтры и продолжает использоваться, хотя и в ограниченном масштабе.

Спамовые ссылки также подвергаются различным трансформациям. Например, существует много способов вставлять в URL дополнительные знаки без потери активности. Применяя несложные способы шифрования, спамеры внедряют в http-ссылку непечатаемые символы, не нарушая ее функциональности. По экспертному мнению, данное направление эволюции спамерских технологий совершило качественный скачок. Некоторые умельцы с криминальными наклонностями научились переформатировать URL таким образом, что несоответствие общепринятым сетевым стандартам не препятствует их активации через некоторые почтовые клиенты, веб-интерфейсы и прочие онлайн-продукты.

Исследователи отметили также простой, но весьма эффективный трюк, с неизменным успехом привлекающий потенциальных покупателей на спамерский веб-хостинг, — множественную регистрацию доменов, имена которых незначительно отличаются от целевого легального. Небольшая перестановка составляющих доменного имени или введение лишнего символа, как правило, не настораживают невнимательного пользователя – в отличие от результатов случайной генерации или бессмысленных буквенно-цифровых наборов, и обеспечивают искомый «клик».

Источник: cloudmark.com

Эффективность систем фильтрации вынуждает спамеров разнообразить камуфляж

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике