Отчеты по спаму и фишингу

Спам в сентябре 2011 года

Сентябрь в цифрах

  • Доля спама в почтовом трафике по сравнению с августом уменьшилась на 1,5% и составила в среднем 78,5%.
  • Доля фишинговых писем в почтовом потоке по сравнению с августом не изменилась и составила 0,03%.
  • В сентябре вредоносные файлы содержались в 4,5% всех электронных сообщений, что на 1,4% меньше, чем в прошлом месяце.

Обзор главных событий месяца

Новый финансовый кризис в спаме

В сентябре эксперты заговорили о приближении нового финансового кризиса. В начале 2010 года, когда утихли последствия предыдущего финансового коллапса, мы уже писали о том, что значимые экономические процессы отражаются на спаме. Это касается как содержания спамовых сообщений, так и спам-бизнеса в целом. Рецессия этого года не заставила себя долго ждать, и в спаме уже наблюдаются первые последствия нестабильной экономической ситуации.

Письма о кризисе

В сентябре в мусорных потоках встречались самые разнообразные сообщения, эксплуатировавшие тему сложной финансовой ситуации. Впрочем, как и в случае с любым другим громким инфоповодом, в некоторых спамовых письмах для привлечения внимания пользователей в теме упоминанался финансовый кризис, но содержание писем не имело к этому никакого отношения.

Среди сообщений, в которых тема нового экономического кризиса эксплуатировалась не только в заголовках, но и в содержании писем, встречались предложения сомнительного заработка, реклама юридических и консультационных услуг, а также «нигерийские» письма и самореклама спамеров.

Такие изменения в содержании спамовых писем не стали для нас сюрпризом. С подобной тактикой спамеров мы уже сталкивались в период кризиса 2008-2009 годов: тогда в финансовом и мошенническом спаме, так же, как и в рекламе спамерских услуг, регулярно использовалась тема финансовой нестабильности.

В отношении финансового и «юридического» спама использование темы кризиса вполне понятно: легкий заработок, так же как и юридические услуги, становятся весьма актуальными во время финансовой дестабилизации. Среди мошеннических писем, эксплуатировавших тему рецессии, в сентябре нами были зафиксированы в основном «нигерийские» письма, заманивающие пользователей «антикризисными» ссудами.

Изменения тематического состава спама под влиянием экономической ситуации

Напомним, что во время кризиса 2008-2009 годов в сложной экономической ситуации многие клиенты спамеров не смогли удержаться на плаву или вынужденно отказались от расходов на рекламу. Как следствие, заметно снизились объемы заказного спама. Испытывая значительный отток клиентов — представителей малого и среднего бизнеса, спамеры стали активно рассылать партнерский спам в надежде получить хоть толику своих среднемесячных прибылей. Одновременно, пытаясь привлечь новых клиентов, спамеры активизировали рассылку саморекламы. Такой активный поиск новых клиентов еще раз подтвердил, что в условиях Рунета спамерам невыгодно рассылать партнерский спам, поскольку у жителей СНГ он получает не слишком большой отклик.

В сентябре 2011 года мы наблюдали похожую ситуацию.

Для летних месяцев на фоне уменьшения доли заказного спама характерно увеличение доли саморекламы спамеров и партнерского спама. Обычно с наступлением осени доля партнерского спама начинает активно уменьшаться, а доля заказного спама растет. В этом году в сентябре процент заказного спама хотя и начал расти, но изменился незначительно (+5%). Доля партнерского спама уменьшилась лишь на 4% по сравнению с августом. Вопреки ожиданиям практически осталась прежней доля саморекламы спамеров, которая в августе составила 15% от всей мусорной почты.

Таким образом, мы видим в распределении партнерского и заказного спама следующую картину:


Изменение долей заказного и партнерского спама и доли рекламы
спамерских услуг за период с июня по сентябрь 2011 года

Интересно отметить очень выразительное сближение кривых на графике. Ведь весной и в начале лета этого года партнерский спам все еще переживал последствия закрытий ботнетов и партнерских программ в 2010 — начале 2011 года. Доля партнерского спама в Рунете в первом полугодии 2011 года не превышала 10-15%, в то время как доля заказного спама держалась на уровне 75-80%.

В случае продолжения экономического спада кривые партнерского и заказного спама, несомненно, сблизятся, а в дальнейшем и пересекутся, подчиняясь тем же законам, что и во время предыдущего кризиса.

Мошеннический спам: пополнение арсенала продолжается

В августовском отчете мы рассказали о том, какие новые уловки используют спамеры для того, чтобы обмануть пользователей. В сентябре спамеры использовали еще несколько интересных приемов социальной инженерии — редких или до сих пор невиданных. В начале сентября в нашем блоге были опубликованы две заметки о таких трюках.

Первая из них — о своеобразном фишинге с использованием сообщений, разосланных от имени знаменитой сети McDonalds. Пользователю предлагалось поучаствовать в опросе, чтобы получить $80. Пройдя по ссылке в письме и ответив на вопросы, пользователь попадал на страничку с формой, где он должен был ввести данные своей кредитной карты. Введенные данные попадали к злоумышленникам.

Во втором посте рассказывается о приеме, призванном возбудить любопытство пользователя и заставить его открыть приложенный к письму архив. Текст письма с вредоносным вложением по форме напоминал краткое официальное письмо, но в неправильной кодировке.

Если судить по трюкам, о которых говорилось в месячном отчете за август или в последнем из упомянутых блогпостов, то может создаться впечатление, что мошенники предпочитают не запугивать пользователей, а играть на их любопытстве.

Однако приемы социальной инженерии, о которых пойдет речь ниже, подтверждают, что это не так — мошенники по-прежнему используют запугивание, а порой даже и угрозы.

В представленном ниже «нигерийском» письме, к примеру, говорится об угрозе жизни получателя.

В письме сообщается, что кто-то оплатил автору письма убийство получателя. Однако за умеренную плату в 8000 долларов киллер обещает не только отказаться от убийства, но и раскрыть личность заказчика.

Полагаю, что такой детективный сюжет не впечатлит большинство получателей — слишком уж откровенно надуманно выглядит электронное письмо от соболезнующего киллера. (Больше всего меня растрогала рекомендация получателю не выходить на улицу после 8 часов вечера.) К тому же «киллер», якобы обладающий исчерпывающей информацией о пользователе, даже не удосужился ввести в текст сообщения личное обращение, что еще раз подчеркивает мошеннический характер письма.

Куда большим потенциалом — с точки зрения эффективности приема социальной инженерии — обладает угроза подать на пользователя в суд за рассылку спама, тогда как само письмо использовалось для распространения вредоносного кода.

Получателю предлагалось открыть прикрепленный архив и ознакомиться с доказательствами того, что с его адреса рассылается спам. Исполняемый файл в архиве оказался поврежденным, поэтому мы не можем сказать, какой именно вредоносный код распространялся таким образом.

Еще раз подчеркнем, что прием довольно эффективен. Пользователю, получившему подобное письмо, не стоит паниковать. Как правило, в таких сообщениях не упоминаются личные данные получателя, а также нет никаких конкретных данных компании, которая якобы подает на него в суд. Это бесспорные признаки мошеннического письма, основная цель которого — заставить пользователя установить вредоносный исполняемый файл на свой компьютер.

Microsoft продолжает борьбу с ботнетами

В конце сентября Microsoft снова порадовала мировую общественность сообщением об успешной операции по закрытию ботнета. Техническую поддержку при закрытии ботсети Hlux/Kelihos оказывали специалисты «Лаборатории Касперского». Несмотря на то что на этот раз корпорация не может похвастаться победой над одной из крупнейших зомби-сетей в мире (ботнет насчитывал 40 000 машин), это закрытие по-своему уникально: впервые Microsоft с уверенностью может сказать, кто именно стоял за этим ботнетом. Подробности можно прочитать в официальном блоге Microsoft.

Со своей стороны мы можем отметить, что поскольку ботнет был не слишком крупным, его закрытие не произвело значительного эффекта на спам-потоки.

Статистический обзор

Страны – источники спама


Страны — источники спама в сентябре 2011 г.

В сентябре список государств, входящих в ТОР 5 стран – источников спама, не изменился, некоторые страны лишь поменялись местами. С первого по пятое место это Индия (14,1%), Бразилия (10,1%), Индонезия (9%), Южная Корея (7,3%) и Перу (4,9%).

В общей сложности из этих пяти азиатских и южноамериканских стран рассылается чуть больше 45% всего мирового спама. Более 60% всего спама по-прежнему распространяется из 10 стран, занимающих первые строчки рейтинга. Это страны азиатского, восточноевропейского и южноамериканскогом регионов. Единственная западноевропейская страна, вернувшаяся в сентябре в десятку, – это Италия, с территории которой было распространено 2,7% всего мирового спама.

Самым значительным изменением месяца стало уменьшение доли спама, разосланного с территории Индонезии, почти на 3%. Изменения показателей других стран не превышают 1,5%.

Россия сместилась с 11-й на 13-ю строчку рейтинга, однако доля спама, разосланного из страны, по сравнению с августом изменилась незначительно (-0,2%). Еще на 1% сократилась доля спама, распространенного с территории Украины.

Продолжая наблюдения за рассылкой спама из стран, выделенных нами в прошлые месяцы в отдельные группы, хотелось бы отметить следующее:

  1. Индонезия – Украина – Таиланд – Перу: спам продолжает рассылаться довольно синхронно. Лишь Таиланд выпал из общего ритма: объем спама, распространенного из этой страны в августе – сентябре, настолько мал, что локальные минимумы и максимумы не отчетливы.


    Изменение доли спама, отправленного с территории Индонезии,
    Перу, Украины и Таиланда с 22 августа по 2 октября

  2. Индия – Бразилия: спам продолжает распространяться довольно синхронно, хотя на показатели этих двух стран по-прежнему оказывают заметное влияние локальные факторы.


    Изменение доли спама, отправленного с территории
    Индии и Бразилии
    с 22 августа по 2 октября

  3. Наблюдения за парой Вьетнам – Россия выявили интересную зависимость: спам-потоки из этих стран рассылаются в противофазе. Чем это может быть вызвано, пока сказать сложно.


    Изменение доли спама, отправленного с территории
    России и Вьетнама
    с 1 августа по 2 октября

Вредоносные вложения в почте

В сентябре вредоносные файлы содержались в 4,5% всех электронных сообщений (на 1,4% меньше, чем в прошлом месяце).

В рейтинге стран по количеству срабатываний почтового антивируса значительных изменений не произошло. Тройка лидеров осталась прежней, изменения показателей этих стран — в пределах 1%.

Наиболее заметно доля срабатываний почтового антивируса увеличилась в Индии (+1,5%), которая в результате поднялась с шестой строчки рейтинга на четвертую.


Распределение срабатываний почтового антивируса по странам в сентябре 2011 г.

Впервые за долгое время в нашем рейтинге вредоносных программ, наиболее часто детектируемых почтовым антивирусом, Trojan-Spy.HTML.Fraud.gen покинул место лидера. Его занял зловред Trojan.Win32.FraudST.at. Эта вредоносная программа представляет собой спам-бот, основной «специализацией» которого являются фармацевтические рассылки.


ТОP 10 вредоносных программ, распространенных в почте в сентябре 2011 г.

Три из десяти вредоносных программ рейтинга – модификации Trojan.Win32.Yakes, о котором подробно рассказывалось в августовском отчете. Они занимают второе, шестое и восьмое места. Так же как и занявший четвертую строчку Trojan-Downloader.Win32.Agent.gxtn, Yakes являются классическими троянцами-загрузчиками. Эти зловреды после установки на компьютер пользователя обращаются к определенному сетевому ресурсу и получают ссылки для скачивания других вредоносных программ.

Как и в прошлом месяце, Email-Worm.Win32.Mydoom.m является единственным представителем почтовых червей в рейтинге. Напомним, что этот зловред выполняет только две функции: осуществляет сбор электронных адресов на зараженных машинах и рассылает по ним самого себя.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с августом не изменилась и составила 0,03%.


ТОР 10 организаций, атакованных фишерами*

* Рейтинг составляется на основе доли фишинговых URL, распространенных в Сети. Рейтинг не является показателем уровня безопасности упомянутых организаций, а отображает популярность различных сервисов у фишеров. Отметим, что фишеры предпочитают атаковать сервисы, наиболее популярные и авторитетные среди пользователей.

Главным изменением в рейтинге атакованных фишерами организаций стало перемещение социальной сети Facebook с четвертого на второе место. Доля атак на этот сервис увеличилась на 5,4% и составила 14,1%.

Доля атак на занимавший в августе второе место интернет-аукцион eBay снизилась незначительно (на 0,9%), и этот завсегдатай нашего рейтинга в сентябре оказался на третьей строчке.

Отметим рост интереса фишеров к бесплатной онлайновой игре RuneScape, доля атак на которую увеличилась по сравнению с августом почти вдвое. Вероятно, это связано с возвращением с летних каникул основной аудитории таких сервисов – школьников и студентов.

Тематические направления в спаме


Тематические категории спама в сентябре 2011 г.

Несмотря на то что во время кризиса расходы на рекламу сокращаются, клиентов у спамеров становится меньше, и, как следствие, они вынуждены чаще обращаться к «партнеркам», верхние две строчки рейтинга популярных у спамеров тематик занимают «образование» и «недвижимость», являющиеся типичными представителями заказного спама.

Пятерка лидирующих тематических категорий в спаме:

Образование: 21,40%; (+8,3%)

Недвижимость: 15,03%; (+5,3%)

Реклама спамерских услуг : 14,1%; (-0,8%)

Медикаменты;
товары/услуги для здоровья: 11,10%; (-2,9%)

Реплики элитных товаров: 9,70%; (+4,4%)

Почему тематика «недвижимость» в сентябре попала на вторую строчку рейтинга, объяснить легко. Довольно большую часть всех сообщений о недвижимости в этом месяце составила реклама коттеджей, продающихся в Испании. Не секрет, что эту южноевропейскую страну кризис затронул не в последнюю очередь, поэтому существует опасность заметного снижения цен на испанскую недвижимость. В связи с этим небольшие компании, занимающиеся продажей домов в Испании русскоязычным покупателям, в панике пытаются форсировать процесс продажи, в том числе и путем проведения крупных рекламных кампаний. Некоторые риэлторы не гнушаются и спамом.

Доля тематик партнерского спама, как уже упоминалось выше, растет. Две из них вошли в ТОР 5 популярных спамерских тематик. Это «Медикаменты; товары/услуги для здоровья» и «Реплики элитных товаров».

Интересно отметить, что в сентябре, как и прогнозировалось, увеличилось количество политически окрашенных сообщений, связанных с грядущими в России выборами, а также с некоторыми законопроектами.

Заключение

В сентябре наиболее важные изменения в спаме произошли под влиянием новой волны финансового кризиса. Доля партнерского спама в ближайшее время продолжит расти и к началу зимы приблизится к отметке 50% от всего спама в Рунете.

Одновременно мы ожидаем уменьшения доли заказного спама. В особенности это касается тематики «Образование» и «Другие товары и услуги».

Высока вероятность появления в ближайшие месяцы большого количества спама с рекламой аренды офисных помещений.

Что касается саморекламы спамеров, то ее доля также будет увеличиваться, однако не столь значительно, как доля партнерского спама. Мы полагаем, что в ближайшие месяцы реклама спамерских услуг не превысит 20% всех спамерских сообщений в Рунете.

Важно отметить также, что в период экономическогоспада высока вероятность увеличения количества мошеннического спама – как нацеленного на вымогание и кражу денег пользователей без применения вредоносных программ, так и содержащего вредоносные ссылки. Пользователям стоит с большой осторожностью и вниманием относиться к любым письмам, призывающим скачать вложение, пройти по ссылке или переслать пароль. Злоумышленники сейчас активно пополняют свой арсенал, изобретая новые и новые методы социальной инженерии, способные сбить с толку даже опытного пользователя. Будьте осторожны!

Спам в сентябре 2011 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике