Отчеты по спаму и фишингу

Спам в феврале 2013

Февраль в цифрах

  • Доля спама в почтовом трафике в феврале увеличилась на 12,8% и составила 71,1%.
  • Доля фишинговых писем в почтовом потоке по сравнению с январем не изменилась и составила 0,003%.
  • Вредоносные вложения содержались в 2,8% всех электронных сообщений, что на 0,2% ниже показателя прошлого месяца.

Особенности месяца

В феврале нами был зафиксирован рост количества спамерских писем, эксплуатирующих тему праздников. Спамеры активно рассылали предложения ко дню святого Валентина (14 февраля) и дню защитника отечества (23 февраля), не забыли и о 8 марта и масленице, которая в этом году пришлась на середину марта. Не осталось без внимания спамеров и падение метеорита в Челябинске.

«Праздничный» спам

В «праздничном» спаме, приуроченном к женскому и мужскому праздникам, традиционно рассылалась реклама цветов и реплик элитных товаров, предлагались услуги по оформлению праздничных мероприятий. Кроме того, нами была замечена реклама услуг по нанесению надписей и логотипов на живые цветы или USB-флешки.

В прошедшем месяце в почтовом трафике Рунета появились многочисленные рассылки, посвященные масленице и дню святого Валентина. Популярность Дня всех влюбленных в России растет, и спамеры используют этот праздник для рекламы подарков и услуг по организации романтического вечера.

Тематика спам-сообщений, посвященных масленице, отличается постоянством: из года в год спамеры предлагают праздничные туры и тематические экскурсии. Этот год не стал исключением:, мы зарегистрировали несколько рассылок с предложением поучаствовать в масленичных гуляниях и проводах зимы.

В англоязычном секторе интернета в феврале были весьма активны рассылки от «цветочных» партнерок.

Отметим, что наши прогнозы о появлении в спам-трафике февраля «валентинок» с вредоносными вложениями не оправдались. В прошедшем месяце массовых рассылок вредоносных «валентинок» мы не зарегистрировали.

Be my spam Valentine

Спамеры прибегают к различным уловкам для привлечения внимания пользователя. В феврале тема дня святого Валентина использовалась даже в тех случаях, когда в спаме не рекламировались подарки/услуги к празднику. Например, нам часто встречалась спам-корреспонденция с предложением найти свою «валентинку», вынесенным в тему письма, и рекламой различных служб знакомств. В таких письмах рассылался не только графический спам, содержащий фотографии «одиноких сердец» и поле для поиска партнера, но и обычные текстовые сообщения с рассказом о предполагаемой «второй половинке» и ссылкой на сайт знакомств. А иногда при переходе по указанной в письме ссылке на сайт знакомств открывалась страница совершенно другого содержания – еще одна уловка спамеров, используемая для навязывания различных товаров и услуг.

Пасха на западе в этом году празднуется 31 марта. И поэтому уже в феврале в англоязычном спаме пасхальная тема использовалась для привлечения внимания пользователей. В начале месяца нами было обнаружено несколько рассылок с рекламой реплик элитных товаров, причем в теме письма в той или иной форме упоминалась Пасха.

Стоит отметить, что такие спамерские сообщения пока фиксируются только на английском языке. Но мы ожидаем, что уже в марте появится русскоязычный «пасхальный» спам.

Метеорит в Челябинске

Когда в феврале в окрестностях Челябинска взорвался метеорит, снятые очевидцами кадры катастрофы обошли весь мир и привлекли внимание миллионов людей. Естественно, это уникальное событие не осталось без внимания спамеров. Например, нами была обнаружена любопытная спам-рассылка приглашений на семинар по тайм-менеджменту. Судя по всему, по замыслу авторов приглашений упоминание о метеорите должно было заинтриговать получателей, а заодно внушить им мысль о скоротечности жизни и, как следствие, о необходимости разумного управления своим рабочим и свободным временем.

Географическое распределение источников спама

По итогам февраля 2013 года среди стран — источников спама, распространяемого по всему миру, на первое место вышли США (16,9%). Доля спама, рассылаемого из Китая, снизилась вдвое, до 14,4%, и теперь страна занимает второе место в общем зачете. В целом из этих двух стран в феврале было разослано около 31,3% мирового спама.


Страны – источники спама в мире

Третье место, как и в январе, занимает Южная Корея (13,7%), доля которой в феврале увеличилась на 6,9%. Россия (3,3%) потеряла 1,6% и опустилась в рейтинге с 4-го на 7-е место. В пятерку лидеров также вошел Тайвань (5,1%), по сравнению с январем его показатель увеличился более чем втрое. Германия (2,1%), занимавшая ранее 17-ю строчку, по итогам февраля прибавила 1,2% и замыкает лидирующую десятку.

В потоках Рунета произошли существенные изменения.


Страны – источники спама в Рунете

В феврале Индия вернула себе позицию лидера среди стран – источников спама в Рунете, ее показатель увеличился почти вдвое и составил около 18%. На второе место неожиданно вышла Италия (13%), по сравнению с январем ее показатель увеличился более чем в 5 раз. В тройку лидеров вошел также Тайвань (9,1%), прибавивший в феврале 7,1%.

Лидер января, Россия (5,4%), потеряла более 8% и опустилась на 6-ю строчку. Вклад США в спам-потоки Рунета уменьшился на 7,6%, и страна сместилась со 2-го на 7-е место с показателем 3%. Предыдущий бронзовый призер, Вьетнам, потерял 1,2% и опустился на одну строчку вниз с результатом 8,4%.

Доля спама из Германии (5,6%) в Рунете увеличилась на 4,7%, и в результате страна вошла в пятерку лидеров. А вот Китай, наоборот, существенно сдал позиции. Доля распространяемого из Китая спама уменьшилась на 6,9%, и теперь страна занимает 14-ю строчку рейтинга с показателем 1,4%.


Регионы – источники спама

Среди регионов лидером по распространению спама остается Азия (50,4%). В первую тройку, как и в январе, вошли Северная Америка и Восточная Европа.

Вредоносные вложения в почте

Доля писем с вредоносными вложениями в мировом почтовом трафике продолжает уменьшаться. По сравнению с январем она понизилась на 0,2% пункта и составила 2,8% почтового трафика.


TOP 10 вредоносных программ, распространявшихся по электронной почте

Наиболее популярной вредоносной программой, распространяемой по электронной почте, остается Trojan-Spy.html.Fraud.gen (11%), однако доля этой программы снизилась по сравнению с январем на 2,2% пункта. На втором месте находится Trojan-Banker.HTML.Agent.p (7,8%). Оба этих зловреда выполнены в виде html-страниц, копирующих регистрационные формы онлайн-банкингов или других интернет-сервисов. С их помощью злоумышленники пытаются украсть у пользователей логины и пароли к системам онлайн-банкинга.

Интересно, что на третье место вышел Backdoor.Win32.Androm.phh. Программы типа backdoor позволяют злоумышленнику незаметно управлять зараженным компьютером, например загружать на компьютер другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и многое другое. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета.

Всего в феврале мы обнаружили 85 различных модификаций программы Backdoor.Win32.Androm. Их суммарная доля составляет 12% от всех рассылаемых по электронной почте вредоносных программ. Интересно, что в большинстве случаев бэкдор распространялся в поддельных письмах, присланных якобы Booking.com, DHL, British Airways и других. Ранее подобным образом распространялись троянские программы семейства ZeuS/Zbot.

На четвертом месте нашего рейтинга находится Trojan-Downloader.HTML.Iframe.ahh. Назначение подобных программ – без ведома пользователя открывать в браузере веб-страницы, осуществляющие загрузку вредоносных программ или перенаправляющие пользователя на сайты партнерок.


Распределение срабатываний почтового антивируса по странам

На первое место среди стран, куда направляются письма с вредоносными вложениями, потеснив извечного лидера нашего рейтинга – США, — неожиданно вышла Италия. Показатель этой страны вырос на 9,4% и достиг 14,4%. Отметим, что именно в Италии нами было зафиксировано подавляющее большинство атак с использованием Trojan-Banker.HTML.Agent.p, занявшего в феврале второе место в TOP-10 вредоносных программ.

В остальном в списке атакуемых стран практически нет изменений.

Одним из наиболее популярных инструментов злоумышленников, распространяющих вредоносные программы в почте, по-прежнему являются письма-подделки под официальные уведомления от различных финансовых институтов. Например, злоумышленники прибегают к хорошо известной легенде о якобы случившемся взломе банковского счета пользователя, в результате чего все деньги были заморожены, а счет заблокирован. Для получения информации о происшествии пользователю предлагают открыть прикрепленный к письму файл.

В одном из таких фальшивых писем, обнаруженных нами в феврале, содержался zip-архив с файлом FraudReport_acoountid_43753985724.exe. Этот вредоносный файл определяется «Лабораторией Касперского» как Backdoor.Win32.Androm.phf и является одной из модификаций бэкдора Backdoor.Win32.Androm, о котором мы писали выше.

Среди компаний, имена которых используют злоумышленники, одной из наиболее популярных является поисковая система Google. В феврале нами была зафиксирована рассылка вредоносных писем от имени Google, в которых сообщалось, что компания рассматривает присланное пользователем резюме и сопоставляет его со списком открытых вакансий. Во избежание возможных недоразумений пользователю рекомендовалось открыть приложенный к письму файл и проверить правильность оформления резюме. В письмо был вложен zip-архив с файлом Document.chm.exe. При попытке открыть «резюме» троянец, детектируемый «Лабораторией Касперского» как Trojan-Dropper.Win32.Typic.bea, пытался установить на компьютер вредоносное ПО для кражи паролей и других конфиденциальных данных.

Чтобы убедить получателя в легитимности письма злоумышленники подставляли в поле From кажущийся правдоподобным адрес (resume-thanks@google.com) и украшали письмо логотипом компании.

Фишинг

Доля фишинговых писем в почтовом потоке не изменилась по сравнению с январем и составила 0,003%.


Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента Антифишинг на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, будь то ссылка в спамовом письме или в интернете.

За прошедший месяц в первой тройке рейтинга категорий организаций, атакованных фишерами, не произошло значительных изменений. Социальные сети сохранили лидирующую позицию по количеству фишинговых атак, их показатель незначительно вырос (+0,8%) и составил 38,8%. В первую тройку также входят поисковики (16,9%) и финансовые и платежные организации (12,3%), которые занимают вторую и третью строчку соответственно.

Заключение

В феврале доля спама в почтовом трафике выросла на 12,8% и достигла 71,1%. Отметим, что этот показатель выше, чем средняя доля спама в третьем квартале 2012 года (65,6%).

Среди стран — источников спама с начала 2013 года идет перераспределение источников спама. За первые два месяца доля спама, рассылаемого из Китая по всему миру, уменьшилась на 19,9% процентных пункта. В то же время доля Южной Кореи увеличилась на 11,1%. Еще больше эти изменения заметны по спаму, нацеленному на европейские страны: доля спама, рассылаемого в Европу из Китая, снизилась с 58,2% в декабре до 14,4% в феврале, тогда как доля Южной Кореи увеличилась с 5% до 51%. Очевидно, это связано с тем, что некая группа спамеров поменяла используемые для рассылок ботнеты.

В рейтинге зловредов, рассылаемых в почте, лидировали вложенные в письма фишинговые HTML-странички. Персональные данные, которые пользователи вводят в формы на таких страницах-подделках, попадают к злоумышленникам. Одна из таких фишинговых страниц, детектируемая как Trojan-Banker.HTML.Agent.p, активно рассылалась, причем преимущественно в Италию. В результате в феврале Trojan-Banker.HTML.Agent.p занял второе место в рейтинге вредоносных вложений, а Италия оказалась на первом месте среди стран – мишеней вредоносных рассылок.

Вопреки ожиданиям, в этом году не было зарегистрировано массовых рассылок «валентинок» с вредоносными вложениями, зато день всех влюбленных активно использовался спамерами для рекламы товаров и услуг. В этом месяце в почте появились также сообщения, эксплуатирующие тему таких весенних праздников, как масленица и Пасха. Вероятно, в марте «праздничного» спама в почте станет меньше.

Спам в феврале 2013

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике