Отчеты по спаму и фишингу

Спам в мае 2014

Особенности месяца

В преддверии летнего сезона пользователи Рунета получали спам с предложением летнего отдыха для детей. Еще один вид сезонного спама, зафиксированного в мае – предложения для школьников и студентов по выполнению дипломных, курсовых, рефератов и других контрольных работ, а также продажа готовых дипломов, ученых степеней и программ дистанционного обучения.

Летний отдых для детей

В период конца учебного года и начала летних отпусков спамеры активно рассылают туристический спам и другие предложения, связанные с летним отдыхом; ежегодно на протяжении летних месяцев мы фиксируем увеличение спама данной тематики. Май этого года не стал исключением: мы обнаружили в спам-траффике Рунета рассылки с предложением отдыха для детей — семейные туры, путевки в лагеря и даже необычные варианты отдыха в городе. Родителям предлагали не только пляжный отдых со скидками, но и разнообразные обучающие программы для детей на отдыхе, в том числе и с изучением английского языка и подготовкой к школе для дошкольников.

may-2014_spam-report1

Услуги переводчиков

В марте мы уже писали о том, что за последний год значительно увеличилось количество спам-рассылок от имени различных переводческих агентств. Большая часть спама данной тематики приходилась на иноязычный сегмент Интернета, но в мае ситуация несколько изменилась, и теперь мы наблюдаем внутри Рунета множество рассылок с рекламой агентств, предлагающих выполнение переводов различной сложности и тематики.

may-2014_spam-report2

Как правило, в таких письмах напрямую не указывается название конкретного агентства, но всегда даются контакты для связи, часто сильно зашумленные. Иногда может присутствовать ссылка на сайт, также зашумленная – для обхода спам-фильтра. Внимание получателя авторы таких рассылок пытаются привлечь информацией о различных скидках, акциях и прочих выгодных предложениях.

Дипломы и ученые степени

Май – это пора выпускных экзаменов в школах и экзаменационной сессии в ВУЗах. В это время повышается спрос на услуги выполнения различных видов студенческих работ, и, соответственно, увеличивается количество спама от компаний, занимающихся написанием курсовых, дипломных, рефератов, контрольных и прочих работ за деньги.

may-2014_spam-report3

Но этим список предлагаемых услуг не ограничивается: за определенную плату спамеры обещают в кратчайшие сроки выполнить и такие виды работ, как чертежи, сочинения, эссе или просто составить ответы на данные пользователем экзаменационные вопросы. Встречаются даже предложения заполнить дневник производственной практики. Внимание пользователей к таким письмам обычно привлекается говорящими заголовками наподобие «Помощь студентам» или «Диплом без проблем».

В некоторых рассылках пользователям предлагалось не купить готовую работу, а самим выполнить заявки нерадивых студентов и заработать на этом. Для этого в письме указывается ссылка на сайт, где можно подобрать заказы интересующей тематики. Логично предположить, что такая взаимопомощь является риском как для автора заявки на реферат, так и для исполнителя, поскольку ни спамеры, ни владельцы сайтов-посредников не гарантируют качества работы или оплату заказа.

Еще один вид рассылок, обнаруженный нами в мае, содержал предложения купить уже готовый диплом о высшем образовании любого российского ВУЗа. Надо ли говорить, что многие работодатели сегодня проверяют подлинность дипломов, а кроме того подделка, изготовление или сбыт поддельных документов подпадает под статью УК РФ.

Для связи и размещения заказа получателям спама предлагают ответить на письмо. Стоит отметить, что в последнее время набор средств для связи и общения с авторами спам-рассылок значительно расширился. Теперь он не ограничивается стандартными звонками через Skype, перепиской по ICQ или электронной почте, но включает и новые популярные виды связи, например, мессенждеры WhatsApp и Viber.

Страхование всего и от всего

Еще одной актуальной в минувшем месяце темой стало страхование различных рисков. В Рунете по количеству предложений лидировали услуги автострахования: спамеры предлагали пользователям подобрать наиболее выгодный вариант покупки полиса КАСКО. Адреса отправителей таких писем, как и их имена, были сгенерированы автоматически, а ссылка из письма через редирект вела на сайт, где пользователям предлагалось ввести данные своего полиса ОСАГО и с помощью онлайн-калькулятора узнать стоимость КАСКО, подобрать наиболее оптимальное предложение и оформить доставку полиса в удобное время и место.

may-2014_spam-report4

Авторы еще одной рассылки предлагали купить страховку от укусов клеща, не выходя из дома, причем от имени одной из лидирующих компаний страхового рынка России. Ссылка в письме вела на сайт с подробной информацией о страховании и возможностью заказать и оплатить полис онлайн. Однако данный сайт не имел отношения к страховой компании, предоставляющей данную услугу; на нем не было даже ссылки на официальный ресурс, присутствовал только логотип компании. Оплатить услугу предлагалось лишь одним способом – с помощью карты Visa/MasterCard, в то время как на официальном сайте страховой компании данную услугу можно оплатить онлайн с помощью большего количества платежных сервисов. Все это навело нас на мысль, что мы имеем дело с попыткой мошенничества с целью получить данные банковских карт пользователей. Тем более, что письма приходили с разных адресов, также не имевших отношения к страховой компании.

Доля спама в почтовом трафике

may-2014_spam-report5_sm

Доля спама в почтовом трафике

В среднем доля спама в почтовом трафике в мае составила 69,8%, что на 1,3% меньше по сравнению с показателями предыдущего месяца. Наибольший показатель уровня спама наблюдался в третью неделю месяца (72,1%), наименьший – в середине месяца (69%).

Вредоносные вложения в почте

В мае TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом.

ТОР 10 вредоносных программ, распространяемых по электронной почте

В мае наконец произошли изменения в самой верхушке нашего рейтинга – лидирующую позицию занял Exploit.JS.CVE-2010-0188.f, отодвинув на вторую строку уже так хорошо известного нам Trojan-Spy.HTML.Fraud.gen. Exploit.JS.CVE-2010-0188.f – зловред использующий уязвимость в Acrobat Reader версии 9.3 и ниже и распространяющийся в виде pdf-файлов. Уязвимость проявляется при обращении к полю, содержащему определённо сформированное TIFF-изображение, вследствии чего происходит передача управления на код злоумышленник, который в свою очередь устанавливает и запускает вредоносное ПО.

На 3, 4, 6 и 10 позициях расположились зловреды семейства Bublik, которые в прошлом месяце занимали восемь позиций из первых десяти. Основная функция программ такого типа – несанкционированная загрузка и установка на компьютер-жертву других вредоносных программ. После выполнения задачи программа копирует себя в папку %temp%. Маскируется под приложение или документ компании Adobe. При этом в случаях с Trojan.Win32.Bublik.cpik и Trojan.Win32.Bublik.cpil скачивается уже хорошо знакомый нам троянец ZeuS/Zbot. Этот зловред способен выполнять различные вредоносные действия, но чаще всего он используется для воровства банковской информации. Также он может устанавливать CryptoLocker – вредоносную программу, вымогающую деньги за расшифровку данных пользователя.

Пятую позицию рейтинга занимает Trojan-Banker.Win32.ChePro.ilc — банковский троянец, нацеленный на пользователей бразильских банков. Как и положено зловреду этого типа, крадет банковскую информацию и пароли.

На седьмой строчке также разместился примечательный зловред Trojan-Downloader.Win32.Agent.heek — даунлоадер который выкачивает троянские программы-шпионы, предназначенные для кражи конфиденциальной финансовой информации. В основном такие программы нацелены на бразильские и португальские банки.

may-2014_spam-report7

Распределение срабатываний почтового антивируса по странам

В рейтинге стран по количеству срабатываний почтового антивируса на первое место вышла Великобритания (13,5%), которая прибавила в мае 3,5%. США (9,9%) опустились на вторую строчку, потеряв 1,8%, а Германия (8,2%) так и осталась на третьей позиции.

Из новичков нашего рейтинга стоит отметить Колумбию (1,83%), которая оказалась в 20-ке стран лидирующих по количеству срабатываний антивируса. А вот Россия, наоборот, в мае покинула список стран с наибольшими показателями срабатываний антивируса.

Показатели других стран существенных изменений в мае не претерпели.

Особенности вредоносного спама

Тема страхования присутствовала не только в тематическом спаме, но и в майских рассылках, содержащих вредоносные вложения. Например, нам встречались сообщения на немецком языке с заголовками «Вы не оплатили ежемесячный страховой взнос» и уведомлением о том, что в следующем месяце процентная ставка изменится. Такие письма содержали ссылку якобы на подробную информацию по теме письма, и если получатель кликал по ней, на его компьютер загружался ZIP-архив под названием «Dokumentation» (документация) или либо «Rechnung» (счёт). И в том, и в другом случае в архиве находился зловред Backdoor.Win32.Androm.dsqy. Представители семейства Andromeda – бэкдоры, позволяющие злоумышленникам незаметно управлять зараженным компьютером. Часто зараженные такими программами компьютеры становятся частью ботнета.

may-2014_spam-report8

Также в мае злоумышленники рассылали поддельные уведомления от имени популярного онлайн-магазина iTunes Store. Получателю сообщали о якобы произошедшей покупке приложения, причем в письме указывалось название приобретенного пользователем ПО и его стоимость. В приложенном архиве, где должен был быть счет на покупку, на самом деле находился зловред Trojan-Banker.Win32.Shiotob.f. Троянцы этого семейства крадут сохраненные в FTP-клиентах пароли, а также «прослушивают» интернет-трафик браузеров, чтобы украсть данные для авторизации на различных сайтах.

may-2014_spam-report9

Жертвами еще одной атаки могли стать клиенты крупной энергокомпании E.ON, занимающейся производством и поставкой электроэнергии и тепла во многих странах, включая Россию. От имени компании рассылалось письмо с ее логотипом и текстом следующего содержания: «Данным письмом доводим до Вашего сведения, что нам не удалось обработать Ваш последний платеж. Подробности смотрите во вложении». Во вложенном архиве находился Trojan-Spy.Win32.Zbot.svvs – очередной представитель популярного семейства Zbot, предназначенный для кражи персональных данных, в первую очередь банковской информации.

may-2014_spam-report10

Фишинг

По итогам мая рейтинг атакованных фишерами организаций продолжают возглавлять почтово-поисковые порталы (32,3%), их показатель по итогам месяца увеличился всего на 0,5%. Вторую строчку занимают социальные сети (23,9%) во главе с Facebook. Показатель финансовых и платежных организаций (12,8%) увеличился на 0,2%, как и показатель онлайн-магазинов (12,1%), которые продолжают удерживать 4-е место. Доля фишинговых атак на организации категории «Телефонные и интернет-провайдеры» по сравнению с апрелем, наоборот, уменьшилась на 0,4%.

may-2014_spam-report11

Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Часто поддельные сообщения о налогах рассылаются мошенниками с целью установки на компьютеры пользователей Интернета различных вредоносных программ. В мае в наши ловушки пришло фальшивое уведомление от имени государственной налоговой службы Южной Африки, в котором во вложении содержался не вредоносный файл, а фишинговая HTML-страничка. Злоумышленники пытались убедить получателя ввести в ее поля данные своей банковской карты под предлогом возврата некоторой суммы с ранее уплаченных налогов. Для придания страничке легитимного вида мошенники использовали логотип службы, а в поле From использовали не только название государственной компании, но и официальный адрес sars.gov.za в качестве доменного имени сервера.

may-2014_spam-report12

Заключение

Доля спама в мировом почтовом трафике в мае уменьшилась на 1,3% и составила 69,8%. Наибольший показатель уровня спама наблюдался в третью неделю месяца — 72,1%.

Приближение летнего сезона и окончание учебного года спамеры использовали для рассылки туристического спама с рекламой различных вариантов летнего отдыха для детей, услуг по написанию разнообразных студенческих и школьных работ, а также предложений купить готовые дипломы любого интересующего ВУЗа. Ежегодное увеличение количества туристического спама, связанного с сезоном отпусков, ожидается и этим летом. Еще одной темой, эксплуатируемой спамерами в мае, стало страхование от самых разнообразных рисков, в первую очередь страхование автомобиля.

Лидером среди вредоносных программ, распространяемых по почте, в мае остался троянец Trojan-Spy.HTML.Fraud.gen. Количество представителей зловредов семейства Bublik в нашем рейтинге заметно уменьшилось – в мае за ними сохранилось «лишь» пять позиций.

По итогам мая рейтинг организаций, атакованных фишерами, не претерпел существенных изменений. Возглавляют рейтинг почтово-поисковые порталы (32,3%). Вторую строчку удерживают социальные сети (23,9%), замыкают тройку финансовые и платежные организации (12,8%).

Спам в мае 2014

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике