Отчеты по спаму и фишингу

Спам в июне 2011 года

Июнь в цифрах

  • Доля спама в почтовом трафике по сравнению с маем увеличилась на 0,4% и составила в среднем 83,3%.
  • Доля фишинговых писем в общем почтовом потоке по сравнению с маем не изменилась и составила 0,02%.
  • В июне вредоносные файлы содержались в 3,8% всех электронных сообщений, что на 0,3% меньше, чем в прошлом месяце.

Обзор главных событий месяца

Спам и закон

Microsoft еще не закончил свою борьбу с Rustock

Последним аккордом в недавней борьбе правоохранительных органов с ботнетами была совместная операция спецслужб США и корпорации Microsoft, приведшая к закрытию ботнета Rustock.

Мы писали об этом событии как в нашем блоге, так и в отчете по спам-активности за март. Напомним, что командные центры ботнета были отключены 16 марта, в результате чего в течение нескольких следующих дней объемы спама сократились на 15%.

Однако компания Microsoft не остановилась на достигнутом. 6 июня в блоге компании появилось сообщение о том, что компания опубликовала в российских газетах «Деловой Петербург» и «Московские новости» уведомление для граждан Российской Федерации, подозреваемых в создании и управлении Rustock. В уведомлении говорится, что Microsoft «обратилась в Федеральный окружной суд Западного округа штата Вашингтон, США, с иском к неустановленным ответчикам, осуществляющим деятельность в сети Интернет под именем Cosma2k». Далее в тексте сообщается, что «Компания «Microsoft» утверждает, что используя указанные IP-адреса и домены в интернете, ответчики создали компьютерную сеть типа «ботнет», с помощью которой ими совершались неправомерные действия, выразившиеся в незаконном проникновении в компьютеры третьих лиц, нарушении интеллектуальных прав, распространении путем массовой рассылки нежелательной почты с причинением вреда компании «Microsoft» и неопределенному кругу лиц». Microsoft требует запрета предоставления доступа к указанным IP-адресам и доменам, а также блокировки ботнета. Кроме того истцы просят суд «принять иные меры надлежащего характера».

В уведомлении не указываются имена граждан, которых Microsoft подозревает в связи с Rustock. В то же время, такие имена очень легко найти на сайте noticeofpleadings.com, созданном корпорацией специально для того, чтобы публиковать там материалы по делу Rustock.

В уведомлении говорится, что в случае неявки ответчика в суд решение автоматически будет принято в пользу истца. В то же время в блоге компании указывается, что даже если ответчик не проявит себя в суде, Microsoft продолжит вести дело против организаторов ботнета, включая и возможную инициацию дела в рамках российской юридической системы.

Мы со своей стороны надеемся на успех наших коллег из Microsoft в этом нелегком деле. Оставшиеся на свободе опытные ботмастера безусловно способны создать новый крупный ботнет. Поэтому действия компании Microsoft логичны — не достаточно отключить командные центры, чтобы эффективно справиться с проблемой. Важно принять меры для того, чтобы не позволить злоумышленникам создать ботнет, который придет на смену отключенному.

Законодательство в Японии

В своих месячных отчетах мы часто сообщаем о законодательных инициативах в области спама, принимаемых в разных странах. Каждый принятый закон — значимая веха в борьбе со спамом.

В июне важный законодательный акт приняли парламентарии Японии: создание, распространение, покупка и хранение вредоносных программ, а также распространение порнографического спама теперь считаются в этой стране уголовным преступлением.

Об этой инициативе сообщило сразу несколько информационных агентств.

Громкие дела в России

В России закон против спама все еще отсутствует. При этом крупнейшие спамеры мира по-прежнему живут именно здесь.

Российские правоохранительные органы, несмотря на отсутствие закона против спама, ловят распространителей мусорной почты и призывают их к ответственности… за другие преступления.

В 2007 году программист из России Леонид Куваев был признан спамером номер один в мире. В тот момент считалось, что именно он стоит за изрядной долей спам-сообщений в Сети. Леониду Куваеву приписывается изобретение графического спама. В 2005 году в США, где Куваев прожил 14 лет, суд признал его главой спамерской группировки, и правоохранительные органы США занялись его поисками. Однако Леонид покинул США еще в 2004 и последние 7 лет жил в России, где его не могли достать американские спецслужбы.

Куваев укрывался в России, очевидно, рассчитывая на то, что несовершенство законодательства в области спама в нашей стране позволит ему оставаться безнаказанным. Возможно, так бы оно и было, если бы Леонид не оказался подозреваемым по другому уголовному делу. А именно, 7 июня прошло первое слушанье суда по делу Леонида Куваева по статье 134 УК РФ. Куваев находился под арестом с декабря 2009 года. Все это время по его делу продолжалось следствие. Подробно о судебном процессе можно прочитать здесь.

Со своей стороны заметим, что то, что Леонид находится в тюрьме, не означает, что дело его умерло. Одна из крупных фармацевтических партнерских программ, Mailien, которая, как считается, принадлежала ему, еще довольно долгое время существовала на просторах интернета уже после его ареста, продолжая приносить доход своему хозяину.

Еще один гражданин России, подозреваемый в связи с фармацевтическими партнерскими программами, — Павел Врублевский — также был арестован. Произошло это 23 июня в аэропорту Шереметьево. Поводом для ареста также послужила не его спамерская деятельность. Накануне в интернете появились сообщения, содержащие информацию о том, что 26 мая этого года было заведено уголовное дело по факту DDoS атак, совершенных на платежную систему Assist в июле 2010 года. В частности, было опубликовано признание некоего Игоря Артимовича в совершении упомянутой атаки на сервера платежной системы. В своем заявлении Артимович указал, что заказчиком атаки являлся глава ChronoPay Павел Врублевский.

Павел Врублевский считается одним из основателей крупной фармацевтической партнерской программы rx-promotion.

Напомним, что осенью 2010 года против Игоря Гусева, предполагаемого основателя партнерской программы Glavmed и связанной с ней спамерской парнерки SpamIt, также заведено уголовное дело. Гусев обвиняется в незаконном предпринимательстве.

Темы месяца

Об использовании спамерами тем, так или иначе взволновавших мир, мы неоднократно сообщали в своих отчетах и блогпостах. Мы делаем это для того, чтобы пользователи помнили: любой информационный повод может быть использован злоумышленниками в своих целях.

В июне спамеры начали эксплуатировать тему выхода на экраны последнего фильма о Гарри Поттере, предлагая пользователям бесплатные билеты на сеансы. Не исчезли из почты и мошеннические сообщения, эксплуатирующие тему смерти террориста номер один.

Однако наиболее разнообразными были рассылки, приуроченные к годовщине смерти короля поп-музыки.

Спамеры поминают Майкла Джексона

25 июня 2009 года умер Майкл Джексон. Так назывался наш блогпост двухлетней давности, в котором мы рассказали о реакции спамеров на смерть короля поп-музыки. И вот, по прошествии двух лет, спам-рассылки, сообщающие о том, что Майкл Джексон жив, то и дело появляются в почтовых ящиках пользователей.

На прошлой неделе мир снова вспоминал артиста, в связи с очередной годовщиной его ухода из жизни. И спамеры вспоминали Майкла вместе со всеми.

Китайские спамеры, например, рекламировали музыкальные коллекции песен Джексона. Очень вовремя, ведь такой товар к памятной дате наверняка пользовался спросом.

Англоязычный же спам снова, как и два года назад, содержал «сенсационное сообщение»:

(«Внимание!!! Майкл Джексон жив! Мы нашли доказательство, показывающее, что король музыки не умер»).

После многообещающего текста следовали ссылки на сайты с вредоносным файлом Backdoor.Win32.mIRC-based, дающим возможность удаленного управления зараженным компьютером.

Мы вновь хотим призвать пользователей быть предельно внимательными и не доверять сообщениям от сомнительных источников, использующим горячие темы.

Статистический обзор

Страны — источники спама

В июне лидером среди стран — источников спама снова стала Индия. С территории этой страны было распространено 16,35% (+5%) всей мусорной почты.


Страны — источники спама в июне 2011

Россия в рейтинге стран — источников спама заняла 7-е место. Однако доля спама, распространенного с территории этой страны снизилась в июне на 0,7%.

Наиболее заметный рост в июне по сравнению с прошлым месяцем показала Бразилия. Эта страна заняла вторую строчку среди стран — источников спама, с ее территории было распространено 11,22% спама (+4,36%). Южная Корея, занимавшая в мае вторую строчку, наоборот, сдала позиции. В июне с территории этой страны распространено на 2,63% меньше спама, чем в мае.

Вредоносные вложения в почте

В июне вредоносные файлы содержались в 3,8% всех электронных сообщений, что на 0,3% меньше, чем в прошлом месяце.

Россия и США остались лидерами по количеству срабатываний почтового антивируса. Первую строчку занимает Россия, на территории которой доля срабатываний почтового антивируса незначительно сократилась. То же можно сказать и о доле срабатываний почтового антивируса на территории США, занимающих вторую строчку. Этот показатель сократился в обеих странах менее чем на 0,3%.


Распределение срабатываний почтового антивируса по странам в июне 2011 г.

Вьетнам остался на третьем месте. Доля срабатываний почтового антивируса здесь увеличилась почти на 1%.

На четвертой строчке расположилась страна, доля срабатываний почтового антивируса на территории которой в июне претерпела наибольшие изменения. Это Италия, на территории которой почтовый антивирус срабатывал в 6,6% всех случаев (+1,5%).

Изменения в распределении срабатываний почтового антивируса в остальных странах TOP 10 незначительны.

Рейтинг наиболее часто детектируемых в почте вредоносных программ в июне снова по большей части состоит из знакомых нам зловредов:


ТОP 10 вредоносных программ, распространенных в почте в июне 2011 г.

Четверка лидеров по сравнению с маем и вовсе не изменилась.

7,6% срабатываний почтового антивируса приходится на долю традиционного лидера нашего рейтинга —Trojan-Spy.HTML.Fraud.gen.

Почтовые черви черви Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt и Email-Worm.Win32.NetSky.q занимают вторую, четвертую и девятую строчки рейтинга соответственно. Эти вредоносные программы прочно обосновались в нашем рейтинге. В предыдущих отчетах мы уже писали, что Mydoom.m и NetSky.q выполняют только две функции: осуществляют сбор электронных адресов на зараженных машинах и рассылают по ним самих себя. Bagle.gt в дополнение к этому обычному функционалу почтовых червей обращается к интернет-ресурсам для загрузки оттуда вредоносных программ.

Trojan.HTML.Fraud.fc, впервые вошедший в TOP10 в апреле этого года, снова занял третью строчку рейтинга. Этот зловред представляет собой фишинговую HTML-страничку, нацеленную на кражу финансовых данных у пользователей одного из бразильских банков.

Фишинг

Доля фишинговых писем в общем почтовом потоке по сравнению с маем не изменилась и составила 0,02%.


ТОР 10 организаций, атакованных фишерами*

* Рейтинг составляется на основании доли фишинговых URL, распространенных в сети с целью получения регистрационных данных пользователей того или иного сервиса. Рейтинг не является показателем уровня безопасности упомянутых организаций. Рейтинг отображает популярность и авторитетность сервисов среди пользователей, которая напрямую отражается в их популярности у фишеров.

В июне онлайн-игры стали менее интересны фишерам. В TOP 10 организаций, атакованных фишерами, вошла лишь RuneScape, появившаяся в этом рейтинге в мае. Эта игра заняла в рейтинге шестую строчку, 2,1% всех фишинговых атак в июне был направлен на ее пользователей (-2,57%). World of Warcraft и вовсе не попала в десятку. Мы уже отмечали, что снижение интереса фишеров к этой популярной игре, вероятно, связано с усилением мер безопасности, проводимыми компанией Blizzard.

Значительно возросла доля атак на социальные сети Habbo (+6,25%) и Facebook (+4,07%), которые вернулись на третье и четвертое места нашего рейтинга соответственно.

В июне в фокус интереса фишеров снова вернулась компания Google. Отметим снова, что в TOP 10 попали сервисы Google, не включающие социальную сеть Orkut. Доля атак на эту сеть составила еще 0,8%, что в сумме с атаками на другие сервисы Google даст более 2,5% всех атак.

Тематические направления в спаме


Распределение спама по тематическим категориям в июне 2011 г.

В июне лидером среди тематических направлений в спаме снова стала рубрика «Образование». На долю рекламы обучающих семинаров пришлось почти 60% всего спама. Остальные четыре тематических лидера лишь поменялись местами:

Пятерка лидирующих тематических категорий в спаме:

  • Образование 58,9% (+1,2%)
  • Недвижимость 7,2% (-0,8%)
  • Реклама спамерских услуг 5,9% (+3,3%)
  • Отдых и путешествия 5,2% (-0,9%)
  • Ремонт и благоустройство 5,1% (+0,7%)

Как видим, все представленные тематики относятся к русскоязычным рассылкам, процент которых в Рунете остается на очень высоком уровне. Большую часть мусорной корреспонденции составляет незапрошенная реклама от представителей малого и среднего бизнеса.

В июне увеличилась доля саморекламы спамеров, что, безусловно, связано с летними отпусками многих заказчиков спама. О сокращении количества заказов от мелкого и среднего бизнеса говорит, в частности, значительное снижение доли тематики «Другие товары и услуги» (-8%).

Высокой остается доля сезонных рассылок, предлагающих отдых и путешествия на период летних отпусков, а также реклама услуг по установке кондиционеров, составляющая большую часть тематики «Ремонт и благоустройство».

Несмотря на низкую долю партнерского спама в Рунете, его доля в июне несколько увеличилась. Так, доля рекламы медикаментов — основного представителя этого вида рассылок — составила в июне 3,4%. Другой популярный партнерский спам — реклама реплик элитных товаров — набрал 1,5%.

Заключение

Вопреки нашим ожиданиям поддельные антивирусы вернулись в почтовый трафик ненадолго. Уже в июне ни один представитель этого семейства не вошел в TOP 10 вредоносных программ, задетектированных нашим почтовым антивирусом.

В ближайшие месяцы мы ожидаем появление фишинговых писем, эксплуатирующих новую социальную сеть от Google — Google+. Вступление в эту сеть в данный момент производится только по приглашениям, и злоумышленники могут воспользоваться желанием пользователей попасть в закрытое сообщество, распространяя в письмах с поддельными приглашениями как фишинговые ссылки, так и вредоносный код.

Что касается тематических направлений в спаме, тут мы ожидаем продолжения традиционного для летнего сезона роста доли саморекламы спамеров. Появление в июньском спаме англоязычного партнерского спама с рекламой медикаментов и реплик элитных товаров позволяет предположить, что в июле доля этих рассылок еще возрастет. Рост доли англоязычных партнерских рассылок в летний период также связан с летними каникулами заказчиков спама. Высвободившиеся в отсутствии заказов мощности спамеры, как видно, тратят, в том числе, и на рассылку писем от партнерских программ.

Спам в июне 2011 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике