- Details
- Category: ไอที-เทคโนฯ
- Published: Wednesday, 14 February 2018 10:03
- Hits: 2129
ไอบีเอ็ม เตือนภัยสแปมเจาะกลุ่มเป้าหมายช่วงวาเลนไทน์
IBM X-Force เปิดเผยถึงอีเมลสแปมนัดเดทโดย Necurs ที่มีการปล่อยออกมาจำนวนมากนับตั้งแต่ช่วงกลางเดือนมกราคมจนถึงวันวาเลนไทน์ โดยในเวลาเพียงสองสัปดาห์ ได้มีการส่งอีเมลสแปมนี้บนเครือข่ายคอมพิวเตอร์ทั่วโลกมากถึง 230 ล้านฉบับ
Necurs เป็นบ็อตเน็ตที่มักสร้างแคมเปญสแปมขนาดใหญ่ และเชื่อว่าควบคุมบ็อตซอมบี้อยู่กว่าหกล้านตัว โดยบ็อตเน็ต Necurs มีการเชื่อมต่อกับกลุ่มมัลแวร์ที่แพร่กระจายโทรจันในธุรกิจธนาคาร เช่น Dridex และ TrickBot รวมถึงแรนซัมแวร์อย่าง Locky, Scarab และ Jaff
Necurs ไม่ใช่มัลแวร์ชนิดที่เรามักได้ยิน แต่ผู้ที่ปล่อย Necurs ทำการแพร่กระจายสแปมนี้โดยมีเป้าหมายเพื่อก่อให้เกิดความพยายามในการฉ้อโกงรูปแบบอื่นๆ ด้วย เช่น แคมเปญการหลอกลวงด้วยคำพูดหวาน ๆ
ในปี 2017 X-Force ตั้งข้อสังเกตว่า Necurs ส่งการหลอกลวงเรื่องหุ้นแบบ “pump & dump” จำนวนมาก โดยออกแบบมาเพื่อให้ผู้รับเชื่อว่าหุ้นเพนนีกำลังจะมีมูลค่าสูงขึ้น เมื่อมีคนซื้อหุ้นมากพอและมูลค่าของหุ้นเพิ่มขึ้นจริง ผู้ที่ปล่อยสแปมจะขายหุ้นของตนเองทั้งหมดในจุดที่พวกเขาทำกำไรได้ หุ้นเพนนีจะราคาตกลงจนถึงมูลค่าที่แท้จริงของตลาด และผู้ที่ซื้อหุ้นไว้จะพ่ายแพ้โดยไม่ได้รับสิ่งใดตอบแทน ในช่วงต้นปี 2018 บ็อตเน็ตยังเป็นส่วนหนึ่งของกระบวนการหลอกลวงเกี่ยวกับ cryptocurrency และล่าสุดอีเมลสแปมนัดเดทก็เป็นแคมเปญหลักอีกตัวหนึ่งที่เชื่อมโยงกับ Necurs
ปล่อยสแปมจำนวนมากช่วงเทศกาล
การล่อเหยื่อตามช่วงเทศกาลอาจถือเป็นคุณลักษณะอันดับต้นๆ ของอีเมลสแปม โดยในช่วงไตรมาสแรกของปีมักเกิดการระบาดของอีเมลสแปมช่วงเทศกาลภาษี และการหลอกลวงด้วยคำพูดหวานๆ ที่เริ่มต้นขึ้นในเดือนมกราคมจนถึงวันวาเลนไทน์
ในแคมเปญปัจจุบันของ Necurs ได้มีการส่งอีเมลสแปมแล้วมากกว่า 230 ล้านข้อความภายในสองสัปดาห์ โดยบ็อตเน็ตได้กระจายข้อความนับสิบๆ ล้านข้อความในสองช่วงหลัก คือช่วง 16-18 มกราคม และช่วง 27 มกราคม-3 กุมภาพันธ์
สแปมที่เลือกใช้คำได้เป็นอย่างดี
จากข้อความที่ได้ถูกส่งออกไปทางอีเมลแล้วมากกว่า 30 ล้านฉบับในแต่ละวัน พบว่าล้วนเป็นข้อความอีเมลสั้นๆ ซึ่งน่าจะมาจากหญิงชาวรัสเซียที่อาศัยอยู่ในสหรัฐอเมริกา โดยอีเมลเหล่านี้เลือกใช้ถ้อยคำได้เป็นอย่างดี ซึ่งต่างจากอีเมลสแปมทั่วไปที่มักมีการสะกดคำและไวยากรณ์ที่ไม่ถูกต้อง ทั้งนี้ อีเมลสแปมแต่ละฉบับจะมาจากอีเมลแอดเดรสแบบใช้แล้วทิ้งที่มีชื่อของผู้ส่งที่ถูกแอบอ้างอยู่ โดยจะขอให้ผู้รับติดต่อผู้เขียนกลับโดยใช้อีเมลแอดเดรสอีกอันที่มีชื่อของบุคคลอื่นอยู่
ข้อความจำนวนมากบ่งชี้ว่าผู้รับเหล่านี้มีโปรไฟล์อยู่บน Facebook หรือ “Badoo” ซึ่งเป็นแอพนัดเดทที่โด่งดังเป็นอันดับสามในรัสเซีย และเปิดให้ผู้ใช้จากทั่วโลกเข้าถึงได้
การหลอกลวงด้วยคำพูดหวานๆ และข้อความสแปมเชิญชวนจากสตรีถือเป็นรูปแบบเก่า โดยอีเมลเหล่านี้มักประกอบด้วยข้อความพื้นฐานซึ่งดูเหมือนไม่มีอะไรและไม่ได้ดึงดูดความสนใจนัก อย่างไรก็ตาม ปริมาณอีเมลที่ส่งออกจำนวนมากก็สามารถนำสู่เปอร์เซ็นต์การตอบกลับของผู้รับจำนวนมากด้วยเช่นกัน โดยแคมเปญนี้จะดึงดูดให้เหยื่อแชร์รูปภาพและข่มขู่พวกเขาเพื่อบังคับให้จ่ายเงินหรือจบลงด้วยการได้รับมัลแวร์
อิทธิพลของสแปม Necurs
X-Force สามารถบันทึกปริมาณอีเมลสแปมนี้ได้มากกว่า 230 อีเมลจากบ็อตเน็ต Necurs ซึ่งเป็นบ็อตเน็ตที่ทำให้เกิดความสามารถในการแพร่กระจายอีเมลขยะจำนวนมาก
สแปมถูกส่งจาก IP แอดเดรสที่แตกต่างกันประมาณ 950,000 IP แอดเดรส โดยผู้ส่งอันดับต้นๆ นั้นเป็นแอดเดรสที่โฮสต์ผ่าน ISP ของปากีสถาน IP และแอดเดรส (103.255.5.117) เหล่านี้ถูกรายงานว่าเป็นสแปมเมอร์ถึง 655 ครั้ง ณ เวลาที่เขียนบทความนี้ อีกทั้งยังถูกจัดอันดับว่ามีความเสี่ยงระดับ 10 จากคะแนนเต็ม 10 อ้างอิงตาม IBM X-Force Exchange
ผู้ส่งอีเมลเหล่านี้โฮสต์ IP ถึง 55% ที่เวียดนามและอินเดีย โดยการสับเปลี่ยนทรัพยากรที่ใช้ในแคมเปญและต้นทางของ IP ไม่ได้ก่อให้เกิดประโยชน์ใดๆ กับกลุ่มสแปมเมอร์ หรือช่วยหลีกเลี่ยงการขึ้นบัญชีดำและการบล็อก และคาดว่าวิธีการนี้จะไม่ถูกนำมาใช้ในครั้งถัดไป
Necurs อาจถือเป็นอาชญากรไซเบอร์ที่แพร่กระจายสแปมที่ใหญ่ที่สุด นับตั้งแต่ได้มีการกำจัดบ็อตเน็ต Andromeda และ Avalanche ลง โดยจากการเฝ้าติดตาม X-Force พบว่า Necurs สามารถดึงดูดทั้งสแปมเมอร์ระดับล่างและกลุ่มที่มีชื่อเสียงเป็นที่รู้จักเข้าร่วมกระบวนการ
หยุดสแปม
กลุ่มผู้อยู่เบื้องหลัง Necurs และบ็อตเน็ต ทำงานโดยมีเป้าหมายเดียวคือการทำให้ข้อความสแปมไปอยู่ในเมลบ็อกซ์ของผู้คนโดยไม่ถูกกรองหรือบล็อก โดยบ็อตเน็ตเหล่านี้มักสับเปลี่ยนวิธีต่างๆ เช่น เปลี่ยนประเภทของสแปมที่แพร่กระจาย ปกปิดสแปมเหล่านี้ในไฟล์หรืออีเมลรูปแบบต่างๆ เป็นต้น ทำให้สแปมจาก Necurs สามารถหาทางเข้าสู่เมลบ็อกซ์ของผู้บริโภคและพนักงานบริษัทได้ในที่สุด และวิธีการที่ดีที่สุดในการขัดขวางอีเมลเหล่านั้นคือการให้การศึกษาและทำให้พนักงานในองค์กรตระหนักเกี่ยวกับประเภทของอีเมลประสงค์ร้ายที่ไม่ควรเปิดหรือตอบกลับใดๆ
เคล็ดลับสำหรับการจัดการกับอีเมลสแปมมีดังนี้
- อย่าตอบอีเมลประเภทนี้ – นักวิจัยกล่าวว่า มีความเป็นไปได้ถึง 99.999% ที่อีเมลไม่พึงประสงค์ที่พยายามหลอกลวงคนที่มองหาความสัมพันธ์ด้านความรักนั้นจะเป็นอันตราย ฉะนั้นจึงห้ามตอบสนองใดๆ แฮ็กเกอร์เพียงต้องการหาวิธีการที่จะทำให้คุณติดมัลแวร์หรือเพื่อหลอกลวงคุณ
- คงสถานภาพการบอกรับเป็นสมาชิกอีเมลไว้ – อย่ายกเลิกการรับอีเมลสแปม แต่ให้ตั้งค่าระบุว่าอีเมลเหล่านี้เป็นสแปมหรืออีเมลขยะแทน เพราะการแจ้งยกเลิกการรับสมาชิกอีเมลทำให้ผู้ปล่อยสแปมสามารถตรวจสอบได้ว่าอีเมลแอดเดรสนั้นๆ แอ็คทีฟอยู่
- อัพเดตแพ็ตช์อย่างสม่ำเสมอ – อัพเดตระบบปฏิบัติของคุณในทันทีที่มีอัพเดตใหม่และแพ็ตช์ใหม่ มัลแวร์ส่วนใหญ่จะใช้ช่องโหว่จากซอฟต์แวร์เวอร์ชันเก่าเพื่อให้คุณติดไวรัส
- การเชื่อมต่อที่เชื่อถือได้ – ดำเนินการกับข้อความและอีเมลที่ไม่พึงประสงค์ให้เหมือนเป็นสแปม ไม่ควรเปิดข้อความและอีเมลเหล่านั้น ไม่ควรคลิกลิงค์ เปิดไฟล์แนบ หรือปฏิบัติตามคำแนะนำในอีเมลนั้นๆ
Spammers Go All in to Find a Valentine Victim
Love is in the air, or in this case, in your spam folder. IBM X-Force has observed a massive uptick from the Necurs botnet focused on dating spam. The uptick started in mid-January 2018 and continues as time draws near for Valentine’s Day on February 14th.
The Necurs botnet is notorious for its massive spam campaigns, believed to control over six million zombie bots. This botnet is most known for its ties to malware gangs that spread banking Trojans like Dridex and TrickBot, as well as ransomware such as Locky, Scarab, and Jaff.
But Necurs is not only about malware – its operators dabble in distributing spam for other fraud endeavors as well, which brings to light this recent romance scam campaign.
In 2017, X-Force has observed Necurs to send mass amounts of “pump & dump” stock scams designed to make recipients believe a penny stock is about to rise in value. Once enough people buy the stock, and it actually rises in value, the scammers sell off their shares, at which point they make a profit. The penny stock then drops back to its real market value and those who bought it can easily be left with nothing but losses. In early 2018, the botnet was part of large cryptocurrency scams, and this latest bout of dating spam is yet another major campaign linking Necurs with shady online activity.
Massive Spam in Season
Preying on seasonal trends is probably the top characteristic of email spam. The first quarter of the year typically plagues email recipients with tax season spam and romance scams that start arriving in January, leading up to Valentine’s Day.
The current campaign from Necurs has reached over 230 million spam messages within a matter of two weeks, as the botnet spewed dozens of millions of messages in two major bouts. The first surge started on January 16 through January 18 and the second surge started on January 27 and died down on February 3rd.
Well-Worded Spam
Looking at the messages being sent out in excess of 30 million emails a day, the current campaign delivers short email blurbs from supposed Russian women living in the US. While typical spam email is notorious for bad spelling and grammar, the samples are rather well-worded.
Each spam email comes from a disposable email address carrying the alleged writer’s name, but then asks the recipient to contact the writer back using another email address with another person’s name on it.
Many of the messages indicated that the recipient had a profile on Facebook, or on “Badoo” – a dating-focused social network, founded in 2006 by CEO Andrey Andreev, a Russian entrepreneur. Badoo is the third most popular dating app in Russia but is available internationally, which could explain the link between emails specifically from professedly Russian ladies to American men.
Romance scams and spam featuring messages from supposed interested women is an old ploy. Such emails usually feature nothing more than some basic text, and are not very likely to lure many people in. However, when it comes to spam, mass volume makes for a numbers game and the percentage of recipients that do reply. Those behind this campaign will likely lure their victims to share revealing photos and extort them, ask for money to come visit, or end up infecting them with malware.
Necurs’Spamming Power
Overall in this vast campaign, X-Force recorded over 230 million dating spam emails from the Necurs botnet, bringing to light its current capacity to distribute very large amounts of junk email.
The spam was sent from roughly 950,000 different IP addresses. The top sender on the IP list was an address hosted via a Pakistani-based ISP. That IP address (103.255.5.117) had been reported as a spammer 655 times at the time of this writing and is currently rated as having a risk of 10 out of 10 according to the IBM X-Force Exchange.
The top senders were headed by Vietnam and India that, together, hosted originating IPs of 55% of the spam in this campaign.
It’s worth noting here that spammers constantly shuffle the resources they leverage in campaigns and the originating IPs logged in one campaign, are not likely to be used in the next one, in order to avoid blacklists and blocking.
After the recent takedown of the Andromeda botnet, and Avalanche before it, Necurs is probably the largest spam distributor serving cybercriminals at this time. X-Force research and ongoing monitoring of Necurs’ activity prove that its established status in the cybercrime world attracts both lower grade spammers and the elite gangs to its operators, in a quest to spread their malware and scams.
Say No to Spam
The operators of Necurs and other botnets task themselves with one goal: getting spam messages into people’s mailboxes without being filtered or blocked. These botnets often shuffle their methods to keep their “business” going, changing up the types of spam they spread and the ways to conceal it in varying file types and email ploys. As a result, it is possible that spam from Necurs would find its way into both consumer and employee mailboxes and the best way to thwart these emails is with employee awareness and education about the types of malicious emails that should never be opened or responded to.
Tips for dealing with e-mail spam include:
• Tainted Love – with 99.999% certainty, researchers say any unsolicited e-mail looking for a love connection is nefarious. Don’t respond, hackers are just looking to infect you with malware or capture you in a catfishing scam.
• Stay Subscribed - don’t unsubscribe from spam. Instead, mark it as spam or junk and keep your email address private. Spam operators look for unsubscribers to reply so they can verify that the address is active.
• Punctual Patching - always update your operating system as soon as new updates and patches are available. Most malware takes advantage of old versions of software to infect you.
• Trusted Connections - treat unsolicited text messages and emails as spam and never open them. Never follow links, open attachments or follow instructions contained in these messages.
Media contacts: Paranee Reymondon
IBM Thailand Co., Ltd. Tel: +66 2 273 4164 Email: [email protected]
