Исследование

Вредоносное творчество спамеров

Среди спамеров, безусловно, есть люди, не лишенные воображения и творческих способностей, хотя направленность их творческой активности весьма специфическая. Некоторые из спамописателей весьма плодовиты, что не удивительно — основным стимулом к сочинительству для них являются деньги. Если создатель вредоносной программы готов платить за ее распространение, почему бы не сочинить пару-тройку историй для доверчивых пользователей, дабы они прониклись интересом, сочувствием или возмущением?

Разумеется, основная цель сочинителей спама — не развлечение читателей, а провокация: пользователь должен открыть вредоносное вложение или кликнуть по вредоносной ссылке в спамовом письме.

Немецкие спамеры не остаются в стороне от вредносного творчества. Их «перу», в частности, принадлежит история одного троянца, рассказанная в разных литературных жанрах. Конец этой истории во всех вариантах один: не в меру увлеченный читатель рискует получить на свой компьютер троянскую программу.

Научная фантастика

История эта начинается с в Берлинском метро, где, как сообщили спамеры, был найден неизвестный летательный аппарат. Произошло это во время исследования подземных туннелей, начавшегося из-за того, что многие работники метро стали жаловаться на плохое самочувствие. Подозревают, что летательный аппарат размером с автобус может иметь странное излучение, потому что вокруг его корпуса образовалась «зона молчания» (необлучаемая зона). Подробнее об этом предлагают прочитать, например, по такой ссылке: http://geocities.com/IvyBurnett2342.

Как оказалось, пройдя по этой и всем другим ссылкам, предлагаемым в таких письмах, пользователь получал троянца.

Детектив

Потом стали появляться сообщения якобы от Web-Nachrichten Deutschlands о том, что в Мюнхене объявлен траур в связи с жестоким убийством 6 человек, которое совершил некий азиат, исчезнувший после этого в неизвестном направлении. Убийца прокрался в дом и зарезал всех его обитателей, включая 2 десятилетних девочек. Полиция (как ей и положено) в шоке и делает все возможное, чтобы найти преступника. Одна прохожая смогла дать краткое описание убийцы, на основании которого составили фоторобот. За сведения, способные оказать помощь в расследовании, обещано вознаграждение. Посмотреть фоторобот и ознакомиться с деталями предлагается, например, по ссылке http://geocities.com/JammieRheba9598, — на которой всех поджидает троянская программа.

Путешествия

Продолжение истории троянца не заставило себя ждать. Спамеры сообщили, что авиакомпания Berliner Airlines (на самом деле существет компания Berlin Airlines) этим летом проводит специальную акцию. Билет до любого пункта назначения внутри ЕС теперь можно будет купить всего за 20 евро, оплатив только свои страховку и топливо. Конечно, необходимо поторопиться, т.к. число мест сильно ограничено. Чтобы узнать подробности (и получить троянскую программу) предлагалось пройти по по ссылке в письме.

Заметим, что письма о дешевых билетах на самолет интересны еще и тем, что авиакомпании в Германии на самом деле устраивают подобные акции и даже не только в рамках ЕС. Например, если удачно купить билет в German Wings, можно слетать в Москву и обратно всего за 40 евро. Поэтому новость на первый взгляд не выглядит совсем по-спамерски. Другое дело, что рассылки авиакомпаний производятся с соответсвующим оформлением писем и т.п., так что можно надеяться, что шансы спамеров достичь своих целей в данном случае довольно малы.

На этом спамописатели не успокоились, и последовала новая серия рассылок результатов их творческих усилий.

Гламурный роман

Троянца пытались разослать под видом распечатки чека, который прислали пользователю, т.к. он якобы только что совершил покупку в Интернете. В некоторых случаях покупка была совершенно определенной – мобильный телефон. Любопытно, что по крайней мере в одном случае спамеры сами запутались в своих рассылках и прислали письмо про чек на покупку с темой про предложение авиакомпании.

К тематике интернет-покупок относилась и следующая «троянская» рассылка с темой «Случайная блокировка счета». В письме сообщалось, что пользователь превысил баланс счета и ушел в минус на 245 евро. Авторы письма советуют, естественно, пополнить счет, а если никаких операций в ближайшее время не проводилось, пройти по ссылке для выяснения причин. Само собой разумеется, что ни указания банка или платежной системы, где открыт счет, ни номера счета нет.

Интересно, что в качестве отправителей писем спамеры указывают либо eBay support [support@ebay.de] (при этом ссылка выглядит как http://ebay.de/online/, но на самом деле ведет на сайт http://geocities.com/ClinePraia8985), либо Info-Center [service@dwhh.de] (тогда ссылка, которую пользователь видит как http://dwhh.de ведет на сайт http://geocities.com/TaborOlympic5521). Адреса страниц, на которые ведут ссылки спамовых писем, не случайно кажется знакомым тем, кто следит за творчеством спамеров – как уже догадались читатели, на этих страницах пользователей ждал троянец.

Кстати, на сайте, который открывается по реальной ссылке http://dwhh.de, висит предупреждение о такого рода письмах.

Но и это оказался не конец — безудержное творчество спамеров превзошло самые смелые ожидания.

Мистический триллер

Поледнее на данный момент письмо из этой серии имеет вопиющую тему «Душевнобольной Папа Римский!». В нем сообщается, что их (т.е. немец по происхождению) Папа Римский Бенедикт XVI переступил границу здравомыслия. Авторы призывают всех пользователей немедленно выйти из секты, которая называет себя «Католическая церковь», чтобы не быть причастными к новым античеловеческим акциям Ватикана. Основания подобного заявления предлагают посмотреть по ссылке. Что именно ожидает там любопытных получателей творений спамописателей — уже не новость.

Вредоносное творчество спамеров

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике