深度追踪垃圾邮件和网络钓鱼

2018年8月19日 15:11

本文转SECURELIST ,由奇点财经,原文作者Maria VergelisNadezhda DemidovaTatyana Shcherbakova

季度聚焦

在第一季度,我们讨论了旨在利用2018年5月25日生效的GDPR(通用数据保护法规)的垃圾邮件相关话题。当时,垃圾邮件仅在受邀参加研讨会和其他教育活动,以及购买软件或数据库中传播。然而,我们预测欺诈性电子邮件很快就会接踵而至。我们在第二季度发现了它们。

根据监管规定,应由公司通知电子邮件收件人,告知他们向新的GDPR政策转变,并要求他们确认存储和处理个人信息的许可。这就是为犯罪分子所利用的地方。为了获取知名公司客户的个人信息,犯罪分子发送了涉及GDPR的钓鱼邮件,要求收件人更新账户信息。为了做到这一点,客户必须点击提供的链接并输入要求的数据,这些数据立即落入犯罪分子手中。必须指出,攻击者的目标是金融机构和It服务提供商的客户。

 

恶意IQY附件

在第二季度,我们发现了一些未见过的带有IQY (Microsoft Excel Web查询)附件的垃圾邮件事件。攻击者将这些文件伪装成发票、订单表单、文档副本等,这是一种已知的策略,目前仍用于恶意发送垃圾邮件。发件人字段包含看起来像个人电子邮件的地址,附件的名称根据以下模板生成:附件的名称,然后是日期或随机数序列。

 

当受害者打开IQY文件时,计算机下载了几个木马下载程序,安装了Flawed Ammyy RAT。感染链可能是这样的:trojan – download.msexcel代理从同一系列下载另一个下载器,该下载器依次下载trojan – download.powershell,然后这个木马下载Trojan-Downloader.Win32.Dapato,它最终安装了真正的软件后门,也被称为Flawed Ammyy RAT。而它也被用于远程访问受害者的电脑,窃取文件和个人信息,发送垃圾邮件。

检测这些附件是相当困难的,因为这些文件看起来像普通的文本文档,将web查询数据从远程数据源传输到Excel电子表格。IQY文件在罪犯手中也可能是一个非常危险的工具,因为它们的结构与合法文件的结构没有区别,但是它们可以被用来下载任何数据。

必须指出的是,带有IQY附件的恶意垃圾邮件是通过最大的僵尸网络Necurs发布的。提醒一下,这是一个僵尸网络,它负责恶意垃圾邮件(勒索软件、大型病毒等),以及诈骗软件和约会邮件。僵尸网络的运行特点是在感染和过滤机制变得越来越复杂的同时,它还会出现阶段性的高峰和空闲状态。

数据泄漏

我们在上个季度讨论的保密信息泄露浪潮仍在上升。以下是本季度最值得注意的一些事件:

  • 黑客入侵和窃取2700万Ticketfly用户的个人信息;
  • 920万MyHeritage genealogy service用户个人信息在公共服务器上发现;
  • 营销公司Exactis丢失了3.4亿份个人记录;
  • 不受保护的亚马逊服务器允许访问4800万Facebook、LinkedIn、Twitter和Zillow用户的个人信息。

由于这些信息的泄露,网络罪犯可以获得用户的姓名、电子邮件地址、电话号码、出生日期、信用卡号码和个人喜好。这些信息以后可能被用于发起有针对性的网络钓鱼攻击,这是最危险的网络钓鱼类型。

加密货币

今年第二季度,我们的反钓鱼系统阻止了5.8万用户尝试连接伪装成流行加密货币钱包和市场的钓鱼网站。除了传统的网络钓鱼(旨在获取受害者的账户和私钥信息),网络犯罪分子还千方百计地诱使受害者向他们发送加密货币。其中一个例子就是加密货币赠品。网络犯罪分子继续使用新的ICO项目的名称,从那些试图尽早获得新代币的潜在投资者那里募集资金。有时,钓鱼网站会在正式项目网站之前出现。

Ethereum (ETH)是目前最受网络钓鱼者欢迎的加密货币。随着越来越多的资金被Ethereum平台上的ICOs所吸引,Ethereum在网络罪犯中的受欢迎程度增加。根据我们非常粗略的估计(根据从1000多个黑客使用的ETH钱包中获得的数据),在2018年第二季度,利用ICOs的网络犯罪分子设法赚到了2329317美元(2018年7月底的汇率),传统的网络钓鱼不包括在内。

2018年世界杯

来自世界各地的网络犯罪分子与世界杯组织者和球迷一样,都在为世界杯做准备。世界杯被用在了许多使用社会工程的传统骗局中。网络罪犯创建了虚假的冠军合作伙伴网站,以获取受害者的银行和其他账户,实施有针对性的攻击,并创建了虚假的fifa.com账户登录页面。

 

HTTPS

正如2017年的报告所提到的,越来越多的钓鱼网页出现在认证域名上。这些域名可能包括被黑客攻击或专门注册的域名,网络罪犯用来存储他们的内容。这与大多数Internet正切换到HTTPS这一事实有关,而且获得一个简单的证书变得很容易。在第二季度中期,这促使谷歌宣布了未来的努力,旨在改变Chrome处理证书的方式。从2018年9月开始,浏览器(Chrome 69)将停止在URL栏中将HTTPS网站标记为“安全”。相反,从2018年10月开始,当用户在未加密的网站上输入数据时,Chrome将开始显示“不安全”标签。

 

谷歌相信这将使更多的网站使用加密。毕竟,用户应该期望web在默认情况下是安全的,并且只有在出现任何问题时才会收到警告。

目前,URL栏中的绿色安全信息对用户来说相当具有误导性,特别是当他们访问钓鱼网站时。

假期

为了迎接假期的到来,网络犯罪分子使用了所有可能引起旅行者兴趣的话题,从机票购买到酒店预订。例如,我们发现很多网站都以荒谬的价格提供非常诱人的住宿条件(例如,布拉格一套四居室的房子,带游泳池和壁炉,月租1000美元)。这些网站包括像亚马逊、TripAdvisor等在旅行者中很受欢迎的网站。

 

类似的方法也被用于伪造票务网站。在这些情况下,显示的航班信息是真实的,但是机票是假的。

渠道

在我们的报告中,我们经常指出钓鱼和其他垃圾邮件早已远远超过电子邮件。攻击者使用他们所能使用的一切通信手段,甚至招募毫无戒心的用户进行恶意软件传播。在这个季度,大多数大规模的攻击都发生在即时通讯软件和社交网络上。

WhatsApp

最近,网络犯罪分子越来越频繁地使用WhatsApp发布内容。WhatsApp的用户自己复制和重新发送垃圾信息,就像许多年前他们使用幸运连锁信(luck chain letter)一样。这些消息中的大多数都包含了关于虚拟彩票或赠品的信息(我们已经讨论过很多次了)。上个季度,网络犯罪分子带回了机票赠品。例如,在俄罗斯这个季度,他们使用了热门零售商的名字,如Pyaterochka和Leroy Merlin,还有麦当劳。一些虚假信息来自流行的运动服装品牌、某些商店和咖啡店。

一旦用户将消息发送给一些朋友,他或她就会被重定向到另一个资源,该资源的内容会根据受害者的位置和设备而改变。如果用户通过智能手机访问网站,他们通常会自动订阅付费服务。用户还可能被重定向到包含调查、彩票或其他恶意网站的页面。例如,用户可能会被邀请安装一个浏览器扩展,该扩展将拦截他们在其他网站上输入的数据,并使用他们的名字在网上做其他事情,比如在社交媒体上发布帖子。

 

 TwitterInstagram

长期以来,网络犯罪分子一直在使用Twitter发布欺诈内容。然而,它最近成为了虚假名人和公司账户的滋生地。

 

在网络罪犯中,最流行使用的封面是代表名人的加密货币赠品。用户被要求将少量加密货币转移到某个钱包,以获得双倍或三倍的加密货币。为了增强信任,钱包可能位于一个单独的网站上,该网站还包含一个虚假交易的列表,受害者可以看到这些交易的“实时更新”,这就证实了任何将钱转移到假钱包的人都能得到比转移金额多几倍的回报。当然,受害者不会得到任何东西。尽管这个计划很简单,但它却让网络罪犯赚了数百万美元。本季度,网络犯罪分子在他们的计划中青睐Elon Musk、Pavel Durov和Vitalik Buterin。选择这些名字是有原因的——Elon Musk是一位企业家、发明家和投资者,而Durov和Buterin则跻身《财富》杂志(Fortune)公布的密码货币市场领军人物排行榜。

新闻轰动使这些计划更加有效。例如,Telegram messenger的关闭引发了Pavel Durov承诺赔偿的虚假信息浪潮。在这种情况下,网络罪犯使用的是拼写相近的账户名。例如,如果最初的帐户名包含一个下划线,网络犯罪分子就会在新用户名中注册两个下划线,并在名人真实的Twitter帖子的评论中发布有关加密货币赠品的信息。因此,即使是一个注重细节的人也很难辨别真伪。

 

Twitter管理层很久以前就承诺要阻止这种欺诈行为。他们的第一步是屏蔽试图将用户名改为Elon Musk的账户,很可能还有其他网络罪犯常用的名字。然而,通过输入验证码和通过文本发送的代码,可以很容易地防止帐户被屏蔽,之后用户可以保留Elon的名字或将其更改为他们想要的任何东西——该帐户不会再次被屏蔽。目前还不清楚Twitter是否会屏蔽那些经常被网络犯罪分子利用的知名人士模糊的名字。社交网站采取的另一项措施是屏蔽发布到Elon Musk账户链接的账户。与前面的示例一样,可以通过输入验证码、或通过短信中接收的代码确认电话号码来解除对帐户的屏蔽。这种骗局也开始蔓延到其他平台。Instagram上也有假账户。

 

Facebook

在Facebook上,除了上述通过病毒传播的内容外,网络罪犯还经常使用社交网络提供的广告机制。我们记录了通过Facebook广告迅速致富的例子。

点击广告后,用户被重定向到一个网站,完成几个步骤后,他们会得到奖励。要获得奖励,用户必须支付一定的费用,输入信用卡信息,或者共享一些个人信息。当然,用户最终不会得到任何奖励。

搜索

含有恶意内容和钓鱼网站链接的广告不仅可以在社交网站上找到,在主要搜索引擎的搜索结果页面上也可以找到。这已经成为一种流行的虚假ICO项目网站的广告方式。

垃圾信息散布者的技巧

上个季度,垃圾邮件发送者试图使用以下新技巧来规避过滤器。

标题

在生成垃圾邮件时,垃圾邮件发送者使用电子邮件标题中的两个字段。第一个字段的地址包含一个合法的地址,通常来自一个知名的机构(其声誉没有受到垃圾邮件丑闻的影响),第二个包含实际的垃圾邮件地址,与第一个没有任何关系。垃圾邮件发送者希望电子邮件被过滤器视为合法的,忘记了现代反垃圾邮件解决方案不仅依赖于电子邮件的技术部分,还依赖于其内容。

订阅形式

在这些事件中,以自动邮件订阅确认的形式发送的垃圾邮件到达收件人收件箱。经常使用能够无限制用户注册的网站来创建它们(特别是当它们允许多次使用相同的电子邮件地址时)。垃圾信息散布者使用的脚本可以自动填充订阅表单,从以前收集的(或购买的)数据库插入收件人地址。垃圾邮件内容是一个简短的短语,它链接到一个垃圾邮件资源,插入到表单的一个强制字段中(特别是收件人姓名)。因此,用户会收到一个来自合法邮件地址的通知,其中包含一个垃圾邮件链接,而不是他们的名字。

统计:垃圾

垃圾件在件流量中的比例

 

在2018年第二季度,垃圾邮件占比最高的是5月份的50.65%。垃圾邮件在全球邮件流量中的平均百分比为49.66%,比上一个报告期间低2.16个百分点。

各国垃圾件的来源

在2018年第二季度,越南(3.98%)作为垃圾邮件的主要来源国下降到第七位,被中国(14.36%)所取代。排在第二和第三位的是德国的美国,两者的差距只有一个百分点,分别为12.11%和11.12%。法国排名第四(4.42%),俄罗斯排名第五(4.34%)。英国排在第10位(2.43%)。

 

垃圾件大小

 

2018年第二季度的结果显示,非常小的垃圾邮件(高达2kb)的比例下降了2.45%,为79.17%。另一方面,5-10 KB的垃圾邮件比上一季度有所增长(增长了1.45%),达到5.56%。10-20 KB的垃圾邮件的百分比几乎没有变化——它下降了0.93% ,为3.68%。20-50 KB的垃圾邮件也出现了类似的趋势,与上一报告期间相比,份额下降了0.4%,为2.68%。

恶意附件

 

根据2018年第二季度的结果,最广泛分布的恶意软件邮件是利用CVE-2017-11882(10.35%)/这是由于各种恶意软件利用Microsoft Word的CVE-2017-11882漏洞而导致的。带有Trojan-PSW.Win32.Fareit 恶意软件窃取用户信息和密码在第二季度下降,失去了第一名,现在以5.90%的比例占据第二名。第三位和第四位是Win32.Androm (5.71%) and Backdoor.Java.QRat (3.80%)。 Worm.Win32.WBVB 排名第五。

受到件攻的国家

 

 在2018年第二季度邮件反病毒触发器数量最多的国家中,排名第一、第二和第三的国家没有变化。德国仍然是第一名(9.54%),第二名和第三名分别是俄罗斯和英国(8.78%和8.67%)。巴西(7.07%)和意大利(5.39%)分别位居第四和第五。

统计:钓鱼

在2018年第二季度,反钓鱼阻止了107,785,069次试图将用户连接到恶意网站的尝试。世界各地卡巴斯基实验室9.6%的用户遭受攻击。

在2018年第二季度遭受网络钓鱼攻击的用户比例最高的国家还是巴西,为15.51%(下降了3.56%)。

组织受到攻击

根据卡巴斯基实验室(Kaspersky Lab)的反钓鱼组件的检测结果,对不同类别组织的钓鱼攻击进行评级。每当用户试图打开钓鱼网页时,它都会被激活,或者是通过点击电子邮件或社交媒体信息中的链接,或者是由于恶意软件的活动。当组件被触发时,浏览器会显示一条警告用户潜在威胁的通知。在2018年第二季度,全球互联网门户类再次以25.00%(增长1.3%)名列第一。

对能合并为一般金融类别的组织的攻击比例(银行占21.10%,在线商店占8.17%,支付系统占6.43%)下降到35.70% (下降了8.22%)。与第一季度相比,第二季度IT公司更容易受到威胁,从12.28%上升到13.83%。

结论

本季度全球邮件流量中平均垃圾邮件量为49.66%,比上一季度下降了2.16%,而反钓鱼系统阻止了超过1.07亿次将用户连接到钓鱼网站的尝试,比2018年第一季度增加了1700万次。

在这个季度,malefactors积极使用GDPR、世界杯和加密货币主题,在社交网络和通讯软件(用户经常自己发布)上找到恶意网站的链接,以及大型搜索引擎提供的营销信息。Exploit.Win32.CVE-2017-11882是通过邮件传播最广泛的恶意软件,占10.35%。Trojan-PSW.Win32. Fareit从第一名跌至第二名(5.90%),第三名和第四名分别为Backdoor.Win32.Androm(5.71%)和Backdoor.Java.QRat(3.80%)。

 

原文地址:securelist.com/spam-and-phishing-in-q2-2018/87368/