Спецпроекты

«Русские хакеры» научились рассылать спам в обход защиты. Программа хорошо продается в даркнете

Безопасность Интернет

В русскоязычном даркнете продается программа, позволяющая распространять спам-сообщения в обход трафика и средств защиты электронной почты. Программа эксплуатирует функцию в протоколе IMAP.

Главное, взломать заранее

В даркнете активно продается новый инструмент для спамеров, позволяющий обходить стандартную защиту аккаунтов e-mail: эксплуатируя функцию в протоколе Internet Message Access Protocol (IMAP), злоумышленники подгружают нужные им сообщения прямо в почтовые ящики жертв.

Для срабатывания атаки необходимо, чтобы у злоумышленников уже был доступ к аккаунту жертвы. Вредоносная программа Email Appender с осени 2020 г. активно продвигается на русскоязычных хакерских форумах, о чем свидетельствует скриншот, приведенный изданием Bleeping Computer.

Автор предлагает пользоваться программой через подписку — $50 за один день, $300 за неделю или $1000 в месяц. Это весьма недешево, но, судя по последним кампаниям, спрос на эту услугу очень велик.

spam600.jpg
Вредоносная программа продается в русскоязычном даркнете

Эксперты ИБ-компании Vade Security указывают, что компании в Италии, Франции, Дании и США уже подверглись полномасштабным атакам со стороны спамеров, использующих Email Appender. Одна из пострадавших организаций утверждает, что получила 300 тыс. спам-собщений за один день и была вынуждена потратить очень солидные ресурсы на то, чтобы отключить скомпрометированные аккаунты или сменить логины и пароли.

Базы логинов и паролей к почте активно распродаются на хакерских форумах. По данным компании Gemini Advisory, злоумышленник может загрузить такую базу в Email Appender, после чего программа попытается подключиться к аккаунтам, к которым подойдут пары логинов-паролей, через IMAP. Далее остается воспользоваться функцией IMAP, позволяющей подгружать готовые почтовые сообщения (файлы .EML) в почтовый ящик — то есть, фактически речь идет о том, что нужное злоумышленникам сообщение появляется в почтовом ящике жертвы, не проходя при этом через традиционные фильтры и средства защиты.

10 тысяч вариантов

Почтовые платформы, впрочем, проверяют IP-адреса пользователей, подключающихся к своим (или чужим) почтовым адресам через IMAP в порядке профилактики подозрительных действий. Чтобы обойти эту меру, Email Appender может использовать прокси-серверы SOCK, позволяющие подделывать IP-адреса, плюс по умолчанию в Email Appender присутствует список из 10 тыс. вариантов серверов IMAP, и программа автоматически анализирует почтовый адрес, чтобы определить, какое серверное подключение использовать.

Русские хакеры научились подсаживать спам прямо в ящики получателей

В конечном счете Email Appender позволяет подставлять в поле Sender любые реальные адреса, чтобы выдать сообщение за легитимное: поскольку в реальности такое письмо через протоколы электронной почты не проходит, нет никаких проблем такой трюк провернуть. Также можно подставить произвольные поля From (от) и Reply-To (адрес ответа).

«Есть целый ряд способов заблокировать подобные спамерские кампании, но основной — это регулярно менять пароли и не использовать одну и ту же комбинацию (или сходную с ней) более одного раза, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Кроме того, эффективна двухфакторная авторизация, так чтобы даже к скомпрометированному аккаунту невозможно было подключиться, не привлекая внимания его законного владельца.

Эксперт добавил, что также можно включить уведомления о случаях входа в аккаунт с непривычных IP-адресов. Почтовые системы вполне позволяют это сделать.