• Spam e Phishing no Q2 2014

    Em 1º de julho deste ano de 2014, a nova legislação anti-spam (CASL) entrou em vigor no Canadá. A nova lei abrange as comunicações comerciais, incluindo e-mail, mensagens divulgadas em redes sociais e serviços de mensagens instantâneas, bem como SMS. Agora, antes de uma empresa começa a enviar e-mails, ela deve ter, para isso, o consentimento dos destinatários. As empresas canadenses parecem ter levado a nova lei a sério, isso porque no segundo trimestre, a equipe da Kaspersky descobriu uma quantidade muito grande e-mails de empresas canadenses pedindo aos usuários permissão para enviar suas correspondências. Além de pedir permissão, esses e-mails também continham links para ofertas.


    Utilização da Lei como Subterfúgio e Pedidos de Permissão

    Algumas empresas, realmente, usaram a lei como desculpa para coletar endereços dos assinantes. Dessa forma, os pesquisadores depararam com pedidos de permissão aos usuários para lhes enviar mensagens em massa. Além disso, muitos dos usuários que receberam esse tipo de pedido, simplesmente marcaram como spam. Este fluxo de pedidos, mostra que muitos distribuidores canadenses de envio em massa nunca teriam pensado sobre os desejos dos usuários antes, mas acabaram enviando as suas mensagens para os endereços contidos nas suas listas.

    Nesse contexto, existem dois pontos de vista gerais da nova lei. Por um lado, uma lei anti-spam em outro país, sem dúvida, ajudaria muito na luta contra o spam. Por outro lado, as empresas canadenses legítimas que tiram proveito do medo que as pessoas tem em relação ao envio em massa, podem agora ser consideradas ilegais. Levando todas essas questões em consideração, a Microsoft primeiro decidiu parar de enviar todas as notícias sobre notícia segurança, mas mudou de idéia, alguns dias depois, o que não é de todo surpreendente: apesar da severidade da lei, a CASL inclui uma série de exceções, e os e-mails em massa da Microsoft não caíram sob a sua jurisdição. Entre as exceções, estão e-mails em massa da CASL com várias informações sobre um produto ou serviço, que o usuário tenha comprado de uma empresa; há também correspondências destinadas a recolhimento de doações; e-mails não comerciais, dentre outros.


    Playing the Market Again!

    No Q2 2014, foi possível notar uma nova onda de publicidade de spam, que se oferece para comprar ações de pequenas empresas. Esta é uma forma bem conhecida de fraude de ações chamada "pump and dump". O pico deste tipo de spam foi registrado entre os anos de 2006 e 2007, embora os fraudadores continuem, fortemente, a utilizá-lo. O spam pump-and-dump é uma forma de fraude no mercado de ações, onde os spammers compram ações de pequenas empresas, inflam artificialmente os preços através de um "spreading" de informações e, em seguida, vendem as ações por um preço maior.

    Curiosamente, para além destes truques fraudulentos já bastante conhecidos, os golpistas também aplicaram alguns métodos time-tested para um bypass na filtragem:

    Um conjunto aleatório de frases inseridas no final de cada e-mail, que use uma cor próxima à do fundo (e-mails incluem frases aleatórias de Wikipedia);

    O spam de imagem: as principais informações estão contidas em uma imagem; a cor, o tamanho do texto, a fonte, a cor de fundo e o ângulo da imagem podem variar de e-mail para e-mail no que faz referência ao envio no mailing list.

    O spam de imagem também foi popular em 2006-2007, e depois praticamente desapareceu, porque fornecedores de anti-spam desenvolveram analisadores gráficos e aprenderam a bloquear com sucesso esses tipos de e-mails. Além disso, por causa do excesso de "background noise", é pouco provável que eles atraiam muitos usuários deste spam. No que diz respeito a mailings, este "mercado de ações" parecem se espalhar em grandes volumes: os spammers enviam centenas de milhões de e-mails esperando por uma resposta mínima que seja.


    Spam e Copa do Mundo

    No primeiro trimestre de 2014, os Jogos Olímpicos de Inverno foram o tema esportivo mais popular para os spammers, enquanto que no Q2 eles mudaram sua atenção para a Copa do Mundo da FIFA. Você pode obter mais informações sobre ataques phishing e malware que utilizaram o tema Copa do Mundo no próprio blog da Kapsersky. Além de e-mails perigosos, também havia mensagens que ofereciam reservas e ingressos em hotéis para os jogos, bem como anúncios para as lembranças relacionadas com a Copa do Mundo e mensagens convidativas para fazer apostas sobre os resultados.

    Como é bastante habitual nestes casos, o tema da Copa do Mundo foi explorado até mesmo em spam que não tinha ligação direta com o evento. Por exemplo, um alemão utilizou o tema em questão, para fazer propaganda de Viagra.


    Envio a Partir do iPhone: E-mail Mobile Themed

    Para continuar o tema da integração entre o spam de e-mail e dispositivos móveis, devemos notar que, no segundo trimestre de 2014, as mensagens em massa que imitam mensagens enviadas do iPad e do iPhone, foram, particularmente, bastante populares. A gama de e-mails foi bastante diversificada - desde ofertas farmacêuticas para mensagens com anexos maliciosos. Todos eles continham a mesma linha no corpo da mensagem: "Enviado do iPhone/iPad.

    No primeiro exemplo, o link, após vários redirecionamentos, abriu uma publicidade em um site que tratava-se de aumentar a potência masculina; o segundo anexo continha um programa malicioso, detectado pela Kaspersky Lab como Trojan-PSW.Win32.Tepfer.tmyd.

    Os mailings foram, provavelmente, enviados por diferentes grupos de spammers devido aos headers técnicos (tais como dados, X-Mailer, Message-ID) que eram muito diferentes. Por exemplo, em alguns dos headers de e-mails foram escritos de forma deliberada, enquanto nos outros campos eles estavam vazios. A única coisa que tinham em comum com as mensagens enviadas a partir de reais dispositivos baseados em iOS, era a frase no corpo da mensagem. Em outros e-mails, os headers não foram apenas precisos, eles eram imitações dos headers usados ​​pelo real cliente de e-mail da Apple:

    X-Mailer: iPhone Mail (9B206)
    Message-Id: UNQC4G8K-NTOU-2PNZ-JUVC-WHRCD5GXS1QF@*****.**

    No entanto, a partir de uma análise mais aprofundada, os headers (cabeçalhos) apenas pareciam ser real (em termos do número de símbolos e a localização de hífens). O fato é que as mensagens reais enviadas a partir de dispositivos móveis iOS, usam o código hexadecimal para gravar Message-ID. O formato hexadecimal inclui números de 0 a 9 e as letras ABCDEF, o que significa que não pode haver nada mais além destes números e letras no Message-ID. Já os e-mails falsos, apenas continha um conjunto aleatório de letras e números.


    Redirecionamentos

    Para ignorar a filtragem, os cybercriminosos muitas vezes tentam esconder o endereço do site para o usuário que é solicitado a visitar. Isso porque há muitas maneiras de esconder links de spam. Uma das maneiras mais difundidas é quando os links em e-mails levam a sites comprometidos, a partir dos quais o usuário é redirecionado para o site de destino. Este site pode conter um anúncio publicitário e/ou código malicioso. Geralmente, sites comprometidos são incluídos no sistema que redireciona, simplesmente, porque os cybercriminosos podem fazer um cracking neles. Mas, por vezes, os fraudadores podem fazer uma procura intencional.

    Por exemplo, os pesquisadores depararam com um envio em massa que redirecionava o usuário para uma propaganda de produtos farmacêuticos. através de um site comprometido. Além disso, os sites que haviam sido adulterados eram realmente locais farmacêuticos (rxpharmacy *****. com). Os cybercriminosos usam tal segmentação para fazer com que o link pareça tão genuíno quanto possível para o usuário.

    Além disso, recentemente os pesquisadores depararam com um monte de sites invadidos, que pertencem à sociedades religiosas. É improvável que eles tenham sido atingidos ou submetidos a engenharia social deliberadamente - ao que tudo indica, eles teriam sido apenas mal protegidos.






    Top 10 de Programas Maliciosos com Disseminação por E-mail no Q2 2014


    Como já é tradicional, a lista de propagação de malware por e-mail é a partir do Trojan-Spy.HTML.Fraud.gen. Esta ameaça aparece como um site de phishing HTML, onde o usuário tem que digitar seus dados pessoais, que são, então, enviados para os cybercriminosos. Visivelmente, a percentagem deste programa malicioso diminuiu 1,67 pontos percentuais em relação ao trimestre anterior.

    O Trojan-Banker.Win32.ChePro.ilc. encerrou o trimestre na segunda posição. Este perigoso Trojan bancário, atinge principalmente os clientes on-line dos bancos brasileiros e portugueses. Pela primeira vez em muito tempo, exploits conseguiram entrar no Top 10, com um (Exploit.JS.CVE-2010-0188.f) vindo "em linha reta" e ocupando o terceiro lugar. Vale ressaltar que Exploits em e-mail são especialmente perigosos, pois são criados na forma de documentos inofensivos, ao invés de arquivos executáveis.

    Neste particular, exploits aparecem na forma de um arquivo PDF e usa uma vulnerabilidade na versão 9.3 e inferior do Adobe Reader. Essa vulnerabilidade é conhecida há muito tempo, e não apresenta nenhum perigo para os usuários que atualizam seu software regularmente. No entanto, se a versão do Adobe é antiga, o exploit de downloads coloca em prática o arquivo executável detectado pela Kaspersky Lab como Trojan-Dropper.Win32.Agent.lcqs. O dropper instala e executa um script Java (Backdoor.JS.Agent.h), que coleta informações sobre o sistema, envia para o servidor dos atacantes e recebe vários comandos de retorno a partir do servidor. Os comandos e os resultados de sua execução são transmitidos de forma criptografada.

    No Q2 de 2014, representantes da família Bublik ocuparam quarto, sexto, sétimo e oitavo lugares. Sua funcionalidade principal, é a transferência não autorizada e instalação de novas versões de softwares maliciosos nos computadores das vítimas. Estes Trojans aparecem em forma de arquivos .EXE, embora eles imitem documentos da Adobe com a ajuda de um ícone. Dessa forma, eles muitas vezes baixam o notório ZeuS/Zbot aos computadores dos usuários.

    O Email-Worm.Win32.Bagle.gt ficou em quinto lugar no Q2. A principal funcionalidade deste tipo de worm é colher os endereços de email a partir de computadores comprometidos. O worm Bagle também pode receber comandos remotos, destinados a instalar outros tipos de malware no computador infectado. No entanto, outra exploit - Exploit.Win32.CVE-2012-0158.j - encerrou o trimestre em nono lugar. Ele foi projetado para se parecer com um documento do Microsoft Word e explora uma vulnerabilidade no código mscomctl.ocx no Microsoft Office. Sua atividade resulta na instalação e lançamento de programas maliciosos no computador do usuário.

    O Top 10 no Q2 foi ajustado pelo Trojan-Spy.Win32.Zbot.sivm, da família de trojan Zbot. Zbot, para quem não sabe, embora ele seja bastante conhecido e perigoso, é uma família de Trojans que pode executar diferentes operações maliciosas (sua funcionalidade é atualizada ao longo do tempo), mas na maioria das vezes, eles são usados ​​para roubar informações bancárias. Zbot também pode instalar CryptoLocker, um programa malicioso que exige dinheiro para decriptografar os dados do usuário, ou seja, é um ransomware.


    Saiba Mais:

    [1] Secure List http://securelist.com/analysis/quart...ng-in-q2-2014/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L