Отчеты по спаму и фишингу

Спам в марте 2010 года

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с февралем уменьшилась на 3,2% и составила в среднем 82,9%.
  • Ссылки на фишинговые сайты находились в 0,03% всех электронных писем, что на 0,84% меньше, чем в феврале.
  • Вредоносные файлы содержались в 0,5% электронных сообщений, что на 0,68% меньше, чем в прошлом месяце.
  • Среди спам-тематик снова лидирует спам, предлагающий отдых и путешествия.
  • Для обхода спам-фильтров злоумышленники по-прежнему используют изменяющиеся картинки и закрашенные ячейки html-таблиц.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в марте 2010 года в среднем составила 82,9%. Самый низкий показатель месяца был зафиксирован 5 марта — 78%; больше всего спама было получено пользователями Рунета 20 числа — 90,1%.


Доля спама в Рунете в марте 2010 года

Страны — источники спама


Страны – источники спама

В марте среди стран — источников спама по-прежнему лидируют США (14,7%) и Индия (7,3%). В остальном первая пятерка выглядит иначе. С пятого на третье место в рейтинге сместилась Россия, с территории которой было распространено 6,9% всего мирового спама(+2,3%). Четвертое и пятое места поделили Вьетнам и Румыния, с территории этих стран в марте было разослано по 4,8% всего спама.

Республика Корея, в феврале занимавшая третье место в рейтинге, в марте оказалась лишь на восьмом месте с показателем 4,1% (-3,4%).

Бразилия, ранее входившая в первую тройку стран — источников спама, уже второй месяц находится на девятой позиции в рейтинге. С территории этой страны было распространено 3,1% спама.

Китай, ранее входивший в десятку стран, с территории которых распространяется наибольшее количество спама, уже второй месяц занимает последние строчки рейтинга (1,6%).

С территории Украины было распространено на 1,2% больше спама, чем в прошлом месяце, в результате эта страна заняла шестую строчку рейтинга (4,2%). Количество спама, распространяемого из этой страны, стабильно растет, что позволяет предположить, что в ближайшие несколько месяцев Украина может занять место сдавшего свои позиции Китая и оказаться в числе лидирующих стран — источников спама. В целом, с территории стран бывшего Советского Союза в марте спама было распространено примерно столько же (14,8%), сколько с территории США.

Фишинг

Ссылки на фишинговые сайты находились в 0,03% всех электронных писем, что на 0,84% меньше, чем в феврале.

В марте лидерами среди наиболее часто атакуемых фишерами организаций снова стали PayPal (45,4%, -8,6%) и eBay (15,4%, +1,4%). Третью и четвертую позиции рейтинга, как и в прошлом месяце, занимают Facebook (7,7%, +1,6%) и HSBC (7,5%, -0,2%), они лишь поменялись местами.


Организации, подвергнувшиеся фишинговым атакам в марте 2010 года

В марте нами снова было получено значительное количество фишинговых писем, целью которых были пользователи он-лайн игры World of Warcraft. Такие письма по-прежнему представляют собой не слишком изощренную подделку — чаще всего они состоят из текста, повествующего о возможной блокировке игрового аккаунта, и ссылки.

В приведенном выше примере ссылка, которую видит пользователь, выглядит как переход на заглавную страницу сайта онлайн-игры однако, на самом деле через нее происходит переадресация на сайт http://*******.worldofwarcraft**.com/, на котором пользователю и предлагается ввести свои регистрационные данные. Разумеется, внимательный пользователь делать этого не будет.

В десятке самых часто атакуемых фишерами организаций пятую строчку в марте заняла компания Google. Однако под прицелом оказался и один из ее конкурентов: пользователи Yahoo! могли видеть в своих почтовых ящиках рассылку следующего содержания:

Забавно, что помимо стандартной формы, которую надо заполнить, чтобы «аккаунт не был заблокирован в течении 72 часов», фишеры просят ввести буквы, показанные на картинке ниже, в форму системы CAPCHA, которая используется для того, чтобы избежать авторегистрации с использованием бота.

Банки, разумеется, в марте тоже были интересны фишерам. Так, на пользователей онлайн-банкинга Bank of America была нацелена следующая зафиксированная нами рассылка:

Отметим, что английское слово «member» — «участник» — написано в заголовке письма с ошибкой — «menber».

Вредоносные программы в почте

Вредоносные файлы содержались в 0,5% электронных сообщений, что на 0,68% меньше, чем в прошлом месяце.


Вредоносные программы, содержавшиеся в почте в марте 2010 года

Среди вредоносных программ, наиболее часто встречавшихся в почте, снова лидирует Trojan-Spy.HTML.Fraud.gen, основная задача которого — сбор личных и регистрационных данных пользователя.

Интересно, что львиная доля всех случаев распространения этого троянца — почти половина — имела место в Великобритании.

Второй по распространенности в мартовской почте зловред — это Trojan-Downloader.Win32.FraudLoad.gmx, который загружает на компьютер-жертву файл, детектируемый «Лабораторией Касперского» как Trojan.Win32.Sasfis.ajil.

Сразу три троянца, представленные в нашей десятке, относятся к семейству Trojan.Win32.Agent. Это вредоносные программы, занимающие четвертую, седьмую и десятую строчки рейтинга. В общей сложности около 7% зловредов, распространенных в почте в марте, относились к этому семейству.

Кроме того, интересно отметить троянские программы Trojan.Win32.FraudPack.aolb и Trojan.Win32.FraudPack.apee, расположившиеся на 8-й и 10-й строчках и обнаруженные в 2% и 1,84% всех писем соответственно. Данные зловреды представляют собой фальшивые антивирусы, которые вымогают у пользователя деньги, а также под видом установки обновлений скачивают на компьютер пользователя другие вредоносные программы.

Почтовый червь NetSky, который в августе, сентябре и декабре 2009 года уже присутствовал в списках самых распространенных в почте вредоносных программ, снова попал в десятку. На этот раз его модификация Email-Worm.Win32.NetSky.q заняла шестую строчку рейтинга.

Интересно отметить тот факт, что рассылка от имени почтовой системы UPS до сих пор не надоела спамерам. Вредоносные программы, распространяемые с помощью этой уловки, продолжают меняться. Так, в марте в письмах от лже-UPS рассылались представленные в нашей десятке троянцы семейства Trojan.Win32.FraudPack и Trojan.Win32.Agent.

Популярным среди спамеров остается и метод распространения вредоносных программ в архиве с паролем. Пароль в таком случае можно найти в теле письма, а в архиве, по утверждениям спамеров, находится очень важный конфиденциальный документ, который якобы никак нельзя переслать иным образом. Причем документ, находящийся в архиве, имеет название, заканчивающееся на .txt, или .doc, как в представленном ниже случае:

На самом деле в архиве находился Email-Worm.Win32.Beloy.a — почтовый червь, добавленный в наши антивирусные базы еще в 2007 году. Интересно, что в марте этот червь был мало распространен, и все случаи его детектирования нашим почтовым антивирусом имели место в Румынии и Соединенных Штатах Америки.

Тематический состав спама


Распределение тематик спама в Рунете в марте 2010

Пятерка лидирующих спам-тематик марта:

  1. Отдых и путешествия — 18,5% (+2,8%)
  2. Образование — 18,1% (-0,8%)
  3. Медикаменты; товары/услуги для здоровья — 12,5% (-3%)
  4. Компьютерное мошенничество — 7,4% (-1,8%)
  5. Компьютеры и интернет — 5% (-1,5%)

На первых строчках в пятерке лидирующих спам-тематик снова оказались тематики «Отдых и путешествия» и «Образование». По сравнению с февралем они поменялись местами, хотя количество писем этих тематик изменилось не слишком сильно.

Рубрика «Отдых и путешествия» вырвались на первое место в связи с тем, что пользователи уже начинают задумываться о путешествиях в период майских праздников, чем с радостью пользуются не слишком добросовестные турфирмы, заказывающие спам. Количество такого спама стало расти во второй половине марта.

В спамерских письмах тематики «Образование» чаще всего предлагалось принять участие в различных семинарах или научиться чему-либо, способствующему ведению бизнеса. Среди подобных предложений встречались и довольно остроумные:

Однако в марте спамеры предлагали не только участие в семинарах, но и фальшивые дипломы различных ВУЗов. В одной из таких рассылок в качестве добавки к рекламному предложению использовался некий литературный текст, менявшийся от письма к письму. Таким образом спамеры пытались добиться вариабельности писем, надеясь, что это поможет им обойти спам-фильтры.

По уже сложившейся традиции спамеры, распространяющие виагру, рассылка рекламы которой составляет львиную доли рубрики «Медикаменты; товары/услуги для здоровья», приукрасили свои шаблонные сайты, используя атрибутику грядущих праздников — а именно, приближающейся Пасхи:

Приближение праздника Пасхи, однако, заметили не только распространители дешевых медицинских товаров. По всей видимости, те же спамеры, что под Рождество обещали прислать всем желающим персонализированные письма от Санта Клауса, в марте предлагали письма от пасхального зайчика! По крайней мере, тема письма, а также стоимость послания, говорят о том, что письма от имени Санта Клауса и письма от пасхального зайца пишут одни и те же люди.

В целом же количество писем тематики «Другие товары и услуги», к которым относится, в том числе, и приведенное выше письмо, несколько снизилось (-1,4%).

Количество писем, относящихся к тематике «Компьютерное мошенничество», тоже уменьшилось (-1,8%), что не может не радовать. Однако процент такого спама остается достаточно высоким (7,4%).

В марте по Рунету прошли довольно крупные рассылки, рекламирующие «новое изобретение» мошенников — стереогипноз.

Ссылки вели на сайт, где предлагалось скачать видеофайлы, якобы вызывающие различные эмоции и ощущения. Для того, чтобы заполучить чудо-файл, надо было отправить SMS-сообщение на короткий номер.

Спамерские методы и трюки

В марте спамеры снова вспомнили о старых и проверенных методах: об изменяющихся картинках и о ячейках html-таблиц, закрашенных в определенном порядке.

Трюк с изменяющимися зашумленными картинками традиционно использовался спамерами для двух случаев, первый из которых — реклама виагры:

Как мы видим, помимо картинки спамеры вставляли в письма фрагмент литературного текста, который также менялся от письма к письму. В предыдущих отчетах мы уже отмечали, что использование таких картинок лишает заказчика спама большой части аудитории, а именно — всех тех, кто не возьмет на себя труд вбивать адрес сайта вручную.

Второй случай применения зашумленных картинок — это самореклама спамеров. Такого спама по-прежнему довольно мало, но, видимо, спамеры решили страховаться на случай повторения кризиса, и более эффективные трюки для обхода спам фильтров оставляют именно для себя:

Специальным образом закрашенные ячейки html-таблицы можно было видеть в письме, рекламирующем сайт знакомств. Раньше с помощью этого приема обычно изображался адрес сайта, в данном же случае с помощью ячеек был сконструирован сам текст сообщения. Ссылка на сайт была написана обычным образом.

Заключение

Процент фишинговых писем в почте в марте значительно уменьшился, что, конечно, не может не радовать. Количество вредоносных вложений в почте также вернулось к январскому уровню. Незначительно снизилось и количество спама тематики «Компьютерное мошенничество». Таким образом, прослеживается некоторая тенденция к уменьшению криминальных составляющих спама.

Место вредоносных, фишинговых и мошеннических рассылок занимают спамерские письма тематической категории «Отдых и путешествия». Это, бесспорно, связано с приближением майских праздников, а также уже не столь далекого сезона летних отпусков.

Для обхода спам-фильтров спамеры практически не придумывают новых трюков, предпочитая обходиться старыми проверенными средствами. Должно быть, такое положение вещей не изменится еще довольно долгое время.

Спам в марте 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике