Спам и фишинг

Такие надоедливые… валентинки

В январе традиционно начинаются рассылки, посвященные Дню святого Валентина. В этом году первую довольно небольшую спам-рассылку, предлагающую подарки к празднику, мы получили 14 января. С этого момента «валентинов» спам стал появляться в почтовом трафике довольно регулярно. Как показывает практика, рассылки посвященные Дню святого Валентина, обычно не столь многочисленны, как новогодние. В 2011 году доля таких рассылок в пиковый период (на второй неделе февраля) составила 0,21% от всех спамерских сообщений. Вероятно, на следующей неделе и за пару дней до праздника доля валентинова спама окажется ничуть не меньше, чем год назад. На уходящей неделе доля такого спама составила всего 0,004% от всего спам-трафика. И хотя эта цифра не слишком впечатляет, необходимо напомнить, что спамеры ежедневно распространяют миллиарды сообщений, а это значит, что в Сети ежедневно распространяется несколько сотен тысяч сообщений, посвященных Дню святого Валентина.

Подавляющее большинство спамерских валентинок англоязычны. Разумеется, в разных сегментах интернета встречаются рассылки и на других языках, однако англоязычные рассылки наиболее многочисленны и встречаются в спам потоках в разных странах. В свою очередь подавляющее большинство англоязычных рассылок относятся к «партнерскому» спаму. Англоязычные партнерские рассылки, посвященные дню святого Валентина, можно поделить на три группы: во-первых, это рассылки традиционно спамерских товаров – медикаментов и реплик элитных товаров – наполненные праздничной атрибутикой, с помощью которой спамеры пытаются привлечь внимание пользователей к своим сообщениям. Второй вид рассылок – это предложения от сезонных партнерских программ. Сюда входят предложения подарков для любимых, цветов и прочей продукции с праздничной символикой. Третий и наиболее опасный вид рассылок, посвященных Дню святого Валентина – вредоносные рассылки, подделанные под открытки с поздравлениями. В последние годы такие рассылки нечасто встречались в спам-потоках, но их не стоит сбрасывать со счетов.

На днях мы зафиксировалил рассылку, которая занимает промежуточное положение между вторым и третьим видом. Это англоязычное письмо, предлагающее отправить любимым бесплатные электронные открытки.

Вопреки ожиданиям, по ссылке в письме не было вредоносной программы, однако и электронных открыток там тоже не было.

В письме использовался интересный, но совсем не новый и довольно распространенный прием – в зависимости от того, из какого города или страны пользователь переходил по ссылке, ему выдавался разный результат.

Так, пользователи из России могли попасть на сайт финансовой пирамиды, а пользователям из Англии, или Нидерландов предлагалось скачать программу для Facebook. Кроме того, из любой из перечисленных стран можно было попасть на сайт, оповещающий, что пользователь выиграл IPad, или IPhone (сколько бы девайсов от Apple у вас уже было, если бы все эти лоттереи действительно их вручали?=))

И тут встает вопрос, при чем же здесь вообще электронные открытки? Неужели пользователя просто заманили на мошеннический сайт с помощью красивой картинки? Тут нужно сказать, что ответ и «да» и «нет».

Для начала нужно разобраться в том, для чего же пользователей из разных стран вообще перенаправляют на разные страницы, а не показывают им всем одно и то же вне зависимости от места проживания.

Все дело в том, что некоторые партнерские программы платят за клиентов, или за скачивания только в определенном регионе или стране (например, в Европе). И это письмо как раз и представляет из себя плод деятельности такой партнерки. Спамеры же, распространяя свои сообщения по миллионам адресов, находящихся в том числе и в интернациональных доменных зонах (таких как .com или .net), не могут быть уверенны в том, что все их сообщения попадут в нужный регион. Именно для этого при переходе по ссылке они предусматривают несколько вариантов редиректа – чтобы даже если рассылка попадет в «неправильную» страну, у них все равно остался шанс на получение прибыли.

Рассылка, о которой идет речь в нашем посте, была нацелена на пользователей, проживающих в Соединенных Штатах Америки – именно с территории этой страны, открывается сайт, соответствующий сообщению по своему содержанию:

Партнерская программа, чей «продукт» таким образом рекламирует спамер, выплачивает деньги только за скачивания, произведенные на территории США, поэтому этого милого медвежонка и увидят только пользователи, кликнувшие по ссылке в письме, находясь в этой стране.

Посмотрим, наконец, что именно за «открытки» предлагались пользователю в спамерском сообщении. Симпатичный медвежонок на деле оказался рекламной программой (AdWare) сильно досаждающей пользователю, который ее по невнимательности установит.

При анализе этого сообщения мы не нашли вредоносных сайтов, на которые пользователя бы перенаправляли после щелчка по ссылке в письме. Тем не менее хочется отметить, что зачастую злоумышленники, распространяют такие «хитрые» сообщения именно для того, чтобы в итоге получить навар с партнерки по распространению вредоносного кода.

Если Вы не хотите, чтобы надоедливые рекламные программы или зловреды испортили Вам праздник, нужно проявить минимальную осторожность – не открывать спамерские письма и – тем более – не переходить по ссылкам из них.

Всех с наступающим праздником!

Такие надоедливые… валентинки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике