Спам в сентябре 2013

Особенности месяца

После наступления в сентябре первых осенних холодов нами было зафиксировано огромное количество рассылок с самыми разнообразными предложениями по сокращению затрат на электроэнергию и по сохранению тепла в жилых помещениях. Они часто встречались как в Рунете, так и в англоязычном сегменте интернета. Немалую долю сентябрьских рассылок также составили предложения автострахования и реклама полиграфических услуг, в частности, календарей на 2014 год. Праздничный спам в сентябре рассылался, в основном, на английском языке и был приурочен к популярному на западе Дню всех святых.

Подготовка к 2014 году начинается с календаря

В сентябре полиграфические компании активно рассылали предложения об изготовлении разнообразных календарей на 2014 год. На календаре можно было разместить не только рекламу компании, но и виды городов, например Санкт-Петербурга. Некоторые рассылки имели несколько вариантов оформления: шаблон писем использовался один и тот же, но менялся цвет текста, графические рисунки и центральные надписи.

Семинары только для женщин

Обучение в формате семинара в последнее время стало очень популярным. Подобные занятия активно проводятся в самых разных сферах и могут быть ориентированы как на широкие группы людей, так и на специалистов в конкретной области. Конкуренция между организаторами семинаров вынуждает их тратить силы и средства на рекламу, некоторые из них не пренебрегают и спамом.  При этом предложения посетить тот или иной семинар могут рассылаться не только компаниям, работающим в сходной с тематикой семинара сфере, но и тем, кто далек от нее.

В сентябре мы зафиксировали ряд рассылок с рекламой семинарских занятий, направленных на женскую аудиторию интернета. Трудности поиска второй половинки, проблема создания крепкой семьи и счастливых взаимоотношений в браке актуальны для слабой половины человечества, и именно эти темы наиболее часто встречались в спам-рассылках. В основном рекламировались авторские семинары, в которых можно принять участие онлайн. Для привлечения внимания к рекламе спамеры использовали яркое оформление письма, в том числе цветовое выделение текста, графический спам и интригующую тему в поле subject.

Спамеры за экономию

С приходом осени и первых холодов закономерно увеличиваются расходы на отопление и электроэнергию. Именно на этом сезонном факте активно спекулировали спамеры. Одной из самых распространенных тематик незапрошенных рассылок в сентябре стали всевозможные способы сохранения тепла в жилищах и сокращения расходов на газ, воду и электроэнергию. Эта тематика пользовалась популярностью у спамеров как в Рунете, так и в англоязычном сегменте интернета. Небольшие различия наблюдались лишь в предлагаемых способах экономии.

В англоязычных рассылках, посвященных сокращению расходов на электроэнергию,  превалировали сообщения с рекламой установки на зданиях специализированных солнечных панелей – автономного источника электроэнергии.  В Рунете спамеры активно распространяли предложения по установке специальных энергосберегающих светильников и утеплению домов. Такие письма приходили с явно сгенерированных автоматически адресов, состоящих из бессмысленного набора букв. Также нам попадались письма, в которых рекламировался «революционный способ экономии электроэнергии». Ярко оформленное рекламное письмо содержало ссылку, привязанную к слову «Заказать». Кликнув по ссылке, пользователь попадал на сайт интернет-магазина, где можно было заказать «революционный» прибор. При этом адрес магазина в адресной строке браузера не соответствовал тому, который можно было увидеть в начальной ссылке из письма.

Более радикальные «экономы» предлагали посредством спама приборы для частичной или полной остановки счетчиков газа, воды и электричества. Подобная деятельность  подразумевает предоставление заведомо ложной информации в государственные органы и является противозаконной. Такие письма содержали контактные телефоны и короткие ссылки, которые менялись от письма к письму. Кликнув по ссылке, пользователь мог посмотреть рекламный ролик, размещенный на популярном сервисе YouTube.

Также с помощью спам-рассылок рекламировались услуги так называемого энергоаудита зданий – оценки и поиска методов сокращения энергозатрат помещений и построек. Такие письма, как и в одном из вышеуказанных примеров, приходили с автоматически сгенерированных адресов, состоящих из произвольного набора букв, а в качестве имени отправителя указывалось произвольное имя. Также сообщения содержали контактные данные спамеров для связи – номер телефона и электронную почту (отличную от той, с которой приходили письма).

Попадались нам и приглашения посетить семинары по теме оптимизации расходов на электроэнергию или теплоснабжение. Для участия в мероприятии получатель письма должен был зарегистрироваться, позвонив по указанным телефонам. При этом номера телефонов в сообщениях были сильно зашумлены с целью обхода спам-фильтров. Нередко подобные письма также содержали вложения в виде заархивированных файлов формата PDF с подробным описанием программы предлагаемых семинаров. Напомним, что архивы во вложениях – это также один из самых популярных способов распространения вредоносных программ.

Автострахование

Большой популярностью среди спамеров в прошлом месяце пользовалась тематика автострахования. Подобные рассылки мы  фиксировали и в Рунете, и в англоязычном интернете.

Англоязычные спамеры использовали тему автострахования как наживку — для привлечения внимания пользователей, у которых они пытались выманить персональные данные. В русскоязычных рассылках получателю предлагали приобрести полисы КАСКО и ОСАГО с большими скидками. При этом в письме не было никакой информации о страховой компании, оказывающей данные услуги, а сами письма представляли собой краткое объявление с контактами для связи.

Кроме того, мы фиксировали рассылки с предложениями юридических услуг при оспаривании принятого страховой компанией решения по выплате ОСАГО. Письма приходили с адреса на публичном почтовом сервисе от неизвестной организации, которая обещала взять на себя все вопросы по ремонту ТС в результате ДТП, а также по судебному процессу, связанному с неудовлетворительной выплатой страховой компенсации. Никаких ссылок в сообщении не было — в случае заинтересованности пользователю нужно было просто ответить на полученное письмо.

В очередной раз хотим обратить внимание пользователей, что услуги организаций и частных лиц, рекламируемые в спаме, могут обойтись им слишком дорого, не исключено, что такой спам рассылают и мошенники.

Географическое распределение источников спама

В сентябре 2013 года доля спама в почтовом трафике уменьшилась на 1,4% и составила 66,2%. В рейтинге стран — источников спама, распространяемого по всему миру, первая тройка осталась без изменений. На первом месте по-прежнему находится Китай (22%). По сравнению с прошлым месяцем его показатель увеличился на 1%. Второе место занимают США (18%): доля спама, рассылаемого из этой страны, напротив, сократилась на 1%. Третья позиция принадлежит Южной Кореей (14%), ее показатель уменьшился на 1,4%. В целом из этих трех стран в сентябре было разослано 54% мирового спама.

Страны – источники спама в мире

На 4-м месте, как и в прошлом месяце, расположилась Тайвань (6%), доляи спам, разосланного из этой страны, увеличилась на 0,8%.

Почти на 2% выросла доля спама, рассылаемого из Индии(5%), что позволило стране подняться на 5-ю позицию с 8-й.

Как мы и прогнозировали, в сентябре в первой десятке оказалась Япония. Страна расположилась на 9-й позиции с показателем 2,4%. Замыкает первую десятку Канада (2%), поднявшаяся на две позиции вверх.

Уменьшение доли спама наблюдался в Беларуси (0,8%), которая еще в прошлом месяце входила в первую десятку, а сейчас потеряла шесть позиций, а также в Германии (0,7%).

Остальные страны не претерпели значительных изменений.

Ситуация с источниками спама в Рунете по итогам сентября выглядит следующим образом:

Страны – источники спама в Рунете

Лидером среди стран — источников спама в Рунете в сентябре стал Вьетнам (13%), чей показатель за месяц  увеличился на 4,4%. Напомним, в прошлом месяце страна замыкала первую тройку. На 2-е место с 4-го переместилась Индия (13%), её показатель увеличился на 5,3%. На 3-м месте находится Тайвань (12,6%) – лидер августа, чей показатель в сентябре уменьшился на 0,5%.

Несмотря на прирост в 1,4%, в сентябре первую тройку покинула Россия, она расположилась на 4-й позиции с показателем 11,5%.

На 2,3% сократилась в Рунете доля спама из США, сейчас страна занимает 6-е место с показателем 4,5%. Напротив, увеличились показатели Румынии (3%) и Болгарии (2,2%), последняя замыкает TOP 10.

А вот Китай в этом месяце покинул ТОР 10, и сейчас страна расположилась на 13-й позиции с показателем 1,6%.

Регионы – источники спама

Среди регионов лидером по распространению спама остается Азия (59%), её показатель увеличился на 4% по сравнению с прошлым месяцем. Далее следует Северная Америка (20%), которая в сентябре прибавила 2%. Замыкает первую тройку по-прежнему Восточная Европа (12%), чей показатель, напротив, сократился на 2%. Далее в списке расположились регионы Западная Европа (4%) и Латинская Америка (2,4%).

Вредоносные вложения в почте

В сентябре TOP 10 вредоносных программ, распространяемых по почте, претерпел серьёзные изменения: в него попало 5 новичков.

TOP 10 вредоносных программ, распространявшихся по электронной почте

Неизменным осталось лишь положение зловреда Trojan-Spy.HTML.Fraud.gen, который вот уже несколько месяцев занимает 1-е место. Напомним, что Fraud.gen относится к семейству троянских программ, использующих спуфинг-технологию: подобные троянцы реализованы в виде поддельных HTML-страниц и рассылаются по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, софтверных компаний и т.д.

Целых четыре позиции, а именно 2-е, 3-е, 6-е и 9-е места, в сентябре занимают новички нашего списка — зловреды семейства Bublik. Основная функция программ такого типа – несанкционированная пользователем загрузка и установка на компьютер-жертву новых версий вредоносных программ. После выполнения задачи программа не остаётся в активном состоянии, однако копирует себя в папку %temp%. Маскируется под приложение или документ компании Adobe.

4-е место занял зловред Email-Worm.Win32.Bagle.gt. Программа-червь представляет собой исполняемый файл, распространяющийся в виде вложений в электронные письма. Рассылает себя по всем найденным на зараженном компьютере адресам электронной почты. Также червь обладает функцией загрузки файлов из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку.

На 5-й позиции в сентябре находится Trojan-PSW.Win32.Fareit.xvf.  Это очередной новичок списка, предназначенный для кражи пользовательских аккаунтов (логин и пароль) с зараженных компьютеров. Самостоятельно скачивает собственные обновления, но не укореняется в системе, маскируется под документы и приложения Adobe.

7-е место занял Trojan.Win32.Llac.dleq. Основной функционал этой вредоносной программы заключается в слежении за пользователем. Зловред собирает информацию об установленном ПО (в основном, об антивирусах и файрволах), информацию о ПК (процессоре, ОС, дисках), перехватывает изображение с веб-камеры, перехватывает нажатия клавиш (кейлоггер), собирает конфиденциальную информацию из самых разных приложений.

На 8-й позиции уже знакомый нам Email-Worm.Win32.Mydoom.l. Напомним, что этот сетевой червь с функционалом бэкдора распространяется в виде вложений в электронные письма, через файлообменные сети и открытые на запись сетевые ресурсы. Адреса для рассылки писем червь собирает на зараженном компьютере. Для отправки письма червь осуществляет прямое подключение к SMTP-серверу получателя.

Замыкает ТОР 10 Email-Worm.Win32.Mydoom.m — еще один червь, рассылающий свои копии по электронной почте. Для поиска адресов жертв червь сканирует адресные книги MS Windows и кеш браузера Internet Explorer. Червь посылает скрытые поисковые запросы поисковым системам, открывает ссылки с первой страницы результатов поиска, содержащие адреса из списка, который загружается с серверов злоумышленников. Таким образом, червь накручивает посещение сайтов.

Распределение срабатываний почтового антивируса по странам

Среди стран по количеству срабатываний почтового антивируса по сравнению с прошлым месяцем тройка лидеров осталась неизменной: 1-е место вновь осталось за Германией (12,67%), США (11,33%) по-прежнему на 2-м месте, на третьем месте Великобритания, доля которой увеличилась по сравнению с августом и теперь составляет 9,86%.

Россия осталась на 9-й позиции, при этом доля срабатываний почтового антивируса в стране снизилась до 2,6%.

Стоит также отметить, что в TOP 10 в этом месяце вошла Саудовская Аравия (2,41%).

Особенности вредоносного спама

Под прицел злоумышленников редко попадают различные интернет- и телефонные провайдеры, однако в сентябре нами было зарегистрировано несколько вредоносных рассылок, использующих для обмана пользователей имена зарубежных компаний из этой сферы.

Имя британской телекоммуникационной компании BT Group спамеры использовали для рассылки троянца-загрузчика Trojan-Downloader.Win32.Dofoil, который скачивает и запускает вредоносные программы на компьютере жертвы. В поддельном письме сообщалось, что пользователь недавно поменял адрес электронной почты в личном кабинете и теперь он будет использоваться для оповещения об изменениях и обновлениях. Чтобы получить более подробную информацию получателю предлагали заглянуть во вложение, под видом которого скрывался троянец. Для того чтобы убедить получателя в легитимности письма, злоумышленники использовали легитимный, на первый взгляд, адрес отправителя и ссылку на официальный сайт компании. Однако отсутствие обращения и прикрепленный к письму исполняемый файл BT.Email Address Details.pdf.exe должны насторожить пользователя.

Подделки под уведомления от банков не являются редкостью, и в сентябре мы зафиксировали вредоносную рассылку якобы от имени банка Webster. На этот раз в письме сообщалось, что компания отслеживает все транзакции и клиентов, чтобы выявить подозрительные действия в платежной системе. Под видом отчета к письму был прикреплен троянец-загрузчик Trojan-Downloader.Win32.Angent. Для придания своим письмам легитимного вида злоумышленники рассылали их с поддельного адреса, похожего на официальный, а в теле письма была ссылка на реальную страницу сайта компании, а также автоподпись.

Фишинг

Рейтинг атакованных фишерами организаций не претерпел заметных изменений. В тройке лидеров, как и в августе, первую строчку продолжают удерживать социальные сети (28,1%).

Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Показатель почтовых сервисов (18,1%) увеличился на 0,8% и они по-прежнему занимают 2-ю строчку. 3-ю строчку занимают поисковые системы (16%), доля атак на организации этой категории снизилась всего на 0,1%.

Показатель финансовых и платежных организаций (14,9%) увеличился на 1%, и по итогам сентября данная категория осталась на 4-м месте.

ИТ-вендоры потеряли 0,5% и уступили 5-ю строчку в рейтинге телефонным и интернет-провайдерам, чей показатель, наоборот, увеличился на 0,6%.

В сентябре фишеры вновь обратили свое внимание на крупные банки Австралии и Новой Зеландии. Напомним, в июле 2013 года нами уже была зафиксирована рассылка поддельных уведомлений от имени банка Australia and New Zealand Banking Group. На этот раз фишеры попытались обмануть клиентов банка Westpack, одного из ведущих банков Австралии.

Для обмана жертвы злоумышленники не стали придумывать ничего нового, а обратились к обычной уловке. В поддельном письме сообщалось, что в рамках проверки безопасности сервиса онлайн банкинга были зафиксированы три попытки входа в аккаунт пользователя, поэтому доступ к нему был заблокирован. Для восстановления доступа к аккаунту злоумышленники просят открыть приложенный к письму файл. В архиве Westpac_form-413-217-9908.zip находилась HTML-страничка, на которой пользователю необходимо было заполнить поля с персональной информацией. Далее все введенные в эти поля данные отправлялись злоумышленникам.

Отметим, что хотя фишеры и использовали на страничке цвета официального сайта банка и логотип, однако общее оформление полностью не скопировали, а по верхним  вкладкам нельзя было переходить. Для обмана пользователя фишеры также указывали детальную информацию по аккаунту, например, IP-адреса, с которых якобы были зарегистрированы неверные попытки ввода пароля.

Заключение

Доля мирового спама продолжает снижаться, в сентябре она достигла отметки 66%. Как всегда, в этом месяце от внимания спамеров не ушли сезонные особенности, от которых зависит активность потенциальных потребителей рекламируемых товаров и услуг. Так, в сентябре увеличилось количество предложений, связанных с экономией электроэнергии и утеплением зданий. Не обошлось и без рассылок на тему популярных во всем мире праздников – Дня всех святых и Нового года. Причем уже в следующем месяце мы ожидаем увеличение доли спама новогодней тематики.

Как мы и прогнозировали, доля атак на социальные сети уменьшилась, а показатель финансовых и платежных организаций вырос. Однако эти изменения были незначительными, и рейтинг атакованных фишерами организаций не претерпел существенных изменений. Скорее всего, в октябре показатели социальных сетей продолжат снижаться, а количество атак на финансовые организации, наоборот, увеличится. Мы также заметили, что мошенники стараются сместить вектор атаки с уже привычных банков и служб курьерской доставки на различные телекоммуникационные компании.