Отчеты по спаму и фишингу

Спам в ноябре 2013

Особенности месяца

В ноябре, несмотря на ожидаемое затишье на рынке труда, связанное с приближающимся окончанием финансового года, мы зафиксировали большое количество рассылок с предложениями работы как разового, так и постоянного характера. Такой спам зачастую не содержал практически никаких сведений о потенциальном работодателе или вакансиях. Немало рассылок в прошлом месяце было посвящено зимнему отдыху, а также планированию отпусков на грядущие новогодние праздники и рождественские каникулы. Спамеры также продолжили эксплуатировать трагические события с целью обмана пользователей, рассылая мошеннические письма с просьбой оказать денежную помощь пострадавшим от тайфуна на Филиппинах.

Праздники продолжаются

Подготовка к праздникам набирает обороты и, как следствие, количество «новогоднего» и «рождественского» спама продолжает увеличиваться. В Рунете в ноябре спамеры рассылали письма с  предложениями праздничных туров и срочного изготовления шенгенских виз, а также услуг по организации и проведению новогодних праздников и корпоративных мероприятий. Как и в прошлом году, во многих «праздничных» рассылках  для привлечения внимания пользователей и обхода спам-фильтров использовались графические изображения. По сути некоторые письма состояли только из картинки, на которой были перечислены предлагаемые товары или услуги и указаны контактные данные для связи. Отметим, что традиционно предновогодний графический спам оформляется в праздничном стиле, а также в виде поздравительных открыток.

 

Пожертвуйте в пользу… мошенников

Трагические события, где бы они ни происходили, традиционно становятся для спамеров очередным поводом заработать: мы регулярно обнаруживаем рассылки, использующие сообщения о терактах, природных и техногенных катастрофах для выманивания денег у пользователей. При этом мошенники часто пишут письма от имени представителей различных гуманитарных организаций или рассказывают о совместной с ними работе по оказанию помощи пострадавшим. В ноябре 2013 года мошенники рассылали нигерийские письма от имени организации «Красный Крест» и обращались к получателю с просьбой помочь жителям Филиппин, ставших жертвами тайфуна.

 

Чтобы получатель не заподозрил неладное, мошенники на этот раз не стали просить конкретную сумму денег, а подчеркнули, что даже самая малая сумма будет огромным вкладом. При этом письмо пришло с фальшивого адреса организации, а для обратной связи с лжепредставителем «Красного креста» были указаны телефон и личный адрес электронной почты, зарегистрированный совсем на другом домене. Кроме того, мы очень редко встречаем мошеннические письма, ссылка в которых ведет на HTML-страницу, содержащую детальную информацию о происшествии и пожертвовании, но в обнаруженных нами в ноябре сообщениях ссылка вела именно на страницу с видеозаписями бедствия и дополнительной информацией о переводе денег. Для убедительности  мошенники добавили в текст ссылку на официальный сайт «Красного креста».

Призрачные вакансии

Обычно конец осени и начало зимы сопровождаются небольшим затишьем на рынке труда. В этот период компании подводят финансовые итоги и строят планы на следующий год, при этом поиск новых сотрудников ведется не столь активно. Однако в ноябре мы продолжили фиксировать большое количество спамерских рассылок с предложениями работы. И это были отнюдь не официальные сообщения о новых вакансиях от известных компаний интернет-рекрутмента.

 

В рассылавшихся в Рунете сообщениях  нередко отсутствовали данные о компании или вакансии, на которую приглашался пользователь. Получателю лишь предлагалось позвонить по указанному мобильному телефону и записаться на собеседование. Встречались нам и письма с предложениями разового заработка. А некоторые злоумышленники использовали данную тематику для рассылки вредоносных сообщений. Заинтересовавшись таким письмом и опрометчиво пройдя по указанным ссылкам, получатель рисковал загрузить на свой компьютер вредоносное ПО и впоследствии лишиться важных данных, хранящихся в его системе.

Зимний отдых

Уже не за горами новогодние праздники, и многие люди стараются совместить их с отпуском. Именно поэтому в конце осени резко возрастает количество спам-рассылок с предложениями различных туров и путешествий на период новогодних каникул. Не стал исключением и прошедший ноябрь.

 

Помимо традиционно популярных в это время года горящих путевок в теплые края мы фиксировали большое количество предложений с вариантами типичного зимнего отдыха: катание на снегоходах и сноубордах, отдых на горнолыжных курортах, а также экскурсии и лыжные прогулки по лесам. Кроме того, нам часто встречались предложения встретить грядущие праздники в отелях и базах отдыха, где гостя ждали праздничный банкет и насыщенная программа встречи Нового года, ориентированная на различные возрастные категории.

Географическое распределение источников спама

Доля спама в почтовом трафике

 
Доля спама в почтовом трафике

На протяжении первых трех недель ноября доля спама постепенно увеличивалась, однако к концу месяца снова снизилась, и в результате доля спама в ноябре составила в среднем 72,5% почтового трафика.

Страны – источники спама

 
Страны – источники спама в мире

По итогам ноября 2013 года список стран — источников спама, распространяемого по всему миру, не претерпел практически никаких изменений. Первое место  на протяжении уже нескольких месяцев удерживает за собой Китай (23,3%), чья доля выросла на 2%. Далее следуют США (18%) и Южная Корея (14,5%), показатели этих стран изменились незначительно. Четвертую позицию занимает Тайвань (6,6%), на пятом – по-прежнему Россия (5,4%), чей показатель вырос на 1,4%.

Наблюдалось небольшое уменьшение (-1%) доли спама,  разосланного из Украины (2,9%), в ноябре страна потеряла одну позицию, переместившись на 8-ю строчку. Мы также зафиксировали небольшое сокращение доли спама, разосланного из Канады (-0,4%), в результате страна покинула первую десятку, уступив свое место Японии (+0,9%).

Замыкает десятку Румыния (1,6%), прибавившая 0,2% и переместившаяся на три позиции вверх.

Ситуация со спам-потоками в Рунете по итогам ноября претерпела лишь незначительные изменения. Лидером среди стран – источников спама в Рунете осталась Россия (16,1%), ее доля практически не изменилась (-0,3%). Тайвань (11,7%) и Вьетнам (11%) по отношению к прошлому месяцу поменялись позициями, расположившись на второй и третьей строчках соответственно. Это произошло вследствие уменьшения на 2% доли спама, разосланного из Вьетнама.

 
Страны – источники спама в Рунете

Внутри остальной десятки зафиксировано лишь небольшое изменение: поменялись местами Румыния (4,5%) и США (3,9%). Доли обеих стран увеличились, но Румыния прибавила 0,9% и теперь занимает 6-ю строчку, тогда как США прибавили 0,2% и передвинулись на 7-ю строчку. Замыкает десятку по-прежнему Италия (2%), доля спама из которой уменьшилась на 0,5%.

Стоит также отметить небольшое увеличение спамерской активности в Израиле и Иране. В этом месяце обе страны также вошли в наш список, из них в Рунете было разослано по 1% спама.

 
Регионы – источники спама

Не изменилась ситуация и среди регионов, где лидерами по распространению спама в ноябре остаются Азия (+2,6%), Северная Америка (+0,5%) и Восточная Европа (-2,3%). Далее по-прежнему следуют регионы Западная Европа (-0,7%) и Латинская Америка (-0,02%).

Вредоносные вложения в почте

В ноябре TOP 10 вредоносных программ, распространяемых по почте, выглядел следующим образом:

 
TOP 10 вредоносных программ, распространяемых по электронной почте

Первое место вновь занял Trojan-Spy.HTML.Fraud.gen. Зловред представляет собой поддельную HTML-страничку для ввода данных, которые затем отправляются напрямую злоумышленникам. Trojan-Spy.HTML.Fraud.gen обычно рассылается под видом важного сообщения от крупных коммерческих организаций, банков, интернет-магазинов и проч.

Уже хорошо знакомые вредоносные программы семейства Bublik в ноябре не сдали своих позиций и снова заняли целых четыре позиции нашего списка (2-я, 3-я, 8-я и 10-я строчки соответственно). Все вошедшие в TOP 10 программы этого семейства представляют собой обычные троянцы-загрузчики, которые занимаются закачиванием вредоносных файлов на компьютер пользователя и их последующим запуском.

На четвёртом месте расположился вирус-червь Email-Worm.Win32.Bagle.gt, распространяющийся в виде вложений в электронные письма. После заражения он рассылает себя сам по всем найденным на компьютере адресам электронной почты. Основной задачей вируса является загрузка и запуск файлов из интернета без ведома пользователя.

Пятое и шестое места занимают Trojan.Win32.Buzus.ofhx и Trojan-Spy.Win32.Zbot.qsec – программы, используемые злоумышленниками для кражи с компьютеров пользователей различной банковской информации, например данных для авторизации в системе онлайн-банкинга. Как правило, такие вредоносные программы не производят никаких действий, заметных пользователю, и это значительно усложняет их обнаружение на компьютере-жертве, который не защищен антивирусной программой. Более того, с целью самозащиты программы этого семейства используют rootkit-технологии, которые позволяют им скрывать свои исполняемые файлы и процессы.

На седьмой строчке расположился зловред Trojan-Ransom.Win32.Gimemo.blyq – программа-шпион, которая крадет cookies браузеров, а также пароли от FTP-клиентов и почтовых программ, которые затем отсылает злоумышленникам.

 
Распределение срабатываний почтового антивируса по странам

В рейтинге по количеству срабатываний почтового антивируса на 1-е место в ноябре вышла Великобритания (12,3%) – страна прибавила 2,4%, в результате отодвинув Германию (11,2%) и США (10%) на 2-ю и 3-ю позиции соответственно.

Доля срабатываний почтового антивируса в других странах списка существенных изменений не претерпела. Можно лишь отметить Катар (1,5%), вошедший в ноябре в двадцатку. Доля срабатываний почтового антивируса на территории России уменьшилась до 1,9%.

Особенности вредоносного спама

В ноябре спамеры активно рассылали вредоносные программы  под видом сообщений голосовой почты. В большинстве случаев текст обнаруженных нами писем был составлен по одному шаблону: «Вы получили голосовое сообщение длиной ХХ минут ХХ секунд от компании/пользователя N: дата, время. Ваше голосовое сообщение находится во вложении к данному письму и может быть прослушано на большинстве компьютеров». Сообщение находилось в ZIP-архиве, который, как правило, назывался message.zip и на самом деле содержал  вредоносное ПО.

 

По той же схеме — под видом уведомлений о получении голосовой почты — рассылались письма от имени Skype, популярнейшего сервиса обмена сообщениями и организации видеозвонков. При этом в качестве имени отправителя использовалась фраза SkypeVoiceMessage, а адрес отправителя не имел ничего общего с известным сервисом и выглядел как автоматически сгенерированный набор букв. В деталях сообщения также указывалась длина голосового файла, а также дата и время якобы совершенного звонка. Само сообщение предлагалось прослушать, открыв приложенный ZIP-архив под названием Skype_Voice_Message-DB43D7B84C.zip. На самом деле в архиве находился зловред, детектируемый «Лабораторией Касперского» как Trojan-PSW.Win32.Tepfer.sjsm. Это программа-шпион, которая крадет cookies браузеров, а также пароли от FTP-клиентов и почтовых программ, которые затем отсылает злоумышленникам.

 

Фишинг

По итогам ноября рейтинг атакованных фишерами организаций не претерпел значительных изменений.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Как и в предыдущем месяце, тройку лидеров возглавляют социальные сети (26,9%), чей показатель уменьшился на 1,3%. Показатели почтовых сервисов (19,2%) и поисковых систем (16,5%) увеличились незначительно и по итогам ноября эти категории занимают 2-ю и 3-ю строчку соответственно.

Финансовые и платежные организации (16,1%) сохранили за собой 4-е место, доля атак на них продолжает увеличиваться – в ноябре рост составил 0,7%.

Показатель ИТ-вендоров (9,2%) увеличился на 2,2%, что позволило им подняться на 5-е место, сместив на 6-ю строчку телефонных и интернет-провайдеров, чей показатель по итогам месяца уменьшился на 2,9%.

В ноябре фишеры вновь обратили свое внимание на Australia and New Zealand Banking Group. У писем одной рассылки были разные адреса в поле From, темы сообщений и фишинговые ссылки, однако их содержание оставалось без изменений. Получателя просили подтвердить, были ли сделаны перечисленные ниже транзакции именно им, а не другим пользователем. Для входа в личный кабинет в письме указывалась ссылка, ведущая на фишинговую страницу, оформление и содержание которой имитировало страницу официального сайта Australia and New Zealand Banking Group. Информация, введенная пользователем на фишинговой странице, естественно, передавалась мошенникам.

Чтобы поддельное уведомление не выглядело как традиционное мошенническое письмо, в котором потенциальную жертву сразу пугают блокировкой аккаунта, фишеры на этот раз разместили подобное уведомление в самом конце письма. Отметим, что при беглом просмотре письма данную информацию можно не заметить. Для придания уведомлениям легитимного вида в поле From использовался официальный домен компании, а в конце письма стояла автоподпись банка.

 

Заключение

Доля спама в мировом почтовом трафике осталась без изменений и по итогам ноября составила 72,5%. Географическое распределение источников спама по сравнению с прошлым месяцем не претерпело значительных изменений.

Как мы и прогнозировали, спамеры активно рассылали праздничный спам, в том числе графический, посвященный Новому году и Рождеству. . Своего пика количество рождественского и новогоднего спама должно достичь в декабре.

Несмотря на затишье на рынке труда, немало спам-рассылок содержали предложения работы для потенциальных соискателей по всему миру.

С приближающимися праздниками и грядущим сезоном отпусков были связаны предложения различных туров и горнолыжного отдыха. Мы предполагаем, что такие спам-рассылки будут продолжаться и после праздников, в течение всего января.

В ноябре прошла серия мошеннических рассылок, эксплуатирующих нашумевшие трагические события. На этот раз спамеры пытались выманить у пользователей деньги под предлогом пожертвования пострадавшим от тайфуна на Филиппинах.

Значительная часть сообщений, содержащих вредоносное ПО, представляла собой подделки под уведомления о входящей голосовой почте. Здесь под прицел злоумышленников попал популярный сервис видеозвонков Skype.

Рейтинг атакованных фишерами организаций не претерпел заметных изменений. Показатель социальных сетей несколько уменьшился, тем не менее эта категория сохранила лидирующую позицию. Как мы и прогнозировали, продолжает расти количество атак на финансовые организации. В период предпраздничной суматохи следует быть особенно внимательными с различными уведомлениями от интернет-магазинов, служб бронирования, а также банков и платежных сервисов. Накануне праздников увеличивается количество покупок и финансовых операций в интернете, поэтому мошенники активно рассылают фишинговые уведомления, рассчитывая на невнимательность получателей.

Спам в ноябре 2013

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике