Спам и фишинг

Немецкие спамеры наломали сайтов

На прошлой неделе мы получили рассылку, которая на первый взгляд ничем не выделялась из общего потока. Были это письма на немецком с рекламой он-лайн казино. Удивительного в такой рассылке мало «азартный» спам является одним из самых популярных видов немецкоязычных мусорных писем.

Однако, ничем не выделялась эта рассылка только на первый взгляд. На деле же, прелесть рассылки состояла в том, что все ссылки из писем вели на странички созданные на взломанных легальных сайтах. Ссылки имели следующий вид: *******.com/news_.php или *******.com/1500.php.

Разумеется, взлом сайтов и использование их для размещения страничек с рекламой виагры, или, скажем, реплик элитных товаров — прием не новый. Спамеры давненько пользуются им, для того, чтобы обходить спам-фильтры. Однако, прием этот используется не слишком часто, поскольку взлом сайта — дело хлопотное. Спамеру гораздо проще наплодить сайтов-близнецов на купленных доменах второго уровня с непроизносимыми названиями, или на сервисах коротких урлов.

К тому же, особенный интерес эти сообщения представляют в связи с их направленностью на немецкого пользователя. Редкий прием для обхода спам-фильтров немецкоязычными спамерами до сих пор практически не был освоен. А тут неожиданно появляется масштабная рассылка, в которой спамерами было использовано немалое количество легальных сайтов. Притом сайты разнообразны. Большая часть из них находится в доменных зонах .com, .org и .net. Около половины взломанных сайтов — на испанском и португальском языках. Среди прочего один из сайтов был еще и заражен троянской программой.

Специально созданные на взломанных сайтах странички автоматически перенаправляли пользователей на два сайта: *****casinos.com со страничек news_.php и *****play.biz со страничек 1500.php

Интересно, что в последние месяцы немецкоязычные спамеры стали намного активнее пользоваться различными приемами, нацеленными на обход спам-фильтров. Все чаще применяется в немецкоязычном спаме зашумление текста, хотя чуть меньше года назад сообщения на немецком с зашумлениями были большой редкостью. Теперь немецкий спамер опробовал использование взломанных сайтов.

Какой прием из арсенала уже опробованного российскими и американскими спамерами последует дальше?

Немецкие спамеры наломали сайтов

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике