Отчеты по спаму и фишингу

Спам в июле 2008 года

Особенности месяца

  1. Наблюдался всплеск незапрошенных рассылок, связанных с социальными сетями.
  2. Доля спама в почтовом трафике по сравнению с июнем уменьшилась на 3,2% и составила в среднем 78,9%.
  3. Доля графического спама составила 9%.
  4. Письма со ссылками на фишинговые сайты составили 0,58%, что в два раза меньше июньских показателей.
  5. Вредоносные файлы содержались в 0,27% всех писем.
  6. Во второй половине июля прошли масштабные рассылки со ссылками, ведущими на зараженные страницы.
  7. Появился новый спамерский прием – запись контактной информации с помощью закрашенных ячеек в таблице.

Спамеров заинтересовали социальные сети

Все больше людей прибегает к общению в социальных сетях. Популярность подобных ресурсов растет с огромной скоростью. Это не могло не привлечь спамеров и хакеров, которые использовали все возрастающую славу этих сайтов в своих целях.

Первым признаком того, что спамеры заинтересовались социальными сетями, стала июньская массовая рассылка писем, имитирующих извещение о получении сообщения с сайта Odnoklassniki.ru. Ссылка вела на подложный сайт, с которого на компьютеры пользователей пыталась загрузиться троянская программа Trojan.Win32.Agent.qxk. Волна подобных писем была зафиксирована и в середине июля.

В последние дни июля прошла рассылка с приглашением от пользователя портала Friends зарегистрироваться на нем.

Ссылка в письме не работала, однако по некоторым признакам — по небрежности, с которой было составлено приглашение (пришедшее от имени пользователя Olga, оно имело примечание: «Если ты не знаешь пользователя Natalija или не желаешь принимать от него приглашение, просто удали это письмо»); по тому, что рассылка имела массовый характер и распространялась на нескольких языках; по тому, что в разных письмах этой рассылки были указаны похожие, но не идентичные адреса сайта, – можно предположить, что рассылка имела такую же цель, как и письма якобы с сайта Odnoklassniki.ru. В связи с чем важно еще раз напомнить о потенциальной опасности приглашений, пришедших с незнакомых адресов.

Твой друг Olga приглашает тебя присоединится к кругу своих друзей на портале Friends

Чтобы принять приглашение от твоего друга и присоединится нажми на линк:

Возможно, тебя приглашает однокласник или старый знакомый желающий восстановить контакт.

Срок действия приглашения 7 дней.

Если ты не знаешь пользователя Natalija или не желаешь принимать от него приглашение, просто удали это письмо. За отсылку этого приглашения отвечает приглашающий пользователь, портал не сохраняет адрес твоей почты.

Friends портал интересного времяпровождения. На портале тебя ждут старые и новые друзья, бесплатные on — line игры, бесплатные Java игры, игры для мобильного телефона, мелодии с голосом, заставки, спортивный форум, родительский форум, студенческий форум, форум школьников, форум на тему любви, поиск друзей, чат и действительно интересное времяпровождение. Friends- это место, где каждый может создать свой уникальный круг друзей и наслаждаться общением с близкими людьми.

Olga

Другим проявлением интереса спамеров к социальным сетям стало использование в ссылке названия сети в качестве приманки (на самом же деле по ссылке открывалась страница с рекламой). Отправители незапрошенной рассылки о дешевом софте поспешили воспользоваться популярной в Интернете шуткой про возникновение нового ресурса Сокамерники.ру. Письмо действительно носит шутливый характер и подделано под блатной жаргон. Это, равно как и предложение воспользоваться готовыми логином и паролем, должно было заинтриговать получателя. Однако отважных посетителей нового социального проекта ожидало разочарование: настоящая ссылка вела на сайт по продаже спамерского и хакерского программного обеспечения.

Здравствуйте! Поздравляем Вас с успешной регистрацией на сайте Сокамерники.Ру

Ваш погоняло: Swyatich
Цифры Вашей малявы: 659as548

По нашему убеждению Вам не составит труда с помощью Хозяина найти нужных Вам поседельцев.

Удачи! Вот ссылка для входа в родные пенаты

Всеобщее увлечение социальными сетями побудило хакеров создать специальное программное обеспечение. Часть программ, на первый взгляд, призвана облегчить жизнь завсегдатаям таких сайтов. Так, востребованность ресурса Odnoklassniki.ru породила рассылку с предложением утилиты, которая должна упростить посещение сайта. Утверждалось, что программа для автоматического ввода логина и пароля при входе на личную страницу освободит посетителя от утомительного набора своих данных. Однако безвредная утилитка на самом деле оказалась троянской программой Trojan-PSW.Win32.SocNet.a, которая, действительно, автоматически заполняла форму регистрации на сайте, но при этом передавала личные данные владельца на сайт злоумышленников.

Эта Программа для тех, кому надоело каждый раз при входе на сайт www.odnoklassniki.ru вводить E-Mail и Пароль!

Odnoklassniki.ru Login 1.1 — это ничто иное как LoginForm!

программа прячется в трее (в правом нижнем углу — рядом с часами), сохраняет логин и пароль!

Скачать программу с сайта

Кроме того, хакеры создали новое ПО для социальной сети «Одноклассники» – в помощь спамеру. Так что пользователям сайта Odnoklassniki.ru в ближайшее время вполне может понадобиться кнопка «пожаловаться на спам». Важно обратить внимание на то, что заявленная программа будет производить рассылку не всем подряд, а только пользователям, которые находятся на сайте и входят в определенную социальную группу.

В настоящее время все спамерские предложения, так или иначе связанные с социальными сетями, носят криминальный характер. Спамеры, рекламирующие обычные товары и услуги, в почтовых рассылках пока не используют популярность социальных сетей, тогда как ссылки на вредоносные программы и предложения хакерского и спамерского ПО уже стали постоянными спутниками подобного спама.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в июле 2008 года в среднем составила 78,9%. Самый низкий показатель был отмечен 16 июля – 66,2%, больше всего спама было зафиксировано 11 числа – 88,9%. Доля графического спама составила 9%.


В июле снизился процент спамовых писем с вредоносными вложениями и фишинговыми ссылками. Письма со ссылками на фишинговые сайты составили 0,58%, что в два раза меньше июньских показателей. Вредоносные файлы содержались в 0,27% всех писем.

Однако спамеры постарались по-своему компенсировать этот спад. Вторая половина месяца характеризовалась большой рассылкой писем, ссылка в которых вела на сайты, зараженные вредоносными программами. Хакеры взломали десятки сайтов, расположенных в различных доменных зонах. Письма сопровождались шокирующими новостными заголовками для того, чтобы пользователь без колебаний проследовал по ссылке на вредоносную программу.

BBC NEWS

In New York has landed UFO. Click to see video!

(Новости BBC. В Нью-Йорке приземлился НЛО. Нажмите, чтобы посмотреть видео)

Еще в одной из таких рассылок письма содержали предложение приобрести бесплатный антивирус, который в случае немедленной установки сотрет с компьютера всех троянцев и червей. При попытке получить такую «эффективную защиту» компьютер оказывался заражен разновидностью Trojan-Downloader.

Тематический состав спама


Пятерка лидирующих спам-тематик июня:

  1. «Медикаменты; товары и услуги для здоровья» — 18%
  2. «Отдых и путешествия» — 14%
  3. Спам «для взрослых» — 12%
  4. «Образование» — 8%
  5. «Реплики элитных товаров» — 7%

Тематика «Медикаменты; товары и услуги для здоровья» остается на первой позиции даже в период отпусков. «Забота» о здоровье пользователей Интернета, а заодно об их досуге, была проявлена спамерами, разославшими письма со ссылкой на страницу одного из русскоязычных блогов. На этой странице размещалась реклама сайтов с порнографией, виагрой и казино.

Второй в пятерке лидеров в середине лета следует рубрика «Отдых и путешествия», полностью соответствующая настроениям второго летнего месяца. Особенно часто в письмах данной тематики встречались предложения туров внутри страны. Спамеры шли на разнообразные ухищрения, чтобы такие рассылки дошли до пользователя даже в неудобочитаемом виде. В приведенном ниже письме спамерская ссылка, перенаправляющая на сайт в доменной зоне tk, была замаскирована с помощью линка, ведущего на уважаемый туристический сайт tours.ru.

Блиcmательный Санkт ~Пеmеpбyрr. Тyр нa поeздe нa 3 дня нa всё вkлюченo! Заeзд: c 7 пo IО aвгyста</p

А спам с образовательной тематикой, наоборот, оставил свои позиции, хотя и не покинул пятерку лидеров. В июле подходят к концу вступительные экзамены в институты и уже сданы летние сессии, поэтому и спам в этой области бывает иногда очень необычным. Украинская рассылка предлагала пользователям Интернета сориентироваться в многообразии учебных заведений и даже скомпрометировать непонравившийся ВУЗ – совершенно анонимно.

Привет!

Ты НЕ знаешь

  • Куда пойти Учиться?
  • Как сдать Сессию?
  • Сколько стоит Экзамен в твоем вузе?
  • У тебя вымогали Взятку?
  • Кто лучший педагог в твоем вузе, в Украине?

Ты сказал СПАСИБО своему Учителю?!

Ты ЗНАЕШЬ ответы? Тогда НАПИШИ свою АНОНИМКУ!

Черный PR

Все более популярным средством борьбы с конкурентами или просто личными врагами становится черный PR. Такой неблагородный метод компрометации неоднократно применялся спамерами в начале года.

На протяжении нескольких недель атаке подвергался некий российский форум. Спамовые письма, разосланные якобы администрацией ресурса, носили агрессивный характер, часто в них использовалась нецензурная лексика и угрозы забанивания за спам. Несколько таких рассылок уже проходило во второй половине июня, но в июле прошла еще более агрессивная атака. Сложно сказать, какую цель преследуют злоумышленники: добиваются ли они закрытия сайта или просто хотят, чтобы количество постоянных посетителей форума резко уменьшилось.

Здравствуйте! Ты какашка?

Во-первых сайт {site} снова заработал. Теперь вам нужно регулярно посещать наш сайт и убедиться, что все работает. Во-вторых все ваши сообщения на форуме не потерялись, мы приняли все усилия для восстановления форума, поэтому активно участвовать на форуме тоже надо.

Ждите от нас новых рассылок. Скоро мы вам расскажем, что вам нужно делать на форуме и научим как надо себя вести на нашем форуме. Ну а если вы уже знаете что надо делать, то вам нужно пригласить своих друзей на дружественный форум {site}? Чем больше друзей вы приведете, тем легче вам будет!

Прежде, чем приходить на форум, ознакомьтесь с правилами: {site} а потом регистрируйтесь:{site}

Будете жаловаться на форуме на спам — жалобы удалим, а вас забаним! Если вы не понимаете о чем идет речь, то заведите себе новый email ящик.

Желаем вам удачного дня,

команда

Еще одним проявлением черного пиара стала рассылка, предлагавшая пластид и гексоген. Ссылки, которые были даны для получения информации, вели на безобидные сайты разной направленности. А само содержание писем подразумевало не слишком добрую шутку. Помимо компрометации указанных сайтов спамеры ссылались на то, что эта реклама якобы была одобрена ФСБ России.

Prodaza plastida i geksogena

Gruppirovka professional’nyh karderov predostavljaet sledujuwij spektr uslug:
— Prodazha oruzhija so skladov v Moskve i SPb, dostavka po regionam
— Prodazha vzryvchatki, vsegda v nalichii ljuboj ob’em plastida i
geksogena, ostal’noe po dogovorennosti
— Poddel’nye dokumenty ljubyh stran mira
— Kreditnye karty na chuzhie imena
— Uslugi killerov
— Detskoe porno optovym pokupateljam v podarok
— Takzhe rassmatrivajutsja drugie uslugi

Preduprezhdaem agressivno nastroennyh chitatelej nashej reklamy, ne sleduet zhalovat’sja na nas v razlichnye organizacii — my Vas najdem bystree i budem zhestoko muchit’. 🙂

Reklama odobrena FSB Rosiii

Nashi resursy:

Спамерские методы и трюки. «Японский сканворд»

В июле спамеры изобрели новый прием обхода спам-фильтров. И ранее спамеры использовали различные приемы для зашумления рекламного текста — отрывки из классики мировой литературы, объявления, написанные вручную, – а теперь в ход пошли и «японские сканворды».

Добрый день!

Безлимитка MTC для Мосkвы и области

Не отдавайте федеральный номер :абонент. плата 3170 рyблей с НДС : подключение 200 0 рублей !
прямой номер — абон. плата 375 5 рублей с НДС, подключение 4000 рублей .

СПЕШИТЕ! УНИКАЛЬНОЕ ПРЕДЛОЖЕНИЕ!

Золотые номера со скидкой 50 %

Наберите номер чтобы убедится


Текст письма преподносится в привычном виде, а контактная информация тщательно маскируется. В данном случае для того, чтобы спам-фильтры не могли блокировать письма, содержащие конкретный номер телефона, спамеры прибегли к методу японского сканворда. Была создана таблица с большим количеством ячеек. Закрашенные ячейки внутри таблицы складываются в изображение цифр телефонного номера.

Заключение

Прогнозы о сезонном уменьшении доли спама в почтовом трафике полностью оправдали себя.

Тематический состав спама в течение лета остается почти неизменным. Однако возрастающая популярность социальных сетей позволяет прогнозировать увеличение количества незапрошенных рассылок, так или иначе связанных с этими ресурсами. В настоящее время спам, который затрагивает подобные сайты, носит криминальный характер. Большую часть его составляют письма со ссылками на вредоносные программы или на зараженные страницы.

Но и спам, не имеющий отношения к социальным сетям, все чаще носит криминальный характер. Черный PR, компрометирующий ресурсы различной направленности, ссылки на вредоносные программы или на зараженные сайты, реклама поддельных и контрафактных товаров, предложения услуг криминального характера или ПО для хакерской и спамерской деятельности – все это содержится в спамовых письмах. И это заставляет говорить о продолжающейся криминализации спама.

Спам в июле 2008 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике