Отчеты по спаму и фишингу

Спам в марте 2008

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с февралем возросла и составила в среднем 90,7%.
  • Вредоносные файлы и ссылки на зараженные веб-страницы, а также ссылки на фишинговые сайты содержались в 2,32% всех электронных писем.
  • Доля нелегитимных писем с графическими вложениями составила 28% всех спамовых посланий.
  • Спамеры использовали псевдобелый текст для «зашумления» писем.
  • Отмечены письма с вредоносными вложениями, подделанные под дружескую переписку.
  • Зафиксировано большое количество рассылок с предложениями реплик (дешевых копий) элитных товаров (часов, сотовых телефонов).
  • Спамеры продолжают «черный» PR известных компаний и социальных сайтов.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в марте 2008 года в среднем составила 90,7%. Самый низкий показатель был отмечен 27 марта — 83,5%, больше всего спама было зафиксировано 1 марта — 97,8%.

В марте почти треть всего спама составил спам с графическими вложениями. В январе на его долю приходилось всего 14% спамовых писем, в феврале — 20%, в марте же подобный спам побил все рекорды — его доля увеличилась до 28%.

Тематический состав спама

Лидирующие спам-тематики в марте 2008 года:

  1. «Медикаменты; товары и услуги для здоровья» — 24,9%.
  2. «Образование» — 14,8%.
  3. «Реплики элитных часов» — 9,1%.
  4. «Отдых и путешествия» — 6,6%.
  5. «Компьютеры и Интернет» — 5,1%.

Рубрика «Медикаменты; товары и услуги для здоровья» не сдает свою лидирующую позицию. К непрекращающимся англоязычным рассылкам виагры теперь добавилась русскоязычная реклама препаратов типа «Мужское сокровище». Отличительной особенностью подобных снадобий является их принадлежность к тибетской или китайской медицине.

Приближение конца учебного года способствовало увеличению доли спама, входящего в тематическую группу «Образование». К многочисленным предложениям по изготовлению дипломов о высшем образовании прибавилась реклама услуг по репетиторству и подготовке к ЕГЭ. Не забывают спамеры и о том, что по завершении выпускных экзаменов бывших школьников и студентов ожидает выпускной вечер. Ранее встречавшиеся в спаме предложения, приуроченные к «корпоративам», теперь переориентировались на будущих выпускников, что наряду с приближающимися майскими праздниками утвердило рубрику «Отдых и путешествия» в пятерке лидеров.

В марте мы выделили новую тематическую категорию спама. В последнее время в Рунете значительно возросло число предложений по продаже реплик очень дорогих товаров, и именно дешевые копии элитных швейцарских часов стали основными объектами подобных рассылок. В марте их все чаще стали предлагать в русскоязычном спаме. Кроме реплик часов объектами русскоязычной спам-рекламы стали копии модных дорогих телефонов. Спамеры утверждают, что недорогие часы и телефоны «элитного» вида являются подходящим подарком, способным послужить на благо имиджа их владельцев.

ЛУЧШИЕ КОПИИ ТЕЛЕФОНОВ, ЧАСЫ и ТЕЛЕФОНЫ, ПОДАРКИ

Vertu — это самый роскошный телефон в мире, о котором долго мечтали истинные ценители прекрасного:
все новейшиедостиежния выоских технолгоий в сочеатнии с витруозностью исполнения

 Копии элитных сотовых телефонов Vertu и наручных часов в десятки раз дешевле оригинала!
Модели
Vertu Signature,
Vertu Mini
Vertu Signature Full Pave
Vertu Constellation и Ascent — новинки!
Часы: Vacheron Constantin, Patek Philippe, Rado, Omega и мн.др.

{tel}

Каталог подарков на нашем сайте
{site}

Спамерские методы и трюки

В марте спамеры активно включали в свои послания ссылки на результаты поиска в Google. Данная поисковая система позволяет получить для конкретного URL ссылку, по сути являющуюся открытым редиректом. При переходе по ней пользователь попадает непосредственно на страницу со спам-рекламой, в то время как сама ссылка с точки зрения спам-фильтра выглядит вполне легально. Этот прием характерен как для русскоязычного, так и для англоязычного спама.

Новинки фильмов, игр, музыки ждут тебя!
Здесь Вы найдете все что вам нужно абсолютно бесплатно!!!
http://google.com/pagead/iclk?sa=l&ai=HvYTBe&num=73807&adurl={site}

Naked Shakira Clip

Download and Watch
http://www.google.com/pagead/iclk?sa=l&ai=euujxp&num=24252&adurl={site}

В стремлении обойти системы фильтрации спамеры модифицировали один из приемов «зашумления» текста писем и стали использовать для оформления случайного набора букв, которым перемежается текст рассылки, псевдобелые цвета. Белый текст на белом фоне применялся ими и ранее, однако спам-фильтры научились распознавать данный прием. Теперь «зашумляющие» наборы букв (чаще всего латинских) имеют оттенок, близкий к фону письма (светло-желтый, светло-голубой). Рекламный текст при этом выделяется крупным шрифтом ярких цветов, чтобы получатели не испытывали никаких затруднений при прочтении сообщения.

Еще один прием, служащий для обхода спам-фильтров, — деформация ссылки в письме. К примеру, спамеры могут заменить точки в адресе сайта русским словом «точка». Однако данный прием не слишком эффективен: спам-фильтр, возможно, и не отреагирует на подобное послание, но ссылка теряет «кликабельность» и выглядит неудобочитаемой.

ЗДЕСЬ ВЫ СМОЖЕТЕ ЗАРАБАТЫВАТЬ ГАРАНТИРОВАННО И ПОЭТАПНО:

Такого стремительного роста НЕ БЫЛО ЕЩЁ НИГДЕ!!!

Присоединяйтесь!!!

Подробнее Вы узнаете на моем официальном сайте
Здесь -> http://{name}точкаucozточкаru

скачать маркетинг-план компании Coopers Corporation можно

Здесь -> http:// {name}точкаucozточкаru/load/0-0-0-3-20

естественно в браузере прописать за место слова точка поставить .

Удачи Вам во всех ваших начинаниях.

Если возникнут вопросы или сложности можете связаться со мной по этим контактам:
ICQ: {number}

С уважением, Максим

Описанные выше ухищрения спамеров доказывают, что порой они готовы пожертвовать удобством чтения и внешним видом рекламного послания во имя повышения шансов его успешной доставки получателю. Подобные письма вряд ли имеют широкий отклик — они способны увлечь только любителя разгадывать ребусы.

Криминализированный спам

Вредоносные спам-рассылки

Письма со ссылками на зараженные сайты и с вредоносными вложениями продолжают рассылаться на почтовые ящики пользователей. В частности, в марте спамеры использовали для распространения вредоносных программ письма, подделанные под личную переписку. Важно отметить, что эти послания рассылались одновременно на русском и английском языках. Главная их цель — заставить получателя открыть вложенный вредоносный файл. Для того чтобы письма больше походили на короткую весточку от друга, в них обязательно упоминается о предстоящем визите, случайной встрече на улице или о пересылаемых по договоренности файлах. Впрочем, получателя должен насторожить совершенно незнакомый адрес «друга».

Will you be online today?

Hi, what’s up? If you have time tomorrow, please come over. After midday. By the way, don’t forget to check the enclosed documents. Bye. See you tomorrow.

Приветик!!! Как настроение?

Привет! Я завтра к тебе приеду, ок? Ты во сколько будешь дома? Помнишь ты просил программу, я её прикрепила к письму, очень полезная, пользуйся. пока…..

В марте спамеры не только неоднократно занимались саморекламой, описывая выгоды нелегитимных массовых рассылок, но и разослали письма, рекламирующие спам-систему.

Продается Спам Система {name}
Скрипт написан на perl.
Ядро скрипта базируется на движке от {name} (последняя версия)
Система {name}, является главным лидером в своей и более высокой ценовой категории.
В связи с тем, что скрипт базируется на движке от {name}, было принятно решение создать похожий дизайн, навигацию, и базу управления.
==>ПРЕИМУЩЕСТВА:
— Полностью открытый исходный код.
— Обширные возможности.
— Высокая производительность.
— Обход спам-фильтров.
— Корректная работа с миллионами шаблонов+макросы.
— Возможность установки, на неограниченное количество серверов/ftp хостов.
— Простота в использовании.
Открытый исходный код позволяет добавлять новые функции, улучшать функционал, и скорость рассылки.
СИСТЕМА ПОЗВОЛЯЕТ РАССЫЛАТЬ НА МОЩНОМ СЕРВЕРЕ ПОРЯДКА 250 000 ПИСЕМ В ЧАС.
Работать с системой сможет даже новичок, никаких особых навыков она не требует..
СТОИМОСТЬ СПАМ СИСТЕМЫ: 25$
Для наших клиентов по желанию, установка и настройка скрипта БЕСПЛАТНО!
За покупкой обращайтесь в ICQ: {number}
====> P.S: Данное письмо вам было отослано с помощью системы {name} <====

Помимо рекламы спамерского ПО, каждому желающему предлагалось научиться самостоятельно настраивать троянские программы и осуществлять спам-рассылки.

«Черный» PR

Первый месяц весны ознаменовался волной рассылок, имевших целью дискредитировать репутацию известных компаний и сайтов. Первой жертвой «черного» PR стал издательский дом «Коммерсантъ». Затем спамеры массово «прорекламировали» популярные социальные сети Украины. Главным козырем подобных рассылок были намеки на непристойное содержание сайтов.

Re: I haven’t sent you this

 {site} Very young Prostitutions don’t miss!!

Новой атаке подверглась cтраховая компания «Автогарант». Спамеры даже не меняли текста рассылки, которая прошла в начале года, поэтому в марте получателям предлагалось застраховаться по январским скидкам. Это подтверждает, что главной целью рассылки являлся компромат фирмы. Отметим, что спамеры, хотя и не меняли текста письма, воспользовались новой методикой в надежде обойти спам-фильтры — послание было «зашумлено» с помощью случайного псевдобелого текста. (В примере ниже он выделен зеленым, в оригинале имеет бирюзовый цвет очень бледного оттенка.)

Спамеры-филантропы?

В марте одна из известных спамерских фирм, вероятно, решила улучшить свою репутацию. Она предлагает помочь людям, потерявшим своих родных и близких, с помощью массовой рассылки. Причем в письме гарантируется абсолютно безвозмездное оказание услуги.

Спам в марте 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике