Отчеты по спаму и фишингу

Спам в июле 2014

Особенности месяца

В июльском спам-траффике Рунета нам встречались предложения приобрести косметические товары и услуги, а также различные товары для защиты от жары и солнца. Кроме того, активно рассылался спам юридической тематики с предложением различных адвокатских услуг, в том числе по ликвидации фирм.

Юридический спам

В июле спам с предложениями юридических услуг рассылался не только пользователям, но и на адреса различных организаций, предоставляющих услуги в других, неюридических сферах. Рекламные письма были отправлены с электронных адресов, зарегистрированных на бесплатных почтовых сервисах и с украинских доменов. Потенциальным клиентам юридические компании предлагали широкий спектр услуг по минимальным ценам.  Также новых клиентов заманивали гарантиями удачного исхода судебных дел, работой по договору, большим опытом работы в юриспруденции и общения с судами и приставами. Некоторые компании даже предлагали специальные тарифы, исчисляющиеся в часах работы юристов. В качестве контактных данных в основном указывались городские телефоны.

July-2014_Spam-report_ru_1

Кроме того, в Рунете рассылались предложения по ликвидации фирм, ООО и других организаций, в том числе с долгами на территории России и Украины. Получателю предлагали несколько видов ликвидации на выбор, а некоторые компании обещали рекордные сроки выполнения. Для обратной связи указывались не только городские телефоны, но и специальные телефонные номера, звонок на которые оплачивается вызываемым абонентом.

July-2014_Spam-report_ru_2

Отдохни с коллегами на природе

Проведение корпоративных мероприятий и тимбилдингов в российских компаниях уже стало традицией. Особенно это актуально для крупных компаний с большим штатом, так как именно совместные праздники и отдых являются одним из способов познакомить и сплотить сотрудников из разных отделов. В течение года мы периодически встречаем в спам-трафике предложения по организации и проведению таких мероприятий, в основном посвященных государственным праздникам и дню рождения компании.

В июле спамеры не стали рекламировать традиционные мероприятия в помещении, а привлекали потенциальных клиентов различными предложениями отдыха на природе с водными развлечениями. Спам-сообщения рассылались с бесплатных сервисов электронной почты и с украинских доменов. В письмах содержались красочные фотографии, рекламный текст с указанием контактных данных, а также ссылки на сайт с подробной информацией.

July-2014_Spam-report_ru_3

Красота спасет спам

Среди крупных рассылок, зафиксированных нами в июле, можно выделить спам с предложением приобрести различную косметическую продукцию для женщин по уходу за кожей тела и лица, а также акционные предложения салонов красоты и эстетических центров.

В Рунете спамеры делали основной упор на средства по омоложению, наделяя их чуть ли не чудодейственными свойствами и преподнося как «эликсир молодости». Для большей убедительности и привлечения внимания в оформлении писем часто встречались отредактированные женские фотографии якобы демонстрирующие разницу во внешности до и после использования рекламируемого товара.

Нередко в рассылках предлагалось приобрести средства для увеличения губ и бюста. Ссылки из таких писем вели на свежие рекламные сайты с подробным описанием предлагаемого товара, диском с видео-инструкцией по его применению и формой заказа. При этом рядом с формой заказа часто располагался счетчик, демонстрирующий посетителю время, которое якобы осталось до конца акции, и ведущий его отчет. Акция предполагала скидку при покупке средства одновременно с видео-инструкцией при условии немедленного оформления заказа.

July-2014_Spam-report_ru_4

Также в спам-потоках Рунета активно рекламировалась натуральная косметика из Австралии – меняющиеся от письма к письму короткие ссылки  редиректили на официальный сайт крупного онлайн-магазина, где при желании и можно было оформить покупку.

Встречались нам и видео-уроки, которые позиционировались как секреты красоты от известного стилиста, и реклама центра красоты, продвигавшего методику «бьютификации лица». Еще один салон привлекал клиентов скидкой на лазерную эпиляцию, которую можно было получить в определенные «счастливые часы». В образцах писем из двух последних примеров присутствовали контакты салонов, по которым можно было обратиться за подробной информацией.

July-2014_Spam-report_ru_5

Охлаждающий спам

Лето и неотступающая жара способствовали увеличению количества предложений сопутствующих товаров: в спам-трафике развернулась активная реклама солнцезащитных пленок для окон, вентиляторов, кондиционеров, а также услуг по их ремонту и обслуживанию. Часто встречались сообщения с продажей кулеров для воды и отдельно бутилированной воды. Прохладную живительную влагу обещали доставлять заказчикам прямо на дом или в офис по специальным летним ценам и с дополнительными подарками, например, в виде корзины фруктов, в течение всего оставшегося летнего периода. Сделать заказ можно было, позвонив по указанным в письмах телефонным номерам.

July-2014_Spam-report_ru_6

Среди летних товаров также особой популярностью у спамеров пользовались солнечные очки. Это были в основном копии известных и популярных фирм, продававшиеся с огромной разницей в цене по сравнению с оригиналом. Нередко в таких письмах использовался графический логотип оригинальной фирмы, а кроме того присутствовали значки различных социальных сетей, в которых данная фирма официально представлена. Однако эти значки были выполнены в виде графических иконок и, на деле, не привязаны ни к каким сайтам. Все это было сделано лишь для придания спам-сообщениям более официального вида. Кликнув по ссылке из писем, пользователь после череды редиректов попадал на один из недавно созданных интернет-магазинов солнечных очков. В названиях сайтов часто присутствовали слова glasses или sunglasses. Иногда среди череды букв и цифр, из которых состоял адрес сайта, можно было визуально выделить искаженное название марки очков.

July-2014_Spam-report_ru_7

Статистика

Доля спама в почтовом трафике

В среднем доля спама в почтовом трафике в июле составила 67%, что на 2,2% больше по сравнению с результатами предыдущего месяца. Наибольший процент спама наблюдался на второй неделе месяца (67,6%), наименьший – на первой (66%).

July-2014_Spam-report_ru_8

Доля спама в почтовом трафике

Географическое распределение источников спама

По итогам июля список стран — источников спама, распространяемого по всему миру, выглядит следующим образом.

July-2014_Spam-report_ru_9

Страны – источники спама в мире

Первое место принадлежит США, на долю которых пришлось 15,3% разосланного спама, что на 2,2% больше показателя прошлого месяца. Далее следуют Россия: доля спама, разосланного из этой страны, составила 5,6% (это на 1,4% меньше, чем в июне). Замыкает тройку Китай, откуда было разослано 5,3% мирового спама — на 0,3% меньше по сравнению с прошлым месяцем.

На 4-й позиции расположилась Аргентина (4,2%), её показатель за месяц практически не изменился, но в рейтинге страна переместилась на строчку выше. На 5-й позиции находится Украина (4,1%), чей показатель за месяц увеличился на 0,9%.

Сокращение доли разосланного спама на 1,8% наблюдалось во Вьетнаме (3,5%). За счет чего страна опустилась с 4-го на 8-е место.

Замыкает первую десятку Франция с показателем 2,63%, потеснив с этой позиции Индию (2,59%), которая переместилась на 11-ю строчку.

Вредоносные вложения в почте

В июле TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом.

July-2014_Spam-report_ru_10

TOP 10 вредоносных программ, распространяемых по электронной почте

На это раз рейтинг возглавил Trojan.Win32.Yakes.fize, который представляет собой троянца-загрузчика типа Dofoil. Зловред закачивает вредоносный файл на компьютер пользователя, запускает его, крадёт разнообразную пользовательскую информацию (в первую очередь пароли) и отправляет её  злоумышленникам.

На второй позиции разместился хорошо нам знакомый Trojan-Spy.HTML.Fraud.gen, который на протяжении многих месяцев удерживал лидирующую позицию среди самых распространённых в почтовом трафике зловредов. Напомним, что Trojan-Spy.HTML.Fraud.gen  представляет собой поддельную HTML-страницу и рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и т.д.

На третьем месте в июле расположился Trojan.JS.Redirector.adf — HTML-страница, содержащая код для перенаправления пользователя на сайт злоумышленника. На сайте пользователю обычно предлагают загрузить Binbot — сервис автоматической торговли бинарными опционами, которые сейчас так популярны в Сети. Распространяется зловред через почтовые вложения.

Далее следует зловред Backdoor.Win32.Androm.enji — разновидность универсального модульного бота Andromeda (он же Gamarue), на основе которого можно построить ботнет с самыми разнообразными возможностями. Функционал бота расширяется с помощью системы плагинов, которые подгружаются злоумышленниками в нужном количестве в любое время.

Пятую строчку занимает Trojan-Banker.Win32.ChePro.ink. Этот даунлоадер выполнен в виде CPL-апплета (компонент панели управления) и занимается загрузкой троянцев, предназначенных для кражи конфиденциальной финансовой информации. В основном зловреды этого типа нацелены на бразильские и португальские банки.

На восьмой строчке разместился Trojan-Ransom.Win32.Cryptodef.ny — зловред, способный зашифровывать файлы на компьютере пользователя, а затем заблокировать экран и вывести сообщение о платном восстановлении файлов.

Десятую строчку занял Trojan.Win32.Bublik.cran. Зловред Bublik относится к самым обычным троянцам-загрузчикам, которые закачивают вредоносный файл на компьютер пользователя и запускают его.

July-2014_Spam-report_ru_11

Распределение срабатываний почтового антивируса по странам

Тройка лидеров в июле осталась без изменений: Германия (11,7%, что на 4,71% меньше по сравнению с июнем), США (9,82%, +0,28%), Великобритания (6,9%, +0,10%).

Индия (5,16%) опередила Бразилию (3,94%) и вышла на четвёртую позицию, ее доля выросла на 0,54%. На пятой позиции расположилась Италия (+1,2%), за месяц страна переместилась на два пункта вверх. Россия (3,40%) прибавила 1,37% и поднялась с 13-ой на 8-ю строчку рейтинга. Можно также отметить снижение доли срабатывания почтового антивируса на территории ОАЭ: страна потеряла шесть позиций и 1,09%. В июле в 20-ку вошла и Польша – 19-е место и 1,42% от всех срабатываний почтового антивируса. Показатели других стран существенных изменений в июле не претерпели.

Особенности вредоносного спама

В июле мы наблюдали увеличение количества поддельных уведомлений на португальском языке от имени популярного мессенджера для смартфонов WhatsApp.

В одном случае это были предупреждения о нарушении условий использования приложения и возможных последствиях в виде блокировки аккаунта. Согласно тексту сообщений, нарушения были заявлены пользователями, получившими от имени владельца данного аккаунта контент запрещенного содержания (фото или видео). Авторы писем уведомляли в связи с участившимися случаями подобного вида нарушений о своем праве временно заблокировать аккаунт пользователя-нарушителя (от 5 до 90 дней) до тех пор, пока не будет определен международный идентификационный номер устройства, с которого отправлялся незаконный контент. В конце письма пользователю предлагалось просмотреть условия использования приложения, нажав соответствующую кнопку. По данной ссылке происходила загрузка на компьютер пользователя Trojan-Downloader.Win32.Genome.a — даунлоадера, выполненного в виде .cpl апплета (компонент панели управления). Далее зловред скачивал по заданной злоумышленниками ссылке троянца-банкера — одну из разновидностей Trojan-Banker.Win32.ChePro. Кроме того, банкер мог загрузить в пользовательскую систему вирус Virus.Win32.Hidrag.a, поражающий исполняемые файлы.

July-2014_Spam-report_ru_12

В другом случае поддельные сообщения уведомляли получателя о том, что после долгих месяцев работы, наконец, был создан WhatsApp для ПК, и теперь получатель письма может общаться с друзьями в режиме реального времени с помощью персонального компьютера. Для большей интриги в сообщении также упоминалось, что уже 11 пользователей отправили этому получателю заявки на добавление в список друзей. Чтобы узнать, кто именно, нужно было скачать новейшую версию мессенджера для ПК по предложенной ссылке. Стоит отметить, что подобные сообщения в различных вариантах мы фиксируем с начала 2014 года.

Как и в предыдущих случаях, вместо желанной программы пользователь получал ZIP-архив, в котором находился зловред, на этот раз это был дроппер Trojan-Dropper.Win32.Dapato.egel. Его задачей является соединение с удалённым бразильским хостом для последующего скачивания и запуска троянца-банкера, предназначенного для кражи финансовых данных пользователя. Также дроппер копирует себя в С:\Documents and Settings\Administrator\Local Settings\Application Data\ под именем BaRbEcuE.exe, там же создаёт файл своего присутствия с именем windataup.inf, в который записывает текущую дату, и, наконец, прописывает себя в автозагрузку.

Фишинг

По итогам июля на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 20 157 877 срабатываний системы «Антифишинг».

Тенденция прошлого квартала сохранилась: чаще всего фишеры атаковали пользователей в Бразилии, хотя бы раз в течение июля система «Антифишинг» сработала на компьютерах 18,17% бразильских пользователей. Активность мошенников в Бразилии, вероятно, связана с Чемпионатом мира по футболу, который проводился в этой стране и закончился в июле.

TOP 10 стран по проценту атакованных пользователей:

  Страна % пользователей
1 Бразилия 18,17
2 Индия 12,99
3 Австралия 11,10
4 Франция 10,73
5 Казахстан 10,62
6 Великобритания 10,15
7 ОАЭ 10,14
8 Доминиканская Республика 10,11
9 Канада 9,61
10 Украина 9,53

Организации – мишени атак

Статистика по мишеням атак фишеров основана на срабатываниях эвристического компонента системы «Антифишинг». Эвристический компонент системы «Антифишинг» срабатывает, когда пользователь переходит по ссылке на фишинговую страницу, а информация об этой странице еще отсутствует в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе.

В предыдущих отчетах для анализа мишеней фишинговых атак мы использовали выборку TOP 100 атакованных организаций. В этом месяце мы анализируем статистику по всем атакованным организациям.

По итогам июля рейтинг атакованных фишерами организаций продолжают возглавлять почтово-поисковые порталы (29,49%), хотя их показатель уменьшился на 2,67%. Уменьшилась на 3,2% доля фишинговых атак на социальные сети (14,61%).

July-2014_Spam-report_ru_14

Распределение организаций, атакованных фишерами, по категориям, июль 2014 г.

Для сравнения приводим аналогичные данные за предыдущий месяц:

July-2014_Spam-report_ru_15

Распределение организаций, атакованных фишерами, по категориям, июнь 2014 г.

На финансовый фишинг в целом пришлось  41,85% срабатываний эвристического компонента системы «Антифишинг», что на 7,86% больше, чем в прошлом месяце. Увеличилась доля срабатываний  по категориям «Банки» (+2,25%), «Онлайн-магазины»(+2,64%) и «Платежные системы»(+2,97%). Среди платежных систем наиболее заметный рост продемонстрировала PayPal (3,24% от общего количества детектов) – в июле показатель этой системы вырос на 2,27%.

С интересным примером фишинга от имени PayPal мы столкнулись в конце этого месяца. В мошеннических письмах пользователю сообщали о входящем платеже от пользователя Craiglist (скорее всего, это написанное с ошибкой название сайта электронных объявлений Craigslist), но деньги не могут быть переведены пользователю из-за ошибок в учетной записи PayPal.

July-2014_Spam-report_ru_16

Письмо пришло с адреса, не принадлежащего PayPal, а также обезличено, что является характерным признаком фишингового письма.

Для исправления проблемы пользователю предлагали незамедлительно скачать прикрепленную к письму форму, открыть и заполнить ее.

July-2014_Spam-report_ru_17

Для изготовления формы были использованы элементы оформления сайтов PayPal

С помощью фишинговой формы злоумышленники запрашивают такую конфиденциальная информация, как адрес электронной почты и пароль от него, полное имя, дата рождения, девичья фамилия матери, адрес, номер кредитной карты, срок ее действия и CVV, а также  пароль от службы Verified by Visa или MasterCard SecureCode. Такое количество персональной финансовой информации предоставит мошенникам множество возможностей похитить у пользователя его электронные сбережения.

July-2014_Spam-report_ru_18

Если посмотреть HTML-код страницы, можно увидеть, что все введенные данные в форме будут отправлены на страницу, не имеющую никакого отношения к PayPal.

TOP 3 атакуемых организаций

  Организация % срабатываний
1 Google Inc 11,64%
2 Facebook 9,64%
3 Windows Live 6,28%

В июле 2014 года первое место заняли  фишинговые ссылки на поддельные страницы сервисов Google, на их долю пришлось 11,64% всех детектов эвристического компонента «Антифишинг».

Заметно вырос за последний месяц фишинг на Windows Live, глобальный портал сервисов Microsoft (в том числе Outlook). Привлекательность этого ресурса для мошенников во многом обусловлена популярностью сервисов MS и тем, что доступ  к ним осуществляется с помощью одного аккаунта. Фишинговые странички обычно оформлены как вход в почту Outlook (на данный момент также оформлена страница входа на live.com).

July-2014_Spam-report_ru_19

Пример фишинговой страницы, имитирующей вход в сервис Outlook.

Однако интересным моментом является то, что многие свежие фишинговые страницы используют оформление Hotmail, несмотря на то, что Outlook пришел ему на смену еще в начале 2012 года. Однако наличие таких фишинговых страниц и срабатываний на них говорит о том, что пользователей это, почему-то, не смущает.

July-2014_Spam-report_ru_20

Пример фишинга на live.com, использующего в оформлении стиль Hotmail

Заключение

Доля спама в мировом почтовом трафике в июле увеличилась на 2,2% и составила 67%.  В спам-траффике Рунета нам встречались предложения приобрести косметические товары и услуги; активно рассылался спам юридической тематики с предложением различных адвокатских услуг, в том числе по ликвидации фирм.

Среди стран-источников спама, распространяемого по всему миру, лидерами в июле стали: США (15,3%), Россия (5,6%) и Китай (5,3%).

По итогам июля на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 20 157 877 срабатываний системы «Антифишинг», из них 18,2% атак пришлось на пользователей в Бразилии. Рейтинг организаций, атакованных фишерами, возглавили почтово-поисковые порталы (29,5%). Показатель финансового фишинга в целом увеличился на 7,9% и составил 41,8%.

Рейтинг вредоносных вложений в июле возглавил троянец-загрузчик Trojan.Win32.Yakes.fize. По количеству срабатываний почтового антивируса по итогам июля на первом месте по-прежнему Германия (11,7%).

Значительная часть вредоносных вложений была замаскирована под фальшивые уведомления от имени популярного мессенджера для смартфонов WhatsApp, рассылавшихся на португальском языке и нацеленных на кражу финансовых данных клиентов бразильских и португальских банков.

Спам в июле 2014

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике