Отчеты по спаму и фишингу

Спам в апреле 2011 года

Апрель в цифрах

  • Доля спама в почтовом трафике по сравнению с мартом увеличилась на 1,2% и составила в среднем 80,8%.
  • Доля фишинговых писем в общем почтовом потоке по сравнению с мартом увеличилась на 0,01% и составила 0,03%.
  • В апреле вредоносные файлы содержались в 3,65% всех электронных сообщений, что на 0,43% больше, чем в прошлом месяце.

Обзор главных событий месяца

События, взволновавшие спамеров

В апреле продолжились рассылки, эксплуатирующие тему землетрясения в Японии и войны в Ливии. Особенно часто эти темы упоминались в мошеннических письмах, в том числе в нигерийском спаме. Были и другие события, которые привлекли внимание спамеров.

Пасха

В апреле весь христианский мир отмечал Пасху. Для спамеров это событие ежегодно становится способом привлечь внимание к своим рассылкам. Каких только сообщений, эксплуатирующих тему Пасхи, мы ни фиксировали в течение прошлого месяца: здесь и предложения для желающих похудеть после обильной пасхальной еды, и сообщения о выигрышах в пасхальную лотерею. Во множестве сообщений предлагались таблетки для повышения потенции. К окончанию поста в спаме предлагались различные деликатесы, например, дальневосточная красная икра.

Во многих русскоязычных сообщениях рекламировались путешествия на время пасхальных выходных.

Вредоносных рассылок, эксплуатирующих тему Пасхи, замечено не было.

В нашем блоге мы уже предлагали обзор «пасхальных» спамерских сообщений.

Королевская свадьба

29 апреля весь мир наблюдал за свадьбой года — свадьбой принца Уильяма и Кейт Мидлтон. Это событие было одним из самых обсуждаемых в прошлом месяце, а в самом конце апреля привлекло к себе больше внимания, чем война в Ливии.

Вопреки ожиданиям, спама, эксплуатирующего тему королевской свадьбы, было не так много. В основном это были сообщения, в которых предлагалась подарочная продукция, в том числе и копия обручального кольца Кейт, о чем мы уже писали в нашем блоге.

Кроме копии кольца, в спаме предлагались, например, юбилейные монеты, выпущенные специально по случаю свадьбы королевских особ. Предлагалось также отметить свадьбу принца в одном из лондонских замков за чашкой традиционного английского чая.

Ожидания антивирусных компаний относительно волны вредоносного спама, эксплуатирующего тему свадьбы года, не оправдались.

Спам сводит с ума

В Нью-Йорке зафиксирован первый в истории случай, когда огромное количество спама в сети довело человека до сумасшествия.

28-летний американец был настолько раздражен спамом в почте и социальных сетях, что, практически отказавшись ото сна, принялся разыскивать потенциальных спамеров. За неделю мужчине удалось отыскать 23-х человек, которые, по его предположению, распространяли нежелательную корреспонденцию. Вечерами жертва спама отправлялся к домам подозреваемых и обрезал там интернет-кабель. После семи подобных вечерних путешествий молодого человека — Джереми Кленса — задержала полиция. Вскоре было установлено, что задержанный страдает расстройством психики.

Интересно, что ни одно новостное издание не сообщает, были ли семь жертв борца со спамом настоящими спамерами, или они, вслед за Джереми, также стали жертвами спама.

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике продолжает расти. По сравнению с мартом этот показатель увеличился на 1,2% и составил в среднем 80,8%.


Доля спама в почте в апреле 2011 г.

Самый низкий показатель месяца был зафиксирован 1 апреля — в день смеха доля спама от всей почты составила 72,2%. Больше всего спама было получено пользователями 16 числа — 86,4%.

Интересно отметить, что доля спама во второй половине апреля была заметно выше, чем в начале месяца. Так, средняя доля спама в период с 1 по 15 апреля составила всего 77,9%, тогда как тот же показатель в период с 16 по 30 апреля уже превысил 83,6%. Это говорит о продолжающемся росте количества спамерских писем. Таким образом, наш прогноз о восстановлении среднемесячной доли спама до уровня 82-83% к маю 2011 года имеет все шансы сбыться.

Страны — источники спама

В апреле лидером среди стран — источников спама снова стала Индия, с территории которой было распространено 12,76% (+1,34%) всей мусорной почты.


Страны — источники спама в апреле 2011

Россия продолжает сдавать свои позиции в рейтинге стран — источников спама. В апреле она пропустила вперед не только Бразилию (+0,55%), но и Южную Корею. Отметим, что доля спама, распространенного из Кореи, выросла по сравнению с мартом почти в два раза (+2,8%). При этом доля спама, распространенного с территории России, уменьшилась незначительно — лишь на полпроцента.

Доля спама, распространенного с территории США, по-прежнему мала — 2, 1%. Штаты оказались на четырнадцатой строчке нашего рейтинга.

Как и в прошлом месяце, изменения в распределении исходящего спам-трафика по странам не слишком значительны.

Вредоносные вложения в почте

В апреле вредоносные файлы содержались в 3,65% всех электронных сообщений, что на 0,43% больше, чем в прошлом месяце.

По сравнению с мартом самым заметным изменением в распределении срабатываний почтового антивируса по странам является перемещение США на первую строчку.


Распределение срабатываний почтового антивируса по странам в апреле 2011 г.

На территории США нами было зафиксировано 14,2% срабатываний почтового антивируса, что на 1,93% больше, чем в марте. На территории России срабатывания почтового антивируса отмечались реже, чем в предыдущем месяце (-2,9%).

Третье место по-прежнему занимает Великобритания, на долю которой пришлось 6,4% всех заблокированных писем с вредоносными вложениями — на 1,1% больше, чем в феврале. Четвертое место сохранил за собой Вьетнам (5,91%).

Индия (4,29%), практически не изменив показателя по срабатыванию почтового антивируса, сместилась в рейтинге еще на две строчки вниз — с шестого места на восьмое.

Продолжается рост доли срабатываний почтового антивируса на территории Австралии. В апреле эта страна заняла пятую строчку, и на ее долю пришлось 5,6% всех заблокированных писем с вредоносными вложениями. Вероятно, злоумышленники рассматривают австралийские пользовательские компьютеры, как новый источник зомби-машин для ботсетей.

Рейтинг наиболее часто детектируемых в почте вредоносных программ в апреле выглядит следующим образом:


ТОP 10 вредоносных программ, распространенных в почте в апреле 2011 г.

На этот раз бессменный лидер нашего рейтинга — Trojan-Spy.HTML.Fraud.gen — не только не вырвался вперед с большим отрывом, но и уступил первую строчку упаковщику Packed.Win32.Katusha.n. Представители этого семейства обычно используются для упаковки поддельных антивирусов. Заметим, что раньше модификация Packed.Win32.Katusha в нашем рейтинге не появлялась.

Кроме того, в рейтинге на пятой строчке появилась вредоносная программа Trojan-Downloader.Win32.FraudLoad.hxv, которая, как и все программы семейства Trojan-Downloader.Win32.FraudLoad, призвана закачивать на компьютер пользователя поддельные антивирусы.

Еще один новичок рейтинга — Trojan.HTML.Fraud.fc — представляет собой фишинговую HTML-страничку, нацеленную на кражу финансовых данных у бразильских пользователей.

На третьей и седьмой строчках расположились почтовые черви Email-Worm.Win32.Mydoom.m и Email-Worm.Win32.NetSky.q. Функционал обеих вредоносных программ ограничен сбором электронных адресов на зараженных машинах и рассылкой по ним самого себя. Подробнее об этих вредоносных программах можно прочитать здесь и здесь.

На восьмую строчку рейтинга вернулся и еще один почтовый червь — Email-Worm.Win32.Bagle.gt, обладающий более сложным функционалом по сравнению с простыми почтовыми червями. Этот почтовый червь самостоятельно обращается к интернет-ресурсам для загрузки оттуда вредоносных программ. Разумеется, червь также ищет в системе электронные адреса и рассылает себя по ним.

Фишинг

Доля фишинговых писем в общем почтовом потоке по сравнению с мартом увеличилась на 0,01% и составила 0,03%.


ТОР 10 организаций, атакованных фишерами

В апреле в ТОР 10 наиболее часто атакованных фишерами организаций снова с большим отрывом лидирует PayPal, однако, доля атак на эту платежную систему несколько сократилась (-6%).

В апреле интерес фишеров к интернет-аукциону eBay уменьшился, доля атак на его пользователей снилась почти вдвое (-4,2%).

Вытеснившими eBay с первого места фишерскими мишенями являются Facebook (+0,72%) и банк Santander (+0,4%). Доля атак на обе эти организации по сравнению с мартом изменилась незначительно.

Позиция социальной сети Habbo, так же, как и доля атак на ее пользователей, осталась неизменной по сравнению с мартом.

Популярная онлайн-игра WoW опустилась на одну строчку вниз и заняла восьмую строчку нашего рейтинга. Однако доля атак на нее осталась неизменной.

Десятую строчку занимает популярная в Бразилии социальная сеть Orkut — детище компании Google. Отметим, что все аккаунты Google связаны между собой, и таким образом, заполучив логин и пароль пользователя от Orkut, злоумышленник может получить доступ и к другим сервисам Google, на которых зарегистрирован пользователь.

Другие сервисы Google также подвергались атакам в течение апреля, хотя и не столь часто. Фишинговые сообщения, направленные на получения регистрационных данных пользователя в сервисе GoogleAdWords, зафиксированные нами, были хорошо продуманы и замаскированы под настоящие сообщения от сервисной службы Google.

Ссылка по виду была сходна с ссылками Google. Форма регистрации, на которую пользователь перенаправляется, кликнув по ссылке, в точности похожа на настоящую форму регистрации сервисов Google.

Тематические направления в спаме


Распределение спама по тематическим категориям в апреле 2011 г.

Доля русскоязычного спама в Рунете остается на очень высоком уровне – приблизительно три четверти всего спама в Рунете — спам на русском языке. Напомним, что русскоязычный спам в основном представлен рассылками, рекламирующими товары и услуги компаний малого и среднего бизнеса. Если в марте четыре тематические категории из пяти лидирующих были русскоязычными, то в апреле в пятерку лидеров не попала ни одна англоязычная категория спама. Поскольку англоязычный спам в основном состоит из партнерских рассылок, то несложно сделать вывод, что количество партнерских рассылок в Рунете на данном этапе крайне мало.

Пятерка лидирующих тематических категорий в спаме:

  • Образование — 61,5% (+19,4%)
  • Недвижимость – 6,9% (+2,3%)
  • Отдых и путешествия – 5,3 (-1,9%)
  • Реклама спамерских услуг – 4,3% (-0,3%)
  • Юридические услуги и аудит – 2,5% (-1,8%)

Заключение

В апреле не произошло заметных событий, связанных с борьбой со спамом на законодательном уровне. Это создало благоприятный фон для постепенного увеличения доли спама в почтовом трафике, которая приблизилась к 81%. Напомним также, что во второй половине апреля средний показатель доли спама в почтовом трафике превысил 83%.

В том, что касается тематического состава спама, важно подчеркнуть два момента. Во-первых, последние месяцы были богаты громкими событиями. Таким образом, у спамеров был широкий выбор тем для привлечения внимания к своим рассылкам. Во-вторых, наметившаяся в марте тенденция к «русификации» спама сохранилась и укрепилась в апреле. Возможно, это связано с целевым использованием спамерских баз.

Интересной особенностью апреля является появление в рейтинге вредоносных программ, заблокированных почтовым антивирусом, программ Packed.Win32.Katusha.n. и Trojan-Downloader.Win32.FraudLoad.hxv. Обе эти программы связаны с поддельными антивирусами: первая используется для их упаковки, вторая — для закачки на компьютер пользователя. Похоже, что в почтовый спам возвращаются поддельные антивирусы.

В целом, в ближайший месяц можно ожидать дальнейшего роста доли спама в почтовом трафике. Возможно, будет наблюдаться стабилизация тематического состава спама и возвращение в него партнерских англоязычных рассылок. В то же время в следующем месяце мы ожидаем появление мошеннических рассылок, эксплуатирующих тему ЕГЭ.

Спам в апреле 2011 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике