Отчеты по спаму и фишингу

Спам в апреле 2010 года

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с мартом практически не изменилась и составила в среднем 83%.
  • Ссылки на фишинговые сайты находились в 0,02% всех электронных писем, что на 0,01% меньше, чем в марте.
  • Вредоносные файлы содержались в 1,24% электронных сообщений, что на 0,74% больше, чем в прошлом месяце. В спаме активно распространяются фальшивые антивирусы.
  • Тематика «Отдых и путешествия» занимает первую строчку рейтинга популярных в спаме тем, что связано с приближением сезона отпусков.
  • Для обхода спам-фильтров злоумышленники используют разнообразные картинки и случайные куски текста из литературных произведений, экономических и политических статей.

Доля спама в почтовом трафике

Доля спама в почтовом трафике апреля 2010 года в среднем составила 83%. Самый низкий показатель месяца был зафиксирован 20 апреля — 79,2%; больше всего спама было получено пользователями 18 числа — 89,8%.


Доля спама в апреле 2010 года

Страны — источники спама


Страны — источники спама

США пока остались на первой позиции среди стран — источников спама, хотя с территории этой страны было распространено на 2,4% меньше спама, чем в прошлом месяце. Возможно, в мае ситуация изменится, поскольку Индия догоняет США — в апреле из этой страны было распространено лишь на 0,6% меньше спама, чем с территории Соединенных Штатов. Вьетнам «наступает на пятки» лидерам. В апреле доля распространенного из этой страны спама выросла почти в 2,5 раза и составила 11,6% — это лишь на 0,7% меньше, чем количество спама, разосланного с территории США.

Россия едва не покинула пятерку лидирующих стран, с ее территории было распространено на 2,74% меньше спама, чем в прошлом месяце. С третьего места эту страну сместил уже упомянутый выше Вьетнам, а четвертую строчку неожиданно заняла Италия, находившаяся в прошлом месяце на 14-й позиции.

Заметны перемены и в плотности потоков из Румынии (+1%) и Германии (-1%). Кроме того, в нашем рейтинге снова появилась Саудовская Аравия, распространившая 2,2% всего мирового спама и оказавшаяся на 13-м месте.

С территории Украины было распространено на 2,7% меньше спама, чем в прошлом месяце, что обусловило перемещение этой страны ближе к концу двадцатки.

Фишинг

Ссылки на фишинговые сайты находились в 0,02% всех электронных писем, что на 0,01% меньше, чем в марте.

Список организаций, наиболее часто подвергавшихся фишинговым атакам, почти не изменился. Среди атакуемых фишерами организаций первые места снова заняли PayPal (54,6%, +9,2%) и eBay (11,5%, -3,9%). HSBC (9,6%, +2,1%) и Facebook (8,7%, +1 %), как это уже бывало, поменялись местами и занимают теперь третью и четвертую строчки рейтинга соответственно.


Организации, подвергнувшиеся фишинговым атакам в апреле 2010 года

Среди зафиксированных нами фишинговых рассылок интересно отметить атаку на пользователей PayPal. Спамеры прибегли к классическому приему — в письме сообщалось, что аккаунт пользователя заблокирован, а для того, чтобы его разблокировать, необходимо пройти по ссылке (на страницу, где, разумеется, потребуется ввести логин и пароль).

Обратите внимание: ссылка, указанная в письме, довольно ловко подделана под ссылку на сайт PayPal. Однако на снимке четко видно, на какой адрес на самом деле переправляется пользователь.

FaceBook, как и раньше, в фокусе внимания фишеров. Письма, направленные на выманивание регистрационных данных пользователей этой социальной сети, весьма лаконичны:

Злоумышленники даже не спрятали фишинговую ссылку. Такая небрежность говорит, о том, что спамеры рассчитывают на невнимательность пользователей. Признаться, они имеют на то основания, — к сожалению, пользователи часто попадаются на уловки киберпреступников даже в тех случаях, когда подлог плохо организован и лежит на поверхности.

Конечно, целью фишинговых атак были не только компании, представленные в нашем рейтинге. Например, наблюдалась довольно крупная фишинговая атака на банк Alliance & Leicester.

Уловка, использовавшаяся при этой атаке, также стала уже классической: в письме сообщалось, что были зафиксированы многочисленные ошибочные попытки войти в систему с клиентского ID пользователя. Чтобы доказать, что адресат действительно является владельцем аккаунта, ему необходимо пройти верификацию. Разумеется, попавшийся на удочку пользователь будет «проходить верификацию» вовсе не на сайте банка, а на подложном фишинговом сайте, с которого его регистрационные данные уйдут прямо в руки к злоумышленникам.

Вредоносные программы в почте

Вредоносные файлы содержались в 1,24% электронных сообщений, что на 0,74% больше, чем в прошлом месяце.

Уже не первый месяц среди наиболее часто встречавшихся в почте вредоносных программ лидирует Trojan-Spy.HTML.Fraud.gen. Основная его функция — сбор личных и регистрационных данных пользователя. Как и прежде, более 45% случаев детектирования этого троянца приходится на Объединенное Королевство. Еще 11% из общего числа писем, зараженных Trojan-Spy.HTML.Fraud.gen, было распространено на территории США.

Интересно, что семь зловредов из топовой десятки апреля так или иначе связаны с поддельными антивирусами. Так, Trojan.Win32.Small.acdp, Trojan.Win32.Sasfis.akzx, Trojan-Downloader.Win32.Agent.dkld, Trojan-Dropper.Win32.Agent.bveu, Trojan.Win32.Sasfis.albj загружают или инсталлируют на компьютер пользователя другие вредоносные программы, которые, в свою очередь, загружают поддельный антивирус. Упаковщик Trojan.Win32.Pakes.Katusha.j, занявший четвертую строчку рейтинга, используется обычно для упаковки FraudTools. А его собрат, Trojan.Win32.Pakes.Katusha.l, — для упаковки Fraudload.

Расположившийся на 8-й строчке рейтинга Trojan-Dropper.Win32.Agent.agq — это ничто иное, как порно-дроппер. При запуске зловред открывает картинки с порнографическим содержанием и инсталлирует на зараженный компьютер другие вредоносные программы.

Кроме того, нами были зафиксированы и рассылки, в которых распространялись поддельные антивирусы в «чистом» виде. Так, зловред Trojan.Win32.FakeAV.jo, занявший 24-е место в рейтинге, распространялся под видом настоящего антивируса, якобы рекомендованного компанией Microsoft для лечения нашумевшего Conficker’a (Kido). Забавно, что в заголовке письма conficker превратился в совсем уже страшного и неизвестного зверя conflicker’a.

В целом, почти 60% случаев распространения вредоносов, принадлежащих к семейству Trojan.Win32.FakeAV, приходятся на европейские страны: преимущественно Германию, Нидерланды, Францию и Объединенное Королевство, а также на США и Японию. Это объясняется главным образом тем, что пользователи в развитых странах больше заинтересованы в безопасности компьютера, чем в развивающихся странах, и в этих регионах мошенникам проще убедить пользователя скачать поддельный антивирус.

К лаконичным письмам, озаглавленным «Женщина мой мечты» и снабженным текстом «Я люблю держать тебя в моих руках» спамеры прикрепляли архив с именем «setup.zip». В архиве таился файл setup.exe, который на деле оказался еще одним отпрыском семейства FakeAV — Trojan.Win32.FakeAV.jw.

Обычно в таких рассылках исполняемый файл имеет название в духе «My Fotos.gif», что позволяет скрыть истинное расширение файла и как-то соотнести его с текстом письма. Непонятно, что имел в виду спамер, сочетавший романтический текст и ничем не замаскированное имя исполняемого файла. Должен ли пользователь думать, что сейчас на его компьютер установится программа, позволяющая держать в руках девушку своей мечты? Возможно, спамеры решили, что пользователи и так знают, что должно быть прикреплено к такому письму, и сами будут кликать на архив, ожидая увидеть фотографии красивой женщины.

Говоря о распространении фальшивых антивирусов через почту, нельзя не упомянуть TOP 3 зловредов, распространенных на территории России.

 

1 Trojan.Win32.FakeAV.iq 12,70%
2 Trojan.Win32.FakeAV.ko 5,54%
3 Trojan.Win32.Pakes.Katusha.l 3,69%

 

Два самых распространенных в России зловреда принадлежат к семейству FakeAV. На третьей строчке расположился уже упомянутый выше упаковщик, часто используемый для упаковки FraudLoad. Популярность у злоумышленников фальшивых антивирусов обусловлена не только тем, что пользователи в нашей стране стали более ответственно подходить к защите своих компьютеров. В России многие покупке лицензионного ПО предпочитают использование бесплатных программ. В случае с поддельным антивирусом это может влететь в копеечку.

Рейтинг стран, в которых вредоносный код чаще других распространялся через почту, выглядит следующим образом:

Как видим, лидирующие позиции занимают развитые страны. Это связано в том числе с тем, что злоумышленники имеют куда больше возможностей поживиться в тех случаях, когда они организуют атаки на пользователей в странах, где почти у каждого есть кредитная карточка, аккаунт в системе онлайн-банкинга или в платежных системах.

Тематический состав спама


Распределение тематик спама в Рунете в апреле 2010

Пятерка лидирующих спам-тематик апреля:

  1. Отдых и путешествия — 21,1% (+2,5%)
  2. Образование — 19,6% (+1,4%)
  3. Медикаменты; товары/услуги для здоровья — 13,7% (+1,2%)
  4. Компьютерное мошенничество — 7,8% (+0,3%)
  5. Реплики элитных товаров — 7,0% (+1,9%)

По сравнению с предыдущим месяцем в пятерке больших изменений не наблюдается. На первом месте по-прежнему категория «Отдых и путешествия». Это связано с рекламой различных вариантов отдыха в майские праздничные дни и с приближением летних каникул.

Так, в одной из полученных нами рассылок родителям предлагалось отправить свое чадо в летний спортивно-творческий лагерь. Сейчас, конечно, самое горячее время для покупки путевок в лагеря. Однако любящим родителям не стоит спешить пользоваться информацией, полученной в такого рода рекламе. Напомним, что сама по себе рассылка незапрошенной корреспонденции незаконна, и тот, кто рекламирует себя в спаме, вряд ли заслуживает доверия.

Количество писем тематик «Образование», «Медикаменты; товары/услуги для здоровья» и «Компьютерное мошенничество» практически не изменилось по сравнению с мартом.

Занимавшая пятую строчку категория «Компьютеры и интернет» уступила место рекламе реплик элитных товаров. Доля последней увеличилась на 1,9%. Заказчики такой рекламы стараются использовать праздничные даты, предлагая свой товар в качестве «лучшего подарка». В данном случае всплеск их активности, видимо, связан с приближением Дня матери, который довольно широко празднуется в Западных странах.

Среди писем, относимых нами к категории «Компьютеры и интернет», нам встретилась рассылка с примечательной картинкой:

Признаться, письмо приводит в некоторое недоумение, так как картинка имеет очень отдаленную связь с его содержанием. Возможно, нас хотели насмешить и тем привлечь внимание к рекламе? Эффект, пожалуй, прямо противоположный. Создается ощущение, что компания, предлагающая услуги по размещению контекстной рекламы в поисковиках, заранее извиняется за то, что фирму, обратившуюся к ним за услугами, в Яндексе так никто и не найдет. Обращайтесь лучше к тете Паше.

Спамерские методы и трюки

Распространители виагры продолжают попытки усовершенствовать способы обхода спам-фильтров. В прошлом месяце они использовали меняющуюся шаблонную картинку, сопровождавшуюся большим фрагментом текста. В апреле спамеры разнообразили набор картинок, использующихся для одной и той же рассылке. Теперь это изображения счастливых пар, девушек, гейш, а также (почему-то) столовых приборов. Все это, разумеется, — вкупе с рекламируемыми таблетками.

Мусорный текст в письмах апрельских рассылок также использовался. На снимке слева текст напечатан на белом фоне и ширина строчек случайна. На двух правых скриншотах текст под картинкой напечатан на сером фоне и занимает всю его ширину. Сами тексты являются либо кусками литературных произведений, либо перепечаткой экономических или политических статей, а порой — просто набором слов, не несущим никакого смысла.

Самые интересные трюки российские спамеры по-прежнему приберегают для саморекламы. Отметим, что доля ее уже несколько месяцев не поднимается выше отметки 5%. Пользователи получают рассылки со старыми трюками в новом воплощении. Так, в апреле вновь появились письма счастья со «встроенной» в них рекламой спамерских услуг.

Год назад мы писали в нашем блоге о таких письмах. Масштаб картинки в них таков, что спамерский контакт не всегда заметен сразу. Иногда он остается за нижним краем окошка, и невнимательный пользователь — любитель писем счастья — вполне может начать рассылать «бабуль» направо и налево, внося таким образом свой вклад в распространение спам-рассылки.

Заключение

В целом, ситуация по-прежнему стабильна. Процент спама в почте практически не изменился. В апреле в рейтинге стран — источников спама Индия и Вьетнам подобрались как никогда близко к лидеру. Если количество спама, рассылаемого из этих стран, продолжит увеличиваться, они, вероятно, смогут потеснить США с первой позиции в рейтинге.

Количество фишинговых писем, как мы и предполагали, осталось на очень низком уровне. Количество же вредоносных программ в почте, вопреки прогнозам, вернулось к февральскому уровню. С начала 2010 года оно меняется волнообразно: то снижается до показателя 0,6 — 0,7%, то снова поднимается до 1,2%. Впрочем, такие колебания нельзя рассматривать как значительные. Интересно, однако, отметить два момента. Первый: основной целью для распространителей зловредов в апреле стали пользователи развитых стран. Второй: поддельные антивирусы нынче активно распространяются именно при помощи спама.

Ничего принципиально нового для обхода спам-фильтров спамеры не придумали, они лишь несколько разнообразили старые приемы.

Спам в апреле 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике