Отчеты по спаму и фишингу

Спам в феврале 2009 года

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с январем увеличилась на 0,5% и составила в среднем 87,2%.
  • Доля спама с графическими вложениями снизилась на 4% и составила 13%.
  • Ссылки на фишинговые сайты находились в 0,84% всех электронных писем, что на 0,11% меньше, чем в январе.
  • Вредоносные файлы содержались в 0,20% электронных сообщений, что на 0,84% меньше, чем в прошлом месяце.
  • Под видом программы для чтения чужих SMS-сообщений распространялись вредоносные программы.
  • Было зафиксировано несколько рассылок поздравительных открыток со ссылками на файлы в формате exe.
  • Рубрика «Реклама спамерских услуг» вышла на первое место в списке лидирующих тематик.
  • В пятерку лидирующих тематик вошла рубрика «Недвижимость».

Доля спама в почтовом трафике

Доля спама в почтовом трафике в феврале 2009 года в среднем составила 87,2%. Самый низкий показатель отмечен 20 февраля – 81,4%, больше всего спама зафиксировано 22 числа – 93%.


Доля спама в Рунете в феврале 2009 года

Доля графического спама несколько уменьшилась – и составила 13% (вместо январских 17%).

Распространение вредоносных программ

Доля писем, содержащих вредоносные вложения, в последний месяц зимы сократилась на 0,84% и составила 0,20%.

Злоумышленники по-прежнему под разными предлогами пытаются спровоцировать пользователей открыть вредоносное вложение. Так, в одном из разосланных спамовых писем, подделанном под дружеское послание, во вложении под именем installer.exe находился Trojan-Spy.Win32.Goldun.bw:

Наконец то всё работает!!!!!!!!!!
Макс, почему в аське не появляешься. Помнишь о чём мы мечтали и много над этим работали) так вот, это рабочий вариант. настрой её под себя и проверь, всё ли я правильно сделал. никому эту прогу не давай, накрайняк продавай, но тока хорошим знакомым. жду твоих отзывов. скоро разбогатеем. у меня по 50вмз/день легко получается.
п.с. заодно напиши у тебя АВ ругается или нет.или у меня глюк такой

На протяжении всего месяца рассылались спамовые письма, в которых пользователям предлагалась программа для чтения чужих SMS-сообщений. Подобные предложения встречались и в прошлом году. В феврале текущего года они приняли массовый характер. При попытке загрузить пробную версию «шпиона» на компьютер пользователя загружалась вредоносная программа, которую злоумышленники меняли каждый день на протяжении месяца. В конце февраля в письмах предлагалось оплатить программу, отправив SMS-сообщение на четырехзначный номер. То есть, один и тот же прием социальной инженерии использовался сначала для заражения компьютеров, а затем – для выманивания денег у пользователей.

Рассылки с предложением посмотреть поздравительную открытку в день святого Валентина традиционно используются злоумышленниками для распространения вредоносных ссылок. В приведенном ниже письме по ссылке находился Email-Worm.Win32.Iksmas.zl.

Trudy has created for you a custom online greeting and wrote this to you:
«I’m burning for you»

Click on the link below to see your greeting card:

SITE

This eCard will remove after 12-03-2009 from our servers.

Фишинг

Доля писем с фишинговыми ссылками в феврале составила 0,84%, что на 0,11% меньше, чем в январе. Чаще всего атакам подвергались платежная система PayPal (39,64%) и интернет-аукцион eBay (20,58%).


Организации, подвергнувшиеся
фишинговым атакам в феврале

Тематический состав спама



Распределение тематик спама в Рунете в феврале 2009г.

Пятерка лидирующих спам-тематик февраля:

  1. «Реклама спамерских услуг» — 15,8% (+3,6%)
  2. «Медикаменты; товары и услуги для здоровья» — 14,9% (-10,4%)
  3. Спам «для взрослых» — 14,1% (-5,6%)
  4. «Образование» — 12,7% (+6,2%)
  5. «Недвижимость» — 4,7% (+2,3%)

В период экономического кризиса прежние лидеры рейтинга спам-тематик теряют вес, при этом в лидирующей пятерке оказываются те тематики, которые никогда не занимали первых мест в рейтинге. Это свидетельствует о том, что спамеры теряют клиентов, которые в течение долгого времени обеспечивали их заказами, и вынуждены активно искать новых заказчиков рассылок. На этом фоне конкуренция между различными спамерскими компаниями обостряется. Симптоматично, что в феврале на первое место в рейтинге тематических рубрик спама вышла реклама спамерских услуг. Спамеры не только активно рассылают собственную рекламу, но и стараются, чтобы эта реклама была как можно более эффективной: в ход пошли наиболее удачные приемы и образцы рекламы прошлых лет.

Кроме многочисленных русскоязычных предложений, ориентированных на пользователей Рунета, в феврале была зафиксирована англоязычная рассылка, предлагавшая распространение незапрошенных писем по почтовым базам Великобритании:

Доля рубрики «Медикаменты: товары и услуги для здоровья», которая в течение долгого времени занимала первые места в рейтинге спам-тематик, продолжает уменьшаться. В феврале она сократилась почти вдвое – с 25,3% до 14,9%, а к концу месяца на долю таких рассылок приходилось чуть более 10% спама.

Как и прежде, эта рубрика представлена в основном письмами, рекламирующими виагру и ее аналоги. Самым необычным письмом этой серии оказалось послание, снабженное ссылками на якобы «шокирующую новость», касающуюся американского президента. По обеим ссылкам, содержащимся в письме, находился Trojan-Downloader.JS.Inor.a, который загружался на компьютер, а затем перенаправлял пользователя на сайты, рекламирующие медикаменты.


Окончание зимних праздников повлекло за собой рост числа предложений обучающих программ и семинаров, что позволило рубрике «Образование» увеличить свою долю в спаме на 6,2%.

Важно отметить существенный рост (почти в два раза по сравнению с январским показателем) процента писем рубрики «Недвижимость», где основными были предложения об аренде помещений. Эта рубрика впервые попала в пятерку лидеров. Такой всплеск можно объяснить кризисной ситуацией в экономике, которая влечет за собой отказ части арендаторов от съема офисных помещений и необходимость в дополнительной (и дешевой) рекламе сдаваемых площадей.

Спамерские методы и трюки

В феврале спамеры активно использовали уже опробованные и, с их точки зрения, эффективные методы. В ход вновь были пущены старые приемы, искажающие тексты рассылаемых писем, зашумление картинок, ссылки на домены третьего уровня и т.д. При всем разнообразии используемых методов, ничего принципиально нового спамеры придумать не смогли.

В разряд любопытных новинок февраля можно отнести рассылку, предлагавшую программу для совершенствования письменного английского языка. Эта рассылка была представлена письмами на разных языках, рекламировавшими один и тот же товар. Авторы этой рассылки подошли к делу основательно: при переходе по ссылке пользователь попадал на страницу, рекламирующую товар на языке той страны, в которой был зарегистрирован IP-адрес его компьютера. Сам сайт был размещен в доменной зоне .asia, предназначенной для стран азиатско-тихоокеанского региона и Австралии.

Заключение

Доля спама в Рунете остается на высоком уровне. Можно предположить, что эта тенденция будет сохраняться вплоть до периода летних отпусков. Впрочем, условия экономического кризиса могут внести свои – иногда труднопредсказуемые — коррективы и в развитие спам-бизнеса. Пока мы видим, как спамеры стремятся повысить эффективность своей деятельности, используя комбинации различных приемов, расширяя географию рассылок и усиливая собственную рекламу. В целом, текущий период можно охарактеризовать как период повышенной активности и изощренности спамеров. Пользователям нужно учесть, что спам становится все более агрессивным, и предпринимать необходимые меры предосторожности.

Спам в феврале 2009 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике