Спам и фишинг

Подмена символов: вместо латиницы — что-нибудь поэкзотичнее

Ради обхода фильтров спамеры идут на всевозможные уловки: «зашумляют» текст, ставят редиректы на рекламируемые сайты, заменяют тексты картинками, — все для того, чтобы автоматический фильтр не вычитал ключевых слов и пропустил письмо к адресату. В последнее время мы наблюдаем тенденцию к замене букв латинского алфавита похожими символами из других систем письма, и этот «шрифтовой изыск» особенно характерен для фишинговых рассылок на итальянском языке.

Не-латинские символы вставляются вместо похожих по начертанию латинских как в поле Subject, так и в тело письма. Вот, например, как могут выглядеть «зашумленные» чужими символами заголовки:

Subjects with funny characters

А вот образец фишинга от имени платежной системы PayPal, в которой эксплуатируется тот же прием. В первых строках слова с не-латинскими символами подчеркнуты, в следующих читатель может поискать их с лупой самостоятельно:Text with funny characters

Благодаря кодировке UTF-8 внутри одного письма можно комбинировать самые разные символы. В вышеприведенных примерах мы видим буквы кириллицы, греческого алфавита, фонетические символы. Спамеры используют этот прием для обхода фильтров. Фильтры продуктов ЛК, впрочем, устроены так, что их так просто не обойдешь, даже если использовать греческие буквы и фонетические символы.

 

Подмена символов: вместо латиницы — что-нибудь поэкзотичнее

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике