Архив новостей

Открытые редиректы играют на руку спамерам

Эксперты Dell SecureWorks и Symantec обнаружили спам-рассылку, использующую URL с доменом высшего уровня, выделенным правительственным учреждениям США. Как оказалось, спамеры используют открытые редиректы на правительственных сайтах и сервис коротких ссылок 1.USA.gov, учрежденный правительством США в партнерстве с Bit.ly.

Текст спамерских писем содержит малоинформативную фразу, единственным назначением которой является побуждение к действию – к активации короткой ссылки, использующей имя 1.USA.gov. Судя по краткому описанию, размещенному на официальном портале правительства США, этот сервис был создан для упрощения процедуры сокращения URL, привязанных к таким зонам, как gov и .mil. Получить короткий URL с доменом 1.USA.gov теперь можно через bitly.com, введя исходный адрес и нажав кнопку на сокращение. Регистрироваться при этом не нужно, чем и воспользовались кибермошенники.

Наличие уязвимости, позволяющей веб-приложению перенаправлять запрос на сторонний сайт (т. наз. открытый редирект), на ряде правительственных сайтов облегчило задачу спамерам. Им достаточно было лишь вставить в легитимную ссылку http-параметр, содержащий целевой URL, преобразуя ее в формат вида

[http://]labor.vermont.gov/LinkClick.aspx?link=http://workforprofit.net/[REMOVED]/?wwvxo,

а затем сократить длинный адрес через Bit.ly до совсем невинного облика.

Страница, указанная спамерским URL, имитирует новостной сайт: для ее оформления спамеры позаимствовали часть оригинального html-кода с работающими ссылками. Ловушкой является текст основной статьи, повествующей о легком заработке. Все приведенные в нем ссылки ведут на мошеннический сайт трудоустройства. Обычно такие ресурсы запрашивают много информации личного характера или вербуют «денежных мулов».

По данным SecureWorks, источником открытого редиректа, играющего на руку спамерам, является файл LinkClick.aspx – программа, работающая в рамках open-source системы управления контентом DotNetNuke (DNN). Это приложение позволяет сохранять ссылку, привязанную к файлу на сайте, при его перемещении и отслеживать статистику запросов. SecureWorks насчитала 7 gov-сайтов с открытым редиректом, задействованных спамерами. Страницы-имитации, указанные с помощью коротких ссылок, размещены, в основном, в зоне .net. Все соответствующие домены, общим числом около десятка, преобразуются в несколько IP-адресов, включая адрес в сетях московского comcor.ru (АКАДО).

Сокращенные ссылки, используемые в рамках текущей спам-кампании, быстро меняются – во избежание блокировки и занесения поддельных сайтов в списки запрещенных. Согласно статистике 1.USA.gov, за неделю мошеннических рассылок спамерские URL были активированы свыше 43 тыс. раз. В этот период на их долю пришлось 15,1% кликов по коротким ссылкам 1.USA.gov. В 85% случаев Symantec смогла определить географический источник такого запроса. Оказалось, что спамерам удалось привлечь на свои страницы посетителей из 124 стран, в том числе из США (61,7%), Канады (23,4%), Великобритании (5,3%) и Австралии (4,5%).

Управление делами правительства США (General Services Administration), оператор портала USA.gov, уже принимает надлежащие меры: совместно с Bit.ly решает проблему абьюза коротких ссылок, заблокировало спамерские страницы и помогает администраторам сайтов с открытыми редиректами устранить уязвимость.

Открытые редиректы играют на руку спамерам

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике