Отчеты по спаму и фишингу

Спам в третьем квартале 2013

Квартал в цифрах

  • Доля спама по сравнению со вторым кварталом 2013 года уменьшилась на 2,4% и составила 68,3% почтового трафика.
  • Доля фишинговых писем в почтовом потоке увеличилась в 3 раза и составила 0,0071%.
  • Доля писем, содержащих вредоносные вложения, увеличилась на 1,6% и составила 3,9%.

Возвращение к истокам

В третьем  квартале 2013 наиболее креативными оказались спамеры, продвигающие, пожалуй, самый известный товар из спамерской рекламы – медикаменты для повышения потенции. В рассылках данной тематики использовались как трюки для обхода фильтров, так и приемы социальной инженерии.

В одной из рассылок спамеры использовали следующий ход: в заголовке письма с использованием различных символов было написано слово, которое выглядело похожим на «Viagra».  В теле письма находилась только ссылка на фармацевтический сайт.

spamreport_q3_2013_01_1

Такая лаконичность используется спамерами, чтобы обойти контентные фильтры: никакие ключевые слова тут не сработают, фильтр просто не распознает слово «Viagra» в заголовке письма, хотя получатель легко его узнает. При этом в каждом письме слово в заголовке было записано по-разному, то есть простое добавление нового ключевого слова в базу тоже не помогло бы. Дело в том, что кодировка UTF-8  включает в себя все символы всех языков, в том числе очень редких, малоиспользуемых и даже мертвых. Во многих языках есть свои буквы, модификаторы букв и особенности записи, при том что основа этих языков – латиница. Так, одних только символов, похожих на букву «a», в данной кодировке более сотни. А сочетая разные символы, слово Viagra можно записать сотнями миллионов способов.

В другой рассылке письма выглядели как уведомления от администрации популярного почтового ресурса или социальной сети о регистрации, новом сообщении или невозможности доставки сообщения по каким-то причинам. Однако, пройдя по ссылке, пользователь оказывался на взломанном сайте-редиректоре, который перенаправлял его на сайт интернет-магазина, продающего медикаменты для повышения потенции.

spamreport_q3_2013_02

Составители рассылки подделывали уведомления от таких компаний, как Apple, Yahoo, Google, Amazon, eBay, Twitter, Instagram, Skype и других. Характерно, что спамеры не стали особенно утруждать себя: многие письма от имени разных компаний были оформлены по одному шаблону, менялись только названия компаний.

Интересно, что подобную схему (подделки под уведомления – ссылка на взломанный сайт – перенаправление на финальный сайт), часто используют спамеры, распространяющие вредоносный код. Такой спам распространяется через специальные партнерские программы, где спамер получает деньги за каждого пользователя, который, пройдя по его ссылке, заразил свой компьютер вредоносной программой. Условия получения прибыли за рассылки с рекламой медикаментов те же, только спамер получает деньги не за зараженные компьютеры, а за таблетки, купленные пользователями, прошедшими по его ссылкам. Это означает, что злоумышленники используют одну и ту же схему в разных партнерских программах. Более того, мы наблюдали случаи, когда спамеры использовали одну и ту же рассылку для двух разных партнерок: ссылки в письмах вели, в зависимости от региона пользователя или времени суток, на совершенно разные ресурсы. К примеру, пользователей из стран, где для покупки любого медикамента требуется рецепт, перенаправляли на сайт с виагрой, а всех остальных пользователей – на мошеннический или вредоносный ресурс.

Еще в одной рассылке спамеры использовали и социальную инженерию (рассылались подделки под уведомления от популярного ресурса), и обфускацию ссылок.

spamreport_q3_2013_03

Сообщения были замаскированы под уведомления от некого сервиса Google Message Center. В теле письма содержалась ссылка на домен Google. На самом деле спамеры просто использовали сервис Google.Translate для того, чтобы замаскировать собственные сайты: они разместили адреса сайтов в запросе на перевод. Никакой реальный перевод спамерам не требовался, сайты изначально были на английском языке и переводились на английский.

Кроме того, спамеры применили еще одну уловку: часть букв в ссылке (в каждом письме – разная) была заменена на соответствующий шестнадцатиричный эквивалент в кодировке ASCII. Браузер легко распознает обфусцированную ссылку и открывает соответствующий сайт, а вот для спам-фильтров каждая ссылка будет выглядеть уникальной.

Новости и зловреды

В этом квартале произошло много событий, вызвавших большой интерес у пользователей: это и рождение ребенка у королевской четы Великобритании, и охота ФБР за Эдвардом Сноуденом, и авария на железной дороге в Испании. Все эти новостные поводы использовали злоумышленники, распространяющие вредоносные программы.

spamreport_q3_2013_04
spamreport_q3_2013_05

Обнаруженные нами вредоносные письма были оформлены по-разному, в основном, имитировали рассылки с новостных ресурсов. Но ссылки во всех таких письмах вели на взломанные сайты, которые перенаправляли пользователя на страницу с одним из самых популярных наборов эксплойтов – Blackhole. Если пользователь попадает на такой сайт, Blackhole ищет уязвимости в разных программах на его компьютере. В случае обнаружения уязвимости, на компьютер пользователя могут загрузиться сразу несколько вредоносных программ, включая троянцы-шпионы, ворующие персональные данные пользователя.

В октябре автор Blackhole, известный под ником Paunch, был задержан в России. Что будет с этим набором эксплойтов в дальнейшем, пока не понятно. Возможно, его поддержку перехватит другой злоумышленник, или вместо Blackhole спамеры начнут активней использовать другие наборы. В любом случае можно ожидать, что на некоторое время число подобных вредоносных «новостных» рассылок уменьшится.

Статистика

Доля спама в почтовом трафике

Доля спама уменьшалась в течение всего квартала и в среднем составила 68,3% почтового трафика, что на 2,4% ниже, чем в предыдущем квартале.

spamreport_q3_2013_06

Доля спама в почтовом трафике, третий квартал 2013 г.

Однако показатели третьего квартала лишь на 0,3% ниже, чем среднее значение с января по июнь, так что говорить о тенденции к снижедию доли спама в почте пока не приходится.

Страны – источники спама

spamreport_q3_2013_07

Распределение источников спама по странам, третий квартал 2013 г.

Лидерами среди стран, из которых  рассылается спам, по-прежнему являются Китай (-0,9%), США (+1,2%) и Южная Корея (+2,1%). По совокупности из этих трех стран рассылается более 55% всего спама в мире.

На четвертом месте, как и ранее, находится Тайвань (+0,1%).

На пятое место вышла Россия (+1,3%), доля которой увеличилась в полтора раза.

Интересно отметить, что параллельно с увеличением количества спама из России снизилось количество спама, рассылаемого из бывших союзных республик – Беларуси (-0,9%), Украины (-0,9%) и Казахстана (-1,5%), – которые по итогам прошлого квартала в этом рейтинге обогнали Россию.

spamreport_q3_2013_08

Изменение процента спама, рассылаемого из России,  Беларуси, Украины и Казахстана, третий квартал 2013 г.

Однако нельзя сказать, что злоумышленники организуют новые ботнеты. Такие флуктуации могут быть вызваны, например, с тем, что вместо одного ботнета спамеры, рассылающие какие-то довольно крупные рассылки, начали использовать другой.

Регионы – источники спама

spamreport_q3_2013_09

Распределение источников спама по регионам, третий квартал 2013 г.

Распределение регионов в этом рейтинге остается таким же, как и в первых двух кварталах 2013 года, и показатели регионов практически не изменились по сравнению с прошлым кварталом.

На первом месте с большим отрывом по-прежнему находится Азия (+0,2%), на втором – Северная Америка (+1,9%), на третем – Восточная Европа (-0,2%).

Доля остальных регионов изменилась менее чем на 1%.

Отметим, что то, куда рассылается спам, далеко не всегда кореллирует с тем, откуда он рассылается. Так, много спама из Африки попадает в Россию, из Кореи – в Европу, а из Западной Европы равномерно рассылается по всему миру.

Размеры спамовых писем

spamreport_q3_2013_10

Размеры спамовых писем, третий квартал 2013 г.

На диаграмме выше видно, что с каждым кварталом становится все больше очень коротких писем, размером не более одного килобайта. Большинство таких писем практически не содержат текста. В них спамеры размещают только ссылку, которая, как правило, ведет на сайт-редиректор или на сервис коротких ссылок, что позволяет сделать ссылку в каждом письме уникальной. Такие письма, с одной стороны, усложняют работу спам-фильтрам, а с другой, из-за малого размера могут быть очень быстро разосланы в огромных количествах.

Вредоносные вложения в почте

В третьем квартале доля писем с вредоносными вложениями составила 3,9% почтового трафика, что на 1,6% больше, чем в предыдущем квартале.

spamreport_q3_2013_11

ТОP 10 вредоносных программ, распространенных в почте, третий квартал 2013 г.

Лидером рейтинга наиболее распространенных в почтовом трафике вредоносных программ с большим отрывом стал Trojan-Spy.HTML.Fraud.gen. Напомним, этот зловред представляет собой HTML-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения финансовой информации пользователей.

На втором месте, как и в предыдущем квартале, находится червь Email-Worm.Win32.Bagle.gt. Эта вредоносная программа, в отличие от многих других червей, может не только рассылать свои копии по контактам адресной книги пользователя, но и принимать удаленные команды на установку других вредоносных программ.

На третьем и четвертом местах также находятся почтовые черви, но другого семейства — Mydoom. Эти вредоносные программы нацелены на сбор почтовых адресов пользователей из адресных книг. Отметим, что именно из-за такого метода сбора адресов ваш почтовый адрес может попасть к спамерам, даже если вы нигде его не оставляли. Семейство Mydoom очень старое, однако продолжает эффективно работать на компьютерах с необновленным программным обеспечением. Зловред Email-Worm.Win32.Mydoom.m умеет также посылать скрытые поисковые запросы поисковым системам, открывать ссылки с первой страницы результатов поиска, содержащие адреса из списка, который загружается с серверов злоумышленников. Таким образом червь искусственно увеличивает рейтинг посещений определенных сайтов.

5-ю, 6-ю, 7-ю и 9-ю строчки рейтинга занимают программы семейства ZeuS/Zbot. Целью данных программ является кража различной конфиденциальной информации с компьютеров пользователей, преимущественно данных банковских карт.

8-е место занял Trojan.Win32.Llac.dleq. Основной задачей этой вредоносной программы является слежение за пользователем. Зловред собирает информацию об установленном ПО (в основном, об антивирусах и файрволах), информацию о ПК (процессоре, ОС, дисках), перехватывает изображение с веб-камеры, перехватывает нажатия клавиш, собирает конфиденциальную информацию из самых разных приложений.

На десятое место вышел Trojan.Win32.Bublik.beyb. Основной функцией этого троянца является несанкционированная пользователем загрузка и установка на компьютер-жертву новых версий вредоносных программ. Представляет собой EXE-файл с иконкой документа Adobe PDF.

Распределение доли вредоносных программ в почте по семействам выглядит следующим образом:

spamreport_q3_2013_12

ТОP 10 семейств вредоносных программ, распространенных в почте, третий квартал 2013 г.

Семейство ZeuS/Zbot лидирует в рейтинге. На втором месте находится семейство Tepfer, при этом ни одна из модификаций этой вредоносной программы не вошла в десятку. Троянцы такого типа тоже созданы для кражи паролей к пользовательским аккаунтам. На третьем месте семейство троянцев Fraud, в основном за счет лидера рейтинга Trojan-Spy.HTML.Fraud.gen.

Семейство Bublik занимает четвертую позицию.  На пятом месте программы семейства Androm, которые скачивают и запускают на компьютере пользователя вредоносные файлы.

В рейтинге стран, куда рассылается наибольшее количество вредоносных писем, произошли некоторые изменения.

spamreport_q3_2013_13

Распределение срабатываний почтового антивируса по странам, третий квартал 2013 г.

