В последних спам-рассылках мы часто замечали ссылки на файлы *.html с произвольными именами. Существует еще одна тенденция: киберпреступники даже не заботятся о том, чтобы зарегистрировать домены для совершения своих грязных дел, они просто внедряют вредоносный код на взлолманный сайт. «Просто?» — спросите вы. К сожалению, на этот вопрос мы вынуждены ответить «да», судя по тому, что мы сейчас наблюдаем.
Например, мы собрали несколько сотен писем определенного типа, рекламирующих онлайн магазин по продаже программных продуктов. Одно из таких писем приведено ниже:
Отличительной особенностью этих писем является то, что все они содержат цветной текст/ссылку, указывающий на взломанные легитимные сайты. Ссылки также показывают, что файлы располагаются прямо на корневых URL, а не как обычно в подпапке какого-нибудь уязвимого приложения.
Мы можем предположить, что у злоумышленников есть доступ на запись как минимум к корневому каталогу веб-сервера таких сайтов, что является очень тревожным фактом. У нас также есть подтверждение тому, что во многих случаях вышеупомянутые спамовые ссылки хранились на серверах жертв, а, кроме того, вредоносные iframe и javascript внедрялись в основной контент сайтов.
Еще один образец, полученный нами сегодня, лишь подтверждает, что киберпреступники не особо ценят домены, которыми они пользуются в своих целях. Создается впечатление, что у них в распоряжении имеется целый пул доменов. На предлагаемом ниже скриншоте приведен пример спам-рассылки, где каждая из 12 ссылок, содержащихся в теле письма, ведет на отдельный сайт. Все эти сайты также содержат в своем корне вредоносный код, который мы детектируем как Trojan-Clicker.JS.Agent.*
Пожалуйста, не пытайтесь пройти по ссылкам, приведенным в скриншоте, если вы не уверены в том, что вы делаете.
Спамеры взломали множество доменов