Отчеты по спаму и фишингу

Спам в первом квартале 2011

Закрытие ботнетов и доля спама в почтовом трафике

После активной борьбы с ботнетами, происходившей во второй половине 2010 года, особенно интересно было наблюдать за развитием событий в начале 2011 г. Как мы и предсказывали, количество спама в почтовом трафике начало постепенно увеличиваться. Однако доля спама в трафике до сих пор остается сравнительно низкой и не превышает 80%.

Доля спама в почтовом трафике в первом квартале 2011 г.

Доля спама в почтовом трафике в первом квартале 2011 года в среднем составила 78,6%, что на 1,4% выше, чем в предыдущем квартале, однако на 6,5% ниже соответствующего показателя прошлого года. Наименьшее количество спама в почте было отмечено 5 января: 60,7%. Больше всего спама — 87,7% — наблюдалось 23 января.

В числе важнейших событий квартала — закрытие 16 марта командных центров ботнета Rustock, старого и очень сложно устроенного ботнета, одного из лидеров в рассылке спама.

Однако данный факт не повлиял серьезно на спам-трафик, как это было в прошлом году после закрытия Pushdo/Cutwail и Bredolab: количество спама сократилось всего на 2-3% и всего на несколько дней. На среднемартовском показателе эта цифра и вовсе не сказалась. По разным оценкам, Rustock прекратил массированно рассылать письма еще в конце прошлого года. Это могло быть связано как с закрытием крупной фармацевтической партнерской программы SpamIt (а Rustock специализировался на фармацевтическом спаме), так и с использованием ботнета в других целях. Возможно также, что, видя активность различных инициативных групп вокруг бот-сетей в конце 2010 года, преступники предпочли временно залечь на дно. Теперь, однако, восстанавливать старые мощности им уже не придется. Разве что организовать новый ботнет.

Как мы видим, несмотря на борьбу с ботнетами, количество спама продолжает расти. А это говорит и о появлении новых ботнетов. Так, среди вредоносных программ, распространяемых в почте, в десятке лидеров первого квартала есть червь семейства Bagle — программа, распространяющая себя по всем контактам зараженного компьютера и загружающая на компьютер пользователя вредоносные программы.

Горячие темы в спаме

Как это часто бывает, в качестве повода спамеры использовали популярные события и праздники. Так, пытаясь привлечь внимание пользователей к своим товарам и услугам, они ссылались на близость 23 февраля, 8 марта и Дня святого Валентина. Не обошли спамеры вниманием и мировой кубок по крикету, используя эту тематику в мошеннических целях.

Спамовое письмо, которое использует популярную тему

К сожалению, в течение квартала происходили и печальные события: восстания, смены правительств, землетрясения и цунами. И этим тоже пытались воспользоваться спамеры. Так, из трагедии в Японии они тоже пытались извлечь выгоду:

  1. рассылая письма, в которых под видом ссылок на горячие новости размещали ссылки на вредоносные сайты:

  2. под видом Красного Креста вымогая деньги у пользователей:

    Внимательный пользователь заметил бы, что мошенники делали вид, что пишут с ящиков Красного Креста (@redcross.org в поле From), однако отвечать просили на другие почтовые ящики, расположенные на бесплатных почтовых системах. И вряд ли настоящий Красный Крест попросил бы переводить деньги с помощью Western Union.

    Распределение источников спама по странам

    В первом квартале 2011 года доли стран — источников спама распределились довольно ровно, без существенного отрыва от соседей. При этом ни одна страна не перешла отметку 10%.

    Страны — источники спама в первом квартале 2011

    Лидером двадцатки стала Индия, что не удивительно: она вошла в пятерку лидеров в 2009 году, и с тех пор ее доля только увеличивалась. С потерей США своих позиций Индия легко заняла первое место. На втором и третьем месте Россия и Бразилия, занимавшие в прошлом квартале, соответственно, второе и шестое места. Доля Бразилии не просто заметно выросла по сравнению с прошлым кварталом, она росла в течение всего квартала и составила в марте 6,63% от всего рассылаемого спама.

    США, которые после закрытия командных центов ботнетов заняли в прошлом квартале лишь 20-е место, восстанавливают свои позиции. В первом квартале из США было разослано 2,97% всего спама, что вывело эту страну на 11-е место. Можно с уверенностью сказать, что доля этой страны в рассылке спама будет продолжать расти. Это подтверждается также тем фактом, что в марте по количеству срабатываний почтового антивируса США заняли второе место — после закрытия Pushdo/Cutwail, Bredolab и Rustock злоумышленники организуют новые ботнеты и расширяют имеющиеся.

    Распределение источников спама по регионам

    Первый квартал 2011 мало чем отличается от предыдущего: регионы-лидеры остались прежними. Однако есть и изменения.

    Регионы — источники спама

    Несколько возросла доля азиатского региона. Мы включали в этот регион страны Азии, Океании и Ближнего Востока. Однако теперь, когда доля этого региона столь высока, мы решили разбить его на три части: Азия, Ближний Восток и регион Австралии и Океании. В сумме за квартал на эти регионы пришлось 36,39% от всего спама (в прошлом квартале — 33,46%).

    Возросла доля стран Латинской Америки (+3,85%), в то же время сократилась доля Западной и Восточной Европы (-2,36% и -5,64% соответственно). Мы предсказывали такой ход событий. Он обусловлен смещением ботнетов в страны, наименее защищенные от киберпреступности законодательно.

    Среди регионов, слабо защищенных от киберпреступности, отметим африканский континент. Ранее мы не выделяли его отдельно, так как доля рассылаемого оттуда спама была слишком мала и не превышала одного процента. Но в этом квартале спам из стран африканского региона составил уже 3,66%, что превышает долю США и Канады. Слабая законодательная база в области защиты от спама и низкая компьютерная грамотность населения создают условия для дальнейшего увеличения объема спама, распространяемого из этого региона.

    Размеры спамовых писем

    Размер спамовых писем в первом квартале 2011 г.

    Короткие письма размером менее 5Кб по-прежнему лидируют в спаме. При этом почти 30% спама составляют письма размером не более 1Кб. Как правило, такие письма представляют собой короткую рекламную фразу и ссылку на сайт.

    Примечательно, что популярны были и длинные письма, размером 50Кб и более — их доля составила 20,73%. Обычно доля таких писем не превышает 5% от общего объема спама. В основном это письма с различными вложениями, с помощью которых спамеры предполагали обойти защиту фильтров.

    Тематические категории спама в Рунете

    Наиболее многочисленными в первом квартале были письма, рекламирующие различные курсы, семинары и тренинги. На втором месте оказалась рубрика «Медикаменты», на третьем — самореклама спамеров.

    Распределение тематических категорий спама в первом квартале 2011 г.

    Надо заметить, что в январе два тематических лидера шли практически вровень, однако уже в марте количество писем рубрики «Образование» превысило «Медикаменты» в 8 раз. Отметим, что такое количество писем образовательной тематики объясняется в большой степени массированностью рассылок: письма рассылаются на миллионы адресов и могут приходить на один и тот же почтовый ящик десятки раз.

    Доля тематических категорий «Медикаменты» и «Образование» в спаме в первом квартале 2011 г.

    Тематика «Образование» относится к заказному спаму: клиент обращается непосредственно к спамерам и оплачивает услугу рассылки. «Медикаменты» — это классический «партнерский» спам, когда спамер сам организует рассылку и получает процент от проданного товара. Отметим, что тенденция к уменьшению количества спама, рассылаемого с помощью партнерских программ, и росту количества «заказного» спама наметилась еще в четвертом квартале 2010 года. Такое перераспределение в первую очередь связано с закрытием командных центров ботнетов (таких, как Pushdo/Cutwail и Bredolab) и партнерской программы SpamIt. То, что такая тенденция сохранилась и в первом квартале 2011, может быть связано с закрытием командных центров ботнета Rustock.

    Заказной и партнерский спам с октября 2010 г. по март 2011 г.

    Как видно на графике, тенденция к росту количества заказного спама и падению «партнерского» нарушилась только в январе, что вполне логично: в период длительных праздников никто не заказывает рекламу, это просто невыгодно, а «партнерский» спам продолжает рассылаться, хотя и в существенно меньшем объеме. Абсолютное количество спама в почтовом трафике в первые дни года было ниже среднего примерно в 5 раз.

    Говоря о тематических категориях спама, нельзя не упомянуть, что в этом квартале нам встретилось много писем, не характерных для спама. Спамеры предлагали обучить телепортации в пространстве и времени, в преддверии 2012 года — купить ковчеги (видимо, разновидности Ноева), а также напоминали пользователям о том, что взятки и коррупция — это плохо.

    Примеры писем, нехарактерных для спама, I квартал 2011 г.

    Некоторые люди встревожены предсказаниями конца света в 2012 году. Это сказывается и на содержании спам-рассылок. И если письма, связанные с концом света, встречаются уже сейчас, интересно понаблюдать, сколько же их будет к концу года.

    Вредоносные программы в почте

    В первом квартале 2011 года доля писем, содержавших вредоносные вложения, в среднем составила 3,05%. С января по март доля спама с вредоносными вложениями увеличилась почти на 0,5%. На графике ниже видно распределение этого показателя по месяцам первого квартала 2011.

    Процент вредоносных программ в почте в I квартале 2011 г.

    Что касается распределения по странам, то в первом квартале 2011 года оно выглядит следующим образом:

    Распределение срабатываний почтового антивируса по странам в первом квартале 2011 г.

    Как видно на графике, наибольшее количество срабатываний почтового антивируса пришлось на Россию (13%). Соединенные Штаты заняли вторую строчку — на эту страну пришлось 10,44% всех срабатываний. Третья и четвертая строчки заняты Вьетнамом (6,96%) и Индией (5,99%) соответственно.

    Замечу, что все вышеперечисленные страны в течение квартала меняли свои позиции. На графике ниже видно, что в январе Вьетнам и Индия были лидерами по количеству срабатываний почтового антивируса. Однако уже в феврале срабатываний почтового антивируса в этих странах стало значительно меньше. В марте же количество срабатываний почтового антивируса во Вьетнаме по сравнению с февралем не изменилось, а аналогичный показатель для Индии продолжил снижаться.

    Динамика срабатывания почтового антивируса по странам в первом квартале 2011 г.

    Что касается доли срабатываний почтового антивируса в США, то в феврале она заметно выросла и в марте также продолжала расти. Рост этого показателя наблюдается в Италии и Великобритании, хотя он менее выражен.

    Такие изменения, вероятно, связаны с попыткой хозяев ботнетов восстановить свои сети в США и европейских странах. Одновременно их интерес к азиатским странам снижается: судя по показателям рассылки спама из этих стран, в ботнеты там уже и без того включено немалое количество машин, а как цель для рассылки вредоносного кода с функцией кражи личных и финансовых данных, азиатский регион традиционно не представляет интереса.

    В рейтинге наиболее часто блокировавшихся почтовым антивирусом программ первое место по традиции занимает Trojan-Spy.HTML.Fraud.gen. Эта троянская программа выполнена в виде html-страницы, напоминающей регистрационную форму банков, или других онлайн-сервисов. Регистрационные данные, введенные в такую «форму» будут отправлены злоумышленникам. Подробнее об этой программе можно прочитать здесь.

    TOP 10 вредоносных программ в почте в I квартале 2011 г.

    Самым заметным семейством в рейтинге стали почтовые черви — четыре из десяти вредоносных программ нашего рейтинга относятся именно к ним. Основным функционалом подобных программ является сканирование системы на предмет обнаружения электронных адресов и дальнейшая рассылка себя по ним. Этими нехитрыми действиями ограничивается функционал вредоносных программ Email-Worm.Win32.Mydoom.m и Email-Worm.Win32.NetSky.q. Более сложным функционалом обладают почтовые черви Email-Worm.Win32.Agent.gnd и Email-Worm.Win32.Bagle.gt. Помимо сбора электронных адресов и рассылки себя посредством электронной почты, эти вредоносные программы при попадании на компьютер инсталлируют в систему другие вредоносные программы. Интересно, что при этом Email-Worm.Win32.Agent.gnd инсталлирует в систему в основном троянские программы-загрузчики, которые немедленно пытаются получить доступ к определенным интернет-ресурсам, с которых происходит загрузка других вредоносных программ, тогда как Email-Worm.Win32.Bagle.gt самостоятельно обращается к определенным страницам в интернете для скачивания с них вредоносных программ.

    Кроме описанных вредоносных программ, в ТОР 10 первого квартала попала шпионская программа Trojan-Spy.Win32.SpyEyes.fpv. Зловреды этого семейства занимаются похищением конфиденциальных данных пользователя. Программы этого семейства наиболее популярны были в марте, однако рассылки писем, содержавших такое вредоносное ПО, начались еще в феврале. Еще одна программа, вошедшая в ТОР 10 — Trojan-Downloader.Win32.Deliver.а. Зловреды этого семейства составляли половину ТОР 10 программ, заблокированных почтовым антивирусом в марте. По итогам квартала лишь один представитель этого семейства попал в десятку. Эта вредоносная программа является классическим троянцем — загрузчиком, устанавливающим на зараженный компьютер другие вредоносные программы без ведома пользователя.

    Фишинг

    Доля фишинга в первом квартале 2011 года была крайне мала и в среднем составила 0,03%.

    Интересно, что процент фишинговых писем в почте практически не менялся в течение квартала. Первые два месяца он держался на отметке 0,03%. В марте он уменьшился до 0,02%.

    Процент фишинговых писем в почте в первом квартале 2011 г.

    Два лидера в рейтинге наиболее часто атакованных организаций в первом квартале 2011 года остались неизменными — это платежная система PayPal и интернет-аукцион eBay. Социальная сеть Facebook в начале 2011 года заняла лишь четвертую строчку. А бывший в лидерах банк HSBC — пятую.

    ТОР 10 организаций, атакованных фишерами

    На третьей строчке расположилась социальная сеть Habbo, незначительно обогнавшая Facebook по уровню своей популярности у фишеров.

    Популярная онлайн-игра World of Warcraft по-прежнему находится под пристальным вниманием фишеров, однако в первом квартале 2011 этот ресурс занял лишь седьмую строчку, пропустив вперед банки Chase и Stantander.

    Заметим, что в рейтинге не представлена компания Google, которая по итогам 2010 года занимала пятую строчку (2,5%). Дело в том, что сервисы компании, интересовавшие злоумышленников раньше (в основном Google AdWords и Google Checkout), подвергались атакам значительно реже (1,07% и двадцатое место). Однако в начале 2011 фишеров заинтересовала социальная сеть Orkut, принадлежащая Google и крайне популярная в Бразилии. Доля атак на эту соцсеть составила 1,96%, и в результате Orkut расположилась на 12-й строчке рейтинга. Путем нехитрых вычислений можно заметить, что в общей сложности атаки на Orkut и другие сервисы Google составили 3,03% всех фишинговых атак первого квартала 2011. Кроме того, заметим, что аккаунты всех сервисов Google, не исключая Orkut, связаны друг с другом. Таким образом, получив регистрационные данные от этой социальной сети, злоумышленник получает доступ ко всем сервисам Google, на которых зарегистрирован пользователь.

    Методы и трюки

    В первом квартале 2011 спамеры применяли различные старые и новые трюки, чтобы обойти фильтры и привлечь внимание пользователей.

    Одним из таких трюков стала рассылка спама со ссылкой на видеоролики. Письмо содержало лишь одну ссылку, без всякого сопутствующего текста. Пройдя по ссылке, пользователь мог посмотреть ролик, где рекламировались услуги спамеров. Видимо, таким образом спамеры хотели сыграть на любопытстве пользователей: ссылку без каких либо объяснений откроют с большей вероятностью.

    Пример спамового письма со ссылкой на рекламу спамерских услуг

    Такой метод уже применялся в 2009 году, но с одним отличием: тогда ролики находились на сервисе YouTube.com, теперь же спамеры предпочли его российский аналог RuTube.ru. Впрочем, этот метод рекламы, как и в прошлый раз, потерпел фиаско: количество ссылок на ролики было весьма ограниченным и с легкостью перехватывалось фильтрами. Такой метод, конечно, позволяет рекламе смотреться более выигрышно (вместо письма получатель смотрит полноценный видеоролик), и тем не менее, он никогда не будет успешным: видеохостинги устроены таким образом, что разместить большое количество одинаковых роликов на них не получится, поэтому ссылка на такие ролики в письмах одной рассылки будет одна и та же, из-за чего рассылку будет просто остановить.

    Еще один хитрый способ, направленный на то, чтобы обмануть фильтры, мошенники придумали, подделывая свои письма под письма недовольных спамом пользователей:

    Спамерское письмо — подделка под письмо возмущенного пользователя

    Ранее мы наблюдали подделки под автоответы «Out of office» со ссылкой на спамерский сайт, теперь же спамеры подделывают ответы пользователей. Действительно, не сразу догадаешься, что письмо, в котором написано «stop sending me spam» само является спамом.

    Кроме того, по-прежнему популярными были подделки под уведомления известных ресурсов, таких как Twitter, Facebook, Amazon и других.

    Письмо-спам, подделанное под уведомление от известного ресурса

    Пройдя по ссылке в такой нотификации, можно было в равной степени оказаться на сайте с рекламой или получить на свой компьютер вредоносную программу.

    Заключение

    После закрытия командных центров различных ботнетов в прошлом году количество спама в почтовом трафике так и не достигло прежнего уровня, хотя заметное его увеличение все же наблюдалось. Так что можно ожидать, что в следующем квартале оно достигнет 80% от того объема, который был до закрытия ботнетов. Если, конечно, по спамерам не нанесут очередной прицельный удар. Таким ударом в первом квартале 2011 могло бы стать закрытие командных центров ботнета Rustock. Однако либо злоумышленники подготовили новые плацдармы заранее, либо сориентировались слишком быстро — закрытие командных центров не оказало существенного влияния на количество спама.

    Что касается источников спама, здесь подтвердились наши прогнозы о смещении ботнетов в регионы со слабой законодательной базой в области защиты от спама и низкой компьютерной грамотностью населения. Так, доля азиатского и латиноамериканского регионов увеличилась, в то время как доля Европы в рассылке спама сократилась. Можно предположить, что в дальнейшем киберпреступники будут развивать ботнеты как в менее, так и в более защищенных регионах, ведь уже на данный момент ботнеты распределены по миру практически равномерно.

    Количество вредоносных вложений в почте держит заданную в прошлом году высокую планку. Такая ситуация продлится как минимум до организации новых ботнетов (взамен закрытых), и, вероятно, останется и после: спам уже давно стал криминализированным, и удивляет скорее тот факт, что большое количество зловредов в почте появилось лишь в прошлом году.

    Нынешние спамерские методы и трюки — это хорошо забытое старое. В первом квартале спамеры вспоминали видеоспам и пытались подделать письма от пользователей. И если видеоспам не был и не будет популярен из-за своей неэффективности, то подделки под обычные письма или под личную переписку будут продолжать появляться. Возможно, мы увидим различные ее вариации в следующем квартале.

    Мы рекомендуем пользователям быть бдительными и проверять подлинность писем, прежде чем совершать какие-либо действия, такие как открытие вложения или переход по ссылке в письме.

Спам в первом квартале 2011

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике