Спам с вирусами. Как доставляют вредоносный контент по электронной почте

Нес­мотря на то что Рос­сия (сюр­приз!) не вхо­дит в чис­ло лидеров по чис­лу зараже­ний компь­юте­ров таким спо­собом (трой­ку лидеров тра­дици­онно сос­тавля­ют США, Гер­мания и Англия), мы счи­таем, будет нелиш­ним узнать о том, что зас­тавля­ет мно­гих поль­зовате­лей в раз­ных угол­ках пла­неты щел­кать ука­зате­лем мыши на вло­жени­ях в пись­мах от нез­накомых отпра­вите­лей. Поеха­ли!

Злое письмо

Адрес отправителя (поле From)

Пер­вое, о чем сле­дует позабо­тить­ся зло­умыш­ленни­ку, рас­сыла­юще­му вре­донос­ный спам, — от чьего лица будет вес­тись рас­сылка. Пос­лания от име­ни час­тных лиц (если не брать в рас­чет рас­сылку с взло­ман­ного поч­тового акка­унта по адресной кни­ге) в этом деле не очень эффектив­ны, поэто­му в ход идут раз­личные ком­пании, орга­низа­ции и даже некото­рые орга­ны судеб­ной или исполни­тель­ной влас­ти.

В пос­леднее вре­мя осо­бен­ной популяр­ностью поль­зуют­ся меж­дународ­ные служ­бы дос­тавки (DHL, FedEx, United Parcel Service (UPS) или TNT). Если пом­нишь, имен­но так, под видом отче­та о дос­тавке от FedEx или UPS, рас­простра­нял­ся Cryptolocker.

Проб­лему с адре­сом отпра­вите­ля в поле From: (От:) зло­деи реша­ют нес­коль­кими спо­соба­ми:

• взла­мыва­ют поч­ту нуж­ной ком­пании и шлют пись­ма отту­да (что край­не слож­но реали­зовать и прак­тичес­ки нере­аль­но, осо­бен­но если речь идет о круп­ной и серь­езной ком­пании);
• ре­гис­три­руют домен с име­нем, очень похожим на наз­вание нуж­ной ком­пании;
• ис­поль­зуют бес­плат­ный поч­товый сер­вис, зарегис­три­ровав на нем что‑нибудь типа manager.fedex@mail.ru, admin.vkontakte@gmail.com или police.mvd@ya.ru;
• под­меня­ют нас­тоящий адрес отпра­вите­ля (спо­собов сде­лать это нес­коль­ко, начиная от раз­личных прог­рамм и сер­висов в интерне­те и закан­чивая скрип­тами для отправ­ки писем).

Тема письма (поле Subject)

Те­ма пись­ма дол­жна прив­лекать вни­мание получа­теля и побуж­дать его открыть пись­мо. Естес­твен­но, она дол­жна соот­ветс­тво­вать роду деятель­нос­ти кон­торы, от име­ни которой пись­мо отправ­лено.
Ес­ли рас­сылка ведет­ся, к при­меру, от име­ни служ­бы дос­тавки, то наибо­лее популяр­ными темами писем будут:

• все, что свя­зано с отправ­кой, отсле­жива­нием или дос­тавкой отправ­лений (уве­дом­ления об отправ­ке, ста­тус дос­тавки, под­твержде­ние отправ­ки, докумен­ты об отправ­ке, информа­ция о дос­тавке);
• ин­форма­ция о заказе и счет на опла­ту;
• уве­дом­ления о сооб­щени­ях и акка­унтах (соз­дание и под­твержде­ние акка­унта, получе­ние новых сооб­щений).

Для нашей стра­ны более харак­терны рас­сылки от име­ни раз­ных государс­твен­ных орга­нов, и в этом слу­чае зло­умыш­ленни­ки выбира­ют соот­ветс­тву­ющие темы, нап­ример «Судеб­ное пос­танов­ление» (от име­ни федераль­ной служ­бы судеб­ных прис­тавов) или «Кви­тан­ция на опла­ту штра­фа за наруше­ние ПДД» (от чьего име­ни шлют пись­ма с такой темой, я думаю, ты догадал­ся).

Текст письма и оформление

Для при­дания прав­доподоб­ности сво­им пись­мам зло­умыш­ленни­ки очень активно исполь­зуют логоти­пы ком­паний, под име­нем которых они работа­ют, кон­так­тные дан­ные, ссыл­ки на офи­циаль­ный сайт ком­пании и про­чую информа­цию.

Что­бы не толь­ко убе­дить получа­теля в прав­дивос­ти пись­ма, но и под­тол­кнуть его открыть вло­жение, могут исполь­зовать­ся уве­дом­ления об ошиб­ках при дос­тавке отправ­лений (неп­равиль­ный адрес получа­теля, отсутс­твие получа­теля и подоб­ное), прось­бы совер­шить какие‑либо дей­ствия с ука­зани­ем воз­можных сан­кций в слу­чае их невыпол­нения или фра­зы с ука­зани­ем того, что находит­ся во вло­жении (нап­ример, «акт свер­ки», «тран­спортная нак­ладная» или «счет на опла­ту»).

По­мимо это­го, очень час­то в ход идут раз­личные типовые сло­восо­чета­ния, харак­терные для офи­циаль­ных рас­сылок (что‑нибудь вро­де please do not reply to this email или this is automatically generated email).

Виды вредоносных вложений

Вложение в виде исполняемого файла

Нес­мотря на то что боль­шинс­тво поч­товых сер­веров уже дав­но не про­пус­кают через себя исполня­емые фай­лы, такой тип вре­донос­ных вло­жений еще иног­да встре­чает­ся. Как пра­вило, такой файл мас­киру­ется под какой‑нибудь безобид­ный документ (doc или PDF) или кар­тинку.

При этом в файл про­писы­вает­ся соот­ветс­тву­ющая икон­ка, а сам файл име­нует­ся, к при­меру, «нак­ладная.pdf.exe» (при этом рас­ширение exe очень час­то отде­ляет­ся от име­ни фай­ла боль­шим количес­твом про­белов, что­бы его не было силь­но вид­но).

Вложения с запароленным архивом

За­паро­лен­ный архив поз­воля­ет обой­ти все анти­вирус­ные про­вер­ки на поч­товых сер­верах, меж­сетевые экра­ны и ска­неры безопас­ности. Сам вре­донос­ный файл, как и в пер­вом слу­чае, мас­киру­ется под что‑нибудь безобид­ное.

Са­мое глав­ное в этом слу­чае — побудить получа­теля пись­ма ввес­ти ука­зан­ный в пись­ме пароль, разар­хивиро­вать вло­жение и открыть его.

Вложение в виде документа с эксплойтом или вредоносным VBA-скриптом

Та­кое пись­мо смо­жет пре­одо­леть зап­рет на пересыл­ку исполня­емых фай­лов, а во мно­гих слу­чаях и анти­вирус­ную про­вер­ку на поч­товых сер­верах (осо­бен­но если экс­плойт све­жий).

На­ибо­лее час­то исполь­зуют­ся уяз­вимос­ти для Adobe Acrobat reader (CVE-2013-0640,
CVE-2012-0775), Adobe flash player (CVE-2012-1535) или MS Office (CVE-2012-0158,
CVE-2011-1269, CVE-2010-3333, CVE-2009-3129).

По­мимо экс­плой­тов, в качес­тве вре­донос­ных вло­жений могут исполь­зовать­ся докумен­ты MS Office с вре­донос­ными мак­росами на VBA (да‑да, встре­чают­ся еще люди, у которых выпол­нение мак­росов в Word’е не зап­рещено, да и анти­виру­сы далеко не всег­да реаги­руют на такие скрип­ты).

Вложенные HTML-документы

К пись­му прик­ладыва­ется HTML-документ с кодом, реали­зующим drive-by ата­ку. Этот спо­соб поз­воля­ет во мно­гих слу­чаях обой­ти анти­вирус­ные филь­тры поч­товых сер­веров, а так­же зап­реты, бло­киру­ющие перехо­ды через iframe.

Гиперссылки в тексте письма

В таких пись­мах вло­жения, как пра­вило, отсутс­тву­ют, а сам текст пись­ма содер­жит нес­коль­ко ссы­лок, ведущих на один и тот же ресурс, на котором либо лежит связ­ка экс­плой­тов, либо про­изво­дит­ся редирект на дру­гой вре­донос­ный ресурс. Все эти ссыл­ки мас­киру­ются под ссыл­ки на при­лич­ные и безопас­ные сай­ты либо под прос­той текст.

Заключение

Нес­мотря ни на что, спам‑рас­сылки по‑преж­нему оста­ются очень эффектив­ным спо­собом рас­простра­нения вре­донос­ного кода. И мож­но пред­положить, что по мере сок­ращения количес­тва уяз­вимос­тей в соф­те и в железе этот спо­соб будет исполь­зовать­ся все чаще и чаще, при­обре­тая все более изощ­ренные фор­мы, что­бы про­экс­плу­ати­ровать самую глав­ную уяз­вимость любой информа­цион­ной сис­темы — ее поль­зовате­ля.