На первом месте по-прежнему США (-0,2%), а на второе место с третьего поднялась Германия (+2,4%). Россия же, которая была на втором месте в предыдущем квартале, спустилась на 9-ю позицию (-8,6%). Такое положение страны в рейтинге более привычно. На третье место вышла Великобритания (+2,8%).

Интересный случай вредоносной рассылки встретился нам в этом квартале: созданные злоумышленниками письма были подделаны под ответ службы поддержки крупной антивирусной компании.

spamreport_q3_2013_14

В письмах сообщалось о том, что пользователь якобы присылал на анализ файл, который в итоге оказался вредоносной программой. «Сотрудник техподдержки» даже называет вердикт (в нашем примере mydoom.j) и предлагает пользователю вылечить компьютер от заражения при помощи вложенной в письмо сигнатуры. Однако, если любопытный пользователь (который вряд ли отсылал какие-то образцы) открывал вложение, то мог найти там только вредоносную программу, детектируемую антивирусом «Лаборатории Касперского» как  Email-Worm.Win32.NetSky.q.

Интересно, что спамеры допустили оплошность: адрес в поле From имитировал официальный адрес технической поддержки компании Symantec, в то время как автоподпись в письме указывает на другую антивирусную компанию – F-Secure.

Фишинг

В третьем квартале доля фишинговых писем в почтовом потоке увеличилась в 3 раза и составила 0,0071%.

spamreport_q3_2013_15

Распределение TOP 100 организаций, атакованных фишерами*, по категориям, третий квартал 2013 г.

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

В третьем квартале мы наблюдали больше всего подделок фишеров под уведомления от разных социальных сетей. На втором и третьем местах – фишинговые письма от имени почтовых и поисковых сервисов соответственно. На самом деле эти две категории довольно трудно разделимы, так как многие крупные компании совмещают как функцию поисковика, так и провайдера бесплатной почты.

Суммарно на эти три категории приходится более 60% всех фишерских атак из TOP 100 атакуемых организаций. Эта довольно большая цифра показывает, что монетизация фишинга во многом происходит за счет продажи украденных аккаунтов, которые, в свою очередь, могут быть использованы для рассылки спама по контакт-листу.

Банки, финансовые организации и платежные системы оказались в рейтинге мишеней фишеров на четвертом месте. Однако нельзя сказать, что фишерам не интересны банки. Фишерских атак на пользователей различных банков очень много, просто они не столь масштабные, поэтому далеко не все из них попадают в TOP 100.

Заключение

В третьем квартале 2013 года спамеры активно использовали старые и новые трюки для обхода фильтров и приемы социальной инженерии, чтобы спровоцировать пользователя пройти по нужной ссылке. Например, один из излюбленных приемов распространителей писем с вредоносными ссылками – использование громких новостных заголовков и оформление писем в виде новостных рассылок. Некоторые приемы, такие как имитация официального письма от известного интернет-ресурса, спамеры посчитали особенно удачными и использовали их для совершенно разных партнерских программ. Например, ссылка в письме, подделанном под уведомление администрации Facebook, могла в разное время вести на сайт с рекламой медикаментов или на сайт с эксплойтами.

Арест создателя набора эксплойтов Blackhole показал, однако, что киберпреступления не остаются безнаказанными даже в России, с ее относительно слабой практикой законодательной борьбы против киберпреступников. Мы будем следить за развитием событий.

В третьем квартале в рейтинге стран, лидирующих по количеству исходящего спама, произошло довольно мало изменений. Среди регионов, рассылающих спам, изменения и вовсе практически незаметны. Можно говорить если не о стабильности, то о временном затишье в перераспределении ботнетов.

Несмотря на небольшое снижение доли спама в почте, доля вредоносного спама выросла по сравнению с предыдущим кварталом более чем в полтора раза. Основная масса вредоносных программ, рассылаемых в почте, была нацелена на кражу логинов, паролей и другой конфиденциальной финансовой информации пользователей.

Что касается фишинга, то фишеры все активнее охотятся за аккаунтами пользователей в социальных сетях, почте и других ресурсах.

Спам в третьем квартале 2013

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике