Спам: особенности квартала
Год вымогателей в спаме
Хотя закончился только второй квартал, 2016 год уже можно смело назвать годом троянцев-вымогателей. Количество писем с вредоносными вложениями, большинство которых так или иначе загружают вымогателей на компьютер жертвы, на конец второго квартала по-прежнему велико. Только в период с 1 по 21 июня количество таких писем резко уменьшилось.
Абсолютное большинство вредоносных вложений пересылались в ZIP-архивах. И резкий спад хорошо виден на графике спама с ZIP-вложениями, который приходил в наши ловушки:
Количество писем с ZIP-архивами, второй квартал 2016 года
Кроме спада в июне можно заметить еще одну интересную особенность: такой спам не рассылается в выходные.
Такая же картина наблюдается и в KSN, количество срабатываний почтового антивируса резко упало 1 июня и выросло 22-го.
Количество срабатываний почтового антивируса по дням, второй квартал 2016 года
Такой спад связан с временным затишьем ботнета Necurs, с которого преимущественно и рассылается вредоносный спам подобного вида. После того как ботнет вновь заработал, шаблон спамового письма поменялся, а вредоносные вложения стали еще более сложными.
Письма, как и в прошлом квартале, в основном сообщали о чеках, счетах или прайс-листах, якобы приложенных к письму. На самом же деле во вложении содержались троянцы-загрузчики, написанные на Javascript, и большинство таких зловредов подгружало шифровальщика Locky.
Например, в некоторых письмах (см. скриншот выше) во вложении находился архив троянца-загрузчика — при запуске он закачивал на компьютер жертвы зловред Trojan-Ransom.Win32.Locky.agn, который шифрует информацию на компьютере и требует выкуп в биткойнах.
Про обфускацию
Во втором квартале спамеры продолжили маскировать свои ссылки с помощью различных диапазонов юникода, предназначенных для специфических целей. Эта тактика получила особую популярность в 2015 году и до сих пор пользуется успехом у спамеров.
Ссылка в этом примере выглядит так:
Если перевести домен из кодировки UTF-8 в более привычный HTML-вид, он примет вид . Буквы, которые выглядят совершенно обычно, на самом деле относятся к UTF-диапазону Mathematical Alphanumeric Symbols, используемому для специфических математических формул и не предназначенному для использования в обычном тексте или гиперссылках. Точка в домене также необычная: это fullwidth full stop, используемая в иероглифических языках. Остальная часть гиперссылки, как и весь остальной текст в таком спаме, написана обыкновенной латиницей.
Использование спама для APT
Во втором квартале мы заметили некоторое количество APT-атак на корпоративный сектор. Письма были отосланы якобы от официальных лиц атакуемой компании и содержали просьбу немедленно перевести деньги на определенный счет. Текст был написан достаточно правдоподобно, с намеками на личное знакомство и предыдущее общение. В некоторых случаях присутствовал логотип атакуемой компании. Во всех письмах был сделан упор на срочность («ASAP», «urgent», «must be completed today») – мошенники часто используют этот прием, чтобы спешка и волнение не дали человеку задуматься и трезво оценить ситуацию.
Пример содержания такого письма:
Hello NNNNN,
How are you doing! Are you available at the office? I need you to process an overdue payment that needs to be paid today.
Thanks,
XXXXX
Сами письма рассылались очень точечно, отдельным сотрудникам, как правило, связанным с финансами. Такая осведомленность злоумышленников говорит о тщательной предварительной проработке атаки.
Самой недостоверной частью атаки было то, что домен в поле From стоял не корпоративный, а совершенно иной, например myfirm.moby. Возможно, расчет был на то, что некоторые почтовые клиенты по умолчанию показывают пользователю только имя отправителя, скрывая его почтовый адрес.
Но надо отметить, что проставить любой поддельный домен в поле From совсем не сложно, и в будущем можно опасаться более качественных атак.
Спортивные события в спаме
Спам-рассылки, посвященные различным актуальным событиям, уже давно стали неотъемлемой частью мусорной почты. Спортивные события не так популярны у спамеров, как, например, политические, однако их востребованность с каждым годом увеличивается. Если письма с упоминанием различных политических деятелей идут постоянно, то спам-сообщения на спортивную тематику появляются только в преддверии спортивного события. Однако последнее время мы видим, что рассылки могут быть запущены и задолго до старта соревнования. Так, письма, посвященные Олимпиаде в Бразилии, были зафиксированы еще год назад, во втором квартале в 2015 года. Подавляющее большинство таких писем – мошеннические, нацеленные на обман получателя и кражу у него персональной информации и денежных средств.
Классический сюжет фальшивых уведомлений о выигрыше в лотерею, посвященную предстоящей Олимпиаде, заключается в том, что лотерея была проведена официальной организацией, а адрес получателя уведомления выбран из миллионов других адресов случайным образом. Для получения денежного выигрыша получателю необходимо ответить на письмо и предоставить требуемую персональную информацию.
Часто текст содержался в прикрепленном файле (.pdf, .doc, .jpg), а в теле письма приводился лишь краткий текст с просьбой открыть вложение.
Встречались и традиционные сообщения, в которых спамерский текст приводился непосредственно в теле письма.
Помимо мошеннических сообщений рассылался и рекламный спам.
Футбольные чемпионаты, в отличие от Олимпиады, уже давно используются мошенниками для привлечения внимания к письму. В середине второго квартала 2016 года стартовал Чемпионат Европы по футболу, и в преддверии этого события мы зафиксировали в спам-трафике фальшивые уведомления о выигрыше в лотерею, смысловое содержание которых не отличалось от аналогичных уведомлений, приуроченных к Олимпиаде. Письма также содержали вложенные документы, раскрывающие суть обращения.
Футбольная тема встречалась и у «нигерийских» мошенников. Они рассылали письма от имени бывшего президента FIFA и использовали громкий коррупционный скандал, связанный с его именем, для придания сообщениям достоверности. Спамеры рассчитывали, что выдуманная история о том, что в период президентства в FIFA Йозеф Блаттер неофициально получал денежные средства и тайно переводил их на свой счет в один из европейских банков, не вызовет подозрений у пользователей. Так же, как и просьба сохранить имеющиеся средства на счету адресата за вознаграждение в размере 40% от общей суммы.
Чтобы убедить получателя в достоверности автора письма, мошенники использовали один из стандартных приемов – указывали в поле отправителя подходящее имя автора и домен соответствующей организации.
Американские политики в спаме
В США полным ходом идет предвыборная кампания, политики и их окружение находятся под пристальным вниманием СМИ. Не остались в стороне и спамеры: в прошедшем квартале они использовали имена известных политиков в своих мошеннических и рекламных письмах. Так, например, немало «нигерийских» писем рассылалось от имени действующего президента Барака Обамы и его супруги Мишель. В своих «официальных» посланиях «президент» и «первая леди» заверяли получателей в том, что на их имя уже выпущена банковская карта или выписан чек на очень крупную сумму денег. Нужно лишь выполнить некоторые формальности, и деньги будут доставлены счастливчику в кратчайшие сроки. Инструкцию из Белого дома предлагалось получить, отправив на подставные электронные адреса личную информацию, включая адрес электронной почты с паролем к нему, а также подробные паспортные данные.
Еще один политик, чьё имя часто мелькало в спаме, – Дональд Трамп, один из двух претендентов на президентское кресло в США. Уникальная методика онлайн-заработка от самого Трампа, согласно обещаниям спамеров, обогатит всякого, кто захочет узнать подробности и пройти по ссылке из письма. Что характерно, сообщения были оформлены как новостные выпуски CNN и Fox News.
Ссылки из писем вели на подставные новостные сайты, также оформленные в стиле крупных информационных каналов и новостных сетей. Новость представляла собой рассказ о простом методе заработка — публикации ссылок. По сути же этот метод является разновидностью рассылки спама. При этом для участия в программе сначала нужно зарегистрироваться, предоставив мошенникам свои личные данные: телефон и электронный адрес.
Статистика
Доля спама в почтовом трафике
Доля спама в мировом почтовом трафике, первый и второй кварталы 2016 года
Наибольшая доля спама во втором квартале наблюдалась в мае – 59,46%, что почти на 3 п.п. выше показателя апреля. Средняя доля спама в мировом почтовом трафике за второй квартал 2016 года составила 57,25%.
Доля спама в российском почтовом трафике, первый и второй кварталы 2016 года
Традиционно уровень спама в российском сегменте интернета оказался выше общемирового – в среднем за второй квартал доля спама составила 61,84%. Как и в случае с мировым спамом, наибольшая доля спама наблюдалась в мае – 62,88%. То же значение в июне оказалось на 2 п.п. меньше.
Страны – источники спама
Страны – источники спама в мире, второй квартал 2016 года
Во втором квартале 2016 года первая тройка стран – источников спама – США (10,79%), Вьетнам (10,10%) и Индия (10,01%) – осталась неизменной. Однако заметно изменились показатели входящих в нее стран, разрыв между которыми снизился до минимума.
На четвертое место поднялся Китай (6,52%), его показатель за квартал вырос на 1,43 п.п. Пятое место занимает Мексика (4,55%), за ней идут Россия (4,07%) и Франция (3,60%). Бразилия (3,28%), занимавшая в первом квартале четвертую позицию, потеряла 2,2 п.п. и спустилась на восьмое место. Замыкают первую десятку Германия (2,97%) и Турция (2,30%).
Размеры спамовых писем
Размеры спамовых писем, первый и второй кварталы 2016 года
Традиционно самыми рассылаемыми письмами во втором квартале 2016 года стали сообщения объемом до 2 КБ (72,26%), хотя их доля снизилась на 9,6 п.п. И напротив, на 6,76 п.п. выросла доля писем размером от 10 до 20 КБ. В остальных категориях произошли минимальные изменения.
Вредоносные вложения в почте
В настоящее время большинство вредоносных программ детектируются проактивно автоматическими средствами, что серьезно затрудняет сбор статистики по конкретным модификациям зловредов. Поэтому мы решили перейти на более информативную статистику: ТОР 10 вредоносных семейств по доле конкретного семейства в общем числе срабатываний почтового антивируса.
ТОР 10 вредоносных семейств
Тройка лидеров не изменилась, это по-прежнему семейства Trojan-Downloader.JS.Agent (10,45%), Trojan-Downloader.VBS.Agent (2,16%) и Trojan-Downloader.MSWord.Agent (1,82%).
Семейство Trojan.Win32.Bayrob переместилось на позицию вверх и теперь занимает 4-е место (1,68%). Семейство Backdoor.Win32.Androm (0,55%), напротив, потеряло несколько позиций, переместившись с 4-й на предпоследнюю строчку рейтинга.
TOP 10 семейств вредоносных программ, второй квартал 2016 года
Среди новых семейств в нашем ТОР 10 отметим семейство Trojan.Win32.Inject (0,61%). Вредоносные программы этого семейства внедряют свой код в адресное пространство других процессов.
Замыкает десятку, как и в прошлом квартале, семейство Trojan-Spy.HTML.Fraud (0,55%).
Страны — мишени вредоносных рассылок
Распределение срабатываний почтового антивируса по странам, второй квартал 2016 года
Первое место по итогам второго квартала 2016 года занимает Германия (14,69%), хотя ее доля снизилась на 4,24 п.п. Далее следует Китай (13,61%), чья доля наоборот увеличилась на 4,18 п.п. Замыкает первую тройку Япония (6,42%), которая в прошлом квартале была на седьмом месте с показателем 4,29%.
На четвёртой позиции расположилась Бразилия (5,57%), а пятую строчку в нашем рейтинге занимает Италия (4,86%). Россия по итогам квартала по-прежнему располагается на шестом месте с показателем 4,36%.
США (4,06%) среди стран — мишеней спама с вредоносными вложениями во втором квартале заняли седьмую позицию. Замыкает первую десятку Австрия (2,3%).
Фишинг
Во втором квартале 2016 года с помощью системы «Антифишинг» было предотвращено 32 363 492 попытки перехода пользователей продуктов «Лаборатории Касперского» на фишинговые веб-страницы. Это на 2,6 млн меньше по сравнению с показателями предыдущего квартала. Всего за второй квартал фишерами было атаковано 8,7% уникальных пользователей продуктов «Лаборатории Касперского» в мире.
География атак
Страной с наибольшей долей атакованных фишерами пользователей оказался Китай (20,22%). Во втором квартале доля атакованных жителей этой страны увеличилась на 3,52 п.п.
Доля атакованных пользователей в Бразилии снизилась на 2,87 п.п. и составила 18,63%, в результате страна заняла второе место в нашем ТОР 10. На третьем месте Алжир (14,3%), чей показатель вырос на 2,92 п.п. по сравнению с предыдущим кварталом.
TOP 10 стран по доле атакованных пользователей
Китай | 20,22% |
Бразилия | 18,63% |
Алжир | 14,3% |
Великобритания | 12,95% |
Австралия | 12,77% |
Вьетнам | 11,46% |
Эквадор | 11,14% |
Чили | 11,08% |
Катар | 10,97% |
Мальдивы | 10,94% |
Организации — мишени атак
Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях эвристического компонента системы «Антифишинг» на компьютерах пользователей. Этот компонент детектирует все страницы с фишинговым контентом, на которые пользователь пытался пройти по ссылкам в письме или в интернете, в тех случаях, когда ссылки на эти страницы еще отсутствуют в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе.
Во втором квартале заметно уменьшилась доля категории «Глобальные интернет-порталы» (20,85%), лидера прошлого квартала, — на 7,84 п.п. Увеличилась доля категории «Финансовые организации» (46,23%, +2,07 п.п.), которая объединяет в себе «Банки» (25,43%, +1,51 п.п.), «Платежные системы» (11,42%, -0,42 п.п.), «Онлайн-магазины» (9,39%, +0,99 п.п.).
Распределение организаций, атакованных фишерами, по категориям, второй квартал 2016 года
Доля категории «Социальные сети» выросла на 2,65 п.п. – до 12,4%; увеличилась и доля категории «Онлайн-игры» — на 1,96 п.п., до 5,65%. За тот же период уменьшилась на 1,17 п.п. доля категории «Телефонные и интернет-провайдеры» (4,33%), а также доля категории «Программы мгновенного обмена сообщениями» (1,28%) — на 2,15 п.п.
Горячие темы квартала
Олимпиада в Бразилии
Бразилия уже не первый год находится в топе стран с наибольшей долей атакованных фишерами пользователей. Так, в 2015 и 2016 годах году внимание мошенников было привлечено Олимпиадой, которая сейчас проходит в Бразилии. В прошлом квартале потенциальными жертвами фишеров стали не только обычные пользователи, но и сами организаторы Олимпийских игр.
Шумиха вокруг игр не утихала и во втором квартале, не отдыхали и мошенники, рассылая фальшивые уведомления о выигрыше в лотерею, якобы организованную правительством страны и Олимпийским комитетом в честь Игр.
«Порновирус» для пользователей Facebook
Пользователи социальной сети Facebook часто подвергаются атакам фишеров. В ходе одной из атак, прошедшей во втором квартале, мошенники отмечали потенциальных жертв на провокационном видео. Для его просмотра требовалось перейти на фальшивую страницу, которая была замаскирована под популярный видеопортал YouTube, и установить расширение для браузера.
Данное расширение запрашивало права на чтение всех данных в браузере, что в перспективе позволяло мошенникам заполучать введенные пароли, логины, данные банковских карт и другую конфиденциальную информацию пользователя. Кроме того, в дальнейшем расширение распространяло ссылки на себя в Facebook, но уже от имени жертвы.
Уловки фишеров
Взлом доменов, имеющих хорошую репутацию
Для обхода фильтров защитного ПО мошенники стараются располагать фишинговые страницы на доменах с хорошей репутацией. Так вероятность блокировки значительно снижается, а доверие потенциальных жертв возрастает. Большая удача для фишеров – заполучить для своих целей домен банка или государственной организации. В этом квартале мы столкнулись с фишинговой атакой, направленной на посетителей популярного в Бразилии сайта электронной коммерции, – поддельная страница располагалась на домене крупного индийского банка. Это далеко не первый случай, когда мошенники взламывают домен крупного банка и размещают на нем свой контент.
Фишинг, нацеленный на пользователей бразильского магазина americanas.com
При попытке приобрести продукцию на поддельной странице магазина у жертвы запрашивается множество персональной информации. Для дальнейшей оплаты предлагается распечатать чек с логотипом уже бразильского банка.
Со взломом доменов государственных структур фишерами мы сталкиваемся намного чаще. Так, в этом квартале замечено множество случаев размещения фишинговых страниц на доменах органов государственной власти разных стран. Вот только некоторые из них:
Фишинговые страницы, располагающиеся на доменах органов государственной власти.
Вероятность того, что данные ссылки попадут в списки запрещенных, значительно снижается благодаря репутации домена.
ТОP 3 атакуемых фишерами организаций
Мошенники концентрируют большую часть своих сил на пользователях самых популярных брендов, тем самым повышая шансы на успех очередной фишинговой атаки. Более половины всех срабатываний эвристического компонента нашей системы «Антифишинг» приходится на фишинговые страницы, прикрывающиеся именем менее 15 известных компаний.
На ТОР 3 атакуемых организаций во втором квартале пришлось 23% всех срабатываний эвристического компонента.
Организация | % срабатываний | |
1 | Microsoft | 8,1 |
2 | 8,03 | |
3 | Yahoo! | 6,87 |
Во втором квартале в тройке атакуемых фишерами организаций произошли некоторые изменения. Лидером среди атакуемых организаций стала Microsoft (8,1%), ее доля увеличилась на 0,61 п.п. На второе место поднялась социальная сеть Facebook (8,03%), чей показатель вырос на 2,32 п.п. Лидер предыдущего квартала – Yahoo! (6,87%) – потерял 1,49 п.п. и сместился на третью позицию.
Лидера второго квартала, Microsoft, мы относим к категории «Глобальные интернет-порталы», так как с помощью одного аккаунта пользователь получает доступ ко множеству сервисов компании. Это и привлекает мошенников – в случае одной успешной атаки получить доступ ко множеству сервисов, используемых жертвой.
Пример фишинга на Live.com, сервис компании Microsoft
Заключение
Во втором квартале 2016 года средняя доля спама в мировом почтовом трафике по сравнению с предыдущим кварталом увеличилась незначительно – на 0,33 п.п. – и составила 57,25%. Среди стран — источников спама по-прежнему лидируют США. Также в первую тройку, как и в первом квартале, вошли Вьетнам и Индия.
Среди стран — мишеней вредоносных вложений лидером по итогам квартала остается Германия, за ней с небольшим отрывом следует Китай. Замыкает первую тройку Япония, которая в первом квартале занимала седьмое место.
Самым распространенным семейством зловредов в почте остается Trojan-Downloader.JS.Agent, за которым следуют Trojan-Downloader.VBS.Agent и Trojan-Downloader.MSWord.Agent. Значительное количество вредоносного спама использовалось для распространения троянцев-вымогателей, таких как Locky. Интересно, что почти на месяц злоумышленники не рассылали свой вредоносный спам, но потом ботнет Necurs снова заработал. В ближайшее время мы не ожидаем существенного снижения количества вредоносного спама, хотя возможно изменение шаблонов писем, сложности вредоносных программ, а также социальных методик, с помощью которых злоумышленники провоцируют пользователей запустить вредоносное вложение.
Направление фишинговых атак немного переместилось от тематики «Глобальные интернет-порталы» к «Финансовым организациям».
Как в фишинге, так и в спаме мошенниками активно используется тема Олимпийских игр в Бразилии. С ее помощью злоумышленники пытаются заманить пользователей на поддельные страницы и получить их конфиденциальную информацию или просто выманивают у жертв деньги.
Политические события, такие как выборы в США, тоже попали в поле зрения спамеров.
В фишинге использовались взломанные сайты органов государственной власти.
Как мы видим, во многом тенденцией квартала являлось мошенничество и получение денег от пользователей не с помощью сложного сценария, а довольно прямым путем, таким как загрузка троянцев-шифровальщиков, вынуждающих незащищенных пользователей платить выкуп, или фишинг, направленный на финансовые организации. Все это еще раз подтверждает необходимость и комплексной защиты компьютеров, и увеличения осторожности пользователей интернета.
Спам и фишинг во втором квартале 2016