Архив новостей

Короткая ссылка ― оружие спамеров

В мае эксперты MessageLabs зафиксировали появление поддельных сервисов сокращения ссылок, которые спамеры использовали для перенаправления пользователей на страницы с целевой рекламой.

По свидетельству исследователей, к этим сайтам нет публичного доступа, их не найти в поисковых системах, на них не ссылаются участники микроблогов. На стартовой странице маскировочного сервиса обычно размещена лишь заставка, удерживающая внимание посетителя во время загрузки целевого контента. Здесь нет ни информации об услугах, ни ссылок на генератор коротких URL.

Сокращенные ссылки, созданные с помощью этих имитаций, не присутствуют в явном виде в спам-письмах. В качестве целевой ссылки спамеры указывают URL, сгенерированный на легальном сервисе укороченных ссылок, а тот, в свою очередь, привязывается к редиректу на фальшивом сервисе спамеров. Таких редиректов может быть до десятка; пройдя всю цепочку трамплинов, пользователь попадает на сайт с целевой рекламой.

В отличие от легального короткого URL, ссылки, созданные на сайтах-редиректах, не используют действующий идентификатор объекта. Можно изменить длину идентификатора, переставить местами составляющие его символы, ― спамерский редирект все равно приведет вас на ту же целевую страницу.

MessageLabs обнаружила в Сети несколько однотипных фальшивых сервисов коротких ссылок, которые, по всей видимости, контролирует одна и та же группа спамеров. Все эти сайты прописаны в доменной зоне .ru и хоcтятся в России и на Украине. Соответствующие доменные имена зарегистрированы несколько месяцев назад, ― видимо, чтобы придать вид легитимности одиозным веб-сайтам: короткое время жизни домена может выдать недобрые намерения его владельцев.

Укороченные ссылки, задействованные спамерами в мае, привлекали посетителей в интернет-аптеки, магазины элитных подделок, на порносайты и сервисы трудоустройства для искателей легкой наживы. Немногие вели на зараженные сайты или фишинговые страницы ― в основном, имитации бразильских финансовых сервисов.

По мнению исследователей, активизация спам-рассылок, использующих тактику коротких редиректов, является одной из причин повышения уровня спама в почтовой корреспонденции. По их оценке, в минувшем месяце он составил 75,8% ― на 2,9 пункта больше, чем в апреле. Наиболее высокие показатели зафиксированы в России (82,2%) и в Венгрии (81,6%), а в разделении по сферам хозяйственной деятельности ― на предприятиях оптовой торговли (80,2%).

Короткая ссылка ― оружие спамеров

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике