RSS
 

Archive for the ‘Spam’ Category

Kapade bloggar säljer bantningsmedel

24 Apr

De adresser som spam gör reklam för blir ofta snabbt svartlistade i olika tjänster vilket leder till att nya spam med reklam för samma adress blockeras. För att komma runt detta är det inte ovanligt att spammare attackerar legitima hemsidor och använder adresser på hemsidan. Ofta lägger de endast upp en html-fil med javascript som skickar vidare besökaren till deras egentliga sajt, men ibland kan de lägga upp en html-fil med innehåll och det är först när man klickar på något som man kommer vidare till spammarens egen sajt.

I en ny attack som började i april går spammarna ett steg längre. Spammarna attackerar hemsidor med WordPress installerat och lägger upp flera egna installationer av WordPress. Då WordPress sparar all information i MySQL-databas skapas MySQL-tabeller i samma databas som den ursprungliga WordPress-installationen använder, men med nytt prefix.

Resultatet blir en webshop som gör reklam för bantningsmedel.

Klickar man på något skickas man vidare till den egentliga webshopen som ligger på en domän som administreras helt av spammaren. Att de använder WordPress syns tydligare lite längre ner på sidan.

Här återfinns WordPress-inlägg med slumpade texter och ett arkiv över gamla inlägg. Det finns även länkar till andra WordPress-installationer spammaren lagt upp. Än så länge har de flesta installationer inte blockerats eller svartlistats av Google, en sökning ger nästan 20 000 träffar på Google. Att sökmotorer tycker om bloggar och länkar mellan sidor är bekant och det är sannolikt att dessa bloggar hinner klättra högre upp i sökmotorresultat innan de stoppas.

Ett undersökt konto hade blivit attackerat med en bruteforce-attack där spammaren testat att logga in på WordPress administrationssida med flera olika lösenord tills rätt lösenord hittades, men det är troligt att även andra attackmetoder används.

 
 

Spamtsunami i ett vattenglas

23 Feb

Stefan Thelberg, vd på e-postsäkerhetsföretaget Stej, rapporterar idag häpnadsväckande uppgifter till IDG. Han rapporterar att i Sverige ökade spammandet under tisdagen med 400%, alltså en femdubbling, och att det rör sig om uppskattningsvis 750 miljoner spam bara mot Sverige. Detta kan jämföras med till exempel Spamcops 2,3 miljoner rapporterade spam senaste dygnet för hela världen.

Inget annat säkerhetsföretag verkar ha noterat denna ökning och i de mailloggarna jag sett för svenska servrar märks inte någon ökad aktivitet. Det verkar alltså som att de 750 miljonerna spam främst drabbar kunder hos Stej.

 
 

Botnätet Waledac nertaget

03 Feb

Botnätet Waledac som används för att skicka spam har stött på nya motgångar. Microsoft, Symantec, Shadowserver och flera universitet har gått samman för att ta ner C&C-servrarna som botnätet använder. Förutom tekniska åtgärder har Microsoft lämnat in stämningsansökan för att få 273 domännamn avstängda. Statistik från Sudosecure visar att åtgärderna haft effekt.

Detta är inte första gången Microsoft använder juridik för att få bort Waledec, i september 2010 fick de genom domstolsbeslut 276 domännamn avstängda. Säkerhetsforskare har också kommit över en del av Waledacs data och hittade då inloggningsuppgifter till 123 920 hackade FTP-konto och 489 528 hackade mailkonton. Ytterligare läsning om Waledac finns i en 67-sidig rapport från TrendMicro.

 

Ny mask på Twitter

20 Jan

En ny mask sprider sig just nu på Twitter. Tidigare använde den goo.gl-adresser för att skicka vidare till filnamnet m28sx.html på olika domäner.

Klickar man på en länk får man upp en varningsruta och när man klickar på OK ser datorn ut att göra en sökning efter virus. Det är dock det falska antivirusprogrammet Security Shield som försöker installeras.

 

Spam från Europa ökar rejält

20 Jan

IDG berättar att Cisco idag publicerar sin rapport Cisco 2010 Annual Security Report. De har även ett filmklipp där rapporten sammanfattas. Mest intressant för svenskar är att spamutskicken från Västeuropa ökat rejält. 3 länder presenteras, Frankrike och Storbritannien där mängden spam fördubblats sedan 2009 och Tyskland som ökat med tio procent. Enligt rapporten beror detta delvis på bredbandsutbyggnaden i Västeuropa som gör det lättare att snabbt skicka ut stora mängder spam. En annan trolig orsak är att länder som tidigare haft stora problem med spamutskick tagit krafttag mot problemet. I Turkiet har utskicken minskat med 87% sedan 2009.

Andra problem som tas upp i rapporten är Stuxnet, money mules och sociala nätverk.

IDG rapporterar också att Sophos släppt en rapport, 2011 Threat Report, som även den diskuterar Stuxnet och sociala nätverk, men även sökmotorspam och falska antivirusprogram.

 
 

Joomla 1.6 öppet för spamutskick

12 Jan

Joomla 1.6 släpptes som stabil version 10 januari och samma dag upptäcktes ett säkerhetshål som gör att scriptet kan användas för att skicka ut spam.

Den enda kontrollen som görs är att meddelandet måste börja med en adress som hör till Joomla-installationen, i detta fall http://localhost/index.php. Spammaren kan själv välja vad som ska stå efter den adressen och vad som ska stå som avsändaradress och avsändarnamn.

För att skicka spam går man in på en speciell adress, till exempel http://localhost/index.php?option=com_mailto&tmpl=component&template=beez_20&link=BASE64 där BASE64 är det meddelande man vill skicka base64-kodat, i exemplet ovan:

http://localhost/index.php
SPAM SPAM SPAM
http://spamdomain.com/
SPAM SPAM SPAM

som base64-kodas till:

aHR0cDovL2xvY2FsaG9zdC9pbmRleC5waHANClNQQU0gU1BBTSBTUEFNDQpodHRwOi8vc3BhbWRv
bWFpbi5jb20vDQpTUEFNIFNQQU0gU1BBTQ==

Man kommer då till ett formulär där man anger mottagaradress, avsändaradress, avsändarnamn och ämne. Säkerhetshålet finns även i 1.5.22.

 
 

Rustock spammar igen

11 Jan

Botnetet Rustock som helt upphörde att skicka spam 26 december är nu igång igen enligt en blogg på NetWitness. Spammandet började igen i söndags och gör reklam för ökända Canadian Pharmacy.

Messagelabs meddelar att även Xarvester kommit igång igen.

 
 

Spammare tar en paus

06 Jan

Flera företag har noterat att antalet spam minskat rejält de senaste veckorna. Diagrammet nedan visar antalet spam i miljarder globalt. Data är från Senderbase.

Symantec konstaterar att tre botnets verkar ha tagit en paus. Först ut var Rustock som upphörde helt att skicka spam 26 december, strax efter följde Lethic 28 december och Xarvester 31 december. Ingen vet vad pausen beror på men man misstänker att pausen är tillfällig och att antalet spam snart återgår till normala nivåer.

Uppdatering 21 januari: Idag har även DN en artikel om det minskade spammet.

 
1 kommentar

Posted in Spam

 

Twitterspam efter Gawkerhack

13 Dec

I helgen blev Gawker Media hackade, både källkod och inloggningsuppgifter stals och spreds. Lösenorden sparades visserligen krypterat, men med hashingalgoritmen DES. En stor nackdel med denna algoritm är att lösenord på mer än 8 tecken kortas av så att endast de första 8 tecknen används. Det innebär att man bara behöver veta de första 8 tecknen i ett lösenord för att kunna logga in. Man får ett begränsat antal kombinationer av lösenord och kan realtivt snabbt ta fram ursprungliga lösenordet.

Intrånget ställde inte bara till problem för Gawker Media. På Twitter dök det inatt upp tiotusentals spaminlägg och den här gången berodde det inte på någon mask som spred sig. Istället verkar spammen komma från användare som har samma inloggningsuppgifter på Gawker som på Twitter. De stulna uppgifterna från Gawker används alltså för att logga in och skicka spam på Twitter.

Alla som har en sajt där inloggningsuppgifter sparas kan dra lärdom av detta, att använda en bra hashalgoritm och salt räcker långt.

Användare rekommenderas ofta att använda ett lösenord för varje konto, något som i praktiken är omöjligt. Däremot bör man ha flera olika lösenord man växlar mellan och gärna olika säkerhetsnivåer så att man har ett annat och svårare lösenord till sin internetbank än man har till en sida där eventuellt intrång ger minimal skada.

 
 

Spammare anmäler sig själv

30 Nov

Idag fick jag information om ett spamscript som skickar mail till skaparen av scriptet och meddelar vilken adress det befinner sig på. Det är ett smart sätt att hålla reda på adresserna och i bästa fall använder andra spammare samma script och skaparen får då information om detta.

I det här fallet blev det dock lite misslyckat, mailet till skaparen markerades som spam och webbhotellet fick alltså in en spamanmälan om mailet nedan.

Spamscriptet kunde alltså deaktiveras omedelbart, utan att det skickat ut något spam. Man kan också notera att skaparen av scriptet missat att \r och \n måste skrivas inom ” ”.