Kaspersky Security Bulletin

Kaspersky Security Bulletin. Спам в 2013 году

Цифры года

  • Доля спама в 2013 году составила 69,6%, что на 2,5% ниже, чем в 2012 году
  • Доля писем с вредоносными вложениями составила 3,2% — на 0,2% меньше, чем в 2012 году
  • 32,1% фишинговых атак были направлены на социальные сети
  • Наибольшее количество спама – 23% — было отправлено из Китая
  • 74,5% разосланных спам-писем имели размер не более 1 Кб

Миграция из спама рекламы легальных товаров и услуг

Криминализация спама коммерческого характера

В прошлом году мы писали, что количество спама, рекламирующего легитимные товары и услуги, постепенно уменьшается. Рекламодатели все чаще предпочитают спаму честную рекламу, различных видов которой в интернете становится все больше, при этом откликов на такую рекламу больше, а цена ее ниже, чем у спам-рекламы.

При этом в спаме некоторых категорий коммерческая реклама постепенно вытесняется криминализированными рассылками. Характерный пример – «Отдых и путешествия».  Ранее спам этой категории составлял 5-10% всего спам-потока и полностью состоял из различных предложений поездок, туров и билетов. Сейчас подобная коммерческая реклама в спаме встречается редко, однако мы видим множество вредоносных писем, эксплуатирующих тему туризма и отдыха.

Подделки под уведомления о забронированном номере отеля или купленном билете на самолет – уже привычная составляющая спама, мы наблюдали подобные рассылки в течение всего года. Во вложении в таких письмах вместо подтверждения брони находится вредоносная программа (в частности, Trojan-PSW.Win32.Tepfer и Backdoor.Win32.Androm.qt).

 

 

В этом году к вредоносным рассылкам сообщений, имитирующих подтверждения о бронировании билетов и отелей, добавились рассылки про забронированные круизы.

 

Письма в таких рассылках аналогичны подделкам про билеты и отели: безличное обращение, сообщение о готовой брони, вложение с вредоносной программой.

Таким образом, если еще пару лет назад спам действительно мог сориентировать в покупке тура, билета или номера в отеле, то нынешний спам с большой вероятностью предложит пользователю не рекламу отдыха, а с вредоносную программу.

Кроме распространителей вредоносных программ, на тему путешествий обратили внимание и мошенники. В 2013 году мы зафиксировали несколько рассылок, использующих спам данной тематики для отмывания денег с украденных кредитных карт. Спамовые письма были разосланы с расчетом на то, что какие-то из них придут на адреса отелей, и содержали просьбу забронировать номер.

 

Если сотрудник отеля отвечал на сообщение, спамеры просили снять с карточки деньги, сумма которых существенно превышала оплату брони (иногда эта просьба содержалась уже в первом письме). Разницу мошенники просили выслать на указанный ими адрес через Western Union. Аргументировали они свою просьбу тем, что эту часть денег получит турагент, который организует поездку. При этом авторы писем придумывали разнообразные объяснения тому, почему турагентство не может снять деньги с их кредитки, а сами они не могут переслать деньги переводом. Через некоторое время мошенники отменяли бронь отеля и получали вторую часть денег (уже «чистых»).

Серые рассылки

Другая проблема связана с тем, что с одной стороны, рекламодателям хочется рассылать хорошо оформленные официальные рассылки (без всяких спамерских трюков и зашумлений, делающих рекламу неудобочитаемой), которые будут доходить до пользователя. С другой стороны, им по-прежнему хочется рассылать письма не узкому кругу своих подписчиков, а по многомиллионным базам адресов.

Все это приводит к тому, что появляется все больше «серых» рассылок. Это рассылки, которые официально оформлены, рассылаются не с ботнетов, а с собственных серверов распространителей, на них можно подписаться и от них отписаться. Однако помимо подписчиков они рассылаются по огромным купленным базам адресов тем людям, которые не давали согласие на получение такой рассылки. (Напомним, что  законы многих стран запрещают рассылку без предварительного согласия пользователя.)

Такая ситуация приводит к тому, что часть рассылки оказывается легальной, а часть – спамом. Это ставит перед  антиспам-индустрией новую задачу и ведет к развитию новых технологий, которые должны быть основаны на репутации рассыльщика.

Тренд 2013: подделки под письма от антивирусных компаний

Обычно вредоносные и мошеннические письма рассчитаны на людей очень наивных или плохо знакомых с правилами безопасности при работе в интернете.  Трезвомыслящий человек вряд ли поверит в подлинность письма, в котором говорится про случайный выигрыш нескольких миллионов долларов, а знающий основные правила IT-безопасности не пройдет по ссылке в письме «от банка» и не станет вводить пароль к банковской учетной записи.

В 2013 году мы зафиксировали несколько рассылок, которые выглядели как  уведомления от антивирусных компаний, т.е. были рассчитаны как раз на тех пользователей, которые знакомы с азами безопасности.

Заметим, что эксперты по IT-безопасности настоятельно рекомендуют пользователям регулярно обновлять антивирусы, поскольку это важно для обеспечения надежной защиты компьютеров. Именно на этом и попытались сыграть киберпреступники.  В письме, разосланном от имени антивирусной компании, пользователю предлагалось немедленно обновить систему с помощью вложенного файла. От письма к письму текст сообщения не менялся, а в поле отправителя спамеры использовали имена практически всех известных антивирусных вендоров: «Лаборатории Касперского», McAfee, ESET, Symantec и других.

 

На самом деле во вложении находилась вредоносная программа, детектируемая «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot.qsjm. Этот троянец принадлежит к известному семейству ZeuS/Zbot и предназначен для хищения конфиденциальной информации пользователя, в первую очередь финансовой. Зловред способен модифицировать содержимое загруженных в браузер пользователя страниц банковских сайтов, встраивая в них вредоносные скрипты с целью получить аутентификационную информацию (логины, пароли, коды безопасности). Этот троянец также ворует частную информацию, снимая скриншоты и видео экрана, перехватывая ввод  данных с клавиатуры и т.д. Интересно, что для получения команд и файла конфигурации Trojan-Spy.Win32.Zbot.qsjm обращается не к командному центру, а использует P2P-протокол и получает нужную информацию с других зараженных машин.

В другой рассылке использовался тот же прием: пользователю приходила фальшивка, имитирующая письмо службы поддержки антивирусной компании с результатами проверки ранее присланного файла.

 

В письме содержался файл якобы для очистки системы от вредоносной программы. На самом деле это был почтовый червь, детектируемый «Лабораторией Касперского» как Email-Worm.Win32.NetSky.q. Этот червь собирает электронные адреса из адресных книг пользователей.

Мировые события в спаме

В 2013 году спамеры очень активно использовали ажиотаж вокруг различных мировых событий. Абсолютное большинство спам-рассылок, эксплуатирующих значимые события, были мошенническими или вредоносными.

Например, новость о смерти президента Венесуэлы Уго Чавеса была использована как в мошеннических, так и во вредоносных письмах. Однако, как правило, разные категории спамеров предпочитают разные новости. Так, в нигерийских письмах чаще всего используются отсылки к событиям, произошедшим в Азии и на Ближнем востоке, тогда как в письмах с вредоносными ссылками спамеры упоминают различные европейские и американские события. Отметим также, что мошеннические письма распространяются на разных языках (правда зачастую они переведены с помощью автоматического переводчика), а вредоносный спам почти всегда рассылается на английском языке.

В нигерийском спаме в 2013 году активно использовалась тема свержения президента Египта Мухаммеда Мурси, а также сложная политическая обстановка в Сирии. С помощью традиционных для нигерийских писем приемов мошенники пытались выманить у пользователей деньги.  Мы фиксировали аналогичные рассылки и после смерти ливийского лидера Муаммара Каддафи, и после тюремного заключения египетского президента Хосни Мубарака. Все эти письма очень похожи, хотя спамеры и стараются придумывать новые истории. Например, в спаме, касающемся событий в Сирии, были замечены письма, присланные якобы солдатами американской армии:

 

Во вредоносном спаме эксплуатировались такие события, избрание нового Папы Римского, рождение ребенка в семье принца Уильяма в Великобритании, разоблачения от Эдварда Сноудена и другие. Вредоносные письма обычно подделаны под рассылки в рамках новостных кампаний и содержат ссылку якобы на интересный материал. Однако пользователь, прошедший по ссылке, перенаправляется на сайт с вредоносными программами.

 

Многие вредоносные рассылки с горячими новостями содержали ссылки на сайты с набором эксплойтов Blackhole. Отметим, что после ареста в октябре предполагаемого автора набора эксплойтов Blackhole, характерные новостные шаблоны перестали использоваться спамерами. Скорее всего, это явление носит временный характер, и скоро мы увидим подобные «новостные» письма со ссылками на другие вредоносные программы.

Статистика

Доля спама в почтовом трафике

Доля спама в почтовом трафике в 2013 году по сравнению с предыдущим годом уменьшилась на 2,5% и составила 69,6%. Впервые за много лет среднегодовое количество спама не дошло до отметки 70%.


Доля спама в почтовом трафике, 2013 г.

Отметим, что в течение всего года (не считая аномально низкого значения в январе)  долевые показатели спама от месяца к месяцу менялись незначительно. Это говорит о некоторой стабильности, и можно с большой долей вероятности сказать, что в следующем году доля спама существенно не изменится.

Распределение источников спама по странам

 
Распределение источников спама по странам, 2013 г.

Лидерами по рассылке спама в мире остаются Китай (+3,5%) и США (+2%). Из этих двух стран рассылается 40,6% всего мирового спама. Первое и втрое места, которые эти страны занимают в нашем рейтинге, соответствуют позициям Китая и США в рейтинге стран по количеству пользователей интернета (Китай – на первом месте, США – на втором).

На третье место поднялась Южная Корея, ее доля увеличилась в 3,5 раза по сравнению с прошлым годом. Значительно вырос также показатель Тайваня (+3,7%), в результате он вышел на четвертое место.

Увеличилась также доля Казахстана, Украины и Беларуси ‑ из этих стран особенно много спама рассылалось во втором квартале 2013 года:

 
Процент спама, рассылаемого из Украины, Казахстана и Беларуси, 2013 г.

В 4 раза уменьшилась доля Бразилии, из-за чего она переместилась с 5-й позиции на 16-ю. В то же время заметно увеличилась доля Канады, которая ранее не входила в TOP 20 стран – источников спама, а по итогам 2013 года заняла 14-е место.

 
Процент спама, рассылаемого из Канады и Бразилии, 2013 г.

Отметим, что в Канаде до сих пор не принят закон против спама. Идея создать антиспамовый закон (CASL) появилась  в Канаде еще в 2005 году, и теперь, по словам министра промышленности Канады Джеймса Мура, закон должен наконец вступить в силу с 1 июля следующего года. Закон, помимо спама, регулирует некоторые связанные со спамом области, такие как организацию ботнетов, рассылку фишинга и вредоносных программ.

Регионы – источники спама

 
Распределение источников спама по регионам, 2013 г.

Что касается регионов, из которых распространяется спам, то на первом и втором местах по-прежнему находятся Азия (+5,3%) и Северная Америка (+3,2%). На третье место вышла Восточная Европа, доля которой увеличилась по сравнению с прошлым годом почти в 2 раза.

Доля Западной Европы сократилась на 2,4%, хотя она по-прежнему занимает 4-е место в рейтинге. В 3 раза уменьшилась  доля Латинской Америки, которая в 2013 году заняла пятое место.

Размер спамовых писем

 
Распределение спамовых писем по размерам, 2013 г.

2013 год можно смело назвать годом суперкоротких писем. Доля писем в спаме, размер которых не превышает 1Кб, составила 74,5%. Использование компактных сообщений позволяет спамерам рассылать больше писем с меньшими затратами трафика. Создать с помощью робота короткие фразы, которые целиком меняются от письма к письму, используя десяток тематических слов и случайные зашумления, совсем не сложно. При этом письма получаются уникальными, что усложняет работу спам-фильтров. В основном такие письма содержат ссылки на рекламные сайты. Характерные представители суперкороткого спама – реклама медикаментов типа виагры и циалиса.

Вредоносные вложения в почте

Доля писем с вредоносными вложениями в 2013 году составила 3,2%, что на 0,2% меньше, чем в предыдущем.

Уже третий год наиболее часто распространяемые вредоносные программы в почте – это программы, нацеленные на кражу пользовательских конфиденциальных данных, в первую очередь логинов и паролей от систем интернет-банкинга.

 
ТОP 10 вредоносных программ, распространенных в почте, 2013 г.

Первое место занимает Trojan-Spy.HTML.Fraud.gen. Эта программа обычно распространяется с фишинговыми письмами и представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения учетных данных пользователей.

Со 2-го по 4-е, а также 7-е и 9-е места заняли почтовые черви Bagle и Mydoom, основная функция которых – собирать электронные адреса с зараженных компьютеров. Почтовый червь семейства Bagle также может принимать удаленные команды на установку других вредоносных программ.

На пятое место в 2013 году вышел Trojan-Banker.HTML.Agent.p. Как и Fraud.gen, данный зловред выполнен в виде html-страницы, копирующей регистрационные формы сервисов онлайн-банкинга или других интернет-сервисов, и создан для кражи пользовательских аккаунтов.

Шестое место занял троянец-шпион семейства Zbot. Целью программ ZeuS/Zbot является кража различной конфиденциальной информации с компьютеров пользователей, включая данные кредитных карт. В прошлом году эта вредоносная программа не вошла в TOP 10, тем не менее, Zbot никогда не уходил из нашего поля зрения: этому семейству вредоносных программ уже много лет, и они постоянно модифицируются.

На восьмой позиции находится Trojan-PSW.Win32.Tepfer.hjva. Программы такого типа созданы для кражи паролей к пользовательским аккаунтам.

На десятом месте – Trojan.Win32.Bublik.aknd. Эта программа  собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, троянец может просматривать формы в браузерах Mozilla Firefox и Google Chrome с целью поиска сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

Одни семейства вредоносных программ имеют много различных модификаций, а другие — всего несколько видов. Поэтому рейтинг семейств вредоносных программ отличается от рейтинга отдельных программ.

 
ТОP 10 семейств вредоносных программ, распространенных в почте в 2013 г.

Кроме уже описанных выше программ семейств Tepfer, Zbot, Bublik, Fraud, Mydoom и Bagle, в этом рейтинге присутствуют:

  • Backdoor.Win32.Androm.  Позволяют злоумышленнику незаметно управлять зараженным компьютером, например, загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета.
  • Trojan-Ransom.Win32.Blocker. Предназначены для шантажа и вымогательства. Они блокируют работу операционной системы и размещают на рабочем столе баннер с условиями разблокировки, например с требованием отправить платное SMS на указанный короткий номер.
  • Trojan-PSW.Win32.Fareit.amdp. Просматривают реестр и системные файлы, хранящие конфиденциальные данные пользователя. Их цель – найти и передать злоумышленникам пароли, логины и другую конфиденциальную информацию.
  • Trojan.Win32.Inject. Программы-загрузчики, которые загружают на зараженный компьютер другие вредоносные программы.

 
Распределение срабатываний почтового антивируса по странам, 2013 г.

Что касается стран, куда рассылается наибольшее количество вредоносных программ, тройка лидеров не изменилась с прошлого года: это США, Германия и Великобритания. Но если доли США и Германии в течение года менялись незначительно, то доля Великобритании увеличилась с 5,4% в первом квартале до 11,9% в четвертом.

 
Изменение доли срабатываний почтового антивируса — Великобритания, 2013 г.

Доли остальных стран изменились незначительно, за исключением Италии, которая поднялась с 10-го места на 5-е (+2,1%). Все дело в том, что в феврале в Италию была направлена мощная рассылка, содержащая Trojan-Banker.HTML.Agent.p, в результате чего в этом месяце Италия даже оказалась на 1-м месте в TOP 10.

Фишинг

 
Распределение TOP 100 организаций, атакованных фишерами*, по категориям

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Среди организаций, атакованных фишерами, стало больше организаций, которые напрямую не связаны с финансовыми данными. В TOP 100 доля атак на социальные сети выросла на 7,6%, на поисковые порталы —  на 1,8%, доля атак на электронную почту увеличилась в 4 раза.  При этом показатели финансовых организаций и онлайн-магазинов в рейтинге категорий организаций, атакованных фишерами, уменьшились на 6% и 12,2% соответственно.

Такой очевидный сдвиг показывает, что монетизация фишинга во многом происходит за счет продажи украденных у пользователей аккаунтов, которые в дальнейшем могут быть использованы для рассылки спама или вредоносного контента по контакт-листам. При нынешней тенденции к унификации один аккаунт может быть доступом к порталу, включающему почту, социальную сеть, дисковое пространство и многое другое. Кроме того, аккаунт пользователя может быть связан и с его банковскими данными. Каждый такой аккаунт становится привлекательной мишенью для киберпреступников.

Заключение и прогнозы

Доля спама в 2013 году  уменьшилась на 2,5% по сравнению с прошлым годом, однако начиная с февраля процент спама в почте менялся мало. Можно предположить, что и в следующем году доля спама в трафике изменится незначительно. При этом заметно увеличивается зона «серых» рассылок – рассылаемых и подписчикам, и широкому кругу незаинтересованных лиц.

Чем меньше остается в спаме легальных коммерческих предложений, тем больше становится мошеннических и вредоносных писем. Причем если раньше злоумышленники использовали в основном неопытность пользователей, то по мере увеличения числа пользователей, соблюдающих правила IT-безопасности, мошенники придумывают новые приемы, например выдают вредоносный файл в письме за обновление антивируса.

Среди вредоносных вложений в почте появляется все больше зловредов, нацеленных на хищение конфиденциальных данных, особенно логинов-паролей к банковским системам. Скорее всего, в следующем году эта тенденция продолжится.

Интересно, что при этом фишинг, напротив, перемещается с банковских аккаунтов в сторону социальных сетей и почты. Отчасти это объясняется тем, что сейчас один почтовый аккаунт может давать доступ сразу к большому количеству контента, включая почту, соцсети, программы мгновенного обмена сообщениями, облачные хранилища, а иногда и иметь привязку к кредитной карте.

Спам меняется, в нем остается все меньше традиционной рекламы. Зато различного мошенничества, вредоносных программ и фишинга становится больше. И даже опытным пользователям интернета следует быть очень внимательными, чтобы не попасться на уловку мошенников.

Kaspersky Security Bulletin. Спам в 2013 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике