После заметного спада в 2011 году, в начале нынешнего произошел заметный всплеск спам-писем, содержащих вредоносный код – в феврале их количество выросло в 200 раз. Специалисты компании M86 Security объясняют это активизацией ботнета Cutwail – он также известен под названиями Pandex, Mutant и Pushdo.
Ботнет Cutwail считается уже довольно старым: пик его активности наблюдался пять лет назад, когда он насчитывал 1,6 млн зомби-ПК. Однако позднее неизвестные хакеры сумели скомпрометировать систему и раскрыть имена клиентов и продавцов незаконных услуг – после этого Cutwail потерял свои позиции на черном рынке.
По словам сотрудников M86 Security, на протяжении нескольких последних недель они наблюдали несколько волн HTML-писем, содержащих вредоносный сценарий на JavaScript. Данный сценарий использует известные бреши в различном ПО – такие, как уязвимости в старых версиях Acrobat Reader. Иногда он устанавливает в систему троянское приложение Cridex. Для управления зомби-компьютерами ботнет использует популярный на черном рынке набор эксплойтов Phoenix Exploit Kit.
В период с 23 по 25 января общее количество инфицированных email-сообщений было превышено в 50 раз по сравнению со среднестатистическими данными. Последующие три волны рассылок, наблюдавшиеся уже после 6 февраля, увеличили количество рассылаемых писем в 200 раз.
Согласно M86 Security, все признаки указывают на то, что эти письма рассылались с зараженных компьютеров, действующих под управлением Cutwail. Зараженные письма содержали в теме сообщения такие строки, как «FDIC Suspended Bank Account», «End of August Statement» и «Scan from Xerox WorkCentre».
По данным M86 Security, сейчас уже 15,8% спама во всем мире контролируется ботнетом Cutwail.
Антон Платов