Отчеты по спаму и фишингу

Спам в августе 2013

Август в цифрах

  • В августе доля спама в почтовом трафике уменьшилась на 3,6% и составила 67,6%.
  • Доля фишинговых писем в почтовом потоке по сравнению с июлем увеличилась более чем в 10 раз и составила 0,013%.
  • Вредоносные вложения содержались в 5,6% всех электронных сообщений, что на 3,4% выше показателя прошлого месяца.

Главные события месяца

В августе 2013 года спам сильно криминализировался, значительно выросло количество мошеннических и вредоносных писем на фоне уменьшения общей доли спама.

В преддверии нового учебного года одной из самых эксплуатируемых спамерами тем стал День знаний (что было вполне предсказуемо): в августе нам часто встречалась реклама всевозможных школьных товаров. Также злоумышленники рассылали немало спама, эксплуатирующего тему здоровья и спортивного образа жизни. Наконец, услугами спамеров пользовались продавцы автомобилей, различных аксессуаров для них, а также сопутствующих услуг.

Спам для автолюбителей

Для многих современных людей автомобиль — это не просто средство передвижения, а смысл жизни, на который они тратят свободное время и приличные суммы денег. Спамеры охотно используют интерес пользователей к автомобилям: в августе нами было зарегистрировано несколько рекламных рассылок, среди которых были не только стандартные предложения продажи и ремонта машин, но и более оригинальные. Например, авторы одной из рассылок предлагали пройти мастер-класс по изготовлению тортов в форме автомобилей.

spam_august2013_pic01

Ужесточение штрафов за нарушения правил дорожного движения и наличие на дорогах камер слежения спамеры использовали для рекламы чудо-пленок, наклеиваемых поверх номера машины, и услуг по изготовлению дубликатов номеров. Предполагается, что эти ухищрения сделают номерной знак невидимым для инфракрасных камер автоматической фиксации. Для привлечения внимания получателей подобных рассылок использовались и весьма нехитрые заголовки вроде «Изготовление номеров», и интригующие, с упоминанием нанотехнологий. В письмах спамеры использовали и традиционное текстовое описание, и графические файлы.

spam_august2013_pic02

Жизнь без долгов

В июле мы уже писали в блоге о мошеннических сайтах, на которых автовладельцы могут якобы проверить наличие штрафов за нарушение ПДД и тут же оплатить их. В августе нами была зафиксирована похожая мошенническая рассылка с рекламой сайта проверки государственных задолженностей. Письмо было оформлено как официальное, только вот адрес отправителя был совсем не похож на легитимный. Он был сгенерирован автоматически и менялся от письма к письму, как, впрочем, и темы сообщений.

spam_august2013_pic03

В письме содержались три одинаковые ссылки, которые перенаправляли пользователя на один и тот же мошеннический сайт. Там под предлогом проверки задолженности жертве предлагали зарегистрироваться и ввести не только свои контактные данные и ФИО, но и номер паспорта, ИНН, а также номер автомобиля и свидетельства о его регистрации. От юридических лиц требовали данные об организации. Таким образом, мошенники собирали информацию о гражданах РФ, которая в дальнейшем могла бы быть использована для различных махинаций. Кроме того, регистрация на подобных сайтах может повлечь за собой и финансовые потери. Например, для подтверждения введенного мобильного телефона пользователя могут попросить прислать ответное SMS, за которое со счета мобильного телефона будет без предупреждения списана значительная сумма. Также злоумышленники могут просто потребовать некоторую сумму денег (как правило, очень скромную) за информацию о задолженностях.

Снова в школу!

Как и следовало ожидать, для спамеров всего мира август прошел под девизом «Снова в школу!». В преддверии нового учебного года самой эксплуатируемой среди злоумышленников темой стал День знаний, а основной задачей спамеров было продвижение всевозможных школьных товаров.

spam_august2013_pic04

В Рунете чаще других нам встречались сообщения с рекламой школьной формы и канцелярских товаров. Первые в большом количестве приходили с анонимных почтовых ящиков и содержали короткие ссылки, перенаправляющие пользователя на сайт интернет-магазина, где он при желании мог сформировать и оформить заказ. Некоторые сообщения содержали номера телефонов, сильно зашумленные буквенными символами, — классический способ обхода спам-фильтров. Для привлечения внимания пользователей использовались крупные короткие заголовки, например «ШКОЛЬНАЯ ФОРМА по ДОСТУПНЫМ ЦЕНАМ» или «КАЧЕСТВЕННАЯ ФОРМЕННАЯ ОДЕЖДА ДЛЯ ШКОЛЫ». Также в обнаруженных рассылках попадалось упоминание законопроекта о школьной форме, внесенного на рассмотрение Государственной Думы РФ этим летом. Такая информация, вероятно, должна была создать у получателя впечатление, что в новом учебном году его ребенку никак не обойтись без рекламируемой спамерами школьной одежды.

spam_august2013_pic05

Сообщения с рекламой канцелярской продукции также рассылались с почтовых ящиков, адреса которых были сгенерированы автоматически и менялись от письма к письму; в качестве имени отправителя каждый раз указывались разные имена и фамилии. Единственное, что было общим для всех писем, это ссылка на JPEG-файл – картинку, содержащую небольшой перечень товаров с ценами, и сообщение о распродаже и снижении цен. Адреса сайтов или контактные данные в письме отсутствовали, поэтому получить какую-либо дополнительную информацию о товарах можно было, лишь ответив на такое письмо. Таким образом заказчики спам-рассылки получали потенциального клиента, а спамеры – сигнал о том, что почтовый ящик получателя существует и активно используется. В перспективе это может привести к увеличению количества отправляемого на адрес пользователя спама.

spam_august2013_pic06

Лечебный спам

Значительную часть августовского спама составили сообщения, связанные с темой здоровья и здорового образа жизни. Спамеры уделили внимание сторонникам и традиционной, и народной медицины.

spam_august2013_pic07

Одной из самых популярных спамерских тем была и остается реклама препаратов для снижения веса без изнуряющих диет. В прошлом месяце мы фиксировали подобные рассылки как в Рунете, так и в англоязычном интернете.

Русскоязычные сообщения, как правило, содержали короткую ссылку, направляющую пользователя на рекламный сайт. Нередко к ней добавлялись контактные данные для связи и заказа товара.

spam_august2013_pic08

В августе мы фиксировали множество рассылок с приглашениями на онлайн-семинары, предлагающие пользователям различные программы оздоровления организма, чаще всего суставов или позвоночника.

spam_august2013_pic09

Также с помощью массовых рассылок рекламировались стоматологические услуги по сниженным ценам. Такие сообщения приходили с безличных почтовых ящиков и помимо информации рекламного характера содержали телефон для заказа предлагаемых спамерами услуг.

spam_august2013_pic10

Стоит упомянуть, что нередко для привлечения внимания к продаваемым товарам спамеры использовали слово «фитнес». Так, например, нами была зафиксирована рассылка с рекламой фитнес-самокатов. Для получения подробной информации о новинке пользователь должен был пройти по ссылке на только что созданный в рекламных целях сайт.

spam_august2013_pic11

Географическое распределение источников спама

По итогам августа 2013 года первая тройка стран — источников спама, распространяемого по всему миру, выглядит следующим образом. На первом месте находится Китай (21%), по сравнению с прошлым месяцем его показатель сократился на 2,4%. Второе место занимают США — доля спама, рассылаемого из этой страны, увеличилась на 1% и составила 19%. Третье место по-прежнему остается за Южной Кореей (15,4%), ее доля увеличилась на 0,5%. В целом из этих трех стран в августе было разослано 55% мирового спама.

spam_august2013_pic12

Страны – источники спама в мире

На 4-м месте, как и в прошлом месяце, расположился Тайвань (5,5%), продемонстрировав совсем небольшое увеличение доли спама (0,1%). Почти на 2% выросла доля спама, рассылаемого из России: страна переместилась на 5-ю позицию нашего списка с показателем 4,3%. В прошлом месяце, напомним, Россия замыкала первую десятку стран.

Также на пять позиций вверх в списке поднялась еще одна страна – Япония (1,8%), чей показатель увеличился на 0,9%. В результате в августе страна находилась на 11-й позиции. Однако если тенденция сохранится, в следующем месяце Япония может оказаться уже в первой десятке.

Остальные входящие в ТОП-10 страны не изменили своего местоположения, а их показатели претерпели лишь незначительные колебания.

Ситуация со спам-потоками в Рунете по итогам августа выглядит следующим образом:

spam_august2013_pic13

Страны – источники спама в Рунете

В первой тройке по итогам месяца произошли значительные изменения. Лидером среди стран – источников спама в Рунете остался Тайвань (13%), чей показатель в августе увеличился на 1,6%. Сразу на 2-е место с 7-го перешла Россия (10%), прибавив за прошедший месяц 4,5%. На 3-м месте находится Вьетнам (8,7%), его показатель увеличился на 1,4%.

Украина (6,7%), занимавшая по итогам июля 2-ю строчку, потеряла 1,5% и переместилась на 6-ю позицию. Из первой тройки также вышла Индия (7,7%), перейдя с 3-й строки на 4-ю.

Доля спама из США (7%) в Рунете увеличилась на 1,7%, и в результате чего страна заняла 5-е место в нашем рейтинге. Беларусь (5%) и Казахстан (4,4%) расположились на 7-й и 8-й строчках соответственно. Доля рассылаемого из этих стран спама уменьшилась в среднем на 1,5%.

В этом месяце в наш список вошел Китай, причем сразу в первую десятку, — он занял 9-ю строку с результатом 2,8%. Также наблюдалось увеличение доли спама, рассылаемого из Японии (2,7%).

spam_august2013_pic14

Регионы – источники спама

Среди регионов лидером по распространению спама остается Азия (55,2%). В первую тройку, как и в июле, вошли Северная Америка (21%) и Восточная Европа (14%). Показатели по регионам не претерпели существенных изменений, лишь в Северной Америке доля спама увеличилась примерно на 1%. Замыкают список регионов Западная Европа (4,6%) и Латинская Америка (3%).

Вредоносные вложения в почте

Доля вредоносных вложений в почте в августе увеличилась на 3,4% и составила 5,6% почтового трафика.

spam_august2013_pic15

1-е место в рейтинге вредоносных программ, распространяемых по почте, по-прежнему занимает Trojan-Spy.HTML.Fraud.gen (8,1%). Программа представляет собой поддельную страничку для ввода данных, которые отправляются напрямую злоумышленникам. Рассылается обычно под видом важного сообщения от крупных коммерческих организаций.

Сразу четыре модификации зловредов семейства Trojan-Ransom.Win32.Blocker попали в наш список в этом месяце. Три из них оказались в первой десятке: Trojan-Ransom.Win32.Blocker.byxx (3%), Trojan-Ransom.Win32.Blocker.bzbh (1,8%) и Trojan-Ransom.Win32.Blocker.bysg (1,4%) – 2-я, 5-я и 7-я позиции соответственно. Такие вредоносные программы предназначены для шантажа и вымогательства. Они блокируют работу операционной системы и размещают на рабочем столе баннер с условиями разблокировки, например, с требованием отправить платную SMS с определенным текстом на указанный короткий номер.

3-е место занимает вредонос Email-Worm.Win32.Bagle.gt (2,3%). Этот вирус-червь распространяется в виде вложений в электронные письма, рассылая себя по всем найденным на зараженном компьютере адресам электронной почты. Также вирус обладает функцией загрузки файлов из Сети без ведома пользователя.

На 4-й позиции расположился червь Trojan-Spy.Win32.Zbot.nyis (2,2%) – модификация одной из самых популярных шпионских программ семейства Zbot (ZeuS). Эти программы используются злоумышленниками для кражи с компьютеров пользователей различной банковской информации.

Восьмую строчку по-прежнему занимает Worm.Win32.Mydoom.m (1,4%). Помимо стандартного функционала рассылки своих копий по адресной книге пользователя червь может отправлять скрытые запросы определенным поисковым системам, накручивая посещаемость и рейтинг сайтов из списка, подгружаемого злоумышленниками.

Замыкает десятку еще одна разновидность червей семейства Mydoom – Email-Worm.Win32.Mydoom.l (1,4%). Этот червь распространяется через интернет в виде вложений в электронные письма. Основная его задача – сбор на зараженном компьютере почтовых адресов для рассылки. Также содержит функцию бэкдора.

spam_august2013_pic16

Распределение срабатываний почтового антивируса по странам

Среди стран по количеству срабатываний почтового антивируса на 1-е место в августе вышла Германия (12,3%), передвинув на вторую строчку прошлого лидера – США (10,1%). Замыкает тройку Великобритания, на её долю пришлось 8,7% срабатываний.

Индия, покинув 3-е место, переместилась на 5-ю строчку (6,08%). Чуть больше 1% прибавила Россия (3,48%) – в августе страна заняла 9-ю позицию. Доля срабатываний в Австралии, напротив, сократилась и составила 4%. Замыкает первую десятку Канада (2,2%).

Доля срабатываний других стран из списка не претерпела существенных изменений.

Особенности вредоносного спама

Несмотря на то что сезон отпусков подходит к концу, мошенники продолжают активно рассылать письма-подделки, сообщающие о бронировании авиабилетов и отелей. Наиболее известные компании, например booking.com и DeltaAirlines, постоянно находятся под прицелом спамеров, и в августе мы вновь зафиксировали мошеннические рассылки, имитировавшие сообщения от этих компаний. Отметим, что адреса отправителей на первый взгляд кажутся вполне легитимными, что и заставляет пользователя открыть письмо.

В письме от имени booking.com мошенники сообщали, что бронирование отеля подтверждено и приводили подробную информацию о заказе, в том числе дату заселения и выезда, а также полную стоимость номера. Мошенническое письмо было оформлено в стиле официального сайта — этим вредоносная рассылка отличается от аналогичной, маскирующейся под уведомления от авиакомпании Delta. В той получателю сообщали, что платеж по кредитной карте принят и также приводили подробную информацию о номере, дате и стоимости полета. Авторы письма просили получателя пройти по ссылке, чтобы распечатать билет, но если пользователь клевал на их приманку, на его компьютер загружался вредоносный файл. В сообщении якобы от booking.com вредоносный файл был прикреплен к письму. Однако в обоих случаях вредоносные файлы принадлежали к семейству Trojan-PSW.Win32.Tepfer, и использовались для кражи логинов и паролей пользователей.

В августе после продолжительного затишья мошенники вновь рассылали вредоносные подделки под уведомления от круизной компании Royal Caribbean International. В письме злоумышленники сообщали пользователю, что электронные документы по якобы заказанному им круизу готовы. В упомянутых документах содержалась «важная информация», которую пассажиру необходимо знать перед посадкой на лайнер, а кроме того их следовало сохранить и взять с собой на борт вместе с паспортом и свидетельством о гражданстве. На самом деле под видом документов в письме скрывался вредоносный файл Backdoor.Win32.Androm.qt, который является одной из модификаций бэкдора Backdoor.Win32.Androm и используется для скрытого управления компьютером пользователя и присоединения его к ботнету.

spam_august2013_pic17

Также в спамерских подделках часто используются названия популярных международных служб доставки, такие как FedEx, UPS и DHL. В письмах, написанных от лица этих компаний, спамеры сообщают потенциальной жертве о невозможности доставить ей посылку, например, из-за ошибки в адресе. Для получения посылки необходимо распечатать приложенный к письму файл и обратиться в офис компании или подтвердить определенные данные, например адрес доставки. Также вредоносный файл может скрываться под видом документов с более подробной информацией о посылке (которой на самом деле не существует). Спамеры стараются придать подделке легитимный вид и традиционно используют не только на первый взгляд кажущийся настоящим адрес отправителя, но и приводят детальную информацию по заказу, настоящие контактные данные с официальных сайтов и копируют уведомления о конфиденциальности письма.

В прикрепленных к подобным письмам архивах находятся вредоносные файлы различных семейств. Так, в поддельном сообщении от FedEx в архиве FedEx Invoice copy.zip находится исполняемый файл FedEx Invoice copy.exe, содержащий троянец семейства ZeuS/Zbot. Этот зловред используется для кражи персональной информации пользователей и паролей от платежных и банковских систем. В подделках от имени компании UPS мошенники рассылали троянец Trojan-PSW.Win32.Tepfer.pnfu, предназначенный для кражи логинов и паролей пользователей. Еще одна вредоносная программа семейства Backdoor.Win32.Androm была обнаружена нами в рассылке якобы от имени DHL. С ее помощью злоумышленники пытались получить полный доступ к компьютеру жертвы.

spam_august2013_pic18

Фишинг

В августе деловая активность упала, заказов на рекламу стало меньше и спамеры активно взялись за мошеннические сообщения. В результате доля фишинговых писем в глобальном почтовом потоке увеличилась более чем в 10 раз и составила 0,013%.

spam_august2013_pic19

Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

По итогам августа рейтинг атакованных фишерами организаций не претерпел заметных изменений. Лидирующую строчку продолжают удерживать социальные сети с таким же показателем, как и в июле — 29,6%.

Вторую строчку по-прежнему занимают почтовые сервисы (17,2%), доля атак на организации этой категории снизилась всего на 0,4%. Показатель поисковых систем (16,1%), наоборот, незначительно увеличился, что позволило им остаться на третьей строчке.

Места с 4-е по 8-е заняли финансовые и платежные организации (13,8%), ИТ-вендоры (8,4%), телефонные и интернет-провайдеры (7,8%), онлайн-магазины (5,4%) и онлайн-игры (0,7%). Отметим, что изменения показателей всех организаций колеблются в рамках 1%.

В августе одной из главных мишеней фишеров среди ИТ-вендоров стала всемирно известная компания Apple. Нам часто попадались письма, пришедшие якобы с официального адреса этой компании, но на деле являющиеся фишинговой подделкой, предназначенной для обмана пользователя и кражи его логинов и паролей. Например, в подобных письмах мошенники сообщали пользователю, что ему в течение 48 часов необходимо подтвердить данные своего аккаунта iTunes, доступ к которому был заблокирован в целях защиты. Для разблокировки аккаунта получатель должен был пройти по присланной в письме ссылке и следовать дальнейшим инструкциям на сайте. В письме спамеры, стараясь усыпить бдительность получателя, подчеркивали, что сообщение было создано автоматически. Насторожить получателя должна была не только просьба подтвердить данные аккаунта на постороннем сайте, но и отсутствие личного обращения в письме.

spam_august2013_pic20

Заключение

По итогам августа доля мирового спама снизилась до 67%, это связано с ежегодным снижением деловой активности в летний период и уменьшением количества рекламного спама. Тем не менее, мы фиксировали большое количество рассылок, посвященных аренде или продаже автомобилей, медицине и здоровому образу жизни. Помимо этого спамеры эксплуатировали начало учебного года для рекламы распродаж самых разнообразных товаров.

В летний период спам значительно криминализируется, растет количество не только мошеннических сообщений, но и писем, содержащих вредоносные файлы. В августе среди распространяемых по почте вредоносных программ преобладали троянцы-шпионы, ворующие финансовую информацию пользователей. Огромной популярностью среди мошенников также пользовались черви семейства Trojan-Ransom.Win32.Blocker, сразу несколько модификаций занимают высокие места в списке наиболее часто детектируемых зловредов.

В период отпусков спамеры продолжали активно рассылать поддельные сообщения от имени компаний, занимающихся бронированием отелей и авиабилетов. Мошенники не оставили без внимания и известные компании, специализирующиеся на доставке товаров, — их доброе имя также было использовано для фишинга и распространения вредоносных программ.

Фишеры использовали популярность продуктов и сервисов компании Apple для обмана пользователей и кражи их логинов и паролей. В Рунете с помощью спама мошенники создавали и продвигали онлайн-сервисы, маскирующиеся под официальные сервисы государственных служб, — с целью выудить у пользователя личную информацию и деньги.

По итогам августа рейтинг атакованных фишерами организаций не претерпел изменений. Как и прогнозировалось, социальные сети и почтовые сервисы сохранили свои лидирующие позиции. В последний месяц лета активность школьников и студентов в соцсетях и почтовых сервисах остается достаточно высокой и как следствие сохраняется интерес фишеров к этому сектору. Однако в сентябре, когда деловая активность начнет восстанавливаться, интерес фишеров плавно переключится с социальных сетей на финансовые организации и, следовательно, вырастет количество атак на банковский сектор. В то же время, скорее всего, уменьшится число мошеннических и вредоносных рассылок.

Спам в августе 2013

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике