Отчеты по спаму и фишингу

Спам в августе 2010 года

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с июлем уменьшилась на 2,4% и составила в среднем 82,6%.
  • Ссылки на фишинговые сайты находились в 0,04% всех электронных писем, что на 0,01% больше, чем в июле.
  • Вредоносные файлы содержались в 6,29% электронных сообщений, что на 3,1% больше, чем в прошлом месяце.
  • Спад активности заказчиков спама в августе продолжился, что привело к росту количества вредоносных рассылок, а также рассылок, содержащих рекламу спамерских услуг.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в августе 2010 года в среднем составила 82,6%. Самый низкий показатель месяца был зафиксирован 2 августа — 79,4%; больше всего спама было получено пользователями 7 числа — 89,7%.


Доля спама в августе 2010 года

Страны — источники спама


Страны — источники спама

Гонконг, дебютировавший в июле на 17 месте, в августе неожиданно оказался на второй строчке в списке стран — источников спама. С территории этой страны было распространено 7,7% всего спама. Немногим меньше (7,2%) спама было распространено с территории Индии, которая заняла третье место.

Лидером по-прежнему остаются США, с территории которых было распространено 15,5% спама.

После недолгого отсутствия в двадцатку вернулись Нидерланды и Канада. С территории этих стран было распространено по полтора процента спама.

Индонезия и Тайвань, ненадолго появившиеся в ТОР 20, в августе снова покинули список лидеров.

С территории России было распространено на 1,3% больше спама, чем в июле, что обусловило ее переход с шестой строчки на четвертую.

Фишинг


Организации, подвергнувшиеся фишинговым атакам в августе 2010 года

Самое неожиданное изменение в рейтинге наиболее часто атакованных фишерами организаций — переход социальной сети Facebook со второго места на девятое. Доля атак на этот ресурс снизилась более чем в десять (!) раз за последний месяц. С чем связано такое резкое падение интереса злоумышленников к известной социальной сети пока сказать трудно. Мы предполагаем, что это лишь временное затишье, и интерес фишеров к популярной социальной сети восстановится.

Вместе с тем вдвое увеличилась доля атак на банк HSBC, который стабильно входит в пятерку лидеров, и на игровой сервис WoW, переместившийся с восьмой на четвертую строчку нашего рейтинга.

Процент атак на интернет-аукцион e-Bay практически не изменился.

Google фишеры атаковали несколько чаще, чем в июле. Доля атак на эту организацию увеличилась на 0,75%, и Google оказался на 6-й строчке нашего рейтинга. Схема, используемая злоумышленниками для получения пользовательских данных, изменений по сравнению с июлем не претерпела.

Уже упомянутый банк HSBC в августе занял третью сточку. Нами были зафиксированы многочисленные разнообразные фишинговые рассылки, нацеленные на получение логина и пароля к системе интернет-банкинга HSBC.

Ниже представлен пример одного из таких писем:

Вредоносные программы в почте

TOP 10 наиболее распространенных в почте вредоносных программ августа выглядит следующим образом:


Вредоносные программы в почте в августе 2010 года

Как видим, список наиболее распространенных в почте вредоносных программ в этом месяце куда более неоднороден, нежели в июле. В него вошли десять зловредов, принадлежащих к девяти различным семействам. Лидирует (уже не впервые) семейство Trojan-Downloader.Win32.Agent. В ТОР 10 вошли две модификации этой вредоносной программы: Trojan-Downloader.Win32.Agent.eesv, занявший первую строчку (12,87%), и Trojan-Downloader.Win32.Agent.ejkj (4,23%). Эти программы после установки подключаются к сетевым ресурсам, чтобы получить список URL для закачки других вредоносных программ.

Более 10% всех зловредов, распространенных в почте, составила программа Trojan-Downloader.Win32.FraudLoad.xexa. Троянцы этого семейства инсталлируют на компьютер жертвы поддельный антивирус, призванный вымогать деньги.

Вредоносная программа, занявшая третью строчку рейтинга, — Packed.Win32.Katusha.o — это модификация популярного около полугода назад упаковщика, таящая в себе с равной степенью вероятности как поддельные антивирусы, так и тот же Zbot.

Рейтинг стран с самым высоким уровнем распространения зловредов через почту претерпел не слишком заметные изменения в сравнении с июлем.


Страны с самым высоким уровнем распространения зловредов через почту

Первое и второе место по-прежнему занимают США и Япония. Доля вредоносных программ, отправленных в эти страны, почти не изменилась. Несколько уменьшилась доля Германии, что привело к снижению позиций этой страны в нашем рейтинге.

Почти в два раза уменьшился процент опасных писем, отправленных в Тайвань.

Китай, находившийся ранее на девятой строчке, в августе не попал в список лидеров. Однако эта страна остается интересной для злоумышленников: доля полученных там писем с вредоносными вложениями уменьшилась лишь на 0,5%.

Тематический состав спама

Пятерка лидирующих спам-тематик августа:

  1. Медикаменты; товары/услуги для здоровья — 30,6% (+11,5%)
  2. Реплики элитных товаров — 12,7% (+6,1%)
  3. Образование — 12,3% (-5,7%)
  4. Компьютерное мошенничество — 9,3% (-1,5%)
  5. Реклама спамерских услуг — 7,3% (+0,5%)

В августе пятерка лидирующих спам-тематик практически не изменилась по составу, однако изменение количественных показателей более чем заметно. Доля писем, содержащих рекламу различных медикаментов, увеличилась по сравнению с июлем на треть и составила 30,6%. Вдвое увеличилась доля писем, рекламирующих реплики элитных товаров. Количество писем, содержащих рекламу образования, уменьшилось почти на 6%.

В целом, в августе количество спама, распространенного участниками партнерских программ Рунета, осталось на довольно высоком уровне, в то время как количество спама, заказанного клиентами спамеров, все еще держится на довольно низком уровне. Именно отсутствие клиентов объясняет то, что в последний летний месяц увеличился объем рекламы спамерских услуг.

На приведенном ниже графике можно видеть, что в начале августа ситуация стала приближаться к обычной — объемы партнерского стали сокращаться, а заказной спам начал было наращивать обороты. Однако во второй половине августа эта тенденция пошла на спад, что и привело к увеличению доли писем, предлагающих спамерские услуги.


Соотношение партнерского и заказного спама в Рунете в августе 2010

Спамеры по-прежнему часто прибегают к использованию различных интересных рисунков для саморекламы:

Интересно отметить зафиксированную в августе англоязычную рассылку, предлагавшую спамерские услуги. Такие рассылки нетипичны для англоязычного спама. Заметим, что среди предложенных средств связи со спамерами есть московский номер телефона, а также почтовый ящик на yandex.ru:

Тема первого сентября уже второй год подряд остается практически незамеченной спамерами. В основном ее эксплуатируют не в письмах с предложениями каких-либо товаров, необходимых для школы, а в совершенно неожиданных рассылках, как, например, в приведенном ниже письме, рекламирующем магазин кофе:

Спамерские методы и трюки

Как отмечалось выше, количество рассылок, содержащих рекламу спамерских услуг, снова увеличилось. В связи с этим спамеры снова придумывают различные трюки, при помощи которых их самореклама могла бы «пробить» спам-фильтры.

В представленном ниже письме пользователь видит вот такую цельную картинку:

На самом деле, это не одна картинка, а несколько. Для обхода спам-фильтров злоумышленники нарезали представленную картинку на несколько частей, которые варьировались от письма к письму.

Это интересный трюк, которым спамеры не пользовались уже довольно давно. Отметим, что приберегли они его именно для рекламы собственных услуг.

Заключение

В августе мы ожидали увеличения количества заказного спама и уменьшения количества партнерского. Судя по всему, того же ожидали и спамеры: об этом говорит возросшее количество их саморекламы, с помощью которой они пытаются привлечь своих клиентов, которые никак не желают возвращаться с каникул.

Количество вредоносных рассылок увеличилось в августе вдвое. Это довольно неприятная тенденция, которая сохраняется вопреки нашим ожиданиям. Во многом такое количество вредоносного спама связано все с тем же затянувшимся сезоном летних отпусков: в периоды, когда становится ощутимо меньше клиентов, заказывающих спам, спамерам становится очень выгодно участвовать в партнерских программах по распространению вредоносного кода.

Спам в августе 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике