Отчеты по спаму и фишингу

Спам и фишинг в третьем квартале 2017

Особенности квартала

Блокчейн в спаме

Тема криптовалют уже не первый год активно тиражируется в СМИ. Финансовые аналитики прогнозируют им большое будущее, правительства разных стран думают о запуске собственных валют, а видеоплаты сметают с прилавков сразу после их появления в продаже. Разумеется, спамеры не могли обойти стороной темы криптовалют, майнинга и блокчейна.

Еще в прошлом квартале мы писали, что многие троянцы в качестве «полезной нагрузки» загружают на компьютеры жертвы, помимо прочего, программы-майнеры. В третьем квартале 2017 года тема раскрылась существенно шире.

Мошенничество, криптовалюты и бинарные опционы

Очень активно тема криптовалют использовалась в финансовом мошенничестве: пользователь получает письмо, где в красочной форме описывается, что, воспользовавшись специальным ПО для торговли на криптовалютном рынке, можно обеспечить себя деньгами до конца жизни.

Примеры писем с предложениями «защитить свое финансовое будущее»

Пройдя по ссылке, пользователь попадает на сайт, где его снова агитируют присоединиться к богатым людям, у которых осталась в жизни единственная проблема — как потратить деньги. В реальности такие сайты — партнеры не слишком чистых на руку брокерских контор, и поставщики новых неопытных клиентов. Именно туда и перенаправляются новые пользователи.

По плану злоумышленников жертва должна внести на свой счет определенную сумму — как правило несколько сотен долларов, — для возможности принять участие в торгах. Отдельно отметим, что речь уже не идет о криптовалютах: в большинстве случаев, торговать предлагается бинарными опционами.

Проблема даже не в сомнительной законности предмета торговли, а в том, что честность брокерских контор никто не гарантирует и, соответственно, нет никаких гарантий возврата вложенных средств. Этим и пользуются мошенники, сперва мотивируя людей вкладывать все больше денег, а потом просто пропадая, оставляя жертву читать в Интернете отзывы таких же обманутых вкладчиков.

Есть и более примитивные виды мошенничества, когда пользователя прямо в письме просят перевести биткойны на определенный кошелек, обещая затем вернуть вложенное с процентами через 5 дней. Но на такое предложение клюнет разве что самый наивный получатель.

Наивным пользователям предлагают «вложить» биткойны на короткий срок под высокий процент

Семинары

Еще один пример использования темы криптовалют в спаме — семинары. В большинстве случаев мошенники предлагают пройти курс обучения, благодаря которому пользователь начнет разбираться в криптовалютах и научится инвестировать в них. Разумеется, суммы, вложенные в «обучение», по словам организаторов обернутся в скором будущем гигантскими прибылями.

Природные катаклизмы и «администрация Белого дома»

В августе и сентябре внимание мирового сообщества было приковано к ураганам Ирма и Харви, землетрясению в Мексике. Жертвами стихии стали десятки человек, а причиненные разрушения оценивались в миллиарды долларов. Трагические события не могли остаться без внимания «нигерийских» мошенников, пытающихся нажиться на горе людей. Они рассылали письма от имени членов семьи, чьи родственники погибли во время ураганов и просили оказать помощь в получении оставленного ими наследства. Катаклизмы также упоминались в письмах с предложениями работы и кредитов.

Во втором квартале в «нигерийских» письмах также упоминалось имя действующего президента США — Дональда Трампа. Мошенники выдавали себя за представителей государственных или банковских организаций, а для солидности упоминали, что на эту должность они назначены президентом США или же действуют по его поручению. Для создания сюжетов мошеннических писем спамеры использовали стандартные приемы — обещали пользователям миллионы долларов, за передачей которых мошенники якобы должны проследить. Письма с идентичным текстом имели разное оформление и контактные данные.

Письма «из офиса» президента США

Подделки под B2B во вредоносных письмах

По-прежнему прослеживается тенденция подделки писем с вредоносными вложениями под коммерческие предложения. Местами их уровень настолько высок, что можно предположить атаку типа man-in-the-middle.

Файл во вложении детектируется как HEUR:Trojan.Java.Agent.gen. Этот зловред прописывается в автозагрузку, пытается завершить такие программы, как Process Hacker, system explorer и процессы защитного ПО. Далее он связывается с удалённым сервером и ждет команды на установку других вредоносных программ

Вложение детектируется как HEUR:Exploit.MSOffice.Generic, эксплуатирующий уязвимость CVE-2017-0199 в MS Word. В результате на компьютер жертвы загружаются другие вредоносные программы

В архивах находится один и тот же вредоносный объект, детектируемый как Trojan.Win32.VBKrypt.xtgt. Он собирает информацию с компьютера жертвы и передает ее на удаленный сервер

Выход обновленного iPhone

В сентябре корпорация Apple представила новые модели своего смартфона – iPhone 8 и iPhone X. Данное событие широко освещалось в СМИ, и спамеры, конечно, не смогли пройти мимо.

Еще до официальной презентации мы начали фиксировать спам-рассылки с предложениями бесплатно протестировать обновленный гаджет или принять участие в его розыгрыше, а некоторые письма и вовсе сообщали о выигрыше еще даже не представленного устройства. В большинстве случаев по ссылкам из таких писем можно было загрузить «рекламное ПО» Reimage Repair. Сразу после выхода смартфона активизировались китайские фабрики, рассылающие письма с рекламой разнообразных аксессуаров для новой модели. Также наши ловушки зафиксировали большое количество фишинга, связанного с покупкой и доставкой заветного гаджета.

Статистика

Доля спама в почтовом трафике

Доля спама в мировом почтовом трафике в Q2 и Q3 2017

В третьем квартале 2017 года наибольшая доля спама была зафиксирована в сентябре – 59,56%. Средняя доля спама в мировом почтовом трафике составила 58,02%, что почти на 1,05 п.п. выше среднего показателя предыдущего квартала.

Доля спама в почтовом трафике Рунета в Q2 и Q3 2017

Уровень спама в российском сегменте интернета медленно снижался на протяжении всего квартала – от 61,76% в июле до 60,61% в сентябре. Средняя доля спама в Рунете составила 61,21%, что выше общемирового показателя.

Страны – источники спама

Страны – источники спама в мире, Q3 2017

По итогам третьего квартала 2017 года лидером среди стран источников спама стал Китай (12,24%), в прошлом квартале замыкавший тройку лидеров. Далее по количеству исходящего спама идет лидер прошлого квартала — Вьетнам (11,17%), чей показатель уменьшился на 1,2 п.п. На третьем место спустились США (9,62%), а Индия (8,49%) по-прежнему занимает четвертую позицию списка. Замыкает первую десятку Иран с показателем 2,07%.

Размеры спамовых писем

Размеры спамовых писем, Q2 и Q3 2017

По итогам третьего квартала 2017 года доля очень маленьких писем (до 2 Кбайт) в спаме увеличилось на 9,46 п.п и составила 46,87%. Доля писем размером от 5 до 10 Кбайт также увеличилось на 6,66 п.п. по сравнению с прошлым кварталом и составила 12,60%.

Количество писем размером от 10 до 20 Кбайт, напротив, сократилось: их доля уменьшилась на 7 п.п. Меньше стало и писем размером от 20 до 50 Кбайт, в этом квартале их 19% от общего количества, что меньше на 8,16 п.п. по сравнению с прошлым отчетным периодом.

В целом, продолжает расти количество писем очень маленького размера.

Вредоносные вложения: семейства вредоносных программ

ТОР 10 вредоносных семейств

ТОР 10 вредоносных семейств, Q3 2017

По итогам третьего квартала 2017 года самым распространенным в почте семейством вредоносных программ стал Backdoor.Java.QRat (3,11%). Далее следует семейство Trojan-Downloader.VBS.Agent (2,95%) и замыкает тройку Trojan-Downloader.JS.SLoad (2,94%). Новички рейтинга — Trojan.Win32.VBKrypt и Trojan-Downloader.VBS.SLoad (VBS-скрипт, скачивающий и запускающий на компьютере-жертве другие вредоносные программы, как правило, шифровальщики) занимают пятое и восьмое места с 2,64% и 2,02%. Замыкает десятку семейство Trojan.PDF.Badur (1,79%).

Страны — мишени вредоносных рассылок

Распределение срабатываний почтового антивируса по странам, Q3 2017

В третьем квартале 2017 года лидером по количеству срабатываний почтового антивируса остается Германия. Её показатель вырос на 6,67 п.п. и составил 19,38%.

Далее следует Китай, где было зафиксировано 10,62% срабатываний почтового антивируса, что на 1,47 п.п. меньше, чем в прошлом квартале. Замыкает тройку Россия (9,97%), которая еще в прошлом квартале была на пятой позиции; её показатель увеличился на 4,3 п.п. Четвертое и пятое места занимают, соответственно, Япония (5,44%) и Италия (3,90%).

Фишинг

В третьем квартале 2017 года с помощью системы «Антифишинг» предотвращено 59 569 508 попыток перехода пользователя на фишинговые страницы. Всего за квартал фишерами было атаковано 9,49% пользователей продуктов «Лаборатории Касперского» в мире.

География атак

Страной с набольшей долей атакованных фишерами пользователей вновь стала Бразилия (19,95%, +1,86п.п.).

Второе место, набрав 3,81 п.п. заняла Австралия (16,51%). На третьем месте — Новая Зеландия (15,61%, +3.55п.п.). Китай (12.66%) переместился со второго места на четвертое, потеряв 0.19 п.п. Далее идут Франция (12.42%), Перу (11.73%), Аргентина (11.43%), Канада (11.14%), Катар (10,51%,), и замыкает десятку Грузия (10.34%).

Бразилия 19,95%
Австралия 16.51%
Новая Зеландия 15.61%
Китай 12,66%
Франция 12,42%
Перу 11,73%
Аргентина 11,43%
Канада 11,14%
Катар 10,51%
Грузия 10,34%

TOP 10 стран по доле атакованных пользователей

Организации — мишени атак

Рейтинг категорий, атакованных фишерами организаций

Рейтинг категорий, атакованных фишерами организаций основывается на срабатываниях эвристического компонента системы «Антифишинг» на компьютерах пользователей. Этот компонент детектирует страницы с фишинговым контентом, на которые пользователь пытался пройти по ссылкам в письме или в интернете, если ссылки на эти страницы еще отсутствуют в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или в результате действия вредоносной программы. В результате срабатывания компонента пользователь видит в браузере предупреждающий баннер о возможной угрозе.

В третьем квартале 2017 года почти половина (47,54%) срабатываний эвристической компоненты системы «Антифишинг» зафиксированы на страницах с упоминанием брендов финансовой категории, таких как «Банки» (24,1%, +0.61п.п.), «Платежные системы» (13,94%, -4,46п.п.), «Онлайн-магазины» (9,49%, -0.08п.п.).

Распределение организаций, атакованных фишерами, по категориям, второй квартал 2017 года

Горячие темы квартала

Авиабилеты

В прошлом квартале мы уже описывали схему мошенничества с розыгрышем билетов от имени популярных авиакомпаний, информация о котором распространялась посредствам репостов жертв в социальной сети. В третьем квартале мошенники продолжили распространять «розыгрыш», но уже посредством мессенджера Whatsapp. Но, наблюдая снижение числа срабатываний «антифишинга» в категории «Авиабилеты», мы можем предположить, что данный способ оказался не столь эффективным.

Также снижение может быть обусловлено тем, что мошенники переключились на «розыгрыш» не только авиабилетов, но и других призов. Например, кроссовок, билетов в кинотеатры, подарочных карт в «Старбакс» и др.

Для получения приза на этот раз нужно поделиться информацией о выигрыше с восемью контактами в Whatsapp.

После нажатия на кнопку пользователя перенаправляют в приложение Whatsapp.

Функция перенаправления в мессенджер и сообщение, которое предлагается отправить контактам

Так сообщение выглядит в приложении

Сообщение должно быть отправлено минимум 8 раз

После отправки сообщения контактам, как и в описанной схеме, жертва вместо получения приза перенаправляется на один из сомнительных ресурсов, например, на страницу установки вредоносного расширения, новый опрос и т.д.

Whatsapp

Пользователи Whatsapp также подвергаются нападкам фишеров, прикрывающихся брендом самого приложения.

Чаще всего мошенники крадут деньги под предлогом обновления приложения или оплаты подписки на него. Когда-то WhatsApp действительно запрашивал оплату подписки, однако сейчас является бесплатным.

Мошенники предлагают выбрать подписку на год, три года или пять лет. Однако жертва потеряет намного больше заявленной суммы, если введет данные своей банковской карты на подобном сайте.

Netflix

Еще одна популярная цель фишеров — пользователи Netflix, количество атак на них увеличилось в третьем квартале. В основном преступники выманивают данные банковских карт под предлогом непрошедшей оплаты или других проблем с продлением подписки.

Green Card

В преддверии лотереи Green Card, проводимой американским правительством в октябре-ноябре каждого года, мы наблюдаем всплеск активности мошенников, предлагающих помощь в подаче заявки на участие.

После заполнения анкеты на сайте мошенников, пользователю предлагается оплатить заявку. В случае если жертва указывает данные своей банковской карты, с его счета может быть списано куда больше денег, чем указанная на сайте сумма.

ГИБДД

Другая популярная тема квартала — мошеннические сайты, предлагающие оформление полиса ОСАГО. Они повторяют дизайн ресурсов известных страховых компаний, предлагая жертве рассчитать стоимость страховки и приобрести ее онлайн.

Рэп-баттл

Даже нишевые события могут стать хорошим прикрытием для деятельности фишеров. 15 октября прошел рэп-батлл российского исполнителя Oxxxymiron с одним из лучших баттл-МС Америки — Dizaster. Буквально за несколько месяцев до этого состоялся баттл Oxxxymiron vs Слава КПСС. Меньше чем за 12 часов видео данного события набрало около 5 миллионов просмотров, а о проведении баттла написали не только тематические сайты, но и множество крупных российских СМИ.

За некоторое время до публикации официального видео, в Сети стали возникать фишинговые веб-страницы, посвященные прошедшему событию:

Если посетитель пытался запустить видео, ему предлагали сначала авторизоваться в популярной российской социальной сети «ВКонтакте».

После ввода логина и пароля жертву перенаправляли на официальную страницу площадки Versus в социальной сети, а ее личные данные уходили мошенникам.

ТОР 3 атакуемых фишерами организаций

Чаще всего массовым атакам фишеров подвергаются наиболее популярные бренды. Так, больше половины срабатываний системы «Антифишинг» происходит на фишинговых страницах, с упоминанием всего 15 организаций. При этом первая тройка уже который квартал остается неизменной по составу:

Организация % срабатываний
Facebook 7,96
Microsoft Corporation 7,79
Yahoo! 4,79

Заключение

По средней доле спама в мировом почтовом трафике (58,02%) третий квартал 2017 практически ничем не отличается от предыдущего отчетного периода: рост по отношению к нему составил чуть больше одного процентного пункта —1,05 (1,07 п.п. в Q2 2017). Как и в прошлых кварталах, спамеры демонстрируют быструю реакцию на громкие события и адаптацию мошеннических писем в соответствие с новостной повесткой. В этом квартале ими была оперативно использована тематика природных катаклизмов — ураганов Ирма и Харви, землетрясения в Мексике. Не была обойдена вниманием и популярная тема криптовалют: доверчивым жертвам предлагались семинары и «помощь» в гарантированно прибыльных торгах.

Мошенники продолжили использовать все возможные каналы коммуникации для распространения фишингового контента, в том числе социальные сети и мессенджеры: в текущем квартале система «Антифишинг» предотвратила более 59 млн. попыток перехода на фишинговые страницы, что на 13 миллионов больше, чем Q2.

Самым распространенным в почте семейством вредоносных программ в третьем квартале 2017 года стало Backdoor.Java.QRat (3,11%), на втором месте расположилось семейство Trojan-Downloader.VBS.Agent (2,95%), а замыкает тройку Trojan-Downloader.JS.SLoad (2,94%).

Спам и фишинг в третьем квартале 2017

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике