Отчеты по спаму и фишингу

Спам в марте 2014

Особенности месяца

В марте спамеры рассылали не только традиционный рекламный праздничный спам, но и пытались выманивать у пользователей социальных сетей персональную информацию с помощью сообщений на праздничную тематику.

Среди наиболее активно распространяемой спам-рекламы в марте можно выделить предложения различной продукции для автолюбителей, недвижимости в Крыму, лингвистических услуг, а также услуг по улучшению офисной телефонной связи. Многие из таких рассылок встречались не только в Рунете, но и в иноязычном сегменте интернета.

Спам для автовладельцев

С каждым годом количество автолюбителей неуклонно растет, следовательно, растет и спрос на товары и услуги по обслуживанию автомобилей. В марте автошколы предлагали обучение потенциальным водителям, а компании, специализирующиеся на страховании, диагностике и охране авто, пытались привлечь новых клиентов заманчивыми предложениями и обещанием экономии внушительных сумм денег. Для рекламы спамеры использовали как графические рисунки с контактными данными, так и текстовое описание со ссылкой на соответствующий сайт.

Крымская недвижимость

В спам-трафике Рунета предложения продажи или сдачи в аренду недвижимости встречаются достаточно часто. Для привлечения внимания получателя в рассылках, рекламирующих недвижимость, обычно упоминается, что предложение выгодное, а количество объектов ограничено. В марте мы зафиксировали несколько рассылок с предложением покупки недвижимости в Крыму, спрос на которую резко вырос в свете последних событий. Но не стоит забывать, что и такие предложения могут оказаться мошенническими.

Праздники в спаме

В начале марта в спаме Рунета мы продолжили фиксировать предложения, приуроченные к женскому празднику. Помимо традиционной рекламы цветов, в качестве подарка представителям прекрасной половины человечества спамеры предлагали не только украшения и меховые шубы, но и фейерверки.

В спаме, посвященном празднованию Пасхи, рекламировались сладкие подарки и сувениры, оформленные в традиционной пасхальной тематике.

Отметим, что количество спама, приуроченного к Пасхе, в марте было невелико, однако в апреле мы ожидаем увеличение количества спама данной тематики, оформленного с использованием пасхальной символики.

Лингвистический спам

В марте в русскоязычном спаме активно предлагались всевозможные методы изучения иностранных языков. В целом, такие рассылки можно свести к трем основным видам:

  • Предложения «выучить онлайн любой язык» через Skype, выбрав программу обучения (например, бизнес-курс, школьный уровень, подготовка к специализированным экзаменам и т.д.). Для связи указывался телефонный номер, часто зашумленный. Имя отправителя при этом представляло собой бессвязный набор букв. Ни названия центра/школы, предоставляющего данные услуги, ни хотя бы имени преподавателя в письме не указывалось.
  • Реклама некого «эффективного способа изучения английского языка с минимальными затратами времени и максимальным результатом». Авторы таких сообщений обещали получателям раскрыть секрет уникальной методики самостоятельного обучения английскому языку. Помимо рекламного текста в письмах содержались постоянно меняющиеся короткие ссылки, ведущие на недавно созданный сайт с рекламой обучающего сборника на DVD с формой для онлайн-заказа.
  • Сообщения от конкретных центров иностранных языков с предложениями изучать один из предложенных в списке иностранных языков. Для заинтересовавшихся получателей имелся телефонный номер для связи с обучающим центром,. Для обхода антиспам-фильтров тексты сообщений зачастую зашумлялись смесью латиницы и кириллицы.

Телефония

В марте спамеры активно рассылали также рекламу различных способов сокращения затрат на телефонию. Большая часть таких рассылок была ориентирована на крупные компании. Получателям сообщений предлагалось, например, улучшить качество стационарной офисной связи, подключить городские телефоны с определенными кодами, совершать безлимитные международные звонки из любого города по самым низким тарифам.

Авторы некоторых рассылок дополнительно предлагали улучшить сигнал мобильной связи и мобильного интернета в квартире или на даче с помощью ретрансляторов сотовой связи эконом-класса. Получателям предлагалось отправить заявку, ответив на письмо, либо позвонить по указанному в некоторых случаях телефонному номеру.

Статистика

Доля спама в почтовом трафике

Доля спама в почтовом трафике

В марте спам составил 63,5% почтового трафика. Наибольший показатель уровня спама наблюдался в первую неделю марта (67,3%), затем доля спама в почте постепенно уменьшалась.

Географическое распределение источников спама

По итогам марта рейтинг стран — источников спама, распространяемого по всему миру, выглядит следующим образом.

Страны – источники спама в мире

Первое место в этом рейтинге принадлежит Китаю, на долю которого пришлось 24,6% разосланного спама, что на 1,7% больше показателя прошлого месяца. Далее следуют США: доля спама, разосланного из этой страны, составила 17% (на 2% меньше, чем в феврале). Замыкает тройку Южная Корея, откуда было разослано 13,6% мирового спама — на 0,8% больше по сравнению с прошлым месяцем. В целом на три первые страны рейтинга по-прежнему приходится более половины всего мирового спама.

На 4-й позиции расположилась Россия (6,5%), доля спама, разосланного из страны, незначительное уменьшилась — на 0,5%.

Не изменилось положение в списке следующих стран: Тайвань (6%), Индия (3,7%), Вьетнам (3,5%), Украина (2%). Их показатели также претерпели лишь незначительные изменения.

Япония (1,9%), чей показатель за месяц вырос лишь на 0,15%, переместилась с 10-го на 9-е место. Замыкает первую десятку по итогам марта Румыния (1,8%).

Стоит также отметить небольшое увеличение спамерской активности на территории Великобритании (1%), которая по сравнению с прошлым месяцем переместилась на 8 позиций вверх.

Источники спама в Рунете:

Страны – источники спама в Рунете

Лидером по количеству спама, разосланного пользователям Рунета, в марте остается Россия (17,3%), её показатель сократился на 2,5%. Второе место занимает Тайвань (13,2%): за месяц доля спама, разосланного из этой страны, увеличилась на 1,7%. На третьем месте по-прежнему Индия с показателем 11%.

На 4-й позиции, как и в феврале, расположился Вьетнам, откуда пользователям Рунета было разослано 9,2% спама, что почти на 1% больше, чем в феврале. Далее следуют Румыния (4,8%) и Украина (4%), чьи показатели практически не изменились по сравнению с итогами прошлого месяца.

Увеличение доли исходящего спама наблюдалось в Южной Корее, которая в рейтинге переместилась с 13-го на 9-е место. Показатель страны увеличился почти на 1% и достиг 2,6%. Замыкает десятку по итогам марта Сербия с показателем 2,2%.

Мы зафиксировали небольшое снижение доли спама из Казахстана, откуда пользователям Рунета было разослано 1,4% спама – на 0,3% меньше, чем в прошлом месяце.

Рейтинг марта пополнили Великобритания (1%) и Китай (0,9%).

Регионы – источники спама

Среди регионов лидером по распространению спама в марте осталась Азия (58%) – по сравнению с прошлым месяцем её доля увеличилась на 4%. Далее, как и прежде, следуют Северная Америка (17%) и Восточная Европа (15%). Показатели этих регионов сократились на 2,6% и 1,4% соответственно. Доля спама по остальным регионам практически не изменилась.

Вредоносные вложения в почте

В марте TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом.

TOP 10 вредоносных программ, распространяемых по электронной почте

Лидирующую позицию в рейтинге распространённых вредоносных программ, рассылаемых по почте, вновь занял Trojan-Spy.HTML.Fraud.gen. Напомним, что троянцы семейства Fraud.gen представляют собой поддельные HTML-страницы и рассылаются по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и т.д.

Вторую и десятую строки занимают представители также хорошо знакомого нам семейства сетевых червей Aspxor. Этот сетевой червь автоматически заражает сайты, скачивает и запускает другое ПО, собирает ценную информацию на компьютере, такую как сохраненные пароли, данные для доступа к почтовым и FTP-аккаунтам.

Далее следует Email-Worm.Win32.Bagle.gt. Этот почтовый червь рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также червь может загружать файлы из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку.

На четвёртой и девятой строках расположились Trojan-Spy.Win32.Zbot.saps и Trojan-Spy.Win32.Zbot.sapp. Zbot – троянец, специализирующийся на краже конфиденциальной информации. Зловред Zbot.saps, помимо своего основного функционала, также устанавливает на зараженную машину руткит Rootkit.Win32.Necurs (или Rootkit.Win64.Necurs), который при успешной установке мешает работе различных антивирусов и прочих защитных решений компьютера.

На шестой позиции расположился представитель семейства Bublik. Это обычный троянец-загрузчик, который закачивает вредоносные файлы на компьютер пользователя с их последующим запуском.

Шестое и седьмое места занимают Backdoor.Win32.Androm.dpqs и Backdoor.Win32.Androm.dqpi. Зловреды семейства Andromeda – бэкдоры, позволяющие злоумышленникам незаметно управлять зараженным компьютером. Часто зараженные такими программами компьютеры становятся частью ботнета.

Распределение срабатываний почтового антивируса по странам

В рейтинге стран по количеству срабатываний почтового антивируса лидирующую позицию по-прежнему удерживают США (-1,02%), Великобритания и Германия занимают второе и третье места соответственно.

Россия переместилась с 12-го на 16-е место, снизилась при этом и доля срабатывания почтового антивируса (-0,82%). Также заметно уменьшилась доля срабатывания почтового антивируса в Австралии (-0,75%), которая по итогам марта поднялась с 7-го на 10-е место. Доля срабатываний почтового антивируса в других странах существенных изменений в марте не претерпела.

Особенности вредоносного спама.

В марте немало вредоносных вложений рассылалось от имени различных известных финансовых организаций, деятельность которых связана с налоговыми сборами. Такие сообщения приходили под видом платежных извещений от налогового органа, требований об уплате налога или уведомлений о незаявленных доходах налогоплательщика.

Часто в письмах дополнительно указывались такие данные, как, например, ID налогоплательщика, вид налога (в приведенном ниже примере – налог на прибыль), номер документа для ссылки или же сообщалось, что поданная ранее получателем налоговая декларация была поддельной.

Чтобы узнать подробности, получателю предлагалось открыть приложенный отчет, а нередко заполнить приложенную форму документа. Во всех случаях необходимые документы якобы находились во вложенном архиве, но на самом деле вместо них в этом архиве находился вредоносный исполняемый файл.

Так, например, в подобных сообщениях мы обнаружили троянцев, детектируемых «Лабораторией Касперского» как Trojan-PSW.Win32.Fareit.aoee и Trojan.Win32.Bublik.buya. Зловреды первого семейства крадут cookies браузеров, пароли от FTP-клиентов и почтовых программ, а затем отсылают эти данные на удаленный сервер злоумышленников. Зловреды второго семейства занимается закачиванием вредоносных файлов на компьютер пользователя с их последующим запуском.

Фишинг

В рейтинге атакованных фишерами категорий организаций по-прежнему лидируют социальные сети (23,5%), их показатель по итогам марта уменьшился на 3,8%. Вторую строчку занимают почтовые сервисы (16,6%). Показатель поисковиков (14,4%) уменьшился на 2%, как и доля атак на финансовые и платежные организации (-3,5%). При этом поисковики вернулись на третью строчку в рейтинге, сместив финансовые и платежные организации на 4-е место. Доля фишинговых атак на онлайн-магазины увеличилась на 8,9%, в результате категория поднялась на две строчки вверх и по итогам месяца занимает 5-е место в рейтинге. Показатель телефонных и интернет-провайдеров незначительно увеличился, однако категория опустилась на 6-ю строчку.

Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Банки Германии часто становятся мишенью фишеров. В марте мы зарегистрировали очередную мошенническую рассылку, направленную на кражу персональной банковской информации пользователей интернет-банкинга. В письме, разосланном от имени сотрудника банка, сообщалось, что онлайн доступ к учетной записи получателя истекает в ближайшее время. Для продолжения пользования услугой онлайн-банкинга пользователю предлагалось пройти по ссылке, которая на самом деле вела на фишинговую страницу. Там пользователь должен был ввести не только данные, необходимые для входа в систему онлайн-банкинга, но и свои персональную информацию.

Поддельная страничка имитировала оформление официального сайта банка. Само фишинговое письмо не содержало элементов оформления (логотип банка, автоподпись и т.д.), которые обычно используются мошенниками для придания письмам легитимного вида. Отметим, что в адресе отправителя доменное имя сервера, указанное после знака @, принадлежало национальному научно-исследовательскому совету Канады, который никак не связан с банковской организацией.

Заключение

Доля спама в мировом почтовом трафике в марте уменьшилась на 6,4% и составила 63,5%. Общее количество праздничного спама также сократилось по сравнению с предыдущим месяцем. Мы продолжили фиксировать предложения, приуроченные к женскому празднику, с традиционной рекламой цветов, а также предложениями приобрести украшения, меховые шубы и даже фейерверки.

В марте в Сети рассылалось огромное количество рекламных предложений по обучению иностранным языкам с использованием всевозможных авторских методик, а также с услугами переводческих агентств. Также немало рассылок содержали информацию о методах оптимизации телефонной связи для крупных и средних компаний.

Тройка лидеров среди стран — источников спама, распространяемого по всему миру, выглядела в марте следующим образом: Китай (24,6%), США (17%), Южная Корея (13,6%). Среди регионов лидером по распространению спама остается Азия (58%).

Для рассылки сообщений, содержащих вредоносные вложения, злоумышленники прибегли к поддельным уведомлениям не только от известных банков, но и от иных финансовых организаций, чья деятельность, например, связана с начислением и сбором налогов.

По итогам марта рейтинг категорий организаций, атакованных фишерами, по-прежнему возглавляют социальные сети. Второе место удерживают почтовые сервисы, на третью позицию поднялись поисковики. Существенно вырос показатель онлайн-магазинов, которые поднялись с седьмой на пятую позицию.

Спам в марте 2014

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике