Спам в первом квартале 2014

Подделки под нотификации мобильных приложений

С повсеместным распространением мобильных устройств в электронной почте начинает появляться спам, нацеленный на пользователей смартфонов и планшетов. Мы уже писали о рассылках, содержащих вредоносные программы под Android. Пока таких программ совсем немного, но рассылаются они с завидной регулярностью. В этом квартале мы заметили еще одну тенденцию: спамерские поддельные уведомления теперь копируют сообщения от мобильных приложений. Чаще других в подобных рассылках встречается кроссплатформенное мобильное приложение WhatsApp: подделки под нотификации WhatsApp использовались спамерами как для распространения вредоносных программ, так и для обычной рекламы.

В январе мы обнаружили рассылку письма, в котором кто-то якобы прислал получателю картинку через WhatsApp. Наблюдательный пользователь задумался бы, почему подобное письмо пришло в почту, ведь аккаунт WhatsApp напрямую не привязан к почтовому ящику. Однако многие пользователи привыкли как к синхронизации контактов, так и к тому, что по электронной почте нам могут приходить сообщения от мобильных приложений, поэтому такое письмо не насторожит большинство пользователей.

На самом деле в приложенном к письму архиве находилась вредоносная программа, детектируемая «Лабораторией Касперского» как Backdoor.Win32.Androm.bjkd. Это известный бэкдор, основная функция которого — загрузка на компьютер пользователя других вредоносных программ.

В марте нам попалась другая рассылка, также эксплуатирующая популярность мобильного приложения. В письмах получателю сообщали о якобы пропущенном в WhatsApp голосовом сообщении и предлагали пройти по ссылке, чтобы прослушать его.

Нажав на «Autoplay», пользователь попадал на взломанный легитимный сайт со вставленным javascript следующего вида:

Если перевести символы из шестнадцатеричного представления в буквенное, получим:

То есть взломанный сайт действовал как редиректор и перенаправлял пользователя на другой сайт, в данном случае с рекламой «Виагры».

Примечательно, что в подобной схеме были использованы подделки не только под сообщения от WhatsApp, но и под нотификации других популярных мобильных мессенджеров — Viber и Google Hangouts.

На фоне роста интереса к мобильным устройствам можно отметить участившиеся фишинговые атаки, целью которых является кража Apple ID:

В первом квартале 2014 компания Apple оказалась на 17-м месте среди атакуемых фишерами организаций.

Горячие темы в спаме: Олимпийские игры

В феврале в России прошли зимние Олимпийские игры. Такое событие не могло остаться незамеченным спамерами. И действительно, они использовали эту тематику в разнообразных рассылках, хотя спамерский ажиотаж вокруг Олимпиады был не столь велик, как можно было ожидать. Китайские предприниматели предлагали различную продукцию с символикой Олимпиады, «нигерийские» мошенники эксплуатировали тему для выманивания у пользователей денег. Также мы обнаружили несколько крупных рассылок, рекламирующих реплики «часов для поездки на Олимпиаду» и услуги частного вертолета в Сочи.

Надо отметить, что мы наблюдаем слабую активность спамеров по отношению к такому громкому событию не первый раз. Во время летних Олимпийских игр в Лондоне мы фиксировали в основном мошеннические рассылки об «олимпийских» выгрышах в лотерею, зимние игры 2010 года в Ванкувере и вовсе не привлекли внимания киберпреступников. Интересно, что во время мировых чемпионатов по футболу тематических спамерских рассылок всегда больше.

Помимо темы Олимпиады в Сочи спамеры (в основном «нигерийские» мошенники) использовали такие новостные поводы, как смерть бывшего премьер-министра Израиля Ариэля Шарона. Кроме того, мошенники продолжают присылать «нигерийский» спам якобы от приближенных экс-президента ЮАР Нельсона Манделы, который скончался в декабре.

Спамерские методы: зашумление HTML

Чтобы сделать каждое письмо в большой рассылке уникальным, спамеры часто прибегают к «зашумлению» текста — добавлению случайных символов, слов, фрагментов текста. Очевидно, что письмо от этого становится менее аккуратным и читаемым, вызывает меньший интерес пользователей. Поэтому спамеры, как правило, стараются скрыть от пользователя случайный текст. Такие старые приемы, как размещение белого текста на белом фоне или простое отделение мусорного текста от основного содержания большим количеством переносов строки до сих пор широко применяются спамерами, хотя трюки эти практически ровесники самого спама.

Однако некоторые спамеры используют более продвинутые методы. Один из них — зашумление письма HTML-тегами. Особенностью метода является то, что пользователь не увидит ничего, кроме основного контента, при этом для спам-фильтра каждое письмо будет уникальным.

Вот так спамовое письмо увидит пользователь:

В исходном же коде тело письма выглядит следующим образом:

Весь HTML-текст, кроме выделенных красным ссылок и картинок, совершенно бессмысленный. В частности, часто встречается тег span с разными атрибутами. Это тег-контейнер, используемый в основном для оформления и/или назначения уникального идентификатора определенному фрагменту текста. В данном случае никакого реального текста между открывающими и закрывающими тегами нет, то есть эти теги просто замусоривают письмо.

Отдельного внимания стоит сама ссылка, которая также зашумлена. Можно заметить, что между нормальными буквами несколько раз в случайных местах добавлена последовательность «=EF=BB=BF». Такой последовательностью в шестнадцатеричной системе обозначается один UTF-8- символ, используемый для индикации порядка байтов текстового файла. Но это в том случае, если он используется по своему прямому назначению и стоит в начале текста. Согласно спецификации Unicode, такой символ в середине потока данных должен интерпретироваться как «нулевой ширины неразрывный пробел» (по существу, нулевой символ). То есть почтовый клиент просто проигнорирует эту последовательность и с легкостью откроет ссылку или подгрузит картинку. Однако для спам-фильтров каждая такая ссылка будет уникальной. Кроме того, последний кусок ссылки (выделен оранжевым) тоже является случайным.

В итоге, в незамусоренном виде исходный код письма выглядел бы так:

Как можно заметить, по объему мусорная часть существенно превышает содержательную часть письма. Весь этот мусор генерируется случайным образом и является уникальным для каждого письма в рассылке. При этом получатель, открывающий письмо в почтовом клиенте, видит только аккуратно оформленное письмо, без каких-либо следов спамерских ухищрений.

Статистика

Доля спама в почтовом трафике

Доля спама в почтовом трафике в первом квартале 2014 года составила 66,34%. Это на 6,43% меньше, чем в предыдущем квартале. Однако по сравнению с аналогичным показателем за первый квартал 2013 года доля спама в Q1 2014 уменьшилась незначительно — лишь на 0,16%.

Доля спама в почтовом трафике, первый квартал 2014 г.

Можно также отметить, что на протяжении квартала доля спама сильно колебалась, достигнув самого низкого значения — 61% — в последнюю неделю квартала.

Страны — источники спама

Что касается географического распределения источников спама, то оно изменилось незначительно.

Распределение источников спама по странам, первый квартал 2014 г.

Первые три места в TOP 20 занимают, соответственно, Китай (-0,34%), США (+1,23%) и Корея (-0,91%). Россия по количеству распространяемого спама опередила Тайвань и поднялась на 4-е место — на одну позицию выше по сравнению с прошлым кварталом (+0,34%).

В остальном первая десятка рейтинга изменилась незначительно.

Во второй десятке произошли более заметные изменения. С 20-го на 11-е место поднялись Филиппины (+0,67%), уменьшилась доля Казахстана (-0,76%), который сместился с 11-го на 17-е место. Кроме того, Канада, занимавшая в прошлом квартале 10-е место, опустилась на 27-ю строчку, ее показатель уменьшился с 1,73% до 0,49%.

Регионы — источники спама

Распределение источников спама по регионам, первый квартал 2014 г.

Распределение источников спама по регионам тоже не претерпело особых изменений. Доля Азии немного уменьшилась — на 3,2%, — однако она по-прежнему с большим отрывом лидирует в рассылке спама. Доля Северной Америки практически не изменилась (-0,01%), показатели остальных регионов немного увеличились.

Размеры спамовых писем

В спаме по-прежнему с большим отрывом лидируют супер-короткие письма размером не более 1Кб.

Размеры спамовых писем, первый квартал 2014 г.

В январе мы зафиксировали увеличение количества писем размером от 10 до 20Кб. Возможно, это связано с праздничными рассылками красиво оформленного спама с картинками.

Вредоносные вложения в почте

ТОP 10 вредоносных программ, распространенных в почте, первый квартал 2014 г.

Наиболее популярным вредоносным вложением в почте по-прежнему является Trojan-Spy.HTML.Fraud.gen. Эта программа обычно распространяется с фишинговыми письмами и представляет собой HTML-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения учетных данных пользователей.

На второе и седьмое места вышли сетевые черви Net-Worm.Win32.Aspxor. Такие вредоносные программы могут автоматически искать уязвимые сайты, которые будут впоследствии массово заражены с целью дальнейшего распространения бота. В их функционал входит скачивание и запуск другого вредоносного ПО, сбор ценной информации на компьютере (такой как сохраненные пароли, данные для доступа к почтовым и FTP-аккаунтам), а также рассылка спама.

На третьем месте давний участник нашего TOP 10 червь Email-Worm.Win32.Bagle.gt. Основная функция всех почтовых червей — собирать электронные адреса с зараженных компьютеров. Почтовый червь семейства Bagle также может принимать удаленные команды на установку других вредоносных программ.

На 4-м и 8-м местах троянцы семейства Fareit, наиболее активно они распространялись в январе. Эти вредоносные программы могут воровать пользовательские пароли, осуществлять DDoS-атаки, скачивать и запускать произвольное ПО. Два представителя семейства, попавшие в наш рейтинг, также скачивают и запускают троянцев семейства Zbot. Кроме того, зловреды семейства Fareit крадут кошельки Bitcoin и других криптовалют (всего около 30).

На пятом месте находится Trojan.Win32.Bublik.bwbx, который может закачивать на компьютер пользователя другие вредоносные программы, в частности, семейства Zbot.

На шестом месте Backdoor.Win32.Androm.bngy. К семейству Androm относятся бэкдоры, позволяющие злоумышленникам незаметно управлять зараженным компьютером. Часто зараженные такими программами компьютеры становятся частью ботнета.

На девятом месте находится старый почтовый червь Email-Worm.Win32.Mydoom.l.

Замыкает десятку небезызвестный троянец семейства Zbot. Это семейство специализируется на краже конфиденциальной информации. Помимо этого, зловред может устанавливать на зараженную машину Cryptolocker — вредоносную программу, шифрующую данные на компьютере пользователя и требующую деньги за расшифровку.

Распределение срабатываний почтового антивируса по странам, первый квартал 2014 г.

Что касается стран, в которые рассылались письма с вредоносными вложениями, то по сравнению с прошлым кварталом выросла доля срабатываний почтового антивируса в США (+3,68%), в то же время понизилась доля Великобритании (-2,27%), Германии (-1,34%) и Гонконга (-2,73%). В результате США, которые в предыдущем квартале занимали только 3-е место в рейтинге, вновь возглавили TOP атакуемых стран. Доля вредоносных программ, направленных в другие страны, изменилась незначительно.

Фишинг

С этого квартала мы решили объединить две категории организаций «Электронная почта, программы мгновенного обмена сообщениями» и «Поисковики» в одну — «Почтово-поисковые порталы». Дело в том, что на таких порталах зачастую есть один общий аккаунт, который одновременно отвечает за настройки, за историю поиска, является почтовым аккаунтом, а кроме того, дает доступ к облачным сервисам и другим возможностям.

Распределение TOP 100 организаций, атакованных фишерами*, по категориям, первый квартал 2014 г.

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Как и ожидалось, категория «Почтово-поисковые порталы» заняла верхнюю строчку в рейтинге категорий атакуемых фишерами организаций. Несмотря на то, что современный аккаунт на почтово-поисковом портале дает множество возможностей, большинство таких атак нацелены на кражу данных, дающих доступ к почтовому ящику пользователя. Отметим, что помимо использования ящика в своих целях, злоумышленники могут проверить его содержимое на наличие других логинов и паролей. А ведь именно почтовый ящик часто используется различными сайтами для напоминания забытого пароля. Причем, если одни сайты присылают только ссылки для генерации нового пароля, то другие присылают пароль прямо в письме. К тому же, некоторые сайты присылают письмо, содержащее логин и пароль, сразу после регистрации. Чтобы избежать потери конфиденциальной информации, современные почтовые системы предлагают метод двойной аутентификации: кроме логина и пароля нужно ввести код, пришедший по SMS. Кроме того, можно просто удалять из ящика все письма, содержащие конфиденциальную информацию.

Занимающие вторую позицию аккаунты социальных сетей по-прежнему очень популярны среди фишеров, хотя их доля в рейтинге понизилась на 1,44% по сравнению с прошлым кварталом.

Наиболее заметно выросла доля атак на онлайн-магазины (+2,47%). Произошло это в первую очередь за счет атак на купонные сервисы, а также на особенно популярные у фишеров в марте агентства, продающие билеты на разные мероприятия.

Несколько понизилась доля атак на IT вендоров (-2,46%), в остальном распределение категорий осталось практически без изменений.

Заключение

В настоящее время «умные» мобильные устройства есть практически у каждого, и почти все популярные интернет-ресурсы имеют мобильные версии. Кроме того, есть и специальные мобильные приложения, пользующиеся огромной популярностью. Эту популярность эксплуатируют злоумышленники, подделывающие спам под уведомления мобильных приложений. Со временем таких подделок станет только больше. Кроме того, можно ожидать и роста фишинга, целью которого будут пароли от аккаунтов мобильных приложений.

Вредоносные программы под ОС Android уже распространяются по электронной почте, но пока их довольно мало. Можно ожидать увеличения в почте количества вредоносных программ, созданных для мобильных платформ.

Основной целью большинства вредоносных программ, распространяемых через почту, является хищение конфиденциальной информации пользователя. Однако в этом квартале также были популярны зловреды, способные рассылать спам и устраивать DDoS-атаки. Отметим, что большинство популярных зловредов многофункциональны: они могут воровать данные с компьютера жертвы, подключать компьютер в ботнет, скачивать и устанавливать другие вредоносные программы.

Для обхода фильтров спамеры продолжают использовать различные трюки. Один из наиболее прогрессивных — зашумление писем HTML-тегами, а также обфускация ссылок в письме. Последний подобный трюк — добавление в ссылки UTF-8 символа, который, когда находится не в начале текста, интерпретируется как нулевой символ. На самом деле подобных хитростей в UTF-8 довольно много, чем периодически и пользуются злоумышленники.

Большинство фишинговых атак было нацелено на почтовые аккаунты. Часто пользователи не опасаются за свою почту, многие используют простые логины и пароли. Однако мы хотим напомнить, что взломанная почта дает злоумышленникам доступ ко всей хранящейся там информации, включая другие логины и пароли. Мы рекомендуем использовать сложные пароли для почтовых ящиков и по возможности пользоваться двойной аутентификацией.