Спамеры осваивают MP3-файлы

В ночь с 17 на 18 октября была зафиксирована массовая рассылка нового типа спама – теперь непрошеные письма содержали MP3-вложение, которое пользователь мог прослушать, сообщает HITech.Expert.

«Лаборатория Касперского» считает, что это была первая спамерская рассылка, использующая для донесения основного рекламного сообщения до конечной аудитории аудиофайлы в формате mp3. Первые образцы подобных рассылок спам-аналитики зафиксировали в европейском почтовом трафике.

Массовая рассылка относилась к схеме «накачки и сброса» акций (pump-and-dump), предлагая приобрести акции, которые якобы скоро сильно вырастут в цене, сообщает Dr.Web. Эксперты "Лаборатории Касперского", также отметили, что данный mp3-спам относится к категории так называемого stock-спама (спамовых сообщений, цель которых состоит в рекламе и повышении курса акций неких компаний). Данная категория нежелательных рассылок впервые появилась в августе прошлого года и с тех пор уверенно занимает первое место по числу инновационных методов доставки, применяемых злоумышленниками для обхода антиспамовых фильтров и других средств защиты от нежелательных сообщений. Так, именно распространители stock-спама первыми провели рассылку нежелательных сообщений в специально зашумленных графических файлах и в документах в формате pdf, которые на тот момент еще не распознавались антиспамовыми фильтрами.

Рассылка аудиозаписей в формате mp3 является следующим витком борьбы спамеров и разработчиков средств защиты от спама. Письма, зарегистрированные «Лабораторией Касперского», не содержат никакого текста, однако несут вложенный mp3-файл продолжительностью от 25 до 33 секунд. Открыв его, пользователь услышит искаженный звуковым фильтром женский голос, предлагающий купить акции некой компании под названием Exit Only Inc. Очевидно, что спамеры, завладевшие акциями этой компании, пытаются таким образом поднять ее капитализацию с тем, чтобы впоследствии выгодно продать эти акции по возросшей цене.

Вероятно, что данная рассылка является для спамеров своего рода пробным камнем, и ее нельзя назвать удачной в силу некоторых технических ограничений. Из-за необходимости сделать спамовые письма как можно более компактными злоумышленники были вынуждены использовать аудиозапись очень низкого качества, поэтому слушателям очень трудно разобрать текст послания даже на самой высокой громкости. Кроме того, чтобы обойти антиспамовые фильтры, отправители несколько изменяют запись в каждом письме, от чего ее восприятие ухудшается еще больше.

Эксперты «Лаборатории Касперского» отмечают, что предсказания о скором появлении mp3-спама звучали уже довольно давно, однако, по их мнению, его развитие и дальнейшее распространение будет сильно ограничено вышеупомянутыми техническими ограничениями и необходимостью искать компромисс между качеством записи и объемом писем. Учитывая, что большинство пользователей не будут даже пытаться разобрать спамовую mp3-запись плохого качества, эффективность и целесообразность такой рассылки представляется сомнительной.

«Пользователи довольно часто пересылают друг другу короткие звуковые файлы с шутками и привыкли к тому, что такие файлы стоит прослушать. Похоже, именно на это и рассчитывают спамеры: увидев mp3-файл, получатели будут его слушать, предполагая, что это что-то интересное. Но спамеры сильно ограничены в размерах звукового сообщения, и, следовательно, качество звука в спамовой записи очень плохое. Думаю, что рассылки mp3-спама будут иногда повторяться, но особого влияния на спам-статистику эти рассылки не окажут», — говорит Андрей Никишин, директор направления аутсорсинга IT-безопасности «Лаборатории Касперского».

В компании DrWeb считают, что данный вид спама впервые был применен спамерами, прежде всего, чтобы преодолеть антиспам-фильтры, а также чтобы удивить получателей своей необычностью и тем самым повысить эффект самой рассылки. Все приемы, использованные при рассылке данной категории спама, были внимательно изучены специалистами французской компании Goto Software, технология которой используется в спам-модулях решений Dr.Web для защиты электронной почты. Соответствующее обновление было выпущено в течение нескольких часов и сразу стало доступно всем пользователям антиспам решений Dr.Web.

"Данный вид спама является пока довольно экзотическим и вряд ли составит сколько-нибудь значимый процент в общем потоке нежелательной корреспонденции," — комментирует первуй рассылку MP3-спама Вячеслав Медведев, менеджер отдела развития компании "Доктор Веб". "Вряд ли при таком плохом качестве записи спам достиг желаемого эффекта, поэтому и прибегать к таким рассылкам будут нечасто. Однако можно сказать, что приемы, использованные при этой рассылке уже добавлены в базу Vade Retro, поэтому при последующих аналогичных рассылках они будут распознаваться спам-фильтрами решений Dr.Web. Это существенно отличает используемые в наших решениях технологии от тех систем, где используются сигнатурные и байесовские методы фильтрации спама".

-->