Отчеты по спаму и фишингу

Спам в октябре 2010 года

Октябрь в цифрах

  • Доля спама в почтовом трафике по сравнению с сентябрем уменьшилась на 3,7% и составила в среднем 77,4%.
  • Доля фишинговых писем составила 0,87% от всей почты.
  • Вредоносные файлы содержались в 1,47% электронных сообщений, что на 2,86% меньше, чем в прошлом месяце.

Обзор главных событий месяца

Законодательство в действии

Несколько слов о деле Зевса

Как мы уже сообщали, в самом конце сентября были проведены массовые аресты участников группировки, распространяющей вредоносную программу ZeuS. Это привело к тому, что уровень детектирований этой вредоносной программы в США и Великобритании 30-го сентября, то есть в день, когда было объявлено об арестах, упал до минимальных значений. В октябре наблюдалась следующая картина: по данным Kaspersky Security Network в США затишье в распространении этого вредоносного ПО продлилось всего 2 недели, а вот в Великобритании почтовый антивирус в течение всего месяца детектировал этот зловред не чаще 10 раз в день в течение всего месяца. Данные представлены на диаграмме ниже:


Уровень срабатываний почтового антивируса на вредоносных
программах Trojan-Spy.Win32.Zbot и Trojan-Dropper.Win32.Zbot в сентябре
и октябре 2010 в Великобритании и США

На графике видно, с какой частотой «Зевс» вбрасывался в почтовые ящики пользователей США и Великобритании до 30 сентября, — промежутки между рассылками не превышали четыре дня. После арестов участников преступного интернет-бизнеса уровень детектирования ZeuS в Великобритании так и не восстановился, а в США промежуток между вбросами продлился почти две недели.

Все это говорит о том, что усилия правоохранительных органов не прошли даром, и для того чтобы защитить пользователей от спама и вредоносных программ, действительно нужны усилия не только со стороны компаний, занимающихся IT безопасностью, но и со стороны правительств и различных силовых структур разных стран.

О Bredolab

Удар по зомби-сети

В октябре, как и в сентябре, самое громкое событие в мире спама пришлось на конец месяца. Правоохранительные органы Голландии нанесли ряд мощных ударов по ботсетям, построенным из компьютеров, зараженных вредоносной программой Bredolab. В общей сложности, в конце октября было обезврежено 143 командных центра, и арестован один человек, подозреваемый в управлении ботнетами. 27-летний Георгий Аванесов был объявлен в розыск по линии Интерпола властями Нидерландов и арестован 26 октября в Ереванском аэропорту. Заметим, что арестованный является гражданином России.

Что за зверь такой сам Bredolab?

История Backdoor.Win32.Bredolab началась летом прошлого года, когда программа появилась на свет. Она сразу заинтересовала как вирусных, так и спам- аналитиков. С начала лета в антиспам-лабораторию стали поступать письма, содержавшие ссылки на взломанные легитимные сайты. Анализ одного из таких сообщений вылился в статью Сергея Голованова и Игоря Суменкова «Фабрика наживы«, опубликованную в сентябре 2009 года. В статье подробно рассмотрена схема, которая использовалась злоумышленниками для распространения Bredolab и для дальнейшего получения денег. В тот момент основным путем распространения вредоносной программы были drive-by загрузки, производившиеся с зараженных сайтов. Однако уже в августе 2009 злоумышленники использовали и другую возможность распространения зловреда, а именно — с помощью вложений в электронные письма. Тогда доля различных модификаций Backdoor.Win32.Bredolab составила более 30% от всех вредоносных вложений.

Ботнет Bredolab чаще всего используется для рассылки спама, организации DDoS-атак, кражи данных и распространения других вредоносных программ. Интересно, что еще летом 2009 года Bredolab получил команду на загрузку спам-ботов: Rustock (Backdoor.Win32.HareBot) и Pushdo (Backdoor.Win32.NewRest.aq). В дальнейшем именно спам-ботнет Pushdo оказался главным распространителем Backdoor.Win32.Bredolab.

Bredolab и спам-трафик

Конечно, закрытие командных центров крупной зомби-сети должно сказываться как на количестве спама, так и на его тематическом составе. Однако последствия таких атак на киберкриминал, к сожалению, не носят долгосрочного характера. Здесь можно вспомнить бесславный конец McColo, в результате которого количество спама в сети значительно снизилось… но лишь на короткое время. Вот и в случае с Bredolab мы не ожидали значительного, а тем более длительного, уменьшения доли спама в почтовом трафике. В целом, так и произошло:


Доля спама в октябре 2010

На графике видно, что самый низкий уровень замусоренности почтовых потоков наблюдался с 26 по 29 октября. В эти дни доля спама едва превышала 70%, что на 8-9% ниже обычного показателя. Однако уже 31 октября уровень спама приблизился к своим обычным восьмидесяти процентам.

Отметим, что в течение последних месяцев уровень спама имеет тенденцию к снижению. Так, в октябре среднее количество спама до 26-го числа составляло 78,7%, что ниже среднемесячного показателя сентября на 2,4%.

Теперь поговорим об изменении в тематическом составе спама. Важным изменением, связанным с закрытием командных центров зомби-сети, стало кратковременное уменьшение количества спама, содержащего вредоносные вложения.


Доля рассылок с вредоносными вложениями в почте в октябре 2010 года

Как видно на графике, наиболее активно вредоносный код во вложениях рассылался в начале месяца. В общей сложности более 30% всех срабатываний почтового антивируса в октябре пришлось на период с 1 по 6 октября. Этот период отмечен на графике красной линией. Здесь же тонкой красной линией отмечена аномалия этого периода: обычно рассылка вредоносного кода на выходные снижает обороты, однако второго октября, в субботу, отмечена самая высокая активность рассылки вредоносного кода за весь месяц.

Стрелками фиолетового цвета на графике помечены выходные дни.

Голубой стрелкой отмечен спад активности рассылки вредоносных вложений 28 октября, пришедшийся на следующий день после закрытия командных центров Bredolab.

Поскольку мощности ботнета зачастую направлялись на рассылку медицинского спама, после закрытия командных центров зомби-сети этого спама стало меньше. Однако в октябре произошли и другие события, отразившиеся на количестве фармацевтического спама в Сети.

SpamIt, Glavmed… кто следующий?

Как мы писали в нашем предыдущем отчете, на уровне фармацевтического спама сказалось объявленное в сентябре и совершившееся 1 октября закрытие партнерской программы SpamIt. В конце месяца произошло еще одно, пожалуй, не менее значительное, событие — 26-го числа следственное управление при УВД по Центральному административному округу Москвы нанесло удар по партнерской программе GlavMed. В этот день было возбуждено уголовное дело против гендиректора ООО «Деспмедия» Игоря Гусева, по всей видимости, стоящего за этой партнеркой. Больше подробностей о юридической стороне вопроса можно узнать из блогпоста Дарьи Гудковой «УВД против фармы«, мы же более подробно рассмотрим изменения, затронувшие спам.

Помимо количественных изменений в спам-трафике, совпавших по времени с арестом Гусева, но связанных, скорее, с закрытием Bredolab, произошли и качественные изменения, уже упомянутые выше.


Изменения в распределении спамерских писем разной тематики, распространенных
в рамках партнерских программ в октябре 2010

На графике показано, как менялась доля спамерских писем различной тематической направленности, распространяемых в сотрудничестве с партнерскими программами. Первое, что обращает на себя внимание — это то, что количество фармацевтического спама в целом уменьшилось по сравнению с прошлым месяцем. В то же время, локальное увеличение количества такого спама в середине месяца — интересная особенность октября. Складывается ощущение, что спамеры пришли в себя после закрытия SpamIt и снова решили вернуться к рассылке виагры, однако уже спустя несколько дней начался шум вокруг Игоря Гусева, и доля фармацевтических рассылок снова снизилась.

Снижение количества вредоносного спама, как видно на графике, началось еще в начале октября. В конце месяца оно достигло минимального уровня за последний квартал.

Однако свято место пусто не бывает. Потеряв часть дохода от медицинского и вредоносного спама, спамеры постарались изыскать другие возможности получения прибыли от эксплуатации своих мощностей. Так, во второй половине октября стала нарастать доля рассылок, рекламирующих онлайн-казино. В начале месяца увеличилась и доля писем с рекламой реплик элитных товаров. Спам для взрослых еще с сентября утвердился на отметке 4-5%, — видимо «пикантные» рассылки нашли не только своего распространителя, но и своего покупателя.

Дело Мэтью Андерсона

В Великобритании, тем временем, совместными силами лондонской и финской полиции продвигается расследование по делу шотландца Мэтью Андерсона. Приговор обвиняемому будет вынесен лишь в конце ноября, но уже сейчас ясно, что он будет обвинительным. Господин Андерсон уже признал вину по части предъявленных ему обвинений.

На вопрос «кто такой мистер Андерсон», правоохранительными органами Великобритании был получен нетривиальный ответ. Арестованный, по всей видимости, является ключевым игроком преступной кибергруппировки m00p.

С помощью спама обвиняемый распространял вредоносные программы, которые использовал для кражи различных регистрационных и личных данных. Кроме прочего, Андерсон следил за своими жертвами через их web-камеры.

Основными целями преступника были пользователи и организации на территории Великобритании.

Компенсация Facebook’у

В Канаде, тем временем, правоохранительные органы обратили внимание на спам в социальных сетях. А точнее в одной социальной сети — Facebook. Именно через это популярное интернет-сообщество рассылал свой спам Адам Гербец (Adam Guerbuez) — гражданин Монреаля, приговоренный к выплате крупной компенсации.

Размер компенсации составил более 1 миллиарда канадских долларов. Эти деньги преступник должен выплатить социальной сети в качестве компенсации ущерба. В общей сложности господин Гербец разослал в социальной сети почти 4,5 миллиона сообщений всего за два месяца.

Неудивительно, что владельцы Facebook были не слишком довольны, — вместо того чтобы отправлять легитимные сообщения, их серверы работали на спамера, надоедающего их пользователям.

Борьба со спамом в Восточной Европе

Развивается борьба со спамом и в Восточной Европе. Так, на Украине чиновники приняли решение расширить Правила предоставления телекоммуникационных услуг, содержащие определение спама. По их мнению существующее определение подходит лишь для определения спама в электронной почте, в то время как спам в настоящее время активно распространяется и через средства мобильной связи — с помощью SMS и MMS.

Теперь массовые, незапрошенные абонентами, рассылки текстовых и мультимедийных сообщений по средствам мобильной связи на Украине также будут трактоваться как спам.

Гарри Поттер: охота на пользователя началась

17 ноября 2010 года состоится премьера долгожданного продолжения телесаги о Гарри Поттере. Премьера шестой части, прошедшая в июле 2009 года не вызвала большого ажиотажа у спамеров. Вероятно, это было связано с тем, что весть о смерти Майкла Джексона воспринималась в тот момент куда острее. На этот раз никакое громкое событие не отвлекло спамеров от сказочной премьеры.

Уже в десятых числах октября пользователи увидели в своих ящиках письма, эксплуатирующие тему выхода нового фильма.


Премьера фильма «Гарри Поттер и Дары смерти» в спаме

Рассылка предлагала пользователям бесплатные билеты на премьеру. Чтобы получить счастливую возможность увидеть фильм в числе первых, пользователю всего-то и нужно было, что нажать на кнопку «Submit» и передать адрес своей электронной почты и ряд других персональных данных спамерам.

Билетов пользователи, конечно, не получали, — чудеса бывают только в кино. Рассылка с портретом Дэниэла Рэдклиффа была использована спамерами и еще раз — для рекламы отеля класса люкс, приглашающего гостей воспользоваться специальным предложением.

Статистический обзор

Доля спама в почтовом трафике

Доля спама в почтовом трафике по сравнению с сентябрем уменьшилась на 3,7% и составила в среднем 77,4%. Самый низкий показатель месяца был зафиксирован 28 октября — 70,1%; больше всего спама было получено пользователями 24 числа — 88,2%.

Страны — источники спама

TOP 20 стран — источников спама в октябре выглядит следующим образом:


Страны — источники спама в октябре 2010

В октябре первую двадцатку стран — источников спама затронули серьезные изменения. Прежде всего, сменился лидер: страной, распространившей наибольшее количество спама, стала Россия. Доля спама, распространенного с территории Российской Федерации возросла более чем вдвое по сравнению с сентябрем. Также, более чем вдвое, возросла доля спама, распространенного с территории Украины. В то же время, доля спама, распространенного с территории США, снизилась втрое! США впервые за очень длительный период не вошли даже в десятку стран — источников мусорной почты. Эта страна занимает лишь 18 строчку рейтинга.

Эти изменения мы связываем во многом с движением спамерских мощностей в мире: закрытие командных центров бот-сетей Pushdo/Cutwail и Bredolab, бесспорно, повлияло на источники спам-трафика. Уменьшение количества спама, распространенного с территории США, было заметно уже в сентябре. В октябре эта тенденция только укрепилась. И все же нужно отметить, что ближе к концу месяца спама, распространяемого с территории США, стало значительно больше, чем в было в начале. Вероятно, после окончания «встряски», которую устроили спамерам и ботоводам правоохранительные органы разных стран, спам-трафик, распространяющийся с территории США, в некоторой степени восстановится.

Доля спама, распространенного в октябре из Европы, уменьшилась незначительно. Однако с территории западноевропейских государств в прошедшем месяце было распространено заметно меньше спама, чем в сентябре. Так, уменьшилось количество спама, распространенного с территории Германии, Франции, Португалии, Нидерландов, Ирландии и Великобритании.

С территории Нидерландов, Португалии и Ирландии было распространено менее 1,5% спама, благодаря чему эти страны выпали из нашего рейтинга. Болгария, напротив, впервые за долгое время появилась в двадцатке стран — источников спама и оказалась сразу на 11 строчке.

Кроме Болгарии в рейтинге появился Израиль, с территории которого было распространено 2% мирового спама, и Индонезия, в предыдущие два месяца распространявшая менее 1,5% спама.

Вредоносные вложения в почте

Соединенные Штаты Америки вновь оказались лидером среди стран, в которых наиболее часто наблюдалось срабатывание почтового антивируса. Однако доля срабатываний почтового антивируса в этой стране уменьшилась и не достигла даже 10%. Германия, находившаяся в сентябре на пятой строчке рейтинга, поднялась сразу на вторую. Доля срабатываний почтового антивируса в этой стране возросла более чем на 2%. Доля срабатываний почтового антивируса в Великобритании незначительно увеличилась.


Срабатывания почтового антивируса по странам в октябре 2010

Вредоносные файлы содержались в 1,47% электронных сообщений, что на 2,86% меньше, чем в прошлом месяце.


ТОP 10 вредоносных программ, распространенных в почте в октябре 2010

В октябре Trojan-Spy.HTML.Fraud.gen снова вернулся на верхнюю строчку рейтинга вредоносных программ, наиболее часто встречавшихся в почте. Напомним, что этот троянец использует спуфинг-технологию и реализован в виде html-страницы. Проще говоря, Trojan-Spy.HTML.Fraud.gen — это тот же фишинг, грамотно реализованный с технической точки зрения. Пользователь видит поддельную страничку известного банка или платежной системы, на которой требуется ввести логин и пароль.

Троянские программы семейства FraudLoad (одна из модификаций этого семейства заняла в сентябре первую строчку рейтинга) по-прежнему рассылаются в почтовых вложениях. В этом месяце доля модификаций Trojan-Downloader.Win32.FraudLoad.hby и Trojan-Downloader.Win32.FraudLoad.xgfm в общей сложности составила 5,5% всех вредоносных вложений. Напомним, что программы семейства FraudLoad устанавливают на компьютер пользователя поддельный антивирус, который вымогает деньги у жертвы.

Трояны семейства Oficla также продолжают активно распространяться в почте. Программы этого семейства загружают из Сети другие вредоносные или рекламные программы, или обновления к ним, и запускают их на компьютере пользователя.

В заключение хотелось бы заметить, что более 10% всех вредоносных вложений в почте являлись новыми угрозами, и детектировались Антивирусом Касперского проактивно.

Фишинг

Доля фишинговых писем составила 0,87% от всей почты.


ТОP 10 организаций, чаще всего подвергавшихся
фишинговым атакам в октябре 2010

В октябре среди наиболее часто атакуемых фишерами организаций снова лидирует PayPal. Доля атак на эту платежную систему по сравнению с сентябрем увеличилась еще на 1,5%.

Как и ожидалось, интерес злоумышленников к социальной сети Facebook, угасший было в августе, разгорелся с новой силой. В прошлом месяце мы прогнозировали, что Facebook вытеснит с третьей строчки нашего рейтинга банк HSBC. Однако фишеры в своих атаках на популярный сервис пошли еще дальше: именно Facebook выместила со второй строчки десятки аукцион eBay. В общей сложности доля атак на социальную сеть возросла вдвое по сравнению с сентябрем и в четыре раза — по сравнению с августом.

Остальные три организации, входящие в TOP 5 не изменились. Это по-прежнему eBay, HSBC и Blizzards, производитель онлайн-игры World of Warcraft. По сравнению с сентябрем серьезно изменилась лишь доля атак на eBay, — она снизилась вдвое.

Тематические направления в спаме


Распределение спама по тематическим категориям в октябре 2010

Пятерка лидирующих спам-тематик октября:

  1. Медикаменты; товары/услуги для здоровья — 23,8% (-1,7%)
  2. Образование — 18,9% (+5,2%)
  3. Реплики элитных товаров — 13,8% (+0,1%)
  4. Реклама спамерских услуг — 7,2% (+0,3%)
  5. Азартные игры — 4,2% (+4,0%)

Как уже было сказано, в октябре доля медицинского спама несколько уменьшилась. Снижение доли этой тематики наблюдалось в течение всего месяца, за исключением одной недели.

Вторую строчку рейтинга занимают письма, объединенные в тематическую рубрику «Образование», — их доля увеличилась на 5,2% по сравнению с сентябрем. Основная масса писем, рекламирующих семинары, пришлась на конец октября. Одновременно с ростом доли «семинарского» спама, наблюдалось снижение доли саморекламы спамеров. По итогам месяца доля саморекламы спамеров изменилась незначительно, несмотря на то, что в первой половине октября она достигла почти 10%.

Интересно заметить, что в октябре наблюдалось множество рассылок, эксплуатировавших тему Хэллоуина. Об этом мы писали в нашем блоге.

Заключение

Шумные события продолжают потрясать мир спама. Вмешательство в работу зомби-сетей и партнерских программ со стороны правоохранительных органов, бесспорно, приводит к уменьшению мусора в почтовом трафике. Итогами действий правоохранительных органов в сентябре и октябре стало снижение количества спама в почтовом трафике. В среднем этот показатель снизился в октябре на 1,5-2%. А после закрытия командных центров Bredolab спама в почтовых ящиках стало еще меньше.

Повлияли действия правоохранительных органов и на тематический состав спама. Постепенное снижение количества фармацевтического трафика, а также уменьшение доли вредоносного спама — это первые заметные итоги действий правоохранительных органов. Однако эти изменения влекут за собой и другие — в спам-трафике снова отвоевали свою нишу порно-спам и рассылки с рекламой онлайн-казино. Когда нарушается работа одних партнерских программ, спамеры переходят в другие.

Важно отметить, что порно-спам и казино-спам не более безопасны, чем рассылка вредоносного кода во вложениях. Зачастую на сайтах с эротическим содержанием или на игровых страничках скрываются вредоносные программы, которые подкачиваются на компьютер пользователя, пока тот, ничего не подозревая, разглядывает пикантные картинки или играет в «рулетку».

Изменения, возникшие в результате закрытия командных центров зомби-сетей, затронули и страны — источники спама. Доля мусорных сообщений, распространенных с территории США уменьшилась втрое, в то время как доля спама, распространенного с территории России и Украины стала вдвое больше.

Составлять прогнозы в такой нестабильной ситуации дело неблагодарное. Однако уже сейчас можно говорить о том, что в ноябре доля спам-трафика вернется к показателям 79-80%. Однако и эти значения ниже, чем средние показатели первого и второго кварталов.

В том, что касается тематического состава спама, легко предположить, что спамеры, отказавшиеся от рассылки фармацевтического и вредоносного спама и не сумевшие использовать другой партнерский спам как достойную замену, вполне вероятно обратятся к сезонным рождественским партнеркам. Количество порно-спама и спама, рекламирующего азартные игры, также будет расти.

Спам в октябре 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике