Отчеты по спаму и фишингу

Спам в июле 2011 года

Июль в цифрах

  • Доля спама в почтовом трафике по сравнению с июнем уменьшилась на 2,4% и составила в среднем 80,9%.
  • Доля фишинговых писем в общем почтовом потоке по сравнению с июнем не изменилась и составила 0,02%.
  • В июле вредоносные файлы содержались в 4,7% всех электронных сообщений, что на 0,9% больше, чем в прошлом месяце.

Тема месяца

Страны — источники спама. Новые плацдармы

Со времени отключения ботнетов Pushdo/Cutwail и Bredolab прошел уже почти год. Без малого шесть месяцев назад был отключен и печально известный Rustock. С тех пор в географии источников спамерских рассылок произошло немало изменений. В частности, США, долгое время бывшие лидером по рассылке спама, с сентября 2010 года начали терять свои позиции: уже несколько месяцев они не входят в ТОР 10 стран — источников спама, лишь иногда оказываясь в нижних строках первой двадцатки.

На место Соединенных Штатов и некоторых европейских государств пришли страны Азии и Латинской Америки. В июльском рейтинге стран — источников спама 8 стран из ТОР 10 относятся именно к этим регионам. Именно здесь злоумышленники выстроили новые плацдармы для рассылки спама.


Страны — источники спама в июле 2011 г.

Динамика интенсивности рассылки спама. Общий план

Интересная особенность июльского рейтинга стран — источников спама заключается в том, что почти половина (48,65%) всех спамерских сообщений разослана из стран, занимающих первые пять строк строки рейтинга. Это заставило нас внимательнее присмотреться к пятерке лидеров, в состав которой входят Индия (14,31%), Индонезия (11,14%), Бразилия (9,39%), Перу (8,97%) и Украина (4,83%).

Анализ динамики спам-рассылок из этих стран за последние два месяца показал, что по сравнению с июнем из Индии и Бразилии было разослано меньше спама на 2,03% и 1,83% соответственно. У другой пары стран — Индонезии (+ 4,82%) и Перу (+4,59%) — тоже похожие показатели. Нас заинтересовали эти пары: похожие цифры могут отражать географию спамерских ботнетов и особнности управления ими.

Мы проанализировали данные 11 стран (десятка лидеров плюс Россия, занявшая 11-е место, а до этого долгое время входившая в десятку) за период с апреля по июль.


Изменение доли мусорных рассылок, распространенных с территории
ТОР 11 стран — источников спама за период с апреля 2011 по июль 2011

В результате анализа динамики рассылок было установлено, что спам распространяется синхронно из нескольких групп стран.

Самая заметная из этих групп — это пара Индия и Бразилия. Процент спама, распространяемого из обеих стран незначительно снизился в мае, затем заметно вырос в июне и снова пошел на убыль в июле.

Развитие рассылок из Индонезии и Перу также происходит синхронно: с мая они показывают непрерывный рост — незначительный в мае, более заметный в июне и в июле.

Также была выявлена схожая динамика показателей Украины, Тайваня и Таиланда: объем рассылок из этих стран растет начиная с мая. Эти страны в более сглаженном виде повторяют динамику интенсивности рассылок из Индонезии и Перу.

Похожи друг на друга и кривые рассылки спама из Кореи, Италии, Вьетнама и России: количество мусорной почты из этих стран уменьшается начиная с мая.

Заметим, что синхронная рассылка спама из стран, расположенных на разных континентах, не означает, что компьютеры в этих странах объединены в один крупный ботнет. Так синхронно работать могут и несколько небольших зомби-сетей, получающих команды на рассылку от одних и тех же людей.

Динамика интенсивности рассылок спама. Детальный анализ

Индия и Бразилия

Анализ спам-трафика по неделям подтвердил, что интенсивность рассылок спама из Индии и Бразилии характеризуется очень схожей динамикой:


Изменение доли спама, отправленного с территории Индии
и Бразилии за период с 13 июня по 31 июля

Небольшие различия в графиках обусловлены в первую очередь тем, что помимо зомби-компьютеров, предположительно управляемых из одного общего центра, в каждой стране есть свои «локальные» ботнеты, которые получают команду рассылать спам в другое время. Кроме того, размеры ботсетей постоянно меняются: в них включаются новые машины, старые, наоборот, выходят из состава ботнетов (например, в случае если пользователь установил антивирусную программу и вылечил компьютер).

Индонезия, Перу, Украина и Таиланд

Анализ тройки Украина — Таиланд — Тайвань быстро выявил «третьего-лишнего»:


Изменение доли спама, отправленного с территории Украины, Таиланда и
Тайваня за период с 13 июня по 31 июля

Как видно на графике, спам-рассылки с Украины и из Таиланда становятся интенсивнее или, наоборот, идут на спад почти синхронно. Отличия объясняются теми же причинами, что и для Бразилии и Индии. А вот Тайвань выбивается из общей картины.

В то же время при таком детальном анализе более очевидной становится синхронность рассылки спама с Украины, из Таиланда, Индонезии и Перу:


Изменение доли спама, отправленного с территории Индонезии, Перу,
Украины и Таиланда за период с 30 мая по 31 июля

Таким образом,во вторую группу спамерской ботнет-активности на сегодняшний день, помимо Индонезии и Перу, попадают Украина и Таиланд.

Динамика интенсивности вредоносных рассылок

Как известно, активизации рассылок с территории той или иной страны обычно предшествует построение там ботсети, которое можно отследить по увеличению доли вредоносных рассылок, фиксируемых почтовым антивирусом. Логично предположить, что в случае построения ботсетей одними и теми же людьми в двух отдельно взятых странах вредоносные рассылки в эти страны будут отправляться в одно и то же время.

Количество срабатываний нашего почтового антивируса в стране зависит от количества наших пользователей и от того, насколько в ней популярны почтовые клиенты. К тому же в этой статистике учитываются не только рассылки, содержащие спам-боты, но и рассылки других, не менее популярных у злоумышленников, вредоносных программ. Всё это надо иметь в виду при сравнении динамики срабатываний почтовых антивирусов в разных странах.

В паре Бразилия — Индия «локальные» рассылки видны на графике, но корреляция потоков тем не менее отчетливо прослеживается:


Изменение доли спама, отправленного из Индии и
Бразилии с апреля по июль 2011 включительно

То же можно сказать и о группе Индонезия, Перу, Украина и Таиланд. Нельзя, однако, не отметить, что в конце апреля — начале мая 2011, а также в конце июня 2011 изменение количества срабатываний почтового антивируса в Таиланде, Индонезии и на Украине идет практически параллельно.


Изменения доли спама, отправленных с Украины, из Индонезии, Перу,
и Таиланда с апреля по июль 2011 включительно

Выводы

Получается довольно неутешительная картина: более 60% всего мирового спама распространяется из 10 стран, где на протяжении последнего года злоумышленники выстраивали новые ботнеты взамен отключенных в США и Западной Европе.

Среди групп стран, откуда синхронно распространяется спам, наиболее заметны Индия — Бразилия (с территории которых в июле была распространена почти четверть всего мирового спама) и Индонезия — Перу — Украина — Таиланд. Кроме того, последние три недели июля все более заметно прослеживалась параллель между рассылками спама с территорий России, Италии, Южной Кореи и Вьетнама. Пока рано делать какие-либо выводы относительно этой группы стран, но мы продолжим наблюдение за ними. Вероятно, в ближайшее время спам-трафик из этих стран также будет меняться синхронно.

Такие корреляции говорят о том, что после череды серьезных ударов по ботсетям злоумышленники распределяют свои мощности по разным странам (и даже континентам), чтобы в случае потери зараженных машин в одной из них оставить себе путь к отступлению в другой. Во всех упомянутых странах законодательство, регулирующее деятельность в интернете, пока еще мало развито, что позволяет злоумышленникам чувствовать себя в относительной безопасности. Кроме того, киберпреступники, стоящие за этими спам-потоками, могут находиться в любой стране мира и управлять ими оттуда.

Обзор главных событий месяца

Выражение протеста

В нашем обзоре «Развитие информационных угроз во втором квартале 2011 года» мы писали о том, что атаки хакеров последнее время бывают вызваны не стремлением к наживе, а желанием выразить протест против действий государственных органов или крупных корпораций. То же можно сказать и о спамерских рассылках.

Разумеется, и хакерские атаки, выражающие протест их авторов, и спамерские рассылки, затрагивающие различные темы, связанные с политикой, появились уже давно. Каждым выборам предшествуют агитационные рассылки, призывающие голосовать или не голосовать за того или иного кандидата/партию. Любое крупное социальное явление также сопровождается волной спама, — достаточно вспомнить описанные нами в мартовском отчете по спам-активности рассылки, посвященные РосПилу или войне в Ливии.

О том, что имя американского президента Барака Обамы то и дело встречается в разнообразных спамерских рассылках, мы писали почти два года назад. В то время спамеры использовали имя Обамы как приманку, описывая всевозможные «сенсационные» события с его участием, а дальше уже предлагалиськакие-либо услуги или товары. Это говорит о том, что президент в то время был интересен пользователям прежде всего как человек, и упоминание его имени в рекламе повышало заинтересованность потенциальных клиентов. Встречались в спаме и сообщения, содержавшие одобрение различных действий президента.

Спустя два года картина в «Обама»-спаме кардинально изменилась. Американский президент остался в фокусе внимания спамеров, однако теперь клиентов не заманивают ни его добрым именем, ни приевшимися «сенсациями». Не встречаются в спаме и сообщения, поддерживающие политику Обамы. Вместо этого наблюдается множество сообщений, в которых критикуется политика президента, предлагается пожертвовать деньги на то, чтобы сместить его с должности, и содержатся обвинения в тирании. Все эти сообщения стали результатом трудностей, переживаемых в настоящее время американской экономикой.

Таким образом, спам отражает не только сезонные колебания спроса (реклама кондиционеров летом) или состояние рынка рекламы (рост саморекламы спамеров во время кризиса из-за недостатка клиентов), но и общественные настроения.

В ближайшие месяцы количество спам-сообщений, содержащих политический контекст, будет расти не только в Америке, где до выборов президента остается чуть больше года, но и в России, которую на стыке 2011 и 2012 годов ждут сразу две предвыборные компании и следующие за ними выборы в Госдуму и выборы президента.

Уже сейчас в русскоязычном спаме встречается множество политически окрашенных сообщений. Среди них есть и сообщения, в которых содержится предложение поучаствовать в пробных выборах в Российскую государственную думу (в интернете) или посетить сайты информационных проектов, публикующих «всю правду» о событиях в России.

В спаме нашли свое отражение и события в Беларуси.


Политика в спамовых письмах

Хотелось бы, чтобы пользователи, получающие такие сообщения, помнили о том, что спам никак не может считаться источником достоверной информации. Более того, громкий политический заголовок спамерского письма часто служит лишь приманкой, а в самом сообщении, вместо заинтересовавшей пользователя информации, может содержаться вредоносный код.

Google-спам и Google-фишинг

В июле компания Google вошла в десятку наиболее часто атакованных фишерами организаций. В общей сложности на долю социальной сети Orkut и остальных сервисов Google (включая Google+) пришлось 5,1% всех фишинговых атак июля.

Однако вопреки нашим ожиданиям, фишинговые атаки через спам не были направлены напрямую на сервис Google+. В прошедшем месяце самой крупной фишинговой атакой через спам на сервисы Google была атака на Google AdWords. Пользователи получали письма, сообщающие о том, что рекламная кампания, запущенная пользователем через соответствующий сервис, закончилась и для того чтобы ее возобновить, пользователь должен пройти по ссылке.


Спамовое письмо, замаскированное под уведомление от сервиса Google AdWords

Все сервисы Google, включая Google Adwords, связаны между собой, и, получив логин и пароль от одного сервиса, злоумышленники получают регистрационные данные и от всех остальных, включая Gmail, Google Docs и Google+.

При этом если к письмам, в которых предлагается ввести логин и пароль от аккаунтов Gmail, Google+ или Google Docs люди относятся с подозрением, поскольку именно в этих службах хранятся наиболее ценные для них личные данные, то сообщение от Google Adwords не выглядит для пользователя столь подозрительным. В то же время, даже пользователь, не размещавший рекламу при помощи GoogleAdwords, может ввести свой логин и пароль в предложенной фишерами форме, чтобы убедиться, что письмо пришло к нему по ошибке и ему не придется оплачивать услуги Google, которыми он не пользовался.

Кроме фишинговых писем, в июле от имени Google рассылались и сообщения с вредоносными вложениями. Прием, использованный в одной из таких рассылок, был относительно новым: сообщение представляло собой поддельное уведомлением о том, что компанией Google получено резюме пользователя, которое в данный момент находится в обработке. Предлагалось просмотреть этот документ, вложенный в письмо в виде zip-архива.


Спамовое письмо, замаскированное под уведомление от Google

Мошенники, конечно, понимали, что далеко не все получатели их рассылки отправляли свои резюме в Google. Расчет был скорее на любопытство: какого рода резюме люди отправляют в такие крупные компании, кто его отправил и т.д.

В архиве обнаруживался исполняемый файл document.chm.exe, детектируемый нами как Trojan-Dropper.Win32.Typic.bcu. Эта программа представляет собой вредоносный установщик. Внутри нее — червь, рассылающий сам себя по всем обнаруженным на зараженном компьютере электронным адресам в поддельных уведомлениях не только от Google, но и от Twitter, Hallmark и hi5. Червь, установившись на компьютер, обращался к серверу **********.com, откуда мог загружать другие вредоносные программы. В момент обнаружения нами этого сообщения сервер не отвечал на запросы, однако это не означает, что червь безобиден. Широко известно, что зачастую вредоносные URL работают в случайные короткие промежутки времени, для того чтобы «не светиться» на радарах антивирусных компаний.

Статистический обзор

Вредоносные вложения в почте

В июле вредоносные файлы содержались в 4,7% всех электронных сообщений, что на 0,9% больше, чем в прошлом месяце.

Россия осталась лидером по количеству срабатываний почтового антивируса. Показатель этой страны в июле составил 14,06%, что лишь на 0,1% меньше соответствующего показателя июня.

А вот показатель США, прошлые два месяца находившихся на второй строчке нашего рейтинга, снизился на 3% и составил в июле 7,5% всех срабатываний почтового антивируса. Таким образом, США переместились со второй строчки на четвертую.


Распределение срабатываний почтового антивируса по странам в июле 2011 г.

Значительно увеличилась доля срабатываний почтового антивируса в Германии (+4,14%) и Индии (+3,27%). В результате эти страны заняли второе и третье место соответственно.

На территории Вьетнама доля срабатываний почтового антивируса уменьшилась (-2,82%), что привело к перемещению этой страны с третьей строчки рейтинга на шестую.

Верхняя половина рейтинга наиболее часто детектируемых в почте вредоносных программ в июле состоит из хорошо знакомых нам зловредов:


ТОP 10 вредоносных программ, распространенных в почте в июле 2011 г.

Четверка лидеров по сравнению с июнем изменилась мало — лишь место Trojan.HTML.Fraud.fc, нацеленного на кражу финансовой информации пользователей, занял древний почтовый червь Email-Worm.Win32.NetSky.q.

5,5% срабатываний почтового антивируса приходится на долю традиционного лидера нашего рейтинга —Trojan-Spy.HTML.Fraud.gen. Это на 2,1% меньше, чем аналогичный показатель в июне.

После перемещения Email-Worm.Win32.NetSky.q на третью строчку рейтинга в июле, места со второго по четвертое заняли исключительно почтовые черви. Как уже упоминалось, все эти зловреды уже хорошо нам знакомы — это Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.NetSky.q и Email-Worm.Win32.Bagle.gt.

Напомним, что Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

Занимающий пятую строчку червь Worm.Win32.Mabezat.b также рассылает сам себя по обнаруженным на компьютере электронным адресам, кроме того, он создает свои копии на локальных дисках и доступных сетевых ресурсах зараженного компьютера.

Фишинг

Доля фишинговых писем в общем почтовом потоке по сравнению с июнем не изменилась и составила 0,02%.


ТОР 10 организаций, атакованных фишерами*

* Рейтинг составляется на основе доли фишинговых URL, распространенных в Сети. Рейтинг не является показателем уровня безопасности упомянутых организаций, а отображает популярность различных сервисов у фишеров. Отметим, что фишеры предпочитают атаковать сервисы, наиболее популярные и авторитетные среди пользователей.

В июле TOP 6 организаций, атакованных фишерами, не изменился по сравнению с прошлым месяцем. Можно отметить лишь рост доли атак на eBay (+5,5%) и бесплатную онлайн-игру RuneScape (+1,6%). В целом, в июле онлайн-игры интересовали фишеров больше, чем в июне, и помимо роста доли атак на RuneScape наблюдалосься и некоторое увеличение доли фишинговых атак на пользователей World of Warcraft (+0,46%).

Социальные сети Habbo (-0,55%) и Facebook (+0,27%) остаются на третьем и четвертом местах нашего рейтинга соответственно, доля атак на них по сравнению с июнем почти не изменилась.

Выше мы уже говорили о том, что сервисы компании Google вошли в июле в ТОР 10 организаций, атакованных фишерами. В общей сложности на долю Google и принадлежащей ей социальной сети Orkut пришлось 5,1%, что вдвое больше доли атак на Google в прошлом месяце.

Тематические направления в спаме


Тематические категории спама в июле 2011 г.

В июле лидером среди тематических направлений в спаме снова стала рубрика «Образование», однако доля таких писем в Рунете заметно снизилась. Кроме того, в лидирующую пятерку вернулась рубрика «Медикаменты; товары/услуги для здоровья» (13,1%), а рубрика «Отдых и путешествия» покинула ТОР 5 самых популярных в Рунете тематических направлений.

Пятерка лидирующих тематических категорий в спаме:

Образование 23,9% (-35%)

Недвижимость 15,7 (+8,5%)

Медикаменты; товары/услуги для здоровья 13,1% (+9,7%)

Услуги по ремонту и благоустройству 11,3% (+6,2%)

Реклама спамерских услуг 10% (+4,1%)

Как мы и ожидали, в разгар лета в Рунете начался постепенный рост доли партнерского спама. Ярким представителем таких рассылок является спам, рекламирующий различные медикаменты. Увеличилась и доля рассылок с рекламой реплик элитных товаров (+1,5%) и доля спама «для взрослых» (+3,2%). Эти рубрики также относятся к «партнерскому» спаму. В результате в Рунете доля спама, разосланного участниками партнерских программ, в июле превысила 20%.

Эти изменения, а также заметный рост саморекламы спамеров связаны в первую очередь с сезоном летних отпусков. В это время активность заказчиков спама значительно снижается, поэтому спамеры направляют свои мощности на рассылку саморекламы, в надежде найти новых клиентов, и на партнерский спам.

Среди заказчиков спама заметную активность проявляют фирмы, предлагающие различные услуги по продаже и аренде недвижимости. Надо заметить, что в весенне-летний период реклама продажи дач или дачных участков, а также предложения об аренде офисных помещений появляется чаще, чем в другое время.

Еще одни активные пользователи спамерских услуг — это фирмы, предлагающие услуги по ремонту и благоустройству. Большую часть рассылок, относящихся к этой рубрике, составляет реклама продажи и установки кондиционеров, что также было вполне прогнозируемо.

Заключение

Изучение географии источников спама показало, что в данный момент в мире с большой вероятностью можно выделить два-три крупных блока спамерской ботнет-активности. Эти регионы захватывают страны Азии и Латинской Америки, кроме того включают в себя некоторые европейские страны — Россию, Украину и Италию. Мы не исключаем возможности, что в обозначенные нами блоки входят и другие страны, с меньшим исходящим спам-трафиком. Мы продолжим наблюдение за спам-трафиком из стран, образующих эти блоки.

В ближайшее время мы прогнозируем увеличение доли спамерских сообщений, содержащих политическую агитацию разного рода. При этом отметим, что это увеличение будет наблюдаться как в русскоязычном спаме, так и в англоязычном. Стимулами к рассылке таких сообщений служит сложная экономическая ситуация в Америке, Беларуси, некоторых других странах, а также грядущие выборы в России и США.

Как мы и прогнозировали, компания Google в июле оказалась под прицелом фишеров. Однако вопреки прогнозам фишерские атаки через почту были нацелены не на социальную сеть Google+, а на другое детище компании — Google AdWords. Поскольку учетные записи всех сервисов Google связаны между собой, атака на Google AdWords могла открыть злоумышленникам доступ ко всем сервисам Google, в том числе к Google+.

Вероятно, злоумышленники не спешат с атаками на Google+, поскольку множество потенциальных пользователей сервиса еще не вошли «в круги». К тому же, сразу после начала работы сервиса компании, занимающиеся IT-безопасностью, обращали внимание пользователей на возможное начало фишинговых рассылок, подделанных под уведомления от Google+. Сейчас злоумышленникам действительно выгоднее проводить атаки на «привычные» сервисы Google. Тем более что все аккаунты связаны между собой. Возможно, вскоре, когда новая соцсеть наберет обороты, а для пользователя она станет чем-то не менее привычным, чем Google Docs, начнутся фишинговые рассылки, подделанные под уведомления от Google+.

Спам в июле 2011 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике