Спам в третьем квартале 2010

Основные итоги квартала

• Доля спама в почтовом трафике составила в среднем 82,3%.
• Среди организаций, наиболее подверженных фишинговым атакам, с большим отрывом лидирует PayPal. В пятерку лидеров входят социальная сеть Facebook и онлайн-игра WoW.
• Спам с вредоносными вложениями составил 4,6% почтового трафика.
• Графические вложения находились в 8,4% спамовых писем.
• Спамеры активно подделывали уведомления от имени администраторов популярных ресурсов.
• Европа лидирует среди регионов, рассылающих спам; значительно сократилась доля Латинской Америки.

Введение

Третий квартал 2010 года ознаменовался сразу несколькими событиями, благоприятными для антиспам-индустрии. В августе с помощью инициативной группы компании LastLine были закрыты около 20 командных центров ботнета Pushdo/Cutwail, ответственного приблизительно за 10% спама в мире. Опасность данного ботнета состоит не только в объеме рассылаемого спама, но и в том, что он связан с распространением опасных вредоносных программ, таких как Zbot (ZeuS) и TDSS.

В результате закрытия командных центров ботнета огромное количество ботов остались без управления и перестали рассылать спам. Тем не менее, надеяться на то, что такое положение вещей сохранится надолго, не приходится. Как показывает практика закрытия ботнетов McColo и Lethic, на восстановление ботнета потребуется около месяца, а затем новые командные центры свяжутся с зомби-компьютерами, и количество спама вернется к прежнему высокому уровню.

В сентябре о своем закрытии объявила партнерская программа SpamIt. Именно этой партнерской программе мы обязаны огромным количеством фармацевтического спама. На сайтах программы, таких как Spamit.biz и Spamit.com, в качестве причин закрытия были названы «длинная череда негативных событий последнего года и обострившееся внимание к деятельности партнерской программы». Действительно, в этом году «партнерка» пережила несколько «негативных» событий, например, отказ Mastercard проводить операции, связанные с оплатой медикаментов через эту партнерскую программу. Однако, закрытие одной партнерской программы, пусть даже и мощной, может лишь ненадолго облегчить ситуацию с навязчивой рекламой виагры в наших почтовых ящиках. Скорее всего, организаторы «партнерки» просто откроют новую программу, которая будет какое-то время оставаться неизвестной антиспам-вендорам и правоохранительным органам.

Есть и плохая новость: спам становится все более опасным, так как все чаще содержит разнообразные вредоносные вложения и ссылки на зараженные страницы. Мы призываем читателей ни в коем случае не открывать вложения и не ходить по ссылкам в спамовых письмах.

Долевое распределение спама

На графике, отражающем долю спама в почтовом трафике по месяцам квартала, видно, что в сентябре в почтовых ящиках пользователей стало относительно меньше спама (на 1,5% по сравнению с августом). Это результат того, что была закрыта часть командных центров ботнета Pushdo/Cutwail.

Доля спама по месяцам. Третий квартал 2010 г.

Наименьшее количество спама в почтовом трафике (76,9%) зафиксировано 15 сентября. Наибольшее — 90,1% — 25 и 31 июля. Доля спама в почтовом трафике за третий квартал 2010 года в среднем составила 82,3%.

Источники спама

Распределение источников спама по регионам

Распределение источников спама по регионам в третьем квартале 2010 г.

Лидером по рассылке спама остается азиатский регион.

Занимавшая в прошлом квартале второе место Латинская Америка сместилась на пятую позицию — ее доля сократилась с 16,3% до 10,7%.

Вклад Западной Европы в мировой спам увеличился и составил 23,1% против зафиксированных во втором квартале 16,2%. Это отразилось на соответствующем показателе и по европейскому региону в целом (в нашем делении источников спама этот регион включает в себя Западную и Восточную Европу и Россию). В результате, в сентябре «европейская» часть в мировом спам-трафике оказалась больше, чем «азиатская». По итогам квартала из европейского региона было разослано 40,7% всего мирового спама, а из азиатского — лишь 31,7%.

Вклад европейского и азиатского регионов в спам-трафик по месяцам

Увеличение доли европейского региона в распространении спама может быть связано с массированной вредоносной рассылкой, которая активно проводилась еще в июне. Одной из целей этой рассылки было подключение компьютеров пользователей к ботнету. Письма рассылки были подделаны под различные уведомления официальных ресурсов: банков, магазинов, социальных сетей. Выбранные злоумышленниками ресурсы пользуются большой популярностью у европейцев, и именно их компьютеры в процессе атаки подвергались наибольшему риску заражения. В результате к сентябрю количество спама, рассылаемого из Европы, увеличилось.

Распределение источников спама по странам

Распределение источников спама по странам

На первом месте в рейтинге стран — источников спама традиционно находятся США. Вторую и третью позицию, как и в прошлом квартале, занимают Индия и Вьетнам.

Отдельно нужно сказать о Великобритании, которая впервые за все время наших наблюдений попала в первую пятерку стран, откуда идет спам (4-е место). До сих пор эта страна не входила даже в десятку стран — лидеров по рассылке спама.

Типы вложений в спамовых письмах

Процент спам-писем, содержащих plain- и html- вложения

В третьем квартале 2010 года большая часть спамерских сообщений традиционно содержала plain- и html-части. Чуть меньше сообщений содержало только неотформатированный текст, еще меньше — только html-часть.

Среди типов графических вложений на первое место вернулся формат image/jpeg. Не в последнюю очередь это обусловлено рассылками с саморекламой спамеров, где изображение складывалось из нескольких картинок в этом формате, расположенных вплотную одна к другой.

Самым заметным изменением в распределении типов вложений в спамовых письмах можно назвать увеличение количества сообщений с вложениями в формате application/zip. Обычно таких сообщений менее 0,5%. В прошедшем квартале их доля составила 2,6%. Такое большое число сообщений с zip-архивами объясняется массовостью рассылок вредоносных программ.

Графический спам

Графического спама становится меньше. Если в первом квартале 2010 года его доля составляла 11,7%, во втором — 10,3%, то к третьему кварталу она сократилась до 8,4%.

В то же время технологией оформления текста в виде графического вложения стали пользоваться распространители вредоносных программ. Так, например, в нижеприведенном сообщении с вредоносным вложением Trojan.Win32.Oficla картинкой является не только логотип eFax, но и текст «The fax message is attached to this e-mail!».

Пример письма с текстом в виде графического вложения

Фишинг

В рейтинге организаций, которые чаще всего атаковали фишеры, по-прежнему с большим отрывом лидирует PayPal. Второе место традиционно занимает интернет-аукцион eBay. За ними следуют социальная сеть Facebook и банк HSBC, поменявшиеся местами по сравнению с прошлым кварталом.

ТОP 10 организаций, атакованных фишерами в третьем квартале 2010 г.

В качестве самого заметного изменения в ТОP 10 можно отметить то, что в первую пятерку вошла популярная онлайн-игра World of Warcraft. Атаки на пользователей этой игры мы наблюдаем на протяжении года, однако в пятерку предпочтительных для фишеров целей WoW попал впервые.

Компания Google переместилась с пятой строчки на седьмую. Доля атак на пользователей сервисов этой компании снизилась почти на 1%. Однако аккаунты Google по-прежнему привлекают киберпреступников. Отметим, что злоумышленникам интересны как почтовый сервис Google — gmail.com, так и аккаунты рекламной сети Google AdWords и платежной системы Google Checkout. Последние интересуют в основном кардеров (это мошенники, производящие операции с использованием чужих банковских карт или их реквизитов), поскольку к ним привязываются данные пластиковой карты пользователя. Таким образом, неосторожный пользователь, отправивший регистрационные данные своего аккаунта Google Checkout, запрашиваемые в фишинговом письме, рискует лишиться не только самого аккаунта, но и средств на своем счету.

Самой необычной фишинговой рассылкой, нацеленной на пользователей Google, оказалась следующая:

Особенность этой фишинговой рассылки в том, что злоумышленники не включили в текст письма традиционной угрозы закрыть аккаунт, а также требования переслать пароль и логин. Текст письма в целом повторяет официальные уведомления от Google. За одним исключением: ссылка, по которой предлагается пройти пользователю, ведет не на официальный сайт Google, а на фишинговую страничку, зарегистрированную в греческой доменной зоне (на которой и будет предложено ввести логин и пароль).

Вредоносные вложения в почте

Доля писем с вредоносными вложениями в третьем квартале выросла больше чем в два (!) раза и составила 4,6% (против 1,87% в предыдущем квартале). Основной вклад в рост этого показателя внесли август и сентябрь.

Так, в августе доля вредоносных сообщений в почте превысила 6,3%. Тогда спамеры — видимо, не дождавшись возвращения своих клиентов из отпусков, — переключились на работу с партнерскими программами, в том числе с теми из них, которые связаны с рассылкой вредоносных программ.

В начале сентября активность злоумышленников стала падать. Однако во второй половине месяца вновь были зафиксированы новые массированные вредоносные рассылки. Итоговый показатель сентября — 4,33% вредоносных писем в почте.

Судя по всему, рост вредоносной активности