Microsoft раскрывает подробности крупной спам-кампании и то, как она остается в сети
Microsoft недавно подробно описала обширную спамерскую кампанию, которую отслеживала в течение нескольких месяцев. Спам-сеть отправляла более миллиона электронных писем в месяц на пике, распространяя семь различных типов вредоносных программ и нацеливаясь на жертв по всему миру.
Microsoft подробно описывает кампанию по борьбе со спамом
Microsoft отслеживала спамерскую кампанию с марта по декабрь 2020 года, постепенно выявляя и детализируя «разрастающуюся архитектуру», которая из-за своего размера имела достаточно мощности, чтобы казаться законной для поставщиков почты.
Согласно блогу Microsoft Security , спам-кампания была нацелена на многие страны по всему миру, причем большие объемы были обнаружены в США, Великобритании и Австралии. Спам-сообщения были направлены на цели в сфере оптовой торговли, финансовых услуг и здравоохранения с использованием различных фишинговых приманок и тактик спама.
Первые признаки спам-кампании появились в марте 2020 года. Microsoft присвоила имя «StrangeU», так как во многих шаблонах именования спам-доменов часто используется слово «странный». Позже будет открыт второй алгоритм генерации домена, получивший название «RandomU».
Microsoft также отмечает, что рост спамерской кампании совпал с глобальным уничтожением ботнета Necurs, в котором Microsoft также принимала участие. До его разрушения Necurs был одним из самых распространенных спам-ботнетов, предоставляя другим преступникам доступ к сети за определенную плату. .
Инфраструктура StrangeU и RandomU, по-видимому, заполняет пробел в обслуживании, созданный сбоями Necurs, доказывая, что злоумышленники имеют высокую мотивацию быстро адаптироваться к временным сбоям в работе.
Один из главных выводов отчета Microsoft заключается в том, что мир спама сильно взаимосвязан. Спам-сети и кампании используют инфраструктуру с оплатой за доступ для достижения своих целей, иногда даже если у них есть действующий ботнет.
Попытка диверсифицировать рассылку спама – это шаг к защите всей работы, защищая от методов автоматического анализа, часто используемых для нарушения и уничтожения спам-сетей.
StrangeU и RandomU поражают широкий диапазон целей
Инфраструктура сети для рассылки спама использовалась для проведения нескольких вредоносных кампаний в течение девяти месяцев:
- Апрель и июнь: корейские целевые фишинговые кампании с использованием вымогателей Makop.
- Апрель: уведомления о чрезвычайных ситуациях, связанных с распространением вредоносного ПО Mondfoxia.
- Июнь: приманка Black Lives Matter, доставившая вредоносное ПО Trickbot.
- Июнь и июль: кампания Dridex через StrangeU.
- Август: кампания Dofoil (SmokeLoader).
- Сентябрь – ноябрь: мероприятия Emotet и Dridex.
В исследовании Microsoft подробно описывается модульный подход, который злоумышленники продолжают применять в отношении вредоносных программ, бот-сетей и распространения спама. Модульный подход к вредоносным программам позволяет злоумышленникам сохранять гибкость в своем подходе к распространению, гарантируя, что любые операции удаления или нарушения должны охватывать большой объем инфраструктуры, прежде чем делать какие-либо реальные отступления.