Отчеты по спаму и фишингу

Спам в августе 2014

Особенности месяца

В мошеннических письмах августа эксплуатировались мировые политические события и имена известных граждан РФ. Вредоносные файлы распространялись в почтовом трафике, в том числе при помощи поддельных уведомлений от судебных инстанций. Спамеры активно рекламировали услуги туристических компаний и коллекторских агентств.

Вредоносные повестки в суд

В августе нами было зафиксировано сразу несколько рассылок, имитирующих судебные уведомления, на разных языках. В Рунете мошенники рассылали фальшивые уведомления от имени Высшего Арбитражного Суда РФ; мы уже встречали подобную рассылку в январе и сентябре прошлого года. В августе 2014 года авторы письма придумали новую легенду о начале административного делопроизводства в отношении получателя. Подробную информацию можно было узнать, кликнув по указанной в тексте письма ссылке, загружающей Trojan-Ransom.Win32.Cryakl. Этот троянец шифрует файлы с наиболее распространенными расширениями, в первую очередь документы и изображения.

august-2014_spam-report_ru_1

После установки этого зловреда на Рабочем столе жертвы появляется картинка с требованием отправить зашифрованный файл на электронный адрес мошенников. Кроме того, пользователь должен связаться со злоумышленниками в течение недели, иначе расшифровать файлы не удастся.

august-2014_spam-report_ru_2

Конечно, распространители троянца не станут помогать безвозмездно и попросят перевести им некоторую сумму денег за оказанные услуги по расшифровке. Так как механизм мошенничества и само исполнение похожи, можно предположить, что за данной рассылкой и письмами, зафиксированными нами в прошлом году, стоят одни и те же мошенники, которые надеются заработать за счет пользователей Рунета.

Политика в «нигерийском» спаме

В августе мы вновь обнаружили «нигерийские» письма, эксплуатирующие события на Украине. Автор одной из рассылок на русском языке просила помощи в трудоустройстве и поиске жилья.

august-2014_spam-report_ru_3

Мошенники рассчитывали, что жертва поверит в историю беженки с Украины, приехавшей в Россию с сыном, и откликнется на просьбу. А отсутствие упоминания о финансовой помощи и номер телефона в качестве обратной связи явно сыграют на руку спамерам. Отметим, что не стоит звонить на указанные в мошеннических письмах номера, в лучшем случае вас попытаются уговорить перевести деньги, в худшем сам звонок на телефон может оказаться платным.

Туры ко Дню независимости Украины

Праздничный спам в августе был посвящен украинскому государственному празднику – Дню Независимости, который отмечается 24-го числа последнего летнего месяца. С самого начала августа мы фиксировали рассылки спама, использующие праздничную тематику. Большая часть  этих рассылок содержала предложения туристического отдыха, разнообразных поездок и программ празднования. В письмах давались описания программ и даты проведения мероприятий, указывалась стоимость поездки. Приобрести понравившийся тур можно было, связавшись с агентством или клубом, от имени которых производилась рассылка рекламы,  по указанным в сообщении контактам.

august-2014_spam-report_ru_4

«Бархатный сезон» спамеров

Туристическая тематика присутствовала и в основных крупных рассылках августа. Традиционно в последний летний месяц спамеры пытались организовать отпуск для тех, кто еще не успел отдохнуть этим летом, и рекламировали услуги различных туристических агентств: горящие путевки по «улётно низким ценам», экскурсионные программы по городам Европы, тренинги за границей, а также экзотические путешествия.

Ярко оформленные письма, лаконично, но крупным шрифтом сообщающие о наличии горящих туров и их стоимости, должны были обратить внимание получателя на предложение и заинтересовать его. За подробностями предлагалось обратиться по указанным в письме телефонам. Некоторые сообщения за строкой с названием отеля и ценой также содержали гиперссылку на сайт оператора с более широким спектром предложений.

august-2014_spam-report_ru_5

В свете последних политических событий новым интересом спамеров этим летом стала реклама отдыха в Крыму. Не стал исключением и август: почтовый трафик Рунета пестрел незапрошенными письмами с приглашениями от частных пансионатов на отдых в Севастополь, предложениями забронировать виллу в Крыму и провести выходные под Алуштой. Часто в оформлении таких писем присутствовали фотографии предлагаемых апартаментов и морских пейзажей вблизи указанных мест отдыха.

august-2014_spam-report_ru_6

Встречались нам и нестандартные предложения, например, путешествие на автодоме по Европе и персональное приглашение от некоего фотографа Кирилла в фотопоездку по каньонам США. Кирилл активно менял адрес отправителя в своих сообщениях, однако для связи с возможными единомышленниками указывал свой телефон.

august-2014_spam-report_ru_7

Как (не) возвращать долги

Еще одной заметной тематикой спам-рассылок августа стала помощь в возврате всевозможных долгов, ориентированная как на частных лиц, так и на компании. Коллекторские агентства, специализирующиеся на взыскании просроченной дебиторской задолженности компаний, а также частные юристы обещали собрать деньги со всех должников быстро, без обращения в судебные органы и практически в полном объеме. В рекламных письмах давалось краткое описание деятельности такой организации, специфика работы, приводились некоторые статистические данные (количество взысканных средств, количество удовлетворенных клиентов и проч.) и указывались телефоны для связи. Цифры телефонных номеров нередко намеренно искажались или зашумлялись с целью обхода антиспам-фильтров. Авторы писем обещали успешный исход дела даже в тех случаях, где другие специализированные службы уже потерпели провал.

august-2014_spam-report_ru_8

В Рунете помимо предложений услуг коллекторов нам также встречались приглашения к участию в тематических вебинарах, посвященных возврату долгов. Вебинары были рассчитаны на кредитных менеджеров, юристов и специалистов отделов продаж, имеющих дело с контрагентами-должниками. Чтобы стать участником такого мероприятия, получателю  предлагалось оформить заявку, заполнив форму во вложении к письму.

august-2014_spam-report_ru_9

Мы также зафиксировали рассылку с инструкциями наподобие «Как быстро взять кредит в любом банке?» или «Как никогда не отдавать любые долги банкам и коллекторам?». Письма данной рассылки помимо емких рекламных фраз содержали ссылки, которые после череды редиректов отправляли на сайт с рекламой книги, против которой, если верить тексту, «коллекторы и работники банков объявили настоящую охоту». Книга представляла собой курс – как взять кредит и законно не отдавать его. После покупки данной «инсайдерской информации» авторы сайта обещали в качестве бонуса подарить заказчику еще и курс по стабильному заработку в Сети. В конце пользователей призывали не упустить столь уникальный и выгодный шанс, ведь скоро доступ к обоим курсам будет закрыт. Что характерно, текст сайта складывался из кусков графических изображений, что, конечно, затрудняет возможность его обнаружения через поисковик по ключевым словам.

august-2014_spam-report_ru_10

Статистика

Доля спама в почтовом трафике

august-2014_spam-report_ru_11

Доля спама в почтовом трафике

В среднем доля спама в почтовом трафике в августе составила 67,2%, что всего на 0,2% больше по сравнению с результатами предыдущего месяца. В течение августа доля незапрошенных писем стабильно росла – если в начале месяца процент спама составлял 64,9%, то в конце месяца уже 70,4%.

Доля спама в почтовом трафике Рунета

august-2014_spam-report_ru_12

Доля спама в почтовом трафике Рунета

В среднем доля спама в почтовом трафике Рунета в августе составила 68,2%. Наибольший показатель спама наблюдался на третьей неделе месяца (71,2%), наименьший – на второй (65,6%).

Страны – источники спама

По итогам августа список стран – источников спама, распространяемого по всему миру, по-прежнему возглавляют США (15,9%), за месяц показатель страны вырос на 0,7%. Далее следует Россия (6%), доля разосланного отсюда спама также немного увеличилась – на 0,4%. Замыкает тройку Китай с показателем 4,7%, что на 0,6% ниже итогов прошлого месяца.

august-2014_spam-report_ru_13

Страны – источники спама в мире

На 4-м месте расположился Вьетнам (4,7%), прибавивший 1,2% и четыре позиции по сравнению с июлем. На 5-й позиции находится Аргентина (4,4%), потерявшая один пункт в рейтинге, но незначительно увеличившая долю распространенного из страны спама.

Германия (3,6%) по-прежнему на 6-м месте с незначительно сократившимся показателем доли спама. Украина (2,9%) расположилась на 8-м месте, в августе страна покинула первую пятерку. Бразилия (2,9%), напротив, сделала небольшой рывок, прибавила 0,5% и вошла в первую десятку, на 9-ю строчку. Замыкает ТОР10 Индия с показателем 2,8%.

Можно также отметить небольшое увеличение спамерской активности в Южной Корее (1,9%), в августе она также вошла в наш список.

Ситуация со спам-потоками в Рунете по итогам августа выглядит следующим образом:

august-2014_spam-report_ru_14

Первое место занимает Россия, откуда пользователям Рунета было разослано 22,4% спама. На втором месте – Украина с показателем 12,2%. Замыкает тройку лидеров Вьетнам, ответственный за 8% спама в российском сегменте интернета.

Далее следуют США (7,3%), Казахстан (3,8%), Индия (3,7%) и Тайвань (3,5%).

На 8-й строчке расположилась Беларусь с показателем доли спама в 3,2%. За ней следует Китай (2,2%). Замыкает первую десятку Германия, откуда было разослано 2% спама.

Вредоносные вложения в почте

В августе TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом.

august-2014_spam-report_ru_15

TOP 10 вредоносных программ, распространяемых по электронной почте

Рейтинг возглавил зловред Trojan.JS.Redirector.adf. Его название говорит само за себя: образец представляет собой HTML-страницу, при открытии которой пользователя перенаправляют на зараженный сайт. Там ему обычно предлагают загрузить Binbot — сервис автоматической торговли бинарными опционами, которые сейчас популярны в Сети. Распространяется зловред по электронной почте в незапароленном ZIP-архиве.

Третью и шестую позиции занимают троянцы-загрузчики Trojan-Downloader.Win32.Upatre.to и Trojan-Downloader.Win32.Upatre.tq . Зловреды этого семейства довольно просты, не больше ~3,5 Кб, и обычно скачивают троянца-банкера из семейства, известного как Dyre/Dyzap/Dyreza. Список атакуемых этим банкером финансовых учреждений зависит от файла конфигурации, который подкачивается из командного центра.

На четвертой строчке расположился Trojan-Banker.Win32.Fibbit.rq. Этот банковский троянец внедряется в Java-приложения для онлайн-банкинга с целью кражи аутентификационной и другой информации, ключей, а также подмены транзакций и их результатов.

Пятую и шестую позицию занимают Backdoor.Win32.Androm.enji и Backdoor.Win32.Androm.erom соответственно. Оба зловреда принадлежат к семейству универсальных модульных ботов Andromeda – Gamarue. Основные возможности — скачивание, хранение и запуск исполняемого файла; скачивание и загрузка DLL (без сохранения на диск), скачивание плагинов, возможность обновлять и удалять себя. Функционал бота расширяется с помощью системы плагинов, которые подгружаются злоумышленниками в нужном количестве в любое время.

Седьмую и восьмую строчки занимают Trojan.Win32.Bublik.clhs и Trojan.Win32.Bublik.bwbx – различные модификации хорошо знакомого нам зловреда Bublik. Их можно отнести к самым обычным троянцам-загрузчикам, которые закачивают вредоносный файл на компьютер пользователя и запускают его.

Замыкает список Trojan-Spy.Win32.LssLogger.bos – многофункциональный зловред, обладающим очень широким функционалом, среди которого в первую очередь стоит отметить возможность кражи паролей от обширного списка ПО. Вся украденная информация впоследствии передаётся злоумышленникам по электронной почте.

august-2014_spam-report_ru_16

Распределение срабатываний почтового антивируса по странам

В августе Великобритания (13,16%) прибавила 6,26% и снова вышла в лидеры по количеству срабатываний почтового антивируса, отодвинув Германию (9,58%, -1,49%) и Соединённые Штаты (7,69%, -1,59%) на вторую и третью строки соответственно.

Главной неожиданностью стал скачок России (6,73%) с восьмой на четвёртую строку нашего рейтинга, в августе ее доля увеличилась на 3,33%.

Италия (3,31%) опустилась с пятой на восьмую строчку, потеряв 1,33%,  а Гонконг (2,74%) прибавил 0,28% и обошёл Австралию, Турцию и Вьетнам.

Особенности вредоносного спама

В августе мошенники, рассылавшие вредоносные вложения посредством электронной почты, снова использовали в качестве приманки поддельные уведомления от популярной социальной сети Facebook. На этот раз пользователю с совершенного стороннего адреса приходило сообщение с предупреждением о скорой деактивации аккаунта. Согласно тексту, в последние несколько дней (а в некоторых письмах – месяцев) социальная сеть подверглась атаке хакеров, поэтому во избежание негативных последствий разработчики просят пользователей установить утилиту, находящуюся в приложении.

august-2014_spam-report_ru_17

Каждое письмо рассылки содержало защищенный паролем ZIP-архив, в котором находился исполняемый файл, и уникальный пароль, необходимый для его распаковки. При этом вложенный архив носил имя пользователя, которому отправлялось письмо (логин его почтового аккаунта), и то же имя использовалось для генерации пароля к архиву. В конце письма мошенники уточняли, что файл откроется только на персональном компьютере с операционной системой Microsoft. В архиве под видом утилиты находился троянец-загрузчик, представитель семейства Trojan-Downloader.Win32.Haze. Такие зловреды скачивают другое вредоносное ПО, как правило, предназначенное для кражи персональных данных владельца компьютера или рассылки зараженных писем по его списку контактов.

Фишинг

По итогам августа на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 32 653 772 срабатываний системы «Антифишинг», что на 12 495 895 срабатываний выше показателя июля. Значительный рост, скорее всего, связан с летним снижением спроса на рекламный спам. Не желающие терять заработок злоумышленники переключаются в том числе и на фишинговые рассылки.

В августе в рейтинге стран, атакованных фишерами, на первое место вышла Австралия — ее показатель вырос вдвое и составил 24,4%. Бразилия (19,5%) опустилась на второе место. Места с 3-го по 5-е заняли Великобритания (15,2%), Канада (14,6%) и Индия (14,5%) соответственно.

TOP 10 стран по проценту атакованных пользователей:

  Страна % пользователей
1 Австралия 24.4
2 Бразилия 19.5
3 Великобритания 15.2
4 Канада 14.6
5 Индия 14.5
6 ОАЭ 14.1
7 Эквадор 13.1
8 Доминиканская Республика 13.
9 Австрия 12.8
10 Китай 12.7

Организации — мишени атак

Статистика по мишеням атак фишеров основана на срабатываниях эвристического компонента системы «Антифишинг». Эвристический компонент системы «Антифишинг» срабатывает, когда пользователь переходит по ссылке на фишинговую страницу, а информация об этой странице еще отсутствует в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе.

По итогам августа рейтинг атакованных фишерами организаций не претерпел значительных изменений. Его продолжают возглавлять почтово-поисковые порталы (30,8%), их показатель увеличился на 1,3%. Доля фишинговых атак на социальные сети (17,3%) увеличилась на 3,3%. В результате в августе на долю этих двух категорий пришлась почти половина всех фишинговых атак.

august-2014_spam-report_ru_19

Распределение организаций, атакованных фишерами, по категориям, август 2014 г.

На финансовый фишинг в целом пришлось 35,2% срабатываний эвристического компонента системы «Антифишинг», что на 6,6% меньше, чем в прошлом месяце. Общее снижение атак на финансовый сектор сказалась и на показателях отдельных категорий. Так, уменьшились доли срабатываний по категориям «Банки» (-4,9%), «Онлайн-магазины» (-1,2%) и «Платежные системы» (-0,6%).

TOP 3 атакуемых организаций

  Организация % срабатываний
1 Google 12,61%
2 Facebook 10,05%
3 Yahoo! 6,38%

В августе среди атакуемых фишерами организаций первое место продолжают занимать сервисы Google (12,61%), их показатель увеличился на 1%. Вторую строчку с показателем 10,05% удерживает Facebook, которая традиционно является самой атакуемой фишерами социальной сетью. Ее показатель увеличился на 0,4%. На третье место вышли поисковая система и сервисы Yahoo! (6,38%). В июле, напомним, третью строчку занимали сервисы Windows Live.

В августовском спам-трафике мы обнаружили несколько фишинговых рассылок, направленных на кражу логинов и паролей сервисов Yahoo!. В письмах сообщалось, что администрацией Yahoo! были зафиксированы попытки входа в аккаунт получателя с неопознанного устройства авторизация с другого компьютера. Такая активность вызвала подозрения у администрации, и в результате аккаунт будет заблокирован, если получатель письма не подтвердит данные (логин и пароль) на специальной странице. В теле письма указывались две ссылки для верификации персональных данных: одна для подтверждения пароля и предотвращения блокировки, вторая — для защиты аккаунта в случае, если вход был выполнен не пользователем. Обе ссылки в письме имели одинаковый адрес и вели на одну и ту же фишинговую страницу. Отметим, что текст писем разных рассылок практически не менялся, а в оформлении использовалось изображение логотипа Yahoo!.

august-2014_spam-report_ru_20

Если в одной рассылке фишинговая страница полностью имитировала официальную страницу входа в аккаунт, то в другой использовался отличный от оригинального фон страницы.

august-2014_spam-report_ru_21

Если посмотреть на HTML-код фишинговых страниц, становится понятно, что в первом случае введенные жертвой данные отправлялись на PHP-страницу злоумышленников, а во втором — на адрес электронной почты, зарегистрированной на бесплатном почтовом сервисе. Причем в HTML-коде также указывался адрес, который будет проставляться в поле отправителя, и тема письма. Это давало мошенникам возможность идентификации полученной информации с логинами и паролями пользователей в рамках определенной рассылки.

august-2014_spam-report_ru_22

Заключение

Доля спама в мировом почтовом трафике в августе увеличилась на 0,2% и составила 67,2%. В Рунете показатель доли спама составил 68,2%.

В августе мошенники, внимательно следящие за политическими событиями на Украине, продолжили рассылать «нигерийские» письма пользователям Интернета с просьбами о помощи. В основе сюжета писем на русском языке лежала история о беженке из г. Краматорска, которая просила получателя о любой помощи.

Вредоносные письма, замаскированные киберпреступниками под уведомления от судебных инстанций, часто встречались в спам-трафике августа. Подобные сообщения были написаны на разных языках, а вложенные в них вредоносные файлы предназначались не только для кражи персональной информации, но и для получения денежных средств за расшифровку файлов на компьютере жертв.

Кроме того, в последний летний месяц спамеры активно продвигали услуги туристических и коллекторских агентств.

Среди стран-источников спама, распространяемого по всему миру, лидерами в августе остались США (15,9%), Россия (6%) и Китай (4,8%).

Список вредоносных программ, распространяемых по электронной почте в августе возглавил Trojan.JS.Redirector.adf. Хорошо знакомый нам Trojan-Spy.HTML.Fraud.gen, удерживавший лидерство на протяжении многих месяцев, продолжает занимать вторую позицию.

По итогам августа количество срабатываний системы «Антифишинг» на компьютерах пользователей продуктов «Лаборатории Касперского» увеличилось почти в 1,5 раза  и составило 32 653 772 срабатываний. По статистике 24,4% всех атак пришлось на долю пользователей в Австралии. Рейтинг организаций, атакованных фишерами, по-прежнему, возглавляют почтово-поисковые порталы (30,8%). Суммарный показатель финансового фишинга в целом уменьшился на 6,6% и составил 35,2%. В ТОП-3 рейтинга организаций атакуемых фишерами вошла компания Yahoo!

Спам в августе 2014

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Юрий

    Информативно, полезно, помогает.
    Спасибо!:)

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике