Авторы
Март в цифрах
- Доля спама в почтовом трафике по сравнению с февралем уменьшилась на 3,5% и составила в среднем 75%.
- Доля фишинговых писем в почтовом потоке по сравнению с февралем снизилась вдвое и составила 0,01%.
- В марте вредоносные файлы содержались в 2,8% всех электронных сообщений, что соответствует показателю прошлого месяца.
Обзор главных событий месяца
Hlux/Kelihos — уменьшение доли спама не заставило себя ждать
В марте доля спама уменьшилась на 3,5% по сравнению с февралем. Это довольно внушительная цифра, если учитывать, что речь идет об относительных величинах. В абсолютных цифрах это означает, что количество спама по сравнению с прошлым месяцем уменьшилось почти на 20%.
Мы связываем это уменьшение с обезвреживанием новой версии ботнета Hlux/Kelihos. Доля спама на неделе с 19 по 25 марта, когда началась операция по обезвреживанию зомби-сети, была самой низкой по итогам месяца — 73,4%. На последней неделе марта, когда было объявлено об успехе операции, доля спама немного увеличилась — до 74,1%, что, вероятно, связано с началом перераспределения спамерских мощностей.
Новые уловки во вредоносном спаме
Последние годы спамерам, рассылающим вредоносные вложения или ссылки на вредоносный код, приходится регулярно менять тактику. Причина в том, что их задача — спровоцировать пользователя открыть вложение или пройти по ссылке. Если пользователь этого не сделает, спам не принесет рассыльщикам выгоды. Соответственно, вредоносный спам всегда замаскирован под безопасные письма. При этом чем чаще злоумышленники используют один и тот же прием маскировки, тем больше пользователей опознают скрытую под маской опасность, и, как следствие, злоумышленники получают меньше выгоды.
Зачастую спамеры, изобретя новую уловку, в течение двух-трех дней проводят быстрые и многочисленные рассылки, стремясь поймать на удочку как можно больше пользователей, прежде чем новый трюк окажется раскрыт. Как правило, чтобы добиться успеха, спамеры играют на любопытстве получателей и/или рассылают письма, подделанные под уведомления, посланные с легитимных сайтов.
Ярким примером одного из таких трюков во вредоносном спаме стала рассылка, прошедшая с 20 по 23 марта. Разосланные спамерами сообщения были подделаны под подтверждение о приобретении авиабилета.
Использование темы авиабилетов во вредоносных письмах не ново, однако прежде зловред, упакованный в архив, прилагался к сообщению об успешной оплате авиабилета. Спамовые письма из этой рассылки не содержали вложений — вместо этого пользователю предлагалось пройти онлайн-регистрацию на рейс, перейдя по ссылке в письме.
После перехода по ссылке на компьютер пользователя устанавливался троянец, который загружал на компьютер нашего старого знакомого — вредоносную программу ZeuS/Zbot. Технические подробности атаки можно прочитать здесь.
Атака была окончена 23 марта около 21 часа по Москве. Отметим, что во всех сообщениях, приходивших с 20 по 23 число, предлагалось зарегистрироваться на самолет, вылетающий 20 марта. Этот факт еще раз напоминает о том, что внимательность пользователя находится на первой линии обороны его компьютера.
Актуальный спам
Темами, использованными в мартовском спаме, стали день святого Патрика, Пасха и выпуск iPad3.
В блогпосте, посвященном дню святого Патрика, уже отмечалось, что партнерские программы для привлечения внимания используют всевозможные праздники и другие заметные события. В частности, приводился пример шаблонного спамерского сайта, торгующего репликами часов, который был украшен в праздничном лепреконском стиле.
Пасха, как того и следовало ожидать, используется спамерами очень активно. Та же реклама реплик элитных товаров в конце марта стала рассылаться в сообщениях, оформленных в стиле пасхальных открыток:
Заметим, что в отличие от рассылок, использующих тему дня святого Патрика, «пасхальные» сообщения не только направляли пользователя на празднично украшенный сайт, но и сами содержали пасхальную атрибутику.
В англоязычном «пасхальном» спаме, помимо рекламы реплик элитных товаров, представленных как лучший подарок на Пасху, встречались «нигерийские» поздравления с выигрышем в пасхальную лотерею и предложения различных подарков на весенний праздник.
Русскоязычный «пасхальный» спам также содержит много рекламы подарков для родных и близких, а также рекламу пасхальных туров и экскурсий. В отличие от англоязычных сообщений рассылки на русском языке, распространенные в Рунете, не являются партнерскими, а заказаны у спамеров малым и средним бизнесом, который использует спам как средство рекламы.
Выпуск нового продукта от Apple — iPad третьего поколения — тоже не остался незамеченным спамерами. Как и в случае с «пасхальными» рассылками, между сообщениями на английском и русском языке были очевидные различия.
Так в англоязычном спаме, нацеленном преимущественно на жителей Соединенных Штатов, новинки от Apple используются в основном как сыр в мышеловке. Посулить пользователю бесплатный iPad или iPhone — это широко известный, но, видимо, все еще эффективный способ, который злоумышленники используют, чтобы заставить человека вступить в финансовую пирамиду, перейти по фишинговой или вредоносной ссылке или установить на компьютер рекламную программу. Если месяц назад в таких рассылках получателям обещали в основном iPad2 или iPhone 4S, то сейчас в них активно используется iPad3.
В русскоязычном спаме встречаются сообщения, в которых небольшие магазины или даже просто перекупщики в России, на Украине и еще в ряде стран Европы предлагают приобрести новинку или оставить на нее предзаказ.
Статистический обзор
Страны — источники спама
Страны — источники спама в марте 2012 г. (TOP 20)
В марте состав Top 20 стран — источников спама опять практически не изменился по сравнению с прошлым месяцем. В ТОР 6 вошли те же страны, что и в феврале, лишь Вьетнам и Корея поменялись местами, заняв четвертое и пятое места соответственно. Доля спама, распространенного в марте с территории Кореи, уменьшилась на 2,3%. Доли остальных стран, входящих в рейтинг, изменились незначительно — в пределах 1,5%.
Россия в марте расположилась на 13-й строчке рейтинга.
Лидером рейтинга по-прежнему остается Индия, доля которой составила 12,3% (+0,4%).
Вредоносные вложения в почте
В марте вредоносные файлы содержались в 2,8% всех электронных сообщений, что соответствует показателю прошлого месяца.
Распределение срабатываний почтового антивируса по странам
Распределение срабатываний почтового антивируса по странам в марте 2012 г.
Уже третий месяц подряд Соединенные Штаты занимают первую строчку рейтинга стран по срабатыванию почтового антивируса. Доли срабатываний Kaspersky Mail Antivirus на территории США выросла на 1,7% по сравнению с февралем и составила 14,7%.
Неожиданно второе место по срабатываниям почтового антивируса заняла Австралия, ее доля выросла более чем в два раза (+6,9%) и составила 12,4%. Третье место, как и в феврале, занимает Гонконг.
По сравнению с февралем заметно снизилась доля срабатываний в Германии — на 2,5%.
Доля остальных стран рейтинга изменилась в пределах 2%.
ТОP 10 вредоносных программ, распространенных в почте
ТОP 10 вредоносных программ, распространенных в почте в марте 2012 г.
12% всех детектирований Kaspersky Mail Antivirus приходится на традиционного лидера нашего рейтинга —Trojan-Spy.HTML.Fraud.gen. По сравнению с прошлым месяцем доля этого зловреда уменьшилась на 2%. Напомним, что Trojan-Spy.HTML.Fraud.gen — это вредоносная программа, выполненная в виде html-странички в виде регистрационной формы финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам. Использование этого зловреда фактически является одним из приемов фишеров.
Почтовые черви Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q и Email-Worm.Win32.NetSky.c по-прежнему остаются в рейтинге и занимают соответственно третье, четвертое, шестое и седьмое места. Почтовые черви обычно наделены нехитрым функционалом: они собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt — единственный червь из десятки, который, помимо этого, может также обращаться к интернет-ресурсам для загрузки оттуда вредоносных программ. Отметим, что поскольку функционал самораспространения червей является бескотрольным, то эти зловреды не используются как оружие для целевых атак.
Две вредоносные программы в нашем мартовском рейтинге — это поддельные антивирусы. Зловреды такого типа давно не встречались в TOP 10. Напомним, что основная функция таких зловредов — это вымогательство денег у пользователя зараженного компьютера.
Фишинг
Доля фишинговых писем в почтовом потоке по сравнению с февралем уменьшилась вдвое и составила 0,01%.
Распределение TOP 100 организаций, атакованных фишерами, по категориям
март 2012 года
Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.
В рейтинге категорий организаций, наиболее интересных фишерам, лидируют, как и ранее, финансовые организации. На них приходится почти четверть всех срабатываний антифишинга. Можно отметить стабильность этой категории — с января ее доля практически не изменилась. Да и в целом интересы фишеров мало меняются. По сравнению с февралем самым заметным изменением в рейтинге стало увеличение доли фишинговых атак на пользователей интернет-магазинов на 1%.
Доли остальных категорий в рейтинге изменились по сравнению с прошлым месяцем незначительно — в пределах 1%.
Тематические направления в спаме
Тематические категории спама в марте 2012 г.
Доля традиционного лидера нашего рейтинга, тематики «Образование», уменьшилась на 8,4%. В результате по итогам марта она заняла вторую строчку (16,6%). Несмотря на снижение доли лидирующей категории спама, доля заказного спама в марте увеличилась и практически достигла 60%. Этому способствовало увеличение количества писем других категорий заказного спама. В марте значительно увеличилась доля рекламы недвижимости (+5,9%) и отдыха и путешествий (+3,9%). Кроме того, более чем вдвое (+7,4%) увеличилась доля спама, относящегося к категории «Другие товары и услуги», которая в Рунете состоит в основном из рассылок малого и среднего бизнеса.
Доля партнерского спама в Рунете сократилась на 5% и составила треть всех спам-сообщений. Хотя лидирующая тематика партнерского спама — «Медикаменты» — заняла по итогам месяца первую строчку рейтинга (17%), ее доля уменьшилась по сравнению с прошлым месяцем на 2,7%.
Доли остальных тематик изменились в пределах 2,5%.
Заключение
По итогам месяца доля спама снизилась на 3,5%. Мы склонны связывать это уменьшение с успешной операцией по обезвреживанию ботнета Hlux/Kelihos, проведенной при участии специалистов «Лаборатории Касперского».
В марте спамеры, рассылающие вредоносный код, пополнили свой арсенал еще несколькими приемами. Спам по-прежнему опасен, несмотря на некоторое снижение доли вредоносных вложений, распространенных в почте в первый весенний месяц.
Самыми яркими темами, отраженными в мартовском спаме, стали день святого Патрика, Пасха и выпуск iPad3. Отметим, что тема праздников эксплуатировалась в основном для рекламы различных товаров, в то время как новинка от Apple стала новой приманкой в разнообразных мошеннических рассылках.
Как мы и предполагали, доля партнерского спама в Рунете сохраняется на достаточно высоком уровне — около трети всех сообщений. Доля заказного спама по сравнению с февралем увеличилась и практически достигла 60%, однако к лету мы предполагаем уменьшение доли заказных рассылок и, соответственно, рост количества сообщений, содержащих саморекламу спамеров и партнерского спама.
Авторы
От тех же авторов
В той же категории
Спам в марте 2012 года