Спамеры вновь обратились к проверенной тактике hailstorm (англ. «шторм», «ливень»), помогающей пробить защитные фильтры электронной почты. Исследователи из Cisco впервые столкнулись с hailstorm-спамом в 2008 году; в настоящее время такие рассылки используются для распространения банкера Dridex и вымогателя Locky.

«В 2016 году атаки hailstorm получили гораздо большее распространение», — признал Езон Шульц (Jaeson Schultz), технический руководитель подразделения Talos в Cisco. По свидетельству Шульца, за время наблюдения hailstorm-кампании получили развитие: если вначале это были просто массовые рассылки в рамках партнерских программ, то ныне авторы таких спам-атак пытаются скомпрометировать корпоративные email-системы, нацеливаются на кражу личностных данных или drive-by-загрузки.

Как пишут исследователи, hailstorm-спам является производным от еще более древней техники — snowshoe, «спама на снегоступах». Snowshoe-нагрузка обычно равномерно распределена между тысячами IP-источников, каждый из которых генерирует скромный поток. Такая тактика помогает спамерам обходить репутационные фильтры и защитные системы, блокирующие IP на основании величины исходящего потока. Инициаторы hailstorm-рассылок тоже используют огромное количество IP-адресов, однако в этом случае спам-поток очень интенсивен и по времени короток.

«Спам-атака hailstorm заканчивается как раз к тому времени, когда самые быстродействующие традиционные антиспам-решения обновились и готовы к отпору», — поясняют исследователи. При типовой snowshoe-атаке интенсивность DNS-потока для используемого домена составляет 35 запросов в час. В случае hailstorm этот показатель взмывает с нуля до 75 тыс. запросов в час, а затем столь же резко падает.

«Почему спамеры начали чаще использовать технику hailstorm, доподлинно неизвестно, — говорит Шульц. — Возможно, антиспам-системы улучшились до такой степени, что спамерам стало труднее их обходить и помогают лишь такие радикальные средства, как hailstorm».

По свидетельству экспертов, новейшая hailstorm-кампания демонстрирует зрелость этого метода; спамеры используют огромное количество IP-адресов, прописанных в США, Германии, Нидерландах, Великобритании и России. Однако еще больше вреда наносит полезная нагрузка. «Ботнет Necurs использует hailstorm-технику для распространения банковского зловреда Dridex и вымогательского ПО Locky, — уточняет Шульц. — В некоторые дни поток с ботнета Necurs в ходе hailstorm-кампании составлял почти две трети дневной нормы наблюдаемого спама».

Авторы одной из текущих hailstorm-кампаний рассылали поддельное письмо от имени Регистрационной палаты Великобритании. К этому письму был прикреплен вредоносный документ Word, поименованный Complaint.doc («Жалоба») и содержащий макрос, который при запуске загружал и запускал на исполнение банковского троянца — Dyre либо TrickBot.

«Существует несколько разновидностей hailstorm, — пишут исследователи. — Мы ожидаем, что эта техника будет и впредь развиваться по мере того, как антиспам-системы будут все больше и больше осложнять спамерам доставку полезной нагрузки».

Категории: Аналитика, Вредоносные программы, Спам