Отчеты по спаму и фишингу

Спам в июле 2013

Июль в цифрах

  • Доля спама в почтовом трафике в июле увеличилась всего на 0,1% и составила 71,2%.
  • Доля фишинговых писем в почтовом потоке по сравнению с июнем уменьшилась более чем вдвое и составила 0,0012%.
  • Вредоносные вложения содержались в 2,2% всех электронных сообщений, что на 0,4% выше показателя прошлого месяца.

Особенности месяца

Горячие темы в спаме

В июле мы продолжили фиксировать рассылки, в которых спамеры эксплуатировали интерес пользователей к значимым событиям месяца. Так, появление на свет сына герцога и герцогини Кембриджских и шпионский скандал с участием Эдварда Сноудена не остались без внимания спамеров. Злоумышленники традиционно рассылали письма с вредоносными ссылками, имитирующие сообщения от информагентств со ссылками на горячие новости.

Кроме того, интерес пользователей к этим событиям использовался для привлечения внимания к спам-рекламе. Так, ажиотаж вокруг рождения наследника принца Уильяма спамеры использовали в рекламе полиграфических услуг и рекламного оборудования. В честь долгожданного события компания предлагала скидки на роллерные стенды.

А скандал с участием экс-сотрудника спецслужб США Эдварда Сноудена использовался спамерами в рекламе товаров для похудения. Причем в теме таких писем эти товары могли вовсе не упоминаться, в тексте сообщения предлагалось узнать не про методы похудения, а подробности истории Сноудена. А ссылка на «подробности» уже вела на рекламную страницу.

Более прицельно имя Эдварда Сноудена использовалось в немецкоязычной рекламе программ для защиты информации. Пользователей убеждали купить рекламируемый продукт, поскольку признание Сноудена определенно говорит о существовании в интернете массовой слежки.

Рамадан

В этом году священный для мусульман месяц Рамадан пришелся на начало июля-август. Ежегодно мы фиксируем рассылки, эксплуатирующие эту тематику, в том числе для привлечения внимания получателей. Этот год не стал исключением: нами было отмечено несколько рассылок на английском языке не только с традиционной для Рамадана рекламой блюд и ночных ресторанов , но и с рекламой автомобилей и летнего досуга для детей.

Новые герои «нигерийских» писем

Традиционно героями нигерийских писем становятся родственники или соратники известных богатых людей, либо умерших, либо оказавшихся в сложной жизненной ситуации. В июле в Египте был свергнут президент Мухаммед Мурси. Буквально через несколько дней нами была зафиксирована мошенническая рассылка, эксплуатирующая имя экс-президента Египта.

В нигерийском письме, якобы написанном секретарем экс-президента, сообщается, что все счета президента заморожены, а так как и бывший президент, и его секретарь находятся под домашним арестом, то Мурси ищет мусульманина, который может перевести деньги президента, хранящиеся в одном из европейских банков, на свой счет. В качестве вознаграждения, конечно, предлагается заманчивая сумма денег. Но классика жанра предполагает совсем иное: наивный пользователь не только не получит никакого вознаграждения, но и потеряет немалую сумму из своих денег, которые мошенники выманят у него под тем или иным предлогом.

Редкий вариант мошенничества

Нами было получено письмо, которое представляло собой достаточно редкий вариант мошенничества. С адреса, который похож на адрес банка Australia and New Zealand Banking Group, пользователю приходит письмо с сообщением об ограничении доступа к его учетной записи в системе онлайн-банкинга. Для восстановления доступа необходимо позвонить по указанному в письме телефону. Звонок на указанный номер явно не будет безопасным: в лучшем случае с телефона звонящего снимут деньги, а в худшем – выудят у него какие-либо банковские данные.

Летний вредоносный спам

Актуальность туристической темы в летний период очень высока, и мы продолжаем фиксировать вредоносные рассылки, пришедшие якобы от имени различных авиакомпаний. В июле поддельное уведомление пришло от имени американской авиакомпании United AirLines. Пользователя информируют о том, что номер его места в самолете изменился, и обновленная информация  находится в приложенном архиве flight document upgrade.doc.zip. Архив содержит исполняемый файл с именем flight document upgrade.doc.exe, который детектируется «Лабораторией Касперского» как Backdoor.Win32.Vawtrak.a.

Этот бэкдор используется злоумышленниками для кражи паролей, сохраненных в браузерах, паролей от FTP и почтовых клиентов. Зловред также отсылает своим хозяевам скриншоты рабочего стола и предоставляет им полный доступ к зараженному компьютеру, что позволяет злоумышленникам загружать и запускать на машине пользователя различные файлы.

Тематический спам

Отдых продолжается

Для лета характерна массовая реклама туристических агентств и услуг по организации отдыха и досуга.

В июле мы продолжали фиксировать рассылки с предложениями горящих туров от различных турагентств. Кроме того, появилось большое количество писем, в которых активно продвигаются недавно созданные ресурсы по поиску и бронированию авиабилетов на все туристические направления. Создатели рассылок предлагают пользователям за минимальный срок подобрать «самые дешевые предложения, существующие на рынке авиаперевозок». Такие письма содержат ссылку на сайт с системой онлайн-бронирования авиабилетов от самых известных авиакомпаний. Системы поиска билетов по виду очень похожи друг на друга, и все рекламируемые сайты созданы недавно.

Товары и услуги для домашних питомцев

В этом месяце мы фиксировали рассылки с рекламой услуг и товаров, предназначенных для домашних животных. Люди во всем мире относятся к домашним животным как к членам своих семей, поэтому спрос на товары для мохнатых потребителей очень велик, а значит, порождает предложения, которые зачастую продвигаются через спам-рассылки. Такой спам рассылался как на русском, так и на английском языке.

В Рунете это была в основном реклама виртуальных досок объявлений, на которых можно размещать любую информацию по домашним питомцам (объявления о покупке, продаже, поиске животных). Здесь же рекламируются различные ветеринарные клиники.

Мы также встречали письма, целью которых был сбор денежных средств в помощь приютам для бездомных животных или отдельным животным (например, черно-белому котенку, которому якобы нужна операция). Подобные сообщения должны разжалобить пользователей и спровоцировать их внести пожертвования — номер счета, на который следует переводить деньги, прилагается. Мы не можем утверждать, что все такие письма мошеннические, но рассылка спамерами жалобных историй с просьбой пожертвовать деньги всегда настораживает.

В англоязычном спаме в основном рекламировались товары для животных и недорогие корма.

Недвижимость

Летом в Рунете стало больше спам-рекламы, связанной с недвижимостью. С помощью спама распространялись предложения по продаже земельных участков, дач и гаражей, по аренде квартир, офисных помещений и прочих объектов.

Такие сообщения часто персонифицированы, то есть приходят от имени определенных людей. В качестве личной информации в основном указывается лишь имя.

Для обхода спам-фильтров спамеры традиционно использовали в таких письмах зашумление текста, чаще всего – зашумление телефонных номеров (вставка дополнительных символов или написание части цифр символами, части – словами).

Географическое распределение источников спама

По итогам июля показатели стран — источников спама, распространяемого по всему миру, не сильно изменились, как и расположение самих стран в рейтинге.


Страны – источники спама в мире

Первое место принадлежит Китаю, на долю которого приходится 23,4% рассылаемого спама, что незначительно отличается от показателя прошлого месяца (23,9%). Далее следуют США, доля спама, разосланного из этой страны, составляет 18% (на 0,8% больше, чем в июне). Замыкает тройку Южная Корея, откуда было разослано 14,9% мирового спама — на 0,4% больше по сравнению с прошлым месяцем. В целом на три первые страны по-прежнему приходится более половины всего мирового спама.

С 10-й на 7-ю позицию переместилась Индия, доля которой в июле увеличилась на 0,4% и составила 3%. Показатель Японии уменьшился почти втрое – с 2,7% до 0,96% (-1,74%), в результате эта страна сместилась с 9-го на 16-е место, а в первую десятку вернулась Россия (2,3%).

Отметим также, что июльский показатель Румынии увеличился на 0,6% и составил 1,9%, и страна поднялась с 14-й на 11-ю позицию.

Ситуация с источниками спама в Рунете по итогам июля выглядела следующим образом:


Страны – источники спама в Рунете

Лидером среди стран — источников спама в Рунете остается Тайвань (11,4%), чей показатель сократился на 1,9%. Второе место занимает Украина (8,2%): доля спама, рассылаемого из этой страны, уменьшилась на 1%. Потеснив Вьетнам, с 6-го на 3-е место поднялась Индия с показателем 7,4% (+0,9% по отношению к предыдущему месяцу). На столько же уменьшилась доля спама, разосланного пользователям Рунета из Вьетнама (7,3%), который в результате оказался на 4-м месте.

Почти вдвое увеличилась доля спама, попадающего в Рунет из Италии. Сейчас ее доля составляет 2,5% по сравнению с июньским показателем 1,3%.

Вклад Японии в спам Рунета уменьшился в 2,3 раза: с 3,1% в июне до 1,3% в июле, по итогам месяца страна сместилась с 9-го на 17-е место.

Покинули первую двадцатку Китай и Бразилия. Пополнили список Мексика (1,74%), взлетевшая сразу на 13-е место, и оказавшаяся на строчку ниже Сербия (1,45%).


Регионы – источники спама

Среди регионов лидером по распространению спама в июле осталась Азия (55,2%) – по сравнению с прошлым месяцем её доля сократилась на 2,1%. Далее, как и прежде, следуют Северная Америка (19,4%) и Восточная Европа (14,3%). Показатели этих регионов увеличились на 0,7% и 1,1% соответственно.

Вредоносные вложения в почте

Доля вредоносных вложений в почте в июле увеличилась на 0,4% и составила 2,2% почтового трафика.


TOP 10 вредоносных программ, распространявшихся по электронной почте

На 1-м месте рейтинга вредоносных программ, распространяемых по почте, по-прежнему находится Trojan-Spy.HTML.Fraud.gen (+2,9%). Программа представляет собой фишинговую страничку для ввода данных, которые отправляются напрямую злоумышленникам.

На шести из десяти строчек рейтинга расположились разные модификации шпионской программы семейства Zbot/ZeuS. Это один из самых популярных троянцев-шпионов, различные модификации которого в большом количестве рассылаются по электронной почте уже несколько лет. Целью троянца является кража различной конфиденциальной информации с компьютеров пользователей, включая данные кредитных карт.

Чаще всего злоумышленники подделывают письма с Zbot под официальные уведомления. Это могут быть письма якобы от банков, магазинов, социальных сетей или популярных служб доставки, в которых пользователя под каким-либо предлогом просят открыть вредоносное вложение. В этом месяце особенной популярностью у злоумышленников пользовались подделки под сообщения от Bank of America.

В сумме различные модификации семейства Zbot составили 23,24% от всех вредоносных программ, распространявшихся по почте в июле.

На третьем месте, потеряв одну позицию с прошлого месяца, находится Email-Worm.Win32.Bagle.gt (-0,1%). Этот почтовый червь рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Он также может связываться с командным центром и без ведома пользователя загружать на компьютер другие вредоносные программы.

На восьмой позиции находится Email-Worm.Win32.Mydoom.m (+0,14%). Помимо стандартного функционала рассылки своих копий по адресной книге пользователя червь может отправлять скрытые запросы таким поисковым системам, как Google, Yahoo, Altavista, Lycos. Червь сравнивает адреса сайтов на первой странице результатов поиска со списком адресов, который он предварительно загрузил с серверов злоумышленников. Найдя совпадение, червь открывает ссылку на странице поисковой системы, накручивая таким образом посещаемость сайтов и повышая их рейтинг в поисковой выдаче.

Замыкает TOP-10 Trojan-Dropper.Win32.Dorifel.afpu. Будучи установленным на компьютер пользователя, троянец связывается с командным центром, после чего может устанавливать другие вредоносные программы.

Интересно, что на 15-й позиции по популярности находится SMS-Flooder.AndroidOS.Didat.a. Кажется, впервые вредоносная программа для платформы Android поднялась так высоко в рейтинге. Функционал SMS-Flooder.AndroidOS.Didat.a позволяет производить массовые SMS-рассылки. Рост количества вредоносных программ для Android в почте ожидаем и соотносится с общей тенденцией увеличения числа таких зловредов. Мы полагаем, что в будущем количество зловредов под Android, распространяемых через почту, будет расти.


Распределение срабатываний почтового антивируса по странам

После июньской аномалии прежние лидеры по рассылке спама вернули свои позиции: на первом месте США (+4,1%), на втором – Германия (+1,7%), на третьем — Индия (+0,8%).

Потеснив Австралию, с восьмого на четвертое место поднялась Великобритания (+2,6%).

Доля срабатывания антивируса в остальных странах поменялась несущественно.

Фишинг

В июне доля фишинговых писем в глобальном почтовом потоке уменьшилась более чем вдвое и составила 0,0012%.


Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

По итогам июля лидирующую позицию в рейтинге организаций, атакуемых фишерами, продолжают удерживать социальные сети (29,6%), хотя их показатель уменьшился на 1,7%.

Доля атак на почтовые сервисы увеличилась на 4,4%, что позволило им подняться с 4-й на 2-ю строчку. В результате на строчку ниже оказались поисковые системы (15,5%), которые теперь занимают 3-е место, и финансовые и платежные системы, оказавшиеся по итогам июля на 4-м месте с показателем 13,3%.

Список организаций, занимавших места с 5-е по 8-е, остался без изменений, показатели ИТ-вендоров (8,5%) и телефонных и интернет-провайдеров (7,1%) уменьшились всего на 1%, а онлайн-магазинов (6,4%) и онлайн-игр (0,83%) увеличились совсем незначительно.

В июле одна из типичных фишинговых атак была нацелена на пользователей английской кредитной системы Wonga. В поддельном уведомлении, разосланном от имени компании, сообщалось, что произошел сбой в базе аккаунтов системы. Пользователю якобы необходимо обновить данные учетной записи, в противном случае она будет заблокирована вместе со всеми денежными средствами. Это можно сделать или в любом филиале компании, или скачать и заполнить вложенную форму и отправить ее по электронной почте. К письму приложен html-документ, где необходимо ввести электронный адрес и пароль к учетной записи. Если пользователь заполнит и отправит злоумышленникам свои данные, то мошенники получат полный доступ к его личному кабинету и к его деньгам.

Одна из новых мишеней фишеров — группа компаний Alibaba, занимающаяся интернет-бизнесом. Поддельные уведомления от имени компании рассылались поставщикам товаров, размещенных в интернет-магазине Alibaba Showroom. В письме сообщалось, что покупатели заинтересовались товарами, предлагаемыми на сайте. Для ознакомления с неким важным документом получателю сообщения необходимо войти под своей учетной записью, перейдя по ссылке, указанной в письме. На самом деле ссылка ведет на фишинговую страничку с полями для ввода адреса электронного ящика и пароля.

Заключение

По итогам июля доля спама по-прежнему превышает 70% почтового трафика.

Лето – время отпусков, когда в целом активность и рекламодателей, и пользователей в интернете падает. Зато у пользователей востребованы предложения, связанные с отдыхом. Поэтому в июле активно рассылались письма с туристической рекламой, рекламой летних товаров и услуг, в том числе предложения дешевых авиабилетов.

Как всегда, при нехватке заказов на распространение коммерческой рекламы, спамеры переключаются на партнерский спам, преимущественно вредоносный. Доля писем с вредоносными вложениями в июле превысила 2%. При этом среди распространяемых в почте вредоносных программ преобладают троянцы-шпионы, ворующие в том числе финансовую информацию пользователей. Особенно популярен у злоумышленников троянец Zbot, на который пришлось 23,24% от всех вредоносных программ, распространявшихся в июле в почтовых вложениях.

В рейтинге вредоносных программ в почте впервые довольно высоко (15-е место) оказалась вредоносная программа для платформы Android. Смартфонов и планшетов, работающих на этой платформе, у пользователей очень много, и их число продолжает расти. Мы прогнозируем не только рост количества подобных зловредов в почте, но и увеличение их разнообразия. Скорее всего, к программам, рассылающим SMS, скоро добавятся и троянцы, занимающиеся кражей конфиденциальных данных. Мы рекомендуем пользователям своевременно озаботиться защитой не только стационарных компьютеров, но и мобильных устройств.

Июль был богат на громкие события. Спамеры традиционно использовали интерес к этим событиям, рассылая письма с вредоносными ссылками, замаскированные под новостные рассылки. Не оставили без внимания значимые события в мире и мошенники: в почте появились классические «нигерийские» письма, написанные от имени сподвижников Мухаммеда Мурси, смещенного в начале июля с поста президента Египта.

Снижение интернет-активности пользователей в летние месяцы, скорее всего, повлияло на снижение доли фишинговых писем в почте. Среди организаций, атакованных фишерами, вырос процент почтовых сервисов, однако такого резкого скачка, как в июне, уже не наблюдается. Это увеличение, скорее всего, имело временный характер и объясняется сезоном отпусков и каникул. В августе показатель почтовых сервисов, возможно, еще останется высоким, но уже в сентябре ситуация, скорее всего, изменится.

Спам в июле 2013

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике