Отчеты по спаму и фишингу

Спам в октябре 2009

Особенности месяца

  • Доля спама в почтовом трафике по сравнению с сентябрем уменьшилась на 0,6% и составила в среднем 85,7%.
  • Ссылки на фишинговые сайты находились в 0,9% всех электронных писем, что на 0,1%, больше, чем в сентябре.
  • Вредоносные файлы содержались почти в 2% электронных сообщений (на 0,7% больше, чем в прошлом месяце).
  • Главными темами октября в спаме стали Новый год, Хеллоуин, выборы и осенний призыв.
  • Доля саморекламы спамеров стала меньше, чем до кризиса.
  • Для саморекламы спамеры использовали мини-видеофильмы.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в октябре 2009 года в среднем составила 85,7%. Самый низкий показатель месяца был зафиксирован 3 октября — 81,2%; больше всего спама было получено пользователями Рунета 18 числа — 89,7%.


Доля спама в Рунете в октябре 2009

Вредоносные программы в спаме

Вредоносные файлы содержались в 2% электронных сообщений, что на 0,7% больше, чем в прошлом месяце.


Вредоносные программы, содержавшиеся в спамерских сообщениях в октябре 2009

В десятке вредоносных программ этого месяца снова широко представлены троянцы семейства FraudLoad: в октябре они составили 27% распространенных в спаме вредоносных программ. Троянские программы этого семейства загружают на компьютер пользователя поддельные антивирусы.

Большое количество вредоносных программ, распространенных в спаме в октябре, было запаковано при помощи Krap. В десятке наиболее распространенных вредоносов наблюдается сразу 4 упаковщика этого семейства: Packed.Win32.Krap.ah , Packed.Win32.Krap.ad , Packed.Win32.Krap.w и Packed.Win32.Krap.x, обычно использующихся для упаковки Zbot’а и FraudTools. Krap.w и Krap.x используются также для упаковки Iksmas’a. Packed.Win32.Krap.w также используется для упаковки Bredolab, который, как и Zbot, входил в ТОP 10 прошлых месяцев.

Нами была зарегистрирована интересная рассылка, в письмах которой распространялся файл, запакованный при помощи Packed.Win32.Krap.w. Рассылка была подделана под уведомление от Facebook о том, что в целях безопасности пароль пользователя был изменен и новый пароль можно найти в приложении:

Примечательно, что наш старый знакомый — спам от DHL — подстроился под общую тенденцию и тоже рассылает теперь запакованные Krap’ом файлы.

Фишинг

Ссылки на фишинговые сайты находились в 0,9% всех электронных писем. В октябре тройка лидеров среди организаций, чаще всего подвергавшихся атакам фишеров, осталась прежней.


Организации, подвергнувшиеся фишинговым атакам в октябре 2009

Постоянно атакуемые злоумышленниками PayPal и eBay занимают первое (+1,6%) и третье (-3,4%) места рейтинга соответственно. Продолжаются и атаки на американских налогоплательщиков: IRS, занимающаяся налоговыми сборами в США, снова во второй строчке, а количество атак на нее увеличилось почти вдвое (+9,0%). Злоумышленники продолжают использовать эту организацию не только для выманивания личных данных, но и для распространения Trojan-Spy.Win32.Zbot.

В октябре наблюдались масштабные фишинговые рассылки, направленные на налогоплательщиков Великобритании. Об этом мы писали в нашем веблоге здесь и здесь.

Также наблюдался ряд фишинговых рассылок, направленных на пользователей электронной почты. При этом никакая конкретная почтовая система в письмах указана не была. Например, в одном из таких писем к адресату обращаются «дорогой пользователь электронной почты» и просят его прислать пароль для подтверждения регистрационных данных под угрозой блокировки аккаунта:

Отправив свой пароль, пользователь увеличит количества спама, так как передаст ключи от своего аккаунта в руки фишеров.

Страны — источники спама

В октябре почти треть мирового спама распространялась из США. По сравнению с прошлым месяцем вклад этой страны в мировой спам-трафик уменьшился на 3,5% и составил 29%. Бразилия осталась на втором месте — 5,6% (в сентябре — 6,0%). Из России, занявшей третью строчку в рейтинге, было отправлено 5,2% мирового спама (на 1,4% больше, чем в прошлом месяце). Четвертое, пятое, шестое и восьмое места заняли азиатские страны: Вьетнам (+0,6%, 4,8%), Индия (+0,9%, 4,4%), Корея (4,2%, без изменений) и Китай (-1,3%, 2,6%); седьмое место заняла Польша.

Тематический состав спама


Распределение тематик спама в Рунете в октябре 2009

Пятерка лидирующих спам-тематик октября:

  1. Образование — 26,4% (-1,2%)
  2. Реплики элитных товаров — 13,3% (+2,0%)
  3. Медикаменты; товары/услуги для здоровья — 12,6% (-0,1%)
  4. Отдых и путешествия — 8,3% (+0,9%)
  5. Компьютерное мошенничество — 7,1% (-0,2)

В пятерке лидирующих спам-тематик больших изменений не наблюдалось. Доля «образовательного» спама несколько уменьшилась. Заметим, что в начале месяца «образовательного» спама было больше, чем в конце: разница между первой и последней неделей составила почти 5%. Напомним, что «образовательный» спам — это в основном реклама семинаров для бухгалтеров и руководящего состава.

Реклама реплик элитных товаров и «медицинский» спам занимают второе и третье места соответственно. Эти две тематики поменялись местами по итогам месяца (в первую и последнюю неделю октября на второе место выходил спам медицинский).

В октябре тема Хеллоуина широко использовалась спамерами для рекламы различных услуг и товаров, в частности и в спаме «медицинской» тематики. Так, сайт, торгующий виагрой, был украшен символом этого «ужасного» праздника — тыковкой.

Реклама отдыха и путешествий постепенно набирает обороты. Писем, в которых предлагались различные поездки, в этом месяце было на 0,9% больше, чем в прошлом, что, видимо, связано с приближением новогодних каникул. Тема Нового года активно используется турагентствами, в том числе и теми, которые обращаются к услугам спамеров:

Не осталось незамеченным и приближение чемпионата мира по футболу. Предложения поехать в грядущем году в ЮАР и поболеть за свою команду, уже появились в спаме:

Доля компьютерного мошенничества снижается. В сентябре она уменьшилась на 0,3%, в октябре — еще на 0,2%. Все-таки процент мошеннических писем высок, что заставляет еще раз напомнить об осторожности.

К рубрике «Компьютерное мошенничество» мы относим и письма, которые рассылаются для того, чтобы вынудить пользователя отослать SMS-сообщение на дорогой короткий номер. Спамеры или те их заказчики, которые инициируют подобные рассылки, заключают договор с оператором связи и получают доход от таких сообщений. Мошенническими являются ситуации, в которых предлог, под которым пользователя просят выслать сообщение, является вымышленным. Так, пользователю могут пообещать в письме несуществующий приз, для получения которого, якобы, следует выслать SMS-сообщение, могут угрожать закрытием аккаунта, с которого, якобы, рассылается спам и так далее. Кроме того, как правило, настоящая стоимость сообщения (около 300 рублей) замалчивается. В нашем веблоге мы писали о том, что сообщения такого типа циркулируют уже и в социальных сетях.

Этот вид мошенничества придуман спамерами полтора-два года назад. В какой-то момент казалось, что он уже изжил себя. Но не тут-то было: способ «заработать» легкие деньги только набирал силу, и последнее время такая корреспонденция встречается в спам-потоках все чаще. Большая часть ее — уже не отдельные рассылки, а составная часть так называемой «партнерки», то есть единой системы, которая в данном случае специализируется на отмывании денег, полученных с введенных в заблуждение людей. Среди большого разнообразия таких писем встречаются, в частности, такие, в которых предлагается по номеру телефона найти близких или получить доступ к сообщениям на чужом мобильном телефоне:

Хотя до сих пор встречаются и одиночные рассылки. В одной из них пользователю предлагалось отправить SMS-сообщение, чтобы получить приз в розыгрыше, проведенном в связи с десятилетием портала Mail.Ru. Якобы почтовый ящик адресата стал 1 355 355-м в этой системе.

На самом деле почтовая служба отмечала 10-летний юбилей год назад, 15 октября 2008 г. И уже в прошлом году спамеры пытались использовать этот предлог, разослав точно такую рассылку. К слову сказать, непонятно, чем так примечателен 1 335 335-й участник системы, если, по последним данным, только Mail.Ru Агентом пользуется около 10 000 000 человек.

Важно отметить, что SMS-мошенники не просто активизировались. Испробовав когда-то новый прием на одиночных рассылках, они почувствовали безнаказанность и теперь, придав таким рассылкам куда более массовый характер, пытаются выманивать у пользователей все большие суммы денег. Лучший метод борьбы с такими мошенниками — ужесточение правил выдачи тех самых «коротких номеров», которые в России пока может арендовать любой желающий.

Говоря о компьютерном мошенничестве, следует отметить появление спамерских писем, использующих тему Windows 7. Как правило, такие сообщения снабжены скандальными либо рекламными заголовками. Первые трубят о том, что новое детище Microsoft – это подделка, что оно поставляется с вирусами или может нанести вред компьютеру. Вторые предлагают купить новую операционную систему за четверть, а то и за десятую часть цены. Пользователь, заинтересовавшийся «горячей новостью» или «горячей ценой», сильно рискует, так как все эти письма распространяются либо для фишинга, либо для распространения зловредов.

Снова снизилась, на 1,7%, доля рубрики «Другие товары и услуги» (сюда входят письма, рекламирующие товары и услуги реального сектора экономики). Тем не менее, этих писем достаточно много в общем потоке спама (8,8%), что говорит о наличии спроса на спамерские услуги со стороны малого и среднего бизнеса.

В октябре часть такого спама была связана с грядущими новогодними праздниками, а также с уже минувшим Хеллоуином. Так, уже начались рассылки, предлагающие новогодние подарки:

О разнообразном спаме, связанном с Хеллоуином, мы рассказывали в нашем веблоге.

Кроме того, горячей темой в спаме прошедшего месяца стал осенний призыв, начавшийся первого октября. Разнообразные предложения, связанные с отмазкой или с «юридической помощью» в том случае, если отмазка не сработала, часто встречались в почтовых ящиках пользователей Рунета:

Много было и спама, связанного с политическими темами. Выборы в региональные органы власти, в том числе в Москве, грядущие выборы президента Украины, а также статья президента России Дмитрия Медведева » Россия, вперед!» всколыхнули общественность до такой степени, что даже спамеры начали выражать свою гражданскую позицию:

В то же время реклама самих спамеров, то есть рассылок, в которых они рекламируют свои услуги в спам-потоках, становится меньше. Обозначившаяся в августе тенденция укрепляется, и в октябре эта рубрики потеряла почти процент (-0,9%). Теперь ее доля составляет лишь 4,1%, что ниже докризисных показателей (!). Так как на спам-бизнес, как и на всякий другой, кризис влиял негативно (в связи с чем спамеры и использовали простаивавшие без заказов мощности для усиления собственной рекламы), такую тенденцию можно расценить как свидетельство если не полного оздоровления экономики в целом, то по крайней мере как симптом того, что спам-бизнес из кризиса вышел.

Спамерские методы и трюки

В октябре для рекламы собственных услуг спамеры использовали красивый трюк: они разослали не картинки, а ссылки на различные короткие видеофильмы, размещенные на Youtube.

Для обхода спам-фильтров спамеры продолжают использовать различные картинки. Ранее с их помощью рассыльщики оформляли в основном свою собственную рекламу. В октябре в виде картинок была оформлена реклама разнообразных товаров и услуг, например — пошива одежды:

Текст, написанный поверх изображения, в ряде случаев почти сливался с самой картинкой и становился практически нечитаемым.

Снова применяется незатейливая техника зашумления текста несвязанными друг с другом словосочетаниями и произвольными наборами букв. Оба трюка зачастую объединяются в одном письме:

В октябре были распространены англоязычные письма, которые выглядели для пользователя совершенно незамысловатым образом:

Трюк этого письма состоял в том, что ради того, чтоб сделать каждое письмо этой рассылки уникальным в html-код были вставлены произвольные символы и целые блоки из знаков «тире» в разном количестве и в разных местах.

Заключение

В октябре не произошло каких-либо неожиданных перемен ни в распределении спамерских тематик, ни в количестве фишинга в спамерских сообщениях. Это говорит о том, что ситуация в спам-бизнесе стабилизировалась.

Интересно отметить, что свою собственную рекламу спамер строит уже не так, как строил в период рецессии, когда он обращался преимущественно к возможным новым клиентам, а главным аргументом была дешевизна этого вида рекламы, особенно актуальная во время кризиса. Тогда, агитируя новичков, спамеры были очень озабочены тем, чтобы «обелить» свой бизнес, — усердно рассылали письма про «десять мифов о спаме» и тому подобное.

Теперь, рекламируя свои услуги, они обращаются уже, скорее, к своим постоянным клиентам, и их реклама снова приобретает характер напоминания, а не агитации.

В дальнейшем мы ожидаем развития темы Windows 7 в мошенническом спаме, а также, разумеется, увеличения количества новогоднего спама и спама, связанного с выборами президента на Украине.

Спам в октябре 2009

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике