Отчеты по спаму и фишингу

Спам в октябре 2012

Октябрь в цифрах

  • Доля спама в почтовом трафике по сравнению с сентябрем уменьшилась на 4,5% и составила в среднем 68%.
  • Доля фишинговых писем в почтовом потоке по сравнению с сентябрем не изменилась и составила 0,03%.
  • В октябре вредоносные файлы содержались в 3,25% всех электронных сообщений, что на 0,15% ниже показателя прошлого месяца.

Главные события месяца

Письма с вредоносными вложениями. Продолжение истории

Доля спама продолжает падать, но количество спама с вредоносными вложениями и ссылками на вредоносные ресурсы остается весьма высоким. Много в мусорном трафике и мошеннических писем.

В октябре спамеры продолжали активно использовать различные трюки для распространения вредоносных zip-файлов. На этот раз они рассылали письма, подделанные под официальные уведомления о штрафах за превышение скорости, а также уже встречавшиеся нам ранее подделки под сообщения о бронировании отелей и авиабилетов.

Появился новый вариант фальшивых вредоносных сообщений о бронировании отелей. Ранее распространялись подделки под сообщения от booking.com на английском языке. Теперь под удар попала известная онлайн-служба резервирования отелей hotel.de, поддельные письма от которой рассылаются на английском и немецком языках. В письме с вложенным вредоносным zip-архивом предлагается подтвердить бронь в 5-звездочном отеле Brenner’s Park-Hotel & Spa в Баден-Бадене. В zip-архиве находится exe-файл, детектируемый «Лабораторией Касперского» как Trojan-Ransom.Win32.Gimemo.atjk.
spamreport_oct2012_pic01
Чтобы нанести вред компьютеру пользователя, кроме фальшивых официальных уведомлений спамеры использовали и более личные темы. Например, злоумышленники рассылали поддельное приглашение на свадьбу, содержащее вредоносное вложение.

spamreport_oct2012_pic02

Политический спам

Осенью внимание мирового сообщества было направлено на главное политическое событие в США – выборы президента. В самый разгар предвыборной кампании спамеры предлагали пользователям высказать свое предположение о том, кто станет следующим президентом США, и стать обладателем подарочной карты Visa на 250 долларов.

spamreport_oct2012_pic03

Ввод электронного адреса почты в соответствующем поле такого письма, скорее всего, приведет к тому, что адрес попадет в базу спамеров и будет использоваться для рассылки спам-сообщений самых различных тематик.

Нами были замечены и другие рассылки, связанные с темой выборов. Среди них были как призывы поддержать одного из кандидатов, так и реклама пресловутых часов «как у президента».

Кроме того, президентская тема использовалась, чтобы заманить пользователей на различные сайты.

spamreport_oct2012_pic04

Пройдя по ссылке в данном письме, пользователь попадал на мошеннический сайт, где ему показывали видео про якобы легкий заработок в интернете. Конечно, никакого отношения к президенту видео не имело.

Праздники в спаме

Праздник Halloween, с размахом отмечающийся в Европе и Америке, в этом году не был обделен вниманием спамеров. Англоязычные письма пестрили различными предложениями к празднику, в их числе – реклама разнообразных именных сумок, дверных ковриков, фоторамок и футболок, светящихся в темноте.

spamreport_oct2012_pic05

Активно используется тема праздников для рекламы всевозможных распродаж и скидок. На этот раз в честь Наlloween спамеры предлагали приобрести новые и подержанные машины от производителя со скидкой. Оформление рекламы не обошлось без светящейся тыквы и летучих мышей.

spamreport_oct2012_pic06

Традиционно в октябре спамеры начинают напоминать пользователям о приближении зимних праздников. В этом году было зафиксировано множество рассылок на тему Нового года и Рождества, в которых предлагалось приобрести различные сладости, сувениры, билеты на новогодние экскурсии и многое другое.

spamreport_oct2012_pic07

В «новогоднем» спаме товары рекламировались с учетом специфики рынка. Например, в ориентированном на российский рынок русскоязычном спаме предлагались миниатюрные валенки ручной работы, крепящиеся к поверхности при помощи магнита или подвески.

spamreport_oct2012_pic08

Российским пользователям спамеры также предлагают изготовление искусственных интерьерных и уличных елок под заказ, а англоязычные покупатели к Рождеству могут купить жестяную банку и, соблюдая нехитрую инструкцию, вырастить зимнюю красавицу в домашних условиях.

Географическое распределение источников спама

Среди стран – источников спама, распространяемого по всему миру, как и в сентябре, лидируют Китай (30,7%) и США (27,3%). Из этих двух стран рассылается около 58% всей мусорной почты. В пятерку лидеров также вошли страны, уже давно привлекающие спамеров слабой защищенностью компьютеров: Индия (5,8%), Вьетнам (4,3%) и Бразилия (2,6%).

spamreport_oct2012_pic09
Страны – источники спама, октябрь 2012 г.

В Рунете ситуация выглядит иначе:

spamreport_oct2012_pic10
Страны-источники спама в Рунете

Большая часть спама приходит в российский регион из Индии (16,9%) и Вьетнама (15,7%). В этом месяце количество спама из Вьетнама и Индии почти сравнялось.

Спам из Китая (8,2%) в Рунете лишь на третьем месте. В октябре уменьшилась (-2,4%) доля спама, приходящего в Рунет из США, и эта страна сместилась с пятой на девятую позицию (2,3%).

Вредоносные вложения в почте

Вредоносные файлы содержались в 3,25% всех электронных сообщений, что на 0,15% ниже показателя прошлого месяца.

Распределение срабатываний почтового антивируса по странам

spamreport_oct2012_pic11
Распределение срабатываний почтового антивируса по странам

В рейтинге срабатываний почтового антивируса второй месяц наблюдаются серьезные колебания. Лидером по количеству срабатываний, как и в сентябре, остается Германия (-1,25%). Однако, начиная со второй строчки, рейтинг сильно изменился. Снова в топе появились США (+5,82%), лишь немного отстающие от Германии. Великобритания (+4,2%) тоже вернула свои позиции и заняла третью строчку рейтинга. Испания (-3,94%), занимавшая в сентябре вторую позицию, не попала даже в десятку. Россия сместилась с третьей на четвертую позицию, хотя ее доля практически не изменилась (+0,26%).

ТОP 10 вредоносных программ, распространенных в почте

spamreport_oct2012_pic12
TOP 10 вредоносных программ, распространенных в почте

На первом месте с большим отрывом оказался Trojan-Spy.Win32.Zbot.fsfe – модификация давно известной шпионской программы ZueS/Zbot, предназначенной для кражи данных клиентов различных платежных онлайн-сервисов . Zbot – универсальный троянец, нацеленный на аккаунты многих банков. Вирусописатели постепенно совершенствуют его код, данная модификация отличалась методом упаковки.

Надо признать, что хотя Zbot давно не появлялся в TOP 10 вредоносных вложений в почте, нельзя сказать, что киберпреступники про него забыли. Мы часто видим вредоносный спам, не содержащий вложений, но содержащий ссылку на вредоносный ресурс. Если эксплойтам, находящимся на этом ресурсе, удается найти уязвимость в программном обеспечении пользователя, то на его компьютер загружается и запускается исполняемый вредоносный файл-загрузчик, который, в свою очередь, часто подгружает на зараженную машину именно программу семейства Zbot.

Шесть строчек в топе занимают различные модификации Trojan-Ransom.Win32.PornoAsset. Суммарно доля этого семейства составила 55,2% от всех распространенных в почте вредоносных программ. Это так называемые блокеры – программы-вымогатели, блокирующие операционную систему и требующие заплатить деньги за разблокировку. Напомним, что впервые представители этого семейства попали в TOP 10 в сентябре, тогда в рейтинге присутствовало четыре модификации PornoAsset. Мы уже предупреждали пострадавших пользователей, что даже если они заплатят злоумышленникам, их системы разблокированы не будут. В случае заражения компьютера такой программой пользователю не имеет смысла тратить деньги, а следует обратиться за помощью к специалистам, которые объяснят, как разблокировать систему.

Ни лидер прошлого месяца Backdoor.Win32.Androm.kv, ни предыдущий лидер рейтинга Trojan-Spy.HTML.Fraud.gen даже не вошли в TOP 10. Отметим, что цель Trojan-Spy.HTML.Fraud.gen и нынешнего лидера Trojan-Spy.Win32.Zbot.fsfe одинаковая – кража аккаунтов пользователей к системам онлайн банков и платежным системам. Возможно, злоумышленники просто чередуют свои «инструменты», чтобы добраться до денег пользователей.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с сентябрем не изменилась и составила 0,03%.

spamreport_oct2012_pic13
Распределение TOP 100 организаций, атакованных фишерами, по категориям, октябрь 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

После летнего затишья увеличилась доля фишинговых атак на финансовые и платежные организации (+2,85%), существенно выросла доля атак на онлайн-магазины и интернет-аукционы (+5,42%). В случае успеха подобных атак злоумышленник сможет добраться до персональных данных пользователя, дающих доступ к его аккаунтам в системах оналайн-банкинга и платежных системах, и завладеть его деньгами.

Доля атак на социальные сети уменьшилась на 10,23%, вследствие чего социальные сети сместились с первой строки рейтинга на четвертую, уступив даже поисковикам. Мы прогнозировали уменьшение количества таких атак, правда, ожидали его чуть раньше – в сентябре. Дело в том, что в летние месяцы фишеры атакуют, в основном, школьников и студентов, проводящих время в социальных сетях. С восстановлением деловой активности фокус атак смещается на финансовые организации.

Заключение

Президентские выборы в США, как и ожидалось, привлекли внимание спамеров. Вряд ли после окончания выборов имя Обамы будет упоминаться в спаме столь часто. Чтобы заманить пользователя на вредоносный ресурс или выманить у него деньги, спамеры наверняка найдут и используют другие горячие темы – например, последствия урагана «Сэнди», затронувшего Нью-Йорк.

В целом, все больше спама рассылается из США и Китая. Эти страны лидировали в рассылке спама несколько лет назад, и теперь потоки спама из них вновь увеличиваются. Большое количество интернет-пользователей в этих странах создает благоприятные условия для рассылки спама с зараженных компьютеров. В Рунет же спам чаще приходит из других стран – Индии и Вьетнама.

В октябре стало больше вредоносных программ и фишинговых писем, ориентированных на кражу денежных средств пользователей. По-видимому, такое положение дел сохранится. Пользователям следует быть особенно осторожными при оплате покупок в Сети, вводе конфиденциальных данных в интернете, не проходить по ссылкам в спамовых письмах, не открывать вложения от неизвестных отправителей и своевременно обновлять программное обеспечение.

Спам в октябре 2012

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике