Отчеты по спаму и фишингу

Спам в феврале 2010 года

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с январем не изменилась и составила в среднем 86,1%.
  • Ссылки на фишинговые сайты находились в 0,87% всех электронных писем, что на 0,06% больше, чем в январе.
  • Вредоносные файлы содержались в 1,18% электронных сообщений, что на 1,11% больше, чем в прошлом месяце.
  • Распределение спам-тематик вернулось к декабрьским показателям.
  • Для зашумления текстов спамеры стали использовать стихи собственного сочинения.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в феврале 2010 года в среднем составила 86,1%. Самый низкий показатель месяца был зафиксирован 15 февраля — 80,5%; больше всего спама было получено пользователями Рунета 21 числа — 90,8%.

Страны — источники спама


Страны — источники спама

В феврале лидером среди стран — источников спама снова стали США, однако с их территории было распространено на 7% меньше спама, чем в прошлом месяце. На второе место вышла Индия: из этой страны было распространено 8,8% всего спама, что на 2,7% больше, чем в прошлом месяце.

Самыми заметными изменениями в двадцатке стало уменьшение количества спама, распространенного из Бразилии (-4,7%), России (-2,5%) и Китая (-1,3%). Бразилия при этом переместилась со второй строчки рейтинга на девятую.

Количество спама, распространенного из Кореи и Вьетнама, занявших третью и четвертую строчки рейтинга соответственно, возросло вдвое (+2,5% Вьетнам и +3,9% Корея).

С территории Украины было распространено на 1,2% больше спама, чем в прошлом месяце. Эта страна поднялась на восьмую строчку рейтинга.

Интересно отметить появление в двадцатке стран, из которых ранее распространялось менее одного процента спама, — это Япония, Израиль, Таиланд и Саудовская Аравия.

Фишинг

Ссылки на фишинговые сайты находились в 0,87% всех электронных писем, что на 0,06% больше, чем в январе.

В феврале лидерами среди организаций, наиболее часто атакованных фишерами, снова стали PayPal (53,97%) и eBay (14,05%). Третья и четвертая позиции рейтинга также не изменились по сравнению с прошлым месяцем: их занимают HSBC (7,65%) и Facebook (6,05%).


Организации, подвергнувшиеся фишинговым атакам в феврале 2010

В феврале нами была зафиксирована фишинговая рассылка, к которой злоумышленники, по-видимому, отнеслись слишком небрежно. В разосланное от имени PayPal письмо, требующее подтвердить персональные данные, не была вставлена фишинговая ссылка. Кроме того, картинка с логотипом PayPal также была вставлена не слишком умело — от нее осталась только синяя полоска в левом верхнем углу сообщения.

Что касается фишинговых рассылок, нацеленных на пользователей социальной сети Facebook, то они по-прежнему выглядят очень профессионально. В html-версии письма ничто не выдает подлог. Однако ссылка, по которой предлагается перейти пользователю, никакого отношения к Facebook не имеет и выглядит следующим образом: www.facebook.com.*********.com.pl

Facebook — не единственная социальная сеть, подвергнувшаяся фишинговым атакам. Пользователи российской социальной сети ВКонтакте также рисковали потерять свои аккаунты. Нами была зафиксирована рассылка, в которой пользователям этой сети предлагалось подтвердить, что они не являются ботами. Для этого необходимо было перейти по указанной ссылке, лишь отдаленно напоминающей адрес соцсети, и ввести там свои логин и пароль.

Вредоносные программы в спаме

Вредоносные файлы содержались в 1,18% электронных сообщений, что на 1,11% больше, чем в прошлом месяце.

В феврале 2010 года социальная сеть Facebook, а также банк HSBC, стали предметом активного интереса не только со стороны фишеров, но и со стороны злоумышленников, распространяющих вредоносные программы. Нами была зафиксирована рассылка от имени Facebook, в которой пользователям предлагалось подтвердить новое соглашение по безопасности, якобы начинающее действовать в этой социальной сети. «Соглашение» было приложено к письму в виде zip-архива. На деле, вместо пользовательского соглашения, архив содержал вредоносную программу — Trojan-Downloader.

В рассылке от имени банка HSBC вложений не было. Здесь, согласно лучшим традициям фишинговых писем, была ссылка, на которую необходимо кликнуть, чтобы подтвердить свою активность в интернет-банкинге. Ссылка, однако, вела не на фишинговый сайт, а на файл «hsbc.exe» (бэкдор Backdoor.IRC.Zapchast.zwrc), который тут же пытался загрузиться на компьютер-жертву.

Интернет-магазин Amazon также попал в поле зрения распространителей вредоносных программ. В рассылке от имени этой крупной организации пользователю предлагалось ознакомиться с деталями своего уже совершенного и предоплаченного заказа. В zip-архиве, прикрепленном к письму, пользователь к своему неудовольствию обнаруживал исполняемый файл, а именно Trojan-Dropper.Win32.Agent.bqdn.

В феврале злоумышленники все чаще обращались к старому испытанному способу распространения вредоносных программ, — они рассылали сообщения с сенсационными заголовками и текстами, стараясь вынудить пользователей просмотреть «видео» в приложении. В одной из таких рассылок «засветились» скандальные фотографии Бритни Спирс.

Интересно отметить, что, несмотря на День святого Валентина, не наблюдалось бума «открыточного» спама. Ранее мы предполагали, что в канун этого праздника пройдет волна поддельных электронных открыток, используемых для распространения зловредов. Однако этого не произошло.

Тематический состав спама


Распределение тематик спама в Рунете в феврале 2010

Пятерка лидирующих спам-тематик февраля:

  1. Образование — 18,9% (+4,7%)
  2. Отдых и путешествия — 15,7% (+7,3%)
  3. Медикаменты; товары/услуги для здоровья — 15,5% (-2,6%)
  4. Компьютерное мошенничество — 9,2% (-2%)
  5. Компьютеры и интернет — 6,5% (-2%)

Спам, распространяемый с целью получения прибыли от партнерских программ, снова уступил место спаму, заказанному реальными клиентами. На первые строчки рейтинга вновь поднялись тематики «Образование» с рекламой разнообразных семинаров и «Отдых и путешествия», значительно сдавшие свои позиции в январе. Январский спад такого спама во многом связан со снижением бизнес-активности в течение первых двух недель года, в феврале же тематический состав спама фактически вернулся к показателям декабря.

Доля спама тематики «Отдых и путешествия» в феврале увеличилась вдвое (в январе мы наблюдали двукратное уменьшение такой рекламы). Этот спам был представлен в основном рассылками, рекламирующими корпоративные праздники и мероприятия, посвященные 23 февраля и 8 марта:

Кроме того, удлиненные выходные в феврале и начале марта спровоцировали волну рекламы горящих путевок.

Тематика «Медикаменты; товары/услуги для здоровья», большей частью состоящая из рекламы виагры и средств для похудения, также вернулась к декабрьским показателям.

В рекламе препаратов «для взрослых» спамеры использовали день всех влюбленных, утверждая, что ночь любви — лучший подарок в этот праздник. Шаблонные сайты канадской интернет-аптеки были украшены соответствующим образом:

Во второй половине февраля спам-рассылки с рекламой виагры также отличались оригинальностью. Как уже было замечено, спамеры в феврале проявили интерес к популярному интернет-магазину Amazon. С помощью лжеуведомлений от этой организации распространялись вредоносные вложения и реклама сайтов, торгующих виагрой:

Пройдя по ссылке, пользователь обнаруживал, что он находится не на Amazon.com, а на шаблонной интернет-страничке, предлагающей дешевые медикаменты.

Доля писем тематики «Компьютерное мошенничество» по-прежнему остается на высоком уровне. Хотелось бы напомнить, что в основном эта тематика представлена сообщениями о выигрышах в лотерею и нигерийскими письмами, зачастую эксплуатирующими злободневные темы. В феврале нигерийцы продолжили «собирать пожертвования» пострадавшим во время землятресения на Гаити, а несметные выигрыши в сомнительных лотереях частенько были связаны с грядущим чемпионатом мира по футболу.

Распространители спама с рекламой реплик элитных товаров (-4,1% по сравнению с январем), утверждали, что подделка под марку Ролекс или другой известный бренд,— это как раз то, что каждый мечтает получить в День святого Валентина:

Доля спама тематики «Другие товары и услуги» заметно возросла по сравнению с январем (+6,1%). Во многих рассылках предлагались подарки к февральским и мартовским праздникам. Часто встречалась реклама цветов: на английском языке — к 14 февраля, а на русском — к 8 марта. Попадались и очень оригинальные рассылки, несвязанные с праздниками:

Помимо предложений построить выставочный стенд или установить мобильный антирадар, в спаме можно было видеть предложения нанять киллера или приобрести путевку в рай.

Спамерские методы и трюки

В феврале спамеры, должно быть, заразились всеобщим романтическим настроением. Такой вывод напрашивается, когда видишь трюк, использованный рассыльщиками для зашумления писем. Вместо привычных рекламных слоганов в начале письма красовались стихотворные строки, расхваливающие массовые рассылки. От письма к письму эти «стихи» значительно менялись. Кроме того, пытаясь обмануть спам-фильтры, злоумышленники случайным образом меняли в ценах нули на буквы «о»:

Англоязычные спамеры для зашумления текста в своих рассылках довольно часто использовали обратную замену — буквы «о» на ноль.

Заключение

Доля фишинговых писем в почте, как мы и предполагали, остается на прежнем уровне. Однако пользователей подстерегают другие опасности: увеличение количества вредоносных вложений, а также обилие спама тематики «Компьютерное мошенничество».

Возвращение тематического состава спама к декабрьским показателям закономерно, — январские изменения были связаны с периодом снижения деловой активности в России. Можно предполагать, что в течение ближайших нескольких месяцев ситуация в спаме останется стабильной.

Интересной приметой февраля стало резкое уменьшение в спаме количества ссылок, расположенных в доменной зоне .cn. Это связано с ужесточением правил регистрации доменов в Китае. Теперь во многих рассылках, рекламирующих виагру или порнографию, размещаются ссылки на домены, зарегистрированные в доменной зоне .ru.

Спам в феврале 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике