复杂的僵尸网络发送伪造的毒品邮件被确认

一个运营着50多家销售假药的假冒网上药店的大型僵尸网络已被确认。

在网站安全公司Imperva Incapsula截获了来自该网络的编码通信后，该僵尸网络被曝光，其中包括超过86000台受损电脑。

在此之前，最近的协调拆除Kelihos Botnet.这已经发送了数亿块垃圾邮件广告假毒品。

Imperva注意到了这个骗局，并展开了长达一个月的调查，因为该公司注意到“由我们的安全规则触发的base64编码请求数量异常之多”。

进一步检查发现，这些编码的请求源自一个大型僵尸网络，涉及三种类型的订单:为了修改某些文件，使访问者重新进入假药店，向受威胁的网站注入定制的恶意软件，设计成垃圾邮件，并深度编码的信息(有效载荷)，旨在被恶意软件解码，以推销假药。

”在一起,请求了一个卑鄙的三管齐下的垃圾邮件攻击”,工作路线的游客不存在(404)的url在垃圾邮件商品涉嫌销售假冒药物,该公司表示。此外，这些命令是一种“精心设计的攻击”，旨在绕过垃圾邮件过滤器。

Imperva称:“这种骗局是通过将两个受威胁的域名配对来实现的——一个用来发送垃圾邮件，另一个用来将访问者引导到假冒药店。报告。

该公司表示，这个骗局很复杂，通过一个互相链接的网站网络运行，这些网站每天都会发送垃圾邮件。

“制作这样的作品需要团队合作。根据我们所看到的一切，毫无疑问我们要对付的是一场大范围的犯罪活动。考虑到僵尸网络所服务的相对低资源功能，它惊人的规模说明了其运营商在该计划中投入的努力，以及他们为掩盖踪迹所花的时间，”Imperva说。

这些电子邮件所链接的电子商店在广告中被发现是一家“加拿大药店”，“尽管事实上大多数是.ru域名，没有一家是在加拿大托管的”。

在调查过程中，Imperva的研究人员拦截了51个网站的详细信息，这些网站被垃圾邮件发送者用来销售假药，一般是勃起功能障碍药物伟哥，它们位于中国、马来西亚、越南、乌克兰、法国、台湾、俄罗斯、印度尼西亚和罗马尼亚。

“追溯这些网站的ip地址，我们发现了1005个更活跃的域名，可能是垃圾邮件发送者使用的。其中70%在俄罗斯举办，其余在法国举办。”

“加拿大制药”骗局已经存在多年，是世界上最大的制药公司电子邮件骗局之一，主要是宣传假的壮阳药和止痛药，它与有组织的犯罪集团有关，尤其是俄罗斯的犯罪集团。据估计，这个市场的规模为4310亿美元。

Imperva说：“我们的分析显示，垃圾邮件广告系列是如何发展的，并且该方法已经进化到绕过了火车垃圾邮件过滤器。”

Imperva的调查已转交给执法机构。今年4月，俄罗斯人彼得·尤里耶维奇·列瓦瑟夫在西班牙被捕，他被认为是巨大的Kelihos僵尸网络的幕后操纵者，该僵尸网络发送了数亿封虚假电子邮件，宣传假药并安装恶意软件。美国目前正在瓦解Kelihos僵尸网络。

Imperva表示，该公司认为其调查可能一直在跟踪Levashov的僵尸网络，但逮捕Amerva的僵尸网络的活动增加了11％。“这表明它不是那个被取消的人，实际上可能会因删除突出的竞争对手而受益。”