M86 об экспансии вредоносных рассылок

По данным M86 Security, во второй половине минувшего года потоки спама продолжали снижаться и в декабре побили 4-летний рекорд. В этом месяце мусорные сообщения составляли около 70% почтовой корреспонденции. Однако вклад вредоносных писем в спам-трафик за полгода увеличился в 5 раз и на пике достигал 20%.

В тематическом составе спама преобладала реклама фармацевтических изделий (47% от общего количества). Спамеры также активно продвигали поддельные предметы роскоши (13%), веб-сайты знакомств (12,5%) и онлайн-казино (12%). Доля URL-спама с укороченными ссылками колебалась в пределах 10%, причем для их генерации спамеры предпочитали использовать малоизвестные или собственные сервисы.

90% нелегитимных писем распространялись с 8-ми хорошо известных ботнетов. Вклад Festi в спам-трафик заметно увеличился, обеспечив ему место лидера в декабрьском рейтинге (более 20%). Почти столько же пришлось на долю Lethic; боты Cutwail разных версий совокупно генерировали около 18% спама. Выход с Grum и Donbot оказался несколько скромнее ― примерно по 15%. Xarvester и Maazben по непонятным причинам выбыли из списка лидеров, первый ― в августе, второй в октябре. Спам-рассылки с Cutwail, Festi и Asprox зачастую были нацелены на распространение зловредов.

В конце года вредоносные письма составляли 5-10% мусорной корреспонденции. Пик зловредных рассылок пришелся на август и сентябрь, когда эксперты фиксировали мощные всплески спама с вложениями. Их содержимым в большинстве случаев являлся тот или иной троянский даунлоудер. В ноябре произошел заметный сдвиг в предпочтениях спамеров: используя те же шаблоны, они стали заменять вредоносные аттачи ссылками на набор эксплойтов, доступный через редирект. Последние, как правило, размещались на взломанных легитимных ресурсах.

Среди эксплойт-китов безусловным лидером по частоте использования является Blackhole, на долю которого во втором полугодии приходилось 95,1% URL-спама. Его авторы стали чаще выпускать обновления, добавляя в комплект новые эксплойты и средства самозащиты ― например, проверку версии атакуемого приложения. По данным M86 Security, все усовершенствования Blackhole проходят первичную обкатку в России и Румынии.

Зловредный контент, обнаруженный M86 на веб-сайтах в отчетный период, был нацелен на 50 с лишним уязвимостей в разном ПО. Среди последних преобладали известные, уже закрытые бреши в IE, Java, Acrobat Reader, Flash и Microsoft Office. Больше половины из них в настоящее время использует Blackhole.

Почти половина зловредного контента было обнаружено на территории США (49,2% страниц). Второе место по этому показателю занимает Россия (6,0%), причем 63% зараженных страниц, размещенных в этой стране, приходятся на Москву и Подмосковье. Немногим лучше обстановка в Германии (5,9%), Китае (4,5%) и Южной Корее (4,1%). На китайском веб-хостинге преобладают единичные эксплойты ― в основном, против уязвимостей в IE версии 6, столь популярной у местных пользователей, число коих уже превысило 500 млн.