Отчеты по спаму и фишингу

Спам в июне 2014

Особенности месяца

В июне такие громкие события, как военные действия на Украине и чемпионат мира по футболу, послужили инфоповодом для мошеннических сообщений, предназначенных для выманивания денежных средств и финансовой информации у пользователей интернета.

Пользователям Рунета спамеры рассылали рекламу подарков ко Дню России, услуг по проведению школьных выпускных и доставке обедов в офисы. Также среди лидеров в списке тем спама в июне можно выделить рекламу различных сервисов знакомств в сети, а также предложения приобрести топливные карты и ювелирные изделия.

Чемпионат мира по футболу

В июне стартовал двадцатый чемпионат мира по футболу, болельщики всего мира с нетерпением ждали этого праздника. Популярные спортивные события, к числу которых, несомненно, относится и мундиаль, привлекают не только миллионы зрителей, но и спамеров и фишеров. В этом году первые мошеннические рассылки, эксплуатирующие тему чемпионата, были зафиксированы нами уже в ноябре, задолго до его старта.

В Рунете тема чемпионата мира по футболу использовалась различными онлайн-казино и букмекерскими конторами. В спам-сообщениях пользователю предлагали зарегистрироваться на сайте, получить на счет деньги и тут же поставить их на любые матчи чемпионата мира. При этом размер ставок был указан в европейской валюте, что нехарактерно для Рунета. Следует отметить, что популярные спортивные события могут использоваться и мошенниками, которые рассчитывают на невнимательность пользователя и его желание заработать без вложений собственных средств. Поэтому если вы уже решили рискнуть и сделать ставку, то ни в коем случае не пользуйтесь услугами казино и контор, рекламируемых в спаме, особенно если предложения неправдоподобно выгодные.

Праздничный спам

Летом количество праздничного спама в потоках Рунета значительно уменьшается. В первую очередь это связано с тем, что летние месяцы небогаты на праздники, а те, что есть, не так популярны, как, например, Новый год или День святого Валентина. Поэтому немногочисленный праздничный спам в июне был посвящен выпускным вечерам, которые традиционно проводятся в конце месяца. Спамеры рассылали на ящики пользователей рекламные предложения по организации и проведению выпускных вечеров, а также продаже гелиевых шариков к празднику. В тексте сообщений потенциальным клиентам обещали незабываемые шоу-программы, а также низкие цены на популярные в преддверии выпускных вечеров товары. Для оформления таких писем использовались различные изображения школьной тематики.

Упоминание Дня России, отмечаемого 12 июня, очень редко встречается в почтовом трафике. Но в этом году мы зафиксировали рассылки с предложением купить главный символ праздника — флаг России, а также флаги других городов РФ. Оформление писем было выполнено в стилистике предстоящего праздника, спамеры также использовали цветовое выделение текста. В письме использовался не графический файл, как может показаться на первый взгляд, а таблица, фон ячеек которой был окрашен в цвета, повторяющие цвета флага России, а рекламный текст был вписан непосредственно в ячейки. Таким образом, у получателя создавалось впечатление, что письмо содержит графический рисунок, а текст написан на фоне флага. Данный прием, наряду с зашумлением телефонных номеров в теле письма, использовался в том числе и для обхода программ фильтрации спама.

Украинские мотивы в «нигерийском» спаме

Политические события на Украине вновь использовались «нигерийскими» мошенниками для выманивания денежных средств у доверчивых пользователей. На этот раз автор письма выдавал себя за личного помощника украинской женщины-политика, которая была среди первых погибших в результате столкновений в Киеве. Конечно, по законам жанра погибшая оставила помощнику миллионы долларов, которые необходимо срочно перевести с Украины на счет заграничного получателя. За помощь и предоставление номера личного счета жертвы мошенники обещают вознаграждение и даже готовы выделить некоторую сумму на издержки, которые могут возникнуть при переводе денег.

Одна и та же схема «нигерийского» мошенничества используется из года в год, меняются только легенды и сюжеты писем, однако хочется еще раз напомнить пользователям, что все предложения обогатиться, рассылаемые в нигерийском спаме, – не что иное, как способ выманить деньги.

Знакомства в сети

В Рунете особой популярностью пользовалась реклама различных сервисов быстрых свиданий (speed dating) – популярного в последнее время метода знакомства. В рассылках давались координаты проведения мероприятия, обычно это были различные клубы и рестораны, что в свою очередь создавало дополнительную рекламу данным заведениям. Рекламировались также клубы знакомств, например, «элитные ВИП знакомства с моделями». По указанной в таком письме ссылке можно было попасть на недавно созданный сайт знакомств.

Также в одной из рассылок мы обнаружили рекламу дейтингового спам-сервиса. Спамеры предлагали услуги создания и раскрутки (конечно, при помощи спам-рассылок) нового сайта знакомств с перспективой привлечь пользователей из огромного количества стран. Для связи в письме были указаны адрес электронной почты и ICQ.

Встречались в русскоязычном сегменте интернета и различные «рецепты счастья», например советы, как познакомиться и выйти замуж в короткий срок, за которыми часто скрывалась реклама брачных агентств. Предлагались к продаже комплекты DVD с тренингами, содержащими «успешную стратегию для охоты за будущим мужем»; ссылки из таких писем вели на сайт, где можно было заказать диски через специальную форму заказа. И наконец, для тех, кто уже определился с выбором спутника жизни и кому теперь требуется лишь организовать свадебное мероприятие по полной программе, в спаме предлагались соответствующие услуги.

Ювелирные изделия

В июньских спам-рассылках мы встречали множество предложений приобрести ювелирные изделия. В Рунете нам встречались предложения по продаже украшений и бижутерии: заинтересованные получатели могли сделать онлайн-заказ на недавно созданном сайте магазина. Ювелирные украшения упоминались и в рекламе ломбардов – получателю предлагали взять заем под залог золота и серебра, обменять имеющиеся украшения, отдать их на хранение, в ремонт и т.д. Адреса отправителей во всех таких письмах были сгенерированы автоматически и зарегистрированы на бесплатных почтовых сервисах.

Обеды в офис

Немалая доля июньского спама в Рунете пришлась на предложения по доставке обедов в офисы. При этом ассортимент предлагаемых в меню блюд отличался очень большим разнообразием: от домашней до традиционной восточной и европейской кухни. Как правило, к доставке предлагался бизнес-ланч, составленный из различных блюд на выбор.

Рекламный текст содержался непосредственно в письме с указанием телефона для заказа (причем мобильного), нередко с элементами зашумления, либо был оформлен в виде картинки, которую спамеры также пытались всячески замусорить с целью обхода антиспам-фильтров. В отдельных случаях в письмо был вложен текстовый документ, содержащий  расширенное меню и точные расценки. Внимание потенциальных клиентов спамеры привлекали обещанием доставки в самые короткие сроки и скидок при массовых заказах. При этом название ресторана, осуществляющего приготовление обещанных блюд, практически всегда отсутствовало, что ставит под сомнение качество предлагаемых блюд и соблюдение санитарных условий при их приготовлении.

Статистика

Доля спама в почтовом трафике


Доля спама в почтовом трафике

В среднем доля спама в почтовом трафике в июне составила 64,8%, что на 5% меньше по сравнению с результатами предыдущего месяца. Наибольший процент спама наблюдался на второй неделе месяца (65,8%), наименьший – на третьей (63,5%).

Географическое распределение источников спама

Ранее мы считали статистику по странам — источникам спама по данным, полученным из спам-ловушек в разных странах. Но  спам, который приходит в ловушки, все-таки отличается от спама, который идет реальным пользователям. К примеру, туда не попадает таргетированный спам, нацеленный на профильные компании. Поэтому мы изменили источник данных и теперь с помощью KSN (Kaspersky Security Network) получаем статистику по спаму по тем сообщениям, которые приходят пользователям наших продуктов по всему миру. Поскольку данные для статистики за этот месяц взяты из другого источника, сравнение полученных результатов со статистикой за предыдущий период было бы некорректно.


Страны – источники спама в мире

По итогам июня 2014 года в тройку лидеров среди стран — источников спама, распространяемого по всему миру, вошли США (13,2%), Россия (7%) и Китай (5,6%). На четвертой позиции находится Вьетнам (5,3%). На пятой – Аргентина (4,1%). Далее следуют Германия (3,7%), Испания (3,6%), Украина (3,2%) и Италия (2,9%). Замыкает первую десятку Индия, откуда в июне было разослано 2,8% мирового спама.

Вредоносные вложения в почте

В июне TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом.


TOP 10 вредоносных программ, распространяемых по электронной почте

Лидером по масштабам распространения по-прежнему остается зловред Trojan-Spy.HTML.Fraud.gen. Напомним, что представитель семейства троянцев Fraud.gen представляет собой поддельную HTML-страницу и рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и т.д.

На втором месте расположился Trojan-Downloader.MSWord.Agent.z. Этот зловред представляет собой .doc-файл со встроенным макросом, написанным на Visual Basic for Applications (VBA), который выполняется при открытии документа. Сам макрос скачивает и запускает вредоносную программу.

Третье, четвертое, пятое и седьмое места занимают различные модификации хорошо знакомого нам зловреда Bublik. Их можно отнести к самым обычным троянцам-загрузчикам, которые закачивают вредоносный файл на компьютер пользователя и запускают его.

Шестую позицию занимает Backdoor.Win32.Androm.elwa. Этот зловред представляет собой разновидность Andromeda – Gamarue, универсального модульного бота. На его основе можно построить ботнет с самыми разнообразными возможностями. Функционал бота расширяется с помощью системы плагинов, которые подгружаются злоумышленниками в нужном количестве в любое время.

Далее следует Email-Worm.Win32.Bagle.gt. Этот почтовый червь рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также червь имеет функцию загрузки файлов из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку.

На девятой строке — Trojan-Banker.Win32.ChePro.ilc. Этот даунлоадер выполнен в виде CPL-апплета (компонент панели управления) и занимается загрузкой троянцев, предназначенных для кражи конфиденциальной финансовой информации. В основном зловреды этого типа нацелены на бразильские и португальские банки.

Десятую строчку занимает Email-Worm.Win32.Mydoom.l. Этот сетевой червь распространяется в виде вложений в электронные письма, через файлообменные сети и открытые на запись сетевые ресурсы. Адреса для рассылки писем зловред собирает на уже зараженных компьютерах. Своим владельцам червь предоставляет возможность удаленно управлять зараженным компьютером.


Распределение срабатываний почтового антивируса по странам

Германия совершила внушительный скачок по количеству срабатываний почтового антивируса, поменялась с Великобританией позициями и вышла в лидеры (+8,17%).

Россия вновь вошла в двадцатку нашего рейтинга, заняв в июне 13-ю строку (2,03%).

Арабские Эмираты по количеству вредоносных вложений в июне обошли Австралию, Гонконг и Вьетнам (+0,96%). А Швейцария в июне покинула двадцатку стран с наибольшими показателями срабатываний почтового антивируса.

Показатели других стран существенных изменений в июне не претерпели.

Особенности вредоносного спама

Сезон отпусков набирает обороты; многие еще только обдумывают свой отдых, в то время как те, кто уже определился, уже решают организационные вопросы, самостоятельно бронируя билеты на самолет и проживание в отелях. Помимо традиционного увеличения сезонного рекламного спама данной тематики, мы фиксируем увеличение количества мошеннических сообщений от имени различных сервисов бронирования, в том числе всемирно известных. Такие сообщения выдают себя за уведомления о подтверждении бронирования и содержат вредоносные вложения, замаскированные под счета на оплату брони. При этом в письмах указываются фиктивные номер заказа, даты приезда/отъезда (вылета/прилета) и стоимость заказа. Одним из наиболее часто встречавшихся зловредов в таких подделках в июне являлся Trojan-Spy.Win32.Ursnif. Этот троянец крадет конфиденциальные данные и отсылает их на удаленный сервер, способен прослушивать сетевой трафик, загружать и запускать другие вредоносные программы, а также отключать некоторые системные приложения, такие, например, как сетевой экран.

Для рассылки вредоносных вложений мошенники уже давно используют фальшивые уведомления не только от крупных сервисов бронирования, банков или онлайн-гипермаркетов, но и от магазинов более узкой специализации. Так, в прошлом месяце мы обнаружили вредоносную рассылку от имени интернет-зоомагазина. Получателю традиционно предлагалось загрузить и распечатать накладную за совершенную покупку товаров для своего любимца. По всем вопросам его отправляли в настоящую службу поддержки зоомагазина по ссылке на странице официального сайта. В архиве вместо обещанного PDF-файла с информацией о покупке находился Trojan-Banker.Win32.Shiotob.c. Этот зловред крадет различную системную информацию, имена пользователей и пароли от FTP и различных сайтов при авторизации на них.

Фишинг

По итогам июня рейтинг атакованных фишерами организаций не претерпел заметных изменений. Возглавляют рейтинг по-прежнему почтово-поисковые порталы (32,1%), их показатель по итогам месяца уменьшился на 0,2%. Вторую строчку занимают социальные сети (27,7%), доля атак на которые увеличилась на 3,7%. Показатели финансовых и платежных организаций (11,6%) и онлайн-магазинов (10,6%) уменьшились на 1,2% и 1,5% соответственно. Доля фишинговых атак на телефонных и интернет-провайдеров уменьшилась на 0,1%, и эта категория замыкает первую пятерку рейтинга.


Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

В июне мошенники рассылали поддельные уведомления от имени американской корпорации Electronic Arts, занимающейся изданием и продажей видеоигр. Фишеры пытались получить доступ к личным кабинетам пользователей в принадлежащем компании интернет-магазине Origin. Для обмана своих жертв злоумышленники использовали старый прием – рассылали письма с упоминанием усиления защиты аккаунта и просили получателя подтвердить, что именно он является владельцем учетной записи. Для придания письму легитимного вида использовался логотип Origin, ссылки на официальный сайт компании и обычное для таких писем предупреждение никому не передавать пароль от личного кабинета.

Заключение

Доля спама в мировом почтовом трафике в июне уменьшилась на 5% и составила 64,8%. Это снижение может носить сезонный характер, так как летом бизнес-активность уменьшается, а многие спам-боты отключаются на период каникул и отпусков.

В июне громкие политические и спортивные события использовались мошенниками для обмана пользователей. В преддверии чемпионата мира, главного события для футбольных болельщиков, фишеры пытались выудить у получателей банковскую информацию в обмен на участие в мнимой лотерее. «Нигерийские» мошенники вновь использовали сложную ситуацию на Украине и просили помощи в переводе несуществующих миллионов.

В рейтинге организаций, атакованных фишерами, изменений не произошло. Возглавляют рейтинг почтово-поисковые порталы (32,1%). Вторую строчку удерживают социальные сети (27,7%), их показатель увеличился на 3,7%, что можно объяснить тем, что активность школьников и студентов в социальных сетях традиционно увеличивается в период каникул, чем и стремятся воспользоваться мошенники. Замыкают первую тройку финансовые и платежные организации (11,6%).

Среди вредоносных вложений в почте по-прежнему лидирует зловред Trojan-Spy.HTML.Fraud.gen, рассылаемый под видом уведомлений от банков и магазинов. В связи с сезоном отпусков увеличилось количество поддельных уведомлений, содержащих вредоносные вложения, от различных сервисов бронирования. По количеству срабатываний почтового антивируса по итогам июня на первое место вышла Германия (16,4%).

Спам в июне 2014

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике