Спам и фишинг в третьем квартале 2015

 Скачать PDF-версию отчета

Спам: особенности квартала

Онлайн-знакомства

Тематика знакомств и свиданий типична для спама и встречается нам постоянно, однако в третьем квартале 2015 года поток подобных писем стал более разнообразным и этим привлек наше внимание. Мы обнаружили несколько интересных попыток ввести в заблуждение получателя и обойти спам-фильтр, а также зафиксировали новые виды рассылок, по сути близких к мошенничеству.

Обычно главная задача спамеров в рассылках данной тематики – реклама недавно созданных и нераскрученных сайтов знакомств. Владельцы таких сайтов прибегают к спаму, чтобы привлечь как можно большую аудиторию на свой ресурс. Нередко в таких сообщениях встречается тематическое деление: например, сайты знакомств для пожилых, женатых или верующих.

Еще один вид предложений – реклама брачных агентств, занимающихся подбором невест (в основном, из России и Украины) для иностранных женихов. Этот вид спама, как правило, распространяется в англоязычном сегменте интернета. Такие письма содержат приглашение к регистрации на соответствующих ресурсах, обычно небольшое количество текста с обещанием найти идеального спутника жизни и ссылку, ведущую на рекламируемый сайт.

Доля спама в почтовом трафике в третьем квартале 2015 года составила 54,2% #KLReport

Tweet

Аналогичные по смыслу письма могут также рассылаться от имени самой «невесты». Этот вид спама уже ближе к мошенничеству, схема которого напоминает «нигерийскую». Письма приходят от имени девушки, которая вкратце рассказывает о себе, своей нелегкой жизни в российской глубинке и мечтах о прекрасном принце. Часто прилагается фотография, на которой не обязательно изображена сама «невеста» – фото могут быть взяты с чужих страниц из социальных сетей и рассылаться для придания сообщению большей убедительности. Поэтому фотографии могут повторяться от письма к письму даже в случае, если они отправлены от имени разных девушек. А вот текст письма меняется: при проведении рассылок спамеры активно используют синонимичные ряды с расчетом на обход фильтра. Обычный вид обратной связи, предполагаемый в таких письмах, – электронная почта. При этом адреса меняются в каждом письме – очевидно, они создаются в большом количестве на бесплатных почтовых сервисах специально под рассылку. Отправив ответное письмо на такой адрес, пользователь в лучшем случае получит уведомление о несуществующем почтовом ящике, в худшем – засветит свой адрес для дальнейших спам-рассылок или станет жертвой мошеннической схемы: девушка попросит выслать ей денег на билет, чтобы добраться до своего избранника, после чего, получив желаемое, пропадет навсегда.

Таким же образом рекламируются и сайты знакомств «для взрослых». Сообщения содержат либо приглашение к регистрации на сайте и обещание интим-знакомств, либо обращение некой девушки, которая ищет партнера для интима, и ссылку на ресурс, где якобы можно перейти к профилю незнакомки. Нередко спам с рекламой таких ресурсов распространяется под видом разнообразных уведомлений о личных сообщениях в социальных сетях, а также о фотографиях или аудиофайлах, присланных через мессенджеры. В результате реклама ресурса полностью завуалирована, и пользователь не может точно определить, что перед ним, пока не пройдет по предложенным ссылкам. При этом содержимое таких сообщений призвано вызвать у получателя интерес и заставить его пройти по ссылке, нередко за счет «заигрывающего» содержания или прозрачных намеков и откровенных фотографий.

И наконец, еще один вид рассылок, обнаруженный нами в третьем квартале, относится к явному мошенничеству. На протяжении квартала мы наблюдали рассылку, содержание которой имело целью заставить получателя отправить SMS на предложенный телефонный номер; в ответ некая девушка обещала выслать свои откровенные фото. Текст рассылки активно менялся и зашумлялся, как и мобильные номера, указанные в ней. Мы написали сообщения на несколько таких номеров и установили, что они не платные, как могло показаться на первый взгляд, и денег за отправку сообщения с пользователей не взимают. В SMS-переписку с нами вступила девушка, но по ее ответам уже через пару сообщений стало понятно, что это робот, который подводит разговор к необходимости скачать некое приложение для возможности дальнейшего чата и отправки обещанных фотографий. В итоге нам удалось получить от «девушки» несколько SMS с различными короткими ссылками, которые, вели на одну и ту же статью в известной американской газете, рассказывающую о полезных мобильных приложениях. Во время редиректа на данную статью на телефон пользователя загружается архив с мобильным вредоносным ПО.

Сезонный вредоносный спам

В летний период традиционно увеличивается количество спама сезонной тематики; это касается не только рекламного спама, но и вредоносного. В прошедший сезон отпусков наиболее актуальным стал туристический спам: поддельные уведомления от имени сервисов бронирования, авиакомпаний и отелей использовались мошенниками для распространения вредоносных программ.

В фальшивых сообщениях от имени крупных международных авиакомпаний и сервисов бронирования мы детектировали троянцев-загрузчиков, а именно Trojan-Downloader.JS.Agent.hhy и Trojan-Downloader.Win32.Upatre.

Подобные письма от имени известных авиакомпаний встречались нам и на французском языке. В тексте письма получателя информировали, что во вложении находится электронный авиабилет. На самом деле ZIP-архив содержал троянца Trojan.Win32.Xtrat и DDoS-бот Nitol (модуль, предназначенный для организации DDoS-атак).

В июле злоумышленники пытались обмануть пользователей, рассылая поддельные уведомления от имени отелей. В сообщении получателя благодарили за пользование отелем и предлагали ознакомиться с копией счета за услуги, приложенной к письму. На деле в архиве находился Trojan-Downloader.Win32.Upatre.dhwi, который в свою очередь скачивал и запускал по ссылкам (вида 98.***.**.39/cv17.rar), прописанным в теле загрузчика, банкер Trojan-Banker.Win32.Dyre.

Кроме фальшивых писем от имени известных компаний мы обнаружили в спам-потоках и письмо на английском языке от частного лица. Письмо содержало просьбу изменить забронированный ранее номер на двухместный в связи с уменьшением количества постояльцев.

Текст данного письма можно принять за легитимное обращение клиента, однако ZIP-вложение содержало загрузчик Trojan-Downloader.JS.Agent.hhi, который закачивал на зараженный компьютер бэкдор Backdoor.Win32.Androm.

Трюки спамеров

В стандартном фишинговом письме текст сообщения находится в теле письма, а персональную информацию необходимо ввести на веб-странице, перейдя по указанной в тексте мошеннической ссылке, или в полях HTML-странички, которая вложена в письмо, или переслать в обратном письме. Последнее наиболее характерно для писем с просьбой подтвердить адрес и пароль от электронной почты.

Доля спама в почтовом трафике русскоязычного сегмента интернета в Q3 2015 составила 61,87% #KLReport

Tweet

В третьем квартале злоумышленники придумали новый способ размещения фишингового сообщения и обхода спам-фильтров. Текст фишингового сообщения и поддельная ссылка помещались в PDF-документ, который был вложен в письмо. При переходе по ссылке открывалась обычная фишинговая страничка, на которой пользователю необходимо было ввести персональную информацию. Большинство обнаруженных нами писем, в которых использовался новый прием, имитировали уведомления от банков. В теле таких сообщений обычно приводился максимально короткий текст с описанием проблемы, иногда текст и вовсе отсутствовал.

Отметим, что в тексте обнаруженных писем спамеры использовали уже известные фразы и уловки: сообщение о блокировке аккаунта, необходимости пройти верификацию, упоминание о безопасности, расследовании случая фишинга и т.д. Мошеннические ссылки, как и раньше, маскировались легитимными ссылками и текстовыми фрагментами.

Но встречались нам и письма с подробным текстом в теле письма, с указанием настоящих ссылок на официальные ресурсы банка. Фишинговое уведомление так же помещалось в PDF-вложение.

Кроме того, наши коллеги обнаружили немного другой вариант фишинговых писем с использованием объектов Mediabox в PDF-файлах, прикрепленных к письмам.

Объект Mediabox – документ, который открывался щелчком мыши и использовался для переадресации пользователя на фишинговый веб-сайт.

Статистика

Доля спама в почтовом трафике

Доля спама в мировом почтовом трафике, апрель – сентябрь 2015 года

После относительно стабильных месяцев второго квартала доля спама в мировом почтовом трафике снова начала меняться. Небольшой рост в июле и августе 2015 года сменился заметным падением в сентябре. В итоге средний показатель доли спама за третий квартал составил 54,19%, что незначительно выше среднего показателя предыдущего квартала.

Доля спама в российском почтовом трафике, апрель – сентябрь 2015 года

Во втором квартале 2015 года доля спама в российском почтовом трафике постоянно снижалась примерно на 1 п.п. в месяц до показателя 57,47% в июне. Однако уже в июле доля спама резко выросла до 60,96% и продолжала расти весь третий квартал до 63,32% в сентябре. В результате средний показатель доли спама в русскоязычном сегменте интернета составил 61,87%, что на 3,42 п.п. больше показателя второго квартала.

Страны – источники спама

Страны – источники спама в мире, третий квартал 2015 г.

В третьем квартале 2015 года США (15,34%) сохранили за собой первую позицию среди стран – источников спама в мире. На вторую позицию поднялся Вьетнам (8,42%), чей показатель вырос на 3,38 п.п. по сравнению с предыдущим кварталом. Замыкает первую тройку Китай (7,15%), доля этой страны практически не изменилась за прошедшие три месяца.

Доля России (5,79%) в третьем квартале снизилась на 2,03 п.п., и страна опустилась со второй позиции на четвертую. За ней следуют Германия (4,39%) и Франция (3,32%), показатели этих стран незначительно изменились по сравнению с предыдущим кварталом.

Размеры спамовых писем

Размеры спамовых писем, второй и третий кварталы 2015 г.

Самыми рассылаемыми письмами в третьем квартале стали очень маленькие, от 2 Кб и менее (79,05%), их доля выросла на 13,67 п.п. по сравнению с предыдущим кварталом. Примерно на то же количество процентных пунктов снизилась доля писем объемом от 2 до 5 Кб (3,21%). Доля всех остальных писем незначительно изменилась по сравнению с предыдущим кварталом.

Вредоносные вложения в почте

TOP 10 вредоносных программ, распространенных в почте, третий квартал 2015 г.

Самой популярной среди распространяемых в почте вредоносных программ в третьем квартале 2015 года по-прежнему остаётся Trojan-Spy.HTML.Fraud.gen. Этот зловред представляет собой фишинговую HTML-страницу и рассылается под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и других организаций.

Вторую и девятую строки нашего ТОР 10 занимают загрузчики Trojan-Downloader.JS.Agent.hhi и Trojan-Downloader.JS.Agent.hfq. Эти зловреды представляют собой обфусцированный Java-скрипт. Загрузчики используют технологию ADODB.Stream, которая позволяет им скачивать и запускать файлы DLL, EXE и PDF.

На третьей и шестой сточках расположились загрузчики Trojan-Downloader.VBS.Small.lj и Trojan-Downloader.VBS.Agent.aqp. Это VBS-скрипты, которые также использует технологию ADODB.Stream, загружают ZIP-архивы и запускают извлеченное из них вредоносное ПО.

В тройку лидеров среди стран-источников спама в третьем квартале 2015 года вошли США, Вьетнам и Китай #KLReport

Tweet

На четвертой позиции разместился Trojan-Downloader.MSWord.Agent.oq. Этот зловред представляет собой DOC-файл со встроенным VBS-макросом, который выполняется при открытии документа. Макрос скачивает с сайта злоумышленников другой VBS-скрипт и запускает его на компьютере пользователя.

Замыкает первую пятерку Email-Worm.Win32.Mydoom.l. Этот червь распространяется в виде вложений в электронные письма, через файлообменные сети и открытые на запись сетевые ресурсы. Адреса для рассылки писем зловред собирает на уже зараженных компьютерах. Своим владельцам червь предоставляет возможность удаленно управлять инфицированной системой.

На седьмой, восьмой и десятой строчках расположились Trojan-Downloader.HTML.Meta.ay, Trojan-Downloader.HTML.Agent.aax и Trojan-Downloader.HTML.Meta.aq соответственно. Эти зловреды представляют собой HTML-страницы с кодом для переадресации пользователя на сайт злоумышленника. Там жертву обычно ждет фишинговая страничка или предложение скачать программу для работы с сервисом автоматической торговли бинарными опционами. Распространяются зловреды через почтовые вложения и различаются только ссылкой, перенаправляющей пользователя на сайт злоумышленников.

Семейства вредоносных программ

Как и в первых двух кварталах 2015 года список самых распространённых семейств возглавил загрузчик Upatre (9,46%). Чаще всего зловреды этого семейства скачивают на компьютеры жертв троянца-банкера, известного как Dyre/Dyzap/Dyreza.

Список самых распространённых в почте семейств зловредов в третьем квартале возглавил загрузчик Upatre #KLReport

Tweet

На второй позиции по-прежнему находится семейство MSWord.Agent (5,55%). Напомним, что зловреды этого семейства представляют собой DOC-файл со встроенным макросом, написанным на Visual Basic for Applications (VBA), который выполняется при открытии документа. Зловред загружает и запускает другое вредоносное ПО, например, одного из представителей семейства бэкдоров Andromeda.

Замыкает тройку лидеров семейство VBS.Agent (5,44%). В отличие от MSWord.Agent здесь используется встроенный VBS-скрипт. Для загрузки и запуска различного вредоносного ПО на компьютере пользователя зловреды семейства используют технологию ADODB.Stream.

Страны — мишени вредоносных рассылок

Распределение срабатываний почтового антивируса по странам, третий квартал 2015 г.

И снова тройка лидеров стран, на территорию которых рассылается наибольшее количество вредоносного спама, претерпела серьёзные изменения. Самым большим из них стало появление на третьей строчке России (7,56%). За квартал ее показатель вырос на 2,82 п.п., и страна поднялась с 5-го места на третье.

Первое место по-прежнему занимает Германия (18,47%), чей показатель уменьшился на 1,12 п.п. На второй строчке Бразилия (11,7%), количество вредоносного спама, разосланного пользователям этой страны, возросло почти вдвое по сравнению со вторым кварталом.

Великобритания (4,56%), занимавшая в предыдущем квартале вторую строчку, оказалась на шестой позиции.

Особенности вредоносного спама

В начале сентября в спам-трафике мы обнаружили масштабную вредоносную рассылку, письма который выглядели как автоответы почтового сервера о недоставке. Текст и тема сообщения были похожи на автоматическое уведомление, однако адрес отправителя принадлежал частному лицу, что вызывало сомнение в легитимности письма. Вложенный архив в формате ZIP с именем «Google_drive_1711» тоже настораживал, поскольку уведомления от почтового сервиса не содержат вложений. Исследование показало, что в архиве находился троянец Trojan-Downloader.JS.Agent.hhi, который в свою очередь скачивал бэкдор Backdoor.Win32.Androm.

В начале третьего квартала злоумышленники активно рассылали письма на французском языке, содержащие макровирусы. Обнаруженные нами макровирусы принадлежали к категории троянцев-загрузчиков и использовались для загрузки и установки на компьютеры жертв банковского троянца Dridex. Для обмана получателя мошенники выдавали сообщения за уведомления о получении заказа или счета.

Также в июле спамеры использовали для распространения вредоносных файлов традиционную для рекламного спама тему кредитов. В некоторых зафиксированных нами письмах мошенники предлагали взять кредит, привлекая потенциальных клиентов самыми выгодными условиями, низкими процентными ставками и др. В других сообщениях получателя уведомляли, что его заявка на кредит одобрена. Отметим, что подобное содержание может встретиться и в простом рекламном спаме, однако для вредоносного спама характерно вложение, маскирующееся под подробную информацию о кредите.

Интересно, что вредоносные письма, содержащие во вложении троянец Trojan-Downloader.Win32.Upatre, рассылались на адреса сотрудников различных компаний.

Фишинг

В третьем квартале 2015 года с помощью системы «Антифишинг» мы предотвратили 36 300 537 попыток перехода пользователей продуктов «Лаборатории Касперского» на фишинговые сайты. Это на 6 миллионов больше по сравнению с показателями предыдущего квартала. Из них 15 764 588 попыток перехода заблокировано нашими эвристическими компонентами детектирования и 20 535 949 – с помощью детерминистик. За этот же период в базы добавлено 839 672 маски фишинговых URL.

Страной с наибольшей долей атакованных фишерами пользователей по-прежнему остается Бразилия (21,07%). В третьем квартале доля атакованных жителей этой страны увеличилась на 11,33 п.п., т.е. фактически вернулась к показателю первого квартала.

Также сильно выросла доля атакованных пользователей в Японии (+10,9 п.п.) и Китае (+7,85 п.п.), эти две страны заняли соответственно второе и третье места в нашем ТОР 10.

TOP 10 стран по проценту атакованных пользователей:

Организации — мишени атак

Статистика по мишеням атак фишеров основана на срабатываниях эвристического компонента системы «Антифишинг». Эвристический компонент системы «Антифишинг» срабатывает, когда пользователь переходит по ссылке на фишинговую страницу, а информация об этой странице еще отсутствует в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе.

В третьем квартале заметно уменьшилась доля категории «Глобальные интернет-порталы» (30,93%), бессменного лидера рейтинга организаций, атакованных фишерами. Падение составило 11,42 п.п. Зато доля категории «Социальные сети и блоги» (21,44%) вновь выросла – на 6,69 п.п. Третью позицию заняла категория «Банки» (18,07%), чья доля выросла на 4,65 п.п. Также в полтора раза увеличилась доля категории «Онлайн-игры» (4,02%).

Распределение организаций, атакованных фишерами, по категориям, третий квартал 2015 г.

Доля фишинга на организации категории «Облачные хранилища данных» увеличилась на 0,26 п.п. и составила 1,06%. Пользователи все активней используют технологии облачного хранения данных, и это привлекает внимание мошенников. Украденная информация используется злоумышленниками в целях шантажа, продажи третьим лицам, организации целевых атак.

Часто такой фишинг распространяется по электронной почте или социальным сетям в виде сообщения с призывом скачать тот или иной документ, якобы выложенный на популярном облачном сервисе. Сообщения могут приходить от скомпрометированных аккаунтов из списка друзей или, в случае электронной почты, от имени администрации облачного сервиса.

В Q3 2015 ЛК предотвратила более 36 млн. попыток перехода пользователей на фишинговые сайты #KLReport

Tweet

Посредством фишинговых страниц, имитирующих сайты известных облачных хранилищ, могут распространяться и различные вредоносные программы. В таких случаях пользователь, кликнув по ссылке на странице, самостоятельно загружает вредоносную программу на свой компьютер.

Ниже приведен пример атаки, где пользователю предлагается скачать важный PDF-документ. Ссылка из письма ведет на фишинговую страницу, стилизованную под сайт популярного облачного сервиса Dropbox.

Пример фишинговой атаки на пользователей Dropbox

Помимо кражи хранящихся в облаке данных и распространения вредоносных программ, киберпреступники часто используют имя Dropbox для кражи данных почтового аккаунта жертвы.

Пример фишинговой страницы, использующей бренд Dropbox

А вот другой пример фишинга: мошенники пытаются украсть у пользователя AppleID и пароль к облачному хранилищу данных iCloud.

Пример фишинга на пользователей iCloud

Помимо прочего, в случае успеха злоумышленники получают доступ к приобретенному пользователем контенту и его почтовому ящику.

TOP 3 атакуемых организаций

Мошенники продолжают концентрировать свои силы на самых популярных брендах, направляя на них основную часть нецелевого фишинга. Таким образом они рассчитывают повысить шансы на успех очередной фишинговой атаки. Более половины всех срабатываний эвристической компоненты нашей системы «Антифишинг» приходится на фишинговые страницы, прикрывающиеся именем менее чем 30 известных компаний.

На ТОР-3 атакуемых организаций в третьем квартале пришлось 26,39% всех срабатываний эвристической компоненты.

В третьем квартале в тройке атакуемых фишерами организаций произошли некоторые изменения. Лидером среди атакуемых организаций по-прежнему является Yahoo! (15,38%), однако ее доля уменьшилась почти в два раза – на 13,65 п.п. На второе место вышла российская социальная сеть ВКонтакте (9,44%), другая социальная сеть – Facebook (8,95%) – потеряла 1,49 п.п. и сместилась со второй позиции на третью.

Заключение

Доля спама в почтовом трафике по итогам третьего квартала 2015 года составила 54,2%, что на 0,8 п.п. меньше, чем в предыдущем квартале. Тройка лидеров среди стран – источников спама, рассылаемого по всему миру, в третьем квартале выглядит следующим образом: США (15,3%), Вьетнам (8,4%) и Китай (7,2%).

Сезон отпусков и летних каникул вызвал рост вредоносного спама туристической тематики. Киберпреступники рассылали поддельные уведомления от имени известных сервисов бронирования отелей, авиакомпаний и отелей, а также письма от частных лиц. Как правило, в такие письма были вложены архивы с различными троянцами-загрузчиками.

Первую строчку в рейтинге вредоносных программ, распространенных в почте, по итогам третьего квартала по-прежнему удерживает Trojan-Spy.HTML.Fraud.gen. Среди семейств вредоносных программ лидером на протяжении всего года также остается семейство Upatre. Наиболее часто вредоносным атакам в третьем квартале подвергались пользователи Германии – на их долю пришлось 18,5% срабатываний почтового антивируса.

Особенностью квартала стало использование создателями фишинговых писем нового трюка для обхода спам-фильтра: они помещали текст сообщения и мошенническую ссылку не в тело письма, а во вложенный PDF-документ.

Всего в третьем квартале решения «Лаборатории Касперского» предотвратили более 36 млн. попыток перехода на фишинговые сайты, что на 6 млн. больше показателя предыдущего квартала. Страной с наибольшей долей атакованных фишерами пользователей по-прежнему остается Бразилия (21,07%).