Kaspersky Security Bulletin

Kaspersky Security Bulletin 2009. Спам в 2009 году

  1. Kaspersky Security Bulletin 2009. Развитие угроз в 2009 году
  2. Kaspersky Security Bulletin 2009. Основная статистика за 2009 год
  3. ­Спам в 2009 году

Итоги года

  • Доля спама в почтовом трафике в 2009 году составила 85,2%.
  • Наибольшее количество спама (16%) рассылалось в этом году из США, также много спама было разослано из азиатских стран.
  • Доля фишинговых писем в почте составила 0,86%.
  • Вредоносные вложения содержались в 0,85% электронных писем.
  • На тематический состав спама сильно повлиял экономический кризис.
  • По-прежнему популярно SMS-мошенничество в спаме.
  • Впервые спам содержал ссылки на спамерские видеоролики, размещенные на Youtube.
  • Методы использования языка html для маскировки ссылок в спаме совершенствуются.
  • Вновь применяются различные искажения картинки для обхода фильтров.
  • Для привлечения внимания пользователей в спаме по-прежнему используются горячие темы и имена популярных личностей.
  • Спамеры используют популярность социальных сетей.

Доля спама

Доля спама в почтовом трафике в 2009 году в среднем составила 85,2%, что на 3,1% выше, чем в 2008 году. Наибольшее количество спама было зафиксировано 22 февраля — 93%, наименьшее — 72,8% — 26 апреля.


Доля спама в 2009 г. по месяцам

В течение года колебания доли спама в почтовом трафике не превысили 5%. Средний за месяц процент спама в почте менялся в пределах от 82,6% (декабрь) до 87,2% (февраль). Во втором полугодии колебания были меньше — с июля по август месячные показатели отличались не более чем на 2,5%. В декабре уровень спама, как и в предыдущие годы, уменьшился. В прошлом году разброс был существенно больше: процент спама в почте варьировал от 73,7% до 90,7% в разные месяцы. Говорит ли это о том, что темп роста количества спама в почтовом трафике снизился, а доля спама в почте стабилизировалась на отметке 85%, покажет время.

Страны — источники спама

Среди стран — источников спама в Рунете в 2009 году лидировали США. Второе место занимала Россия, а третье — Бразилия. Напомним, что в 2008 году тройка лидеров выглядела иначе: Россия, США и Испания. Как мы уже рассказывали в статье «Спам в первом полугодии 2009 года«, в истекшем году намного меньше спама рассылалось из Западной Европы, и больше — из азиатских и латиноамериканских стран.

Динамику изменений в рассылке спама из разных стран в 2009 году можно видеть на следующем графике:


Страны — источники спама (динамика рассылки спама по кварталам)

На графике виден резкий рост числа сообщений, рассылавшихся из США. Нужно отметить, что этот рост произошел одновременно со скачком количества зараженных американских доменов, описанным нашими вирусными аналитиками в отчете за третий квартал 2009 года.

Тематический состав спама


Распределение спама по тематическим категориям в 2009 году

В пятерку лидеров за год вошли следующие тематические категории спама (в скобках указано изменение по сравнению с 2008 годом):

  1. Медикаменты; товары/услуги для здоровья — 18,9% (- 4,7%)
  2. Образование — 15,9% (+3,9%)
  3. Реклама спамерских услуг — 11,7% (+6,8%)
  4. Другие товары и услуги — 11,2% (- 4,9%)
  5. Реплики элитных товаров — 8,5% (+0,6%)

Тематический состав спама, в отличие от доли спама в трафике, значительно менялся.


Распределение спама по тематическим категориям в первом полугодии 2009 г.


Распределение спама по тематическим категориям во втором полугодии 2009 г.

Как можно заметить из диаграмм, во втором полугодии более чем в два раза увеличилась доля рубрики «Образование». Также в 2,5 раза выросла доля рубрики «Отдых и путешествия», а лидеры первого полугодия сдали свои позиции.

Спам и кризис

По изменениям в тематическом составе спама можно было следить за развитием экономического кризиса. Мы уже писали о том, что с началом кризиса количество спама, рекламирующего товары/услуги мелкого и среднего бизнеса, уменьшилось, и одновременно с этим увеличилось количество криминализированного спама и саморекламы спамеров.

Доля спама, рекламирующего товары и услуги легального бизнеса, начала падать начиная с августа 2008 года и продолжала снижаться (хотя и не без отдельных подъемов) до мая 2009 г. — пика кризиса. Это связано с тем, что заказчики такого спама либо разорились, либо урезали расходы на рекламу и перестали заказывать спам. Спамеры же стали активно привлекать новых клиентов. Количество саморекламы спамеров в незапрошенных массовых рассылках, которое до этого не превышало 4-5% от всего спама, резко возросло и к апрелю 2009 года достигло пика в 19,7%.

Однако пока заказчики спама не вернулись к спамерам, последним нужно было избежать простоя — за обслуживание серверов и аренду ботнетов надо платить. В этом им помогли так называемые партнерские программы.

Партнерские программы в интернете — это вид сетевого интернет-маркетинга, часто используемый в SEO (англ. Search Engine Optimization — комплекс мер для поднятия позиций сайта в результатах выдачи поисковых систем) и в продвижении товаров и услуг. Смысл партнерских программ заключается в привлечении покупателей и клиентов со сторонних сайтов. Происходит это следующим образом: партнер размещает у себя на сайте баннер или ссылку на сайт заказчика. Если в дальнейшем покупатель, посетивший сайт партнера, переходит по этой ссылке и затем покупает товар, то за это партнеру начисляется процент от прибыли магазина. В некоторых случаях партнеру платят за то, что клиент просто зашел на сайт заказчика.

В настоящий момент «партнерки» очень популярны и в криминальном интернет-бизнесе. С помощью подобных программ распространяются рецептурные медикаменты без рецепта, подделки элитных товаров и дешевый софт. Также подобный маркетинговый ход популярен в порноиндустрии, где партнер получает прибыль за каждого приведенного на сайт пользователя. Кроме того, подобными методами мошенники завлекают пользователей интернета на сайты с поддельными антивирусными программами и на сайты, владельцы которых зарабатывают деньги с помощью SMS-мошенничества.

Спамер, участвующий в партнерской программе, получает деньги не за каждый миллион разосланных писем, а за каждого человека, купившего товар благодаря спаму.

На графике мы можем наблюдать обратную зависимость между количеством «партнерского» спама (рубрики «Медикаменты», «Реплики», «Спам для взрослых», «Компьютеры и интернет» и «Компьютерное мошенничество») и традиционного спама, где заказчик платит спамеру за рассылку, рекламирующую его товар/услугу («Образование», «Другие товары и услуги», «Отдых и путешествия», «Недвижимость», «Юридические услуги и аудит», «Полиграфия»). Кроме того, мы видим, что оставшиеся мощности заняты саморекламой спамеров.


Доля традиционного спама, «партнерского» спама и рекламы спамерских услуг
в общем объеме спама в 2009 году по месяцам

Процессы, отображенные на графике, легко сопоставить с ходом кризиса. Как правило, компании-заказчики, действующие через «партнёрку» — это крупные криминализированные структуры, а представители малого и среднего бизнеса заказывают у спамеров рассылки напрямую. Как видно на графике, с февраля по май 2009 г. количество «традиционного» спама падало, достигнув низшей точки в мае, который по оценкам экспертов считается «дном» кризиса. Начиная с мая количество спама, рекламирующего товары и услуги малого и среднего бизнеса, пошло вверх, в то время как количество «партнерского» спама стало сокращаться. Также пошло на спад количество спамерской саморекламы. К декабрю практически все эти показатели вернулись к докризисному уровню.

Мошенничество в спаме

Во второй половине 2009 года значительно увеличилось количество спама, тематически объединяемого нами в рубрику «компьютерное мошенничество».


Доля спама рубрики «компьютерное мошенничество»
в общем объеме спама в 2009 г.

К этой тематической категории мы относим фишинговые письма, «нигерийские» письма, поддельные уведомления о выигрыше в лотерею, SMS- и другие виды мошенничества.

Фишинг

Весной 2009 года количество писем, содержавших фишинговые ссылки, заметно сократилось. По оценкам экспертов, именно весной кризис достиг своего пика. В то же время увеличение количества фишинговых писем пришлось на август 2009 года, то есть на момент выхода из кризиса. Среднее количество фишинговых писем в почте за год составило 0,86%. Наши ожидания относительно того, что сложная экономическая ситуация «подстегнет» фишеров, не оправдались. По всей видимости, социальные инженеры пришли к выводу, что именно в напряженных экономических условиях пользователи становятся более внимательными и осторожными и стараются не рисковать своими сбережениями. А вот выход из кризиса, очевидно, должен был вызвать у населения не только увеличение объема доступных средств, но и усиление беспечности. Кроме того, фишинговые проекты также требуют определенных финансовых затрат, поэтому их намного легче осуществлять при более благоприятной экономической ситуации.


Процент писем, содержащих фишинговые ссылки,
в почтовом трафике в 2009 году

В 2009 году в рейтинге наиболее часто атакуемых организаций первое место снова заняла платежная система PayPal. Внимание злоумышленников к PayPal не ослабевало в течение всего года. На втором месте оказался её собрат по несчастью — интернет-аукцион e-Bay.

Крупные американские банки Bank of America и Chase занимают третью и четвертую строчки нашего рейтинга. Нужно отметить, что уже второй год подряд банк Chase входит в пятерку наиболее часто атакуемых организаций в связи с повторяющимися интенсивными, хотя и непродолжительными, атаками злоумышленников. В 2009 году эта организация заняла первую строчку рейтинга лишь в августе, а в остальное время даже не всегда появлялась в десятке лидеров.


Организации, подвергшиеся фишинговым атакам в 2009 году

Интересно отметить появление в рейтинге американской организации по налогам и сборам — IRS. Злоумышленники начали атаковать её в сентябре 2009 года, незадолго до последнего срока подачи налоговых деклараций. В течение трех осенних месяцев IRS входила в число десяти наиболее часто атакуемых фишерами организаций.

С конца лета наблюдается множество разнообразных фишинговых рассылок, нацеленных на пользователей популярной онлайн-игры World of Warcraft. Аккаунты соцсетей также вызывают интерес у злоумышленников. В конце года фишеры стали обращать пристальное внимание на пользователей Facebook.

В последние месяцы 2009 года количество фишинга в почтовом трафике практически вернулось к январскому уровню.

SMS-мошенничество в спаме

Помимо фишинга, «нигерийских» писем и поддельных лотерейных выигрышей, в рубрику «компьютерное мошенничество» уже второй год подряд попадают письма, в которых получателя так или иначе провоцируют отослать дорогое SMS-сообщение на короткий премиум-номер. Пользователь, со счета которого неожиданно для него списывается ощутимая сумма денег, как правило не получает взамен обещанных услуг. Такой спам характерен только для России и Украины, так как в других странах схемы аренды коротких номеров с префиксами намного сложнее. Кроме того, арендующие их лица обязаны предоставлять о себе подробную информацию и, соответственно, подобных мошенников намного легче привлечь к ответственности.

В прошлом году, когда такой метод обмана пользователей только появился, мошенники использовали классические методы социальной инженерии: сообщали о выигрыше, грозились заблокировать аккаунт, предлагали дешевое порно. В этом году мошенничество стало более креативным: чтобы убедить пользователя отправить SMS-сообщение, злоумышленники изобретают совершенно невероятные темы. Наиболее популярны «звуковые наркотики» и определение местонахождения человека по номеру его мобильного телефона.

Первая приманка представляет собой mp3-файлы, якобы способные вызвать у прослушивающего различные состояния, схожие с наркотическими. Во втором случае мошенники обещали узнать, где в данный момент находится человек, используя номер его мобильного телефона.

За каждую из этих услуг спамеры предлагали заплатить с помощью SMS-сообщения, стоимость которого оказывалась существенно выше, чем было обещано, что традиционно для SMS-мошенничества.

На поверку обе эти услуги являются чистой воды мошенничеством. О том, что mp3-файлы не могут вызывать у человека измененные состояния сознания, неоднократно писали в прессе с целью предупредить доверчивых пользователей. Привлечь же ловкачей к ответственности трудно, так как на своих сайтах они размещают специальный раздел «Правила» (обычно его довольно непросто найти, текст в нем очень мелкий, бледный и трудно читаемый), где размещают реальную информацию об услуге или отсутствии таковой, а также реальную стоимость SMS-сообщения.

Вот как выглядит типичное спамерское письмо, в котором предлагается определить местонахождение человека по номеру его мобильного телефона:

А вот что написано в разделе «Правила» на таком мошенническом сайте:

Освобождение от гарантий а) Пользователь использует сервис на свой страх и риск. Услуги Сервиса предоставляются Пользователю на условиях «как есть». Сервис не принимает на себя никакой ответственности, включая, но не ограничиваясь соответствием результатов поиска запросу Пользователя; б) Сайт представляет собой игру, которая носит развлекательный характер. Вся информация, представленная на Сайте, является вымышленной и не должна восприниматься всерьез.

Помимо прочего, именно в разделе «Правила» можно прочитать о том, что SMS-сообщение, с помощью которого оплачивается сервис, стоит не 5 рублей, а около 300 (примерно 10 долларов).

В отдельных случаях спамеры в качестве оплаты услуги требовали прислать не одно, а целых три дорогих SMS-сообщения, обещая доступ на платные ресурсы. Отослав их, пользователь получал ссылку на сайты, которые на деле оказывались совершенно бесплатными.

Сейчас многие операторы сотовой связи по запросу предоставляют информацию о стоимости SMS-сообщений, отправляемых на любой премиум-номер. Считается, что такая услуга может защитить от мошенничества. Однако ею, как правило, пользуются только внимательные и осторожные пользователи, которые не позволят легко себя обмануть. Поэтому можно сказать, что сотовые операторы только начинают прилагать усилия для борьбы с SMS-мошенничеством. А пока пользователям следует полагаться на свою рассудительность, быть внимательными, проверять стоимость SMS-сообщений на короткие номера прежде, чем отсылать их, и, конечно же, никогда не доверять тому, что пишут спамеры.

Размеры и типы спамовых писем


Процентное соотношение различных типов спамовых писем
в первом и втором полугодиях 2009 г.

Соотношение типов спамерских сообщений в 2009 г. было относительно постоянным. Как и прежде, лидировали сообщения в формате text/plain. Их количество в течение года практически не менялось и составляло 45-46%.

Второй бессменный лидер — text/html — заметно укрепил свои позиции во второй половине года: его доля выросла с 31,6% в первом полугодии до 39,1% во втором.

А вот среди сообщений с графическими вложениями произошли изменения. В первой половине года безоговорочным лидером среди типов графических вложений были image/jpeg. В середине года доля сообщений с вложениями image/jpeg начала падать, а к концу года они уступили пальму первенства сообщениям с вложениями формата image/gif.

Во многом это объясняется тем, что спамеры нередко предпочитают использовать формат image/gif для рассылки картинок, содержащих исключительно текст.

К примеру, нижеприведенное сообщение имеет три графических вложения: первое (с фотографией спортсмена и таблеток) является вложением в формате image/jpeg, а оставшиеся два (с черным текстом «We respect your rights…» и с серым текстом «If you wish…») — это вложения в формате image/gif.

Процентное соотношение размеров спамерских писем в 2009 г. не претерпело существенных изменений:


Процентное соотношение размеров спамерских писем в 2009 г.

По-прежнему около половины всего спама составляют сообщения небольшого размера — до 5 Кб. Подавляющее большинство таких сообщений — это письма с коротким текстом в формате text/plain или text/html. Однако время от времени попадаются сообщения с картинками, не превышающие 5 Кб — например, такие:

Спамерские методы и трюки

Главной новинкой 2009 года можно считать использование сервиса Youtube для видеоспама. В октябре было зафиксировано несколько рассылок со ссылками на рекламные видеоролики, выложенные на сайте Youtube. Все эти рассылки содержали саморекламу спамеров.

Подобные рассылки, хотя и являются забавной новинкой, не составляют проблем для спам-фильтров. Дело в том, что ссылок на различные ролики в рамках одной рассылки очень мало (в зафиксированных нами случаях – не более десяти), а остановить рассылку с одним и тем же URL не составляет труда.

В самом конце года спамеры использовали еще один интересный трюк, который, правда, уже встречался ранее — они рассылали спам с mp3-вложением. В аудиофайле приятный женский голос диктовал название сайта по продаже виагры. Название трека и исполнитель также указывали на спамерский сайт. В качестве шумового фона выступали подходящие для данной тематики женские вздохи.

Кроме того, спамеры также использовали некоторые прошлогодние трюки, правда, существенно их доработав. Одним из таких трюков была запись рекламного предложения и/или контактной информации без каких-либо букв и картинок, только средствами html. Этот метод уже не нов, однако в 2009 году он был усовершенствован. Суть его состоит в следующем: в сообщение вставляется таблица с большим количеством ячеек. Некоторые ячейки пустые, другие закрашены темным цветом. Сочетание пустых и закрашенных ячеек при просмотре сообщения в браузере выглядит как нужный спамеру текст.

Раньше спамеры использовали таблицы с достаточно крупными ячейками, из-за чего получались громоздкие и довольно нелепые буквы и цифры — например, такие:

В нынешнем году спамеры догадались, что если сделать таблицу с крошечными ячейками, вид надписи от этого значительно выиграет. Появились сообщения подобного вида:

Другим трюком, претерпевшим изменения в 2009 году, было использование картинок с меняющимся фоном. Чтобы спам-фильтры не могли определить отдельные сообщения внутри спам-рассылки как несущие идентичное рекламное предложение и выделить в тексте на картинке типичные спамерские ключевые слова и фразы, спамеры еще в 2006 году начали использовать «зашумление» фона картинки темными точками, пятнами, иногда даже геометрическими фигурами. Внешний вид сообщения от этого становился не слишком эстетичным, нередко страдала и его читаемость. Вот как подобное сообщение выглядело тогда:

В 2009 году спамеры соединили «зашумление» картинки с заботой о внешнем виде сообщения. Вместо отталкивающего замусоривания они стали использовать в качестве фона изображения привлекательных девушек. Для достижения большего количества вариантов одной и той же картинки изображение «разрезалось» на несколько кусков. При отображении в браузере эти куски «склеивались», и пользователь видел одну, достаточно симпатичную картинку:

Впервые этот метод был применен в 2006 году в англоязычной рекламе медицинских препаратов, однако вскоре он уже использовался для рекламы русскоязычного порноспама:

В 2009 году, после некоторого затишья, подобные методы снова стали достаточно популярны.

Еще одним трюком графического спама является искажение спамерского рекламного текста на картинке таким образом, что его строки идут волнами:

Этот метод также был сначала опробован и широко использовался в англоязычной рекламе медикаментов, а через несколько месяцев пришел в русскоязычный спам:

Неизменно популярным у спамеров остается использование нашумевших тем и известных имен.

В 2009 году наиболее популярной личностью у спамеров был президент США Барак Обама. Его имя широко использовалось в спаме после инаугурации, состоявшейся 20 января, и оставалось горячей спамерской темой в течение всего года. Имя американского президента встречалось и в «сенсационных» заголовках, и в компромате, и в «нигерийских» письмах.

В приведенном ниже письме с заголовком «Ужасное заболевание Обамы» предлагается все та же пресловутая виагра:

Не пропустили спамеры и тему свиного гриппа. Под громкими заголовками, предлагавшими спасение от страшной болезни, распространялись ссылки на «канадские» фармацевтические магазины, торговавшие виагрой. С ростом паники по поводу свиного гриппа, пик которой наступил в сентябре 2009 года, спамеры придумали и более актуальные предложения — например, вакцинацию несуществующей вакциной или торговлю марлевыми повязками.

В этом письме пользователю предлагают купить оптовую партию повязок:

Сразу после смерти Майкла Джексона, случившейся 25 июня, начались рассылки, эксплуатирующие эту тему. Они содержали в себе ссылки как на канадские фармацевтические интернет-магазины, так и на сайты, содержащие зловреды. Рассылки, использующие имя Майкла Джексона, продолжались все лето, но и с приходом осени эта тема не остыла. В спаме все еще встречаются предложения купить «костюм Майкла Джексона», или скачать «посмертное видео». Так, в ноябре мы получили рассылку с заголовком «Майкл Джексон жив! Смотрите доказательства», в письмах которой содержалась ссылка на сайт:

По ссылке находился Trojan.Script.Iframer.

Разумеется, было и множество других «горячих» тем, не оставленных спамерами без внимания: это и различные праздники, начиная с 8 марта в России и заканчивая Днем Благодарения в США и Канаде, и отборочные матчи чемпионата мира по футболу-2009, и премьеры громких фильмов. Однако именно вышеуказанные темы были наиболее заметны в спаме на протяжении долгого периода времени.

Спам и социальные сети

Спам в социальных сетях и блогах в настоящее время более чем популярен. Если оставить сообщество без премодерации, или не отключать анонимные комментарии, то количество получаемого через блоги и социальные сети спама будет просто катастрофическим.

Популярность социальных сетей широко используется и в почтовом спаме. Так, пользователь социальной сети, у которого включена функция получения комментариев на почту, получит на свой адрес уведомление об оставленном на его страничке комментарии, даже в том случае, если это «комментарий» оставлен спамерским роботом. Таким образом, спамеры широко используют механизм официальных уведомлений от социальных сетей в своих целях. Кроме того, они пользуются социальными сетями и блогами как очередной площадкой для размещения рекламы, на которую ссылаются в письмах. И, наконец, с помощью спам-рассылок рекламируются новые неизвестные социальные сети, которые зачастую оказываются просто сайтами знакомств, использующими название «социальная сеть» для маскировки.

Имена крупных сетей и блогов спамеры часто используют для обхода фильтров и привлечения внимания пользователей даже в тех случаях, когда ссылки в их письмах ведут не на рекламу, размещенную непосредственно в сети или блоге, а на спамерские сайты, — подделки под уведомления от таких ресурсов вызывают доверие. Кроме того, нередки случаи фишинговых атак на пользователей социальных сетей с целью получения доступа к их аккаунтам. Как правило, таким атакам подвергаются пользователи наиболее популярных сетей. В этом году мишенью злоумышленников стали Facebook и Twitter.

В данном фишинговом письме пользователю предлагается обновить свой Facebook-аккаунт, перейдя по ссылке, которая ведет на сайт мошенников, где пользователь получает указание ввести логин и пароль к аккаунту:

Помимо фишинга, подделки под столь популярный сервис, как Twitter, использовались для рассылки вирусов.

В этом поддельном приглашении в Twitter находится zip-вложение с вирусом:

Таким образом, видно, что почтовый спам и спам в социальных сетях тесно связаны. С помощью почтового спама (вирусов и фишинга) у пользователя похищают аккаунт от социальной сети. После того, как доверчивый пользователь прошел по вредоносной ссылке, его зараженный компьютер становится составной частью ботнета, и в дальнейшем с него рассылается спам по социальным сетям. В почтовом же спаме названия известных социальных сетей, а также предоставляемые ими площади используются для продвижения товаров и услуг.

Вредоносные программы в почте

В 2009 году вредоносные вложения содержалиcь в 0,85% электронных писем, что лишь на 0,04% ниже среднего показателя 2008 года.

На представленном ниже графике видно, что пик активности рассылок писем с вредоносными вложениями и в 2008, и в 2009 гг. наблюдался в конце года. Но если в 2008 г. заметный всплеск наблюдался также в марте, то с февраля по август 2009 г. количество писем с вредоносными вложениями не превышало 0,4%.


Количество писем с вредоносными вложениями в 2008 и 2009 гг.

В 2009 году осенний всплеск объема вредоносного спама в основном был связан с рассылкой писем, замаскированных под уведомления налоговых организаций и содержащих Zbot (троянскую программу-шпион, предназначенную для похищения конфиденциальной информации пользователя), а также писем, посредством которых злоумышленники распространяли троянцев семейства Fraudload. Последние инсталлируют на компьютер пользователя различные Fraud Tools (фальшивые инструменты), в первую очередь фальшивые антивирусы, с помощью которых злоумышленники вымогают у пользователя деньги, предлагая вылечить или удалить якобы существующие на его компьютере вредоносные программы.

В целом TOP-10 вредоносных программ, распространявшихся по электронной почте в 2009 году, выглядит следующим образом:


ТOP-10 вредоносных программ, рассылавшихся
по электронной почте в 2009 году

Как и в 2008 г., в десятке 2009 г. с большим отрывом лидирует зловред семейства Iframe. Trojan-Clicker.HTML.IFrame.abn представляет собой HTML-документ, содержащий скрипт, который выполняет несанкционированное обращение к зараженной веб-странице http://ddhj.2288.org/d[****]2.htm непосредственно из HTML-версии письма, или из HTML-вложения. Хочется отметить, что Trojan-Clicker.HTML.IFrame.abn — это единственный представитель платформы HTML в TOP-10 2009-го года — все остальные зловреды исполняются на самой популярной платформе Win32.

На втором и седьмом местах в TOP-10 2009 г. расположились две разновидности зловредов семейства FraudLoad: Trojan-Downloader.Win32.FraudLoad.epb и Trojan-Downloader.Win32.FraudLoad.wspk. В сентябре больше половины всех зловредов, распространявшихся в спаме, относились именно к этому семейству.

На третьем и шестом месте в TOP-10 находятся зловреды, запакованные при помощи двух разновидностей упаковщика Krap (Packed.Win32.Krap.ah и Packed.Win32.Krap.w), обычно использующихся для упаковки Zbot’а и FraudTools. Packed.Win32.Krap.w также используется для упаковки Iksmas и Bredolab.

На четвертом месте небезызвестный Trojan-Downloader.Win32.Murlo.cba. В сентябре он занимал первую строчку нашей десятки, в которую также вполне ожидаемо попали две разновидности уже упомянутого Zbot: Trojan-Spy.Win32.Zbot.zur и Trojan-Spy.Win32.Zbot.gen.

Наконец, восьмое и девятое места в TOP-10 заняли разновидности бэкдора Small: Backdoor.Win32.Small.zs и Backdoor.Win32.Small.zо.

Самой яркой тенденцией в распространении зловредов в 2009 году стала рассылка писем, подделанных под различные официальные уведомления и содержащих во вложении zip-архив. Самой массовой была рассылка «уведомлений» от имени DHL и UPS.

Однако эти почтовые организации — не единственные крупные компании, чьи названия были использованы спамерами для рассылки зловредов. «Официальные уведомления» приходили также и от WesternUnion, и от FedEx, и от различных интернет-магазинов, в которых пользователи якобы покупали дорогостоящие вещи.

Письма были похожи по структуре, что говорило в пользу одного автора, и наши подозрения подтвердились, когда мы получили следующее сообщение:

Здесь спамер явно ошибся, подставив в заголовке Fedex, а в подписи — UPS (две конкурирующие службы доставки). Видимо, произошел сбой в системе при подготовке рассылок, и заголовки перемешались.

Поддельные электронные открытки якобы от известной компании Hallmark и других открыточных сервисов также использовались социальными инженерами для того, чтобы заставить пользователей скачать вредоносное ПО.

Разумеется, для рассылки зловредов использовались и «громкие» темы, такие как смерть короля поп-музыки Майкла Джексона, запуск большого адронного коллайдера и выход операционной системы Windows 7. Зачастую вредоносные письма содержали не опасное вложение, а ссылку на сайт с вредоносной программой.

Так, в приведенном ниже письме с «сенсационным» заголовком, очерняющим новое детище Microsoft, находится вредоносная ссылка, пройдя по которой, пользователь рискует подхватить Trojan.downloader:

Заключение

Кризисный 2009 год стал предсказуемо трудным для представителей бизнеса. Не обошел кризис и спамеров: количество получаемых ими заказов в середине года существенно снизилось. Однако спама в почте меньше не стало, так как спамеры активно участвовали в партнерских программах. Кроме того, на протяжении всего года спам служил своеобразным индикатором течения кризиса, позволяя делать прогнозы на будущее.

Очень высоким в 2009 году было количество спамерской саморекламы: в определенные периоды времени оно достигало 20% от всего спама. Таким образом спамеры пытались привлечь новых клиентов в период кризиса.

На удивление невысоким было количество фишинговых писем: в пик кризиса оно не только не увеличилось, но наоборот, существенно снизилось.

Количество вредоносных программ в почте не претерпело существенных изменений по сравнению с 2008 годом, однако изменился их качественный состав. Большой популярностью у спамеров пользовались троянские программы, с помощью которых на компьютеры пользователей загружались поддельные антивирусы.

В течение года спамеры активно работали над качеством своей рекламы, пытаясь сделать так, чтобы их письма обходили спам-фильтры и одновременно с этим выглядели привлекательно для пользователей. Помимо традиционных методов они использовали мультимедийные технологии, размещая ролики на Youtube и рассылая аудиофайлы.

Больше всего спама в 2009 году рассылалось из США, которые традиционно занимают первые места в рейтинге. Однако заметна миграция источников рассылки в азиатские и латиноамериканские страны. Это объясняется тем, что применение широкополосного интернета и количество компьютеров там стремительно растет, в то время как далеко не все пользователи в этих регионах осведомлены о правилах интернет-безопасности. Соответственно, их компьютеры легче заразить вредоносной программой и вовлечь в зомби-сеть.

Вероятно, 2010 год будет существенно более ровным и спокойным. Количество спама в почтовом трафике останется примерно на том же уровне, что и сейчас. Возможен и его небольшой рост. SMS-мошенничество, столь распространенное в 2009 году, может пойти на спад — особенно в том случае, если мобильные операторы будут активно с ним бороться. Однако в этому случае следует ожидать появления новых мошеннических трюков.

Такие методы, как использование видео- и аудиофайлов в спаме, вряд ли приживутся: баланс между весом письма, преимуществами в обходе фильтров и привлекательностью для пользователей работает в данном случае явно не в пользу спамеров. А вот старые проверенные трюки спамеры продолжат использовать — в частности, столь полюбившиеся им бренды социальных сетей. Да и в самих сетях количество спама будет продолжать расти.

Kaspersky Security Bulletin 2009. Спам в 2009 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике