«Лаборатория Касперского» опубликовала отчет «Спам в апреле 2008»

«Лаборатория Касперского» опубликовала отчет «Спам в апреле 2008»

Доля спама в почтовом трафике по сравнению с мартом понизилась и составила в среднем 86,2%.

Самый низкий показатель был отмечен 28 апреля - 68,6%, больше всего спама было зафиксировано 9 апреля - 93,9%. Вредоносные файлы и ссылки на зараженные веб-страницы содержались в 0,76% электронных сообщений. Cсылки на фишинговые сайты находились в 1,3% всех электронных писем. Доля графического спама значительно уступила показателям марта и составила 13%.

Состав пятерки лидирующих спам-тематик по сравнению с мартом не изменился. Ведущую позицию в рейтинге по-прежнему занимает рубрика "Медикаменты; товары и услуги для здоровья" (16,4%). Львиную долю такого спама составляет англоязычная реклама виагры, на русском языке виагра рекламируется крайне редко. В апреле русскоязычные спамеры предлагали пользователям «Дженерик виагру», "полный аналог самого известного в мире лекарства для повышения потенции».

Спам, связанный с образованием, занимает второе место с показателем 15,6% и удерживает свои позиции в связи с приближением выпускных экзаменов и поступлением в вузы.

Дешевые копии дорогих товаров продолжают пользоваться популярностью – данная тематика занимает третье место в рейтинге (11,6%). Продажа реплик неожиданно приобрела "политическую" окраску. В связи с приближением президентской инаугурации в апреле неоднократно рассылались письма с темой "Часы как у Путина", где предлагалось приобрести по низким ценам не только дешевые аналоги хронометра президента, но и множество других товаров, не уступающих им в "качестве".

На четвертом и пятом местах тематики "Отдых и путешествия" (9,8%) и "Компьютеры и Интернет" (4,3%).

В Рунете увеличилось число незапрошенных рассылок с предложением оплатить услуги с помощью SMS-сообщений, отправляемых на короткие номера. При этом велика вероятность того, что деньги просто окажутся в кармане мошенников. Даже в спамовых письмах, рекламирующих финансовые пирамиды и предлагающих пользователям заработать огромные деньги, не отходя от компьютера, спамеры обещают выслать желающим руководство к действию только после получения SMS. Заплатив 5 рублей за отправленное сообщение, пользователь уже внесет свою лепту в становление MLM-бизнеса. Не говоря уже о том, что не стоит верить сомнительным обещаниям "заработка", не требующего никаких вложений.

Наряду с типичной англоязычной рекламой дешевого софта в Рунете появились русскоязычные спамовые письма, предлагающие антивирусное ПО. В отличие от аналогичной англоязычной рекламы в русскоязычном спаме антивирусные программы предлагается скачать бесплатно. При получении подобных предложений пользователям следует соблюдать особую осторожность, так как закачанные из неизвестного источника файлы с "антивирусами" на деле могут оказаться вредоносными программами.

Для обхода фильтров спамеры использовали новые приемы и реанимировали некоторые старые. В апреле прокатилась волна сообщений с сильно замусоренными номерами телефонов. Еще одним новым способом искажения письма является замена в ссылках на сайты случайных букв на специальные UTF-коды. Рассылая письмо с одной и той же ссылкой, спамеры каждый раз заменяют кодами разные буквы. Спам-фильтры из-за этой замены не могут идентифицировать ссылки и распознать письма как одинаковые. При этом почтовый клиент преобразует коды в соответствующие им буквы, и пользователь искажений не видит. В ряду графического спама снова появились картинки с текстом, повернутым под разными углами – этот прием уже использовался спамерами для затруднения идентификации идентичных изображений.

С приближением летних праздников и отпусков доля спамовых писем в основном потоке почтового трафика постепенно снижается. Скорее всего, летом этот показатель станет еще ниже. Однако поиск спамерами новых технологий для преодоления систем антиспама свидетельствует о том, что это будет только сезонный спад. К тому же криминальный аспект спама начинает проявляться все сильнее, а это, в свою очередь, привлекает желающих получить прибыль нечестным путем и способствует дальнейшей криминализации спама. К сожалению, в войне со спамом "перемирия", а тем более "капитуляции" спамеров, не ожидается.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru