В некоторых экзотических странах водятся жуки, которые питаются муравьями, а из их экзоскелетов сооружают себе на спине камуфляж для маскировки. Что общего у насекомых Acanthaspis petax и операторов спам-рассылок? И те и другие прикрывают свою активность с помощью множества экзоскелетов или аккаунтов-пустышек для охоты и ухода от хищников либо антиспам-систем.

Мы  рассказывали , как мошенники научились рассылать фишинговые сообщения, прикрываясь Google Looker Studio. И вот спустя несколько месяцев злоумышленникам удалось «приручить» еще один сервис Google — YouTube. Письма якобы от видеохостинга  начали массово поступать на адреса сотрудников российских компаний. Внутри сообщений было обсуждение ролика с предложением мгновенного заработка через крупную инвестиционную платформу. Однако есть нюанс: отправители этих писем желают только нажиться на наиболее доверчивых получателях писем. Каким образом спамеры научились использовать популярный видеохостинг для распространения мошеннического контента, и какие существуют способы борьбы против нового приема злоумышленников рассказывает руководитель отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T. Антон Афонин.

Подозрительные письма от YouTube

В мае специалисты F.A.C.C.T. с помощью автоматизированной системы защиты электронной почты Business Email Protection зафиксировали массовые спам-рассылки якобы от имени YouTube на  электронные почтовые ящики  сотрудников крупных  компаний в России. В письмах было сообщение от видеохостинга о том, что на один из комментариев к некоему ролику был оставлен ответ. Название видео в письмах сообщало о «новом проекте от именитого фин-бренда».

Получатель сообщения не имел никакого отношения ни к видеоролику из письма, ни к оставленному комментарию. Более того, имя, отображаемое в письме никак не соответствовало его имени получателя.

Такая несостыковка, с одной стороны, должна всерьез насторожить пользователя, получившего  письмо. Однако эту деталь можно не заметить, либо любопытство может заставить потенциальную жертву перейти по ссылке и просмотреть отправленный контент. Именно жертву, ведь все это часть продуманной мошеннической схемы.

А точно ли это скам?

Перейдем по ссылке из описания к видео. В начале нас встречает незамысловатая капча, в которой необходимо вычислить простейшее арифметическое выражение.

Да, это абсолютно нормальная практика — защищать свои ресурсы при помощи капчи. Однако если присмотреться к данной форме, можно заметить, что выражение не изменяется при обновлении страницы. А исходный код дает четкий и однозначный ответ на вопрос, почему же это происходит:

Выражение банально «захардкожено», а скрипт всегда проверяет, что в поле ввода введено «16». Капча нужна этому сайту не для защиты от атак, а для того, чтобы скрыть дальнейшее содержимое подальше от глаз систем информационной безопасности, автоматически анализирующих содержимое страниц по ссылкам, размещенным, например, в электронных письмах.

Дальше уже  продолжается классический инфоскам. После капчи нас встретит скрипт с опросом, определяющим финансовое положение, который завершится формой ввода персональных данных. Через некоторое время после заполнения формы с потенциальным «клиентом» связывается «специалист», который представится персональным менеджером и помогает новому клиенту в открытии счета и первых шагах. Все деньги, которые клиент переводит на этот счет, чтобы «начать зарабатывать», окажутся в руках мошенников.

Анализ механизма рассылки

Каким образом спамерам удалось прикрыться сервисом YouTube для рассылки потенциально опасного содержимого? Внимание: дальнейшее описание приводится исключительно в исследовательских целях.

На самом деле платформа даже не подозревает, что от ее имени рассылались представленные письма, а алгоритм действий злоумышленников был следующим:

1. Спамеры зарегистрировали новый YouTube-канал и разместили на нем несколько видео различной тематики. Это нужно для того, чтобы придать каналу естественный вид и вывести его из-под подозрений алгоритмов платформы. Помимо «подборок приколов» и видео с животными, авторы канала опубликовали видео «НОВЫЙ ПРОЕКТ ..». Ссылка на этот ролик и была в одном из рассмотренных нами писем. 

2. Далее от другого аккаунта, назовем его Пользователь №2, они оставили комментарий под указанной видеозаписью.

3. Затем уже от третьего аккаунта, назовем его Пользователь №3, спамеры дали ответ на комментарий. Затем комментарии к видео ими были закрыты.

4. В результате Пользователь №2 получил от платформы YouTube письмо-уведомление, содержащее ссылку на ролик и информацию о том, что на оставленный им комментарий под видео был дан ответ. В рассмотренном нами письме Пользователь №2 носил имя Натальи Кожевниковой. Данное письмо действительно было сформировано YouTube и содержало корректную DKIM-подпись видео-хостинга:

5. Полученное таким образом письмо спамеры начали массово рассылать со своих серверов пользователям, чьи адреса оказались в списках массовой рассылки.

Рассылка не связана с какой-либо уязвимостью платформы YouTube или с какой-либо лазейкой в алгоритмах ее работы, как это было в случае с Looker Studio. В данном случае сервис обеспечил только получение одного подлинного письма, которое впоследствии массово рассылалось с собственных серверов спамеров.

Выявление рассылки.

Опасность рассылки заключается в том, что письмо содержит DKIM-подпись YouTube.com, которая позволяет подтвердить его оригинальность. Действительно, это подлинное письмо, составленное и отправленное алгоритмами YouTube, но его содержимое содержит ссылку на потенциально опасный контент.

Конечно, распознать такую рассылку возможно. Дело в том, что письма от YouTube могут быть отправлены с ограниченного количества серверов, принадлежащих компании Google. Email-адрес отправителя письма всегда должен на это указывать. В нашем примере email-адрес отправителя никакого отношения к YouTube не имел. Более того, свой ящик электронной почты злоумышленники пытались подменить  с помощью спуфинга на электронный адрес известного издательства бизнес-литературы. Проверка репутации сервера отправителя в системе F.A.С.С.T. Business Email Protection  показала, что его IP-адрес уже был замечен в спам-рассылках и содержится сразу в нескольких «черных списках».

Ну и последнее, но не менее важное условие. Каждое письмо содержит дату формирования (отправки). И это одно из полей, подписанных DKIM-подписью. Злоумышленники не могут изменить изначально проставленную в письме дату, так как после этого DKIM-подпись потребуется сформировать заново, чего они сделать не могут. Поэтому фактическая дата получения такого письма может сильно отличаться от даты его отправки. В приведенном примере «разрыв» составлял более суток.

Все эти признаки спам-рассылки выявляются системой защиты электронной почты F.A.C.C.T. BEP, не позволяя злоумышленникам доставлять письма с нежелательным контентом и защищая инфраструктуру от такого распространенного и актуального вектора атаки.

Но даже имея самые надежные и современные комплексы защиты электронной почты, всегда помните о правилах цифровой гигиены и не позволяйте ввести себя в заблуждение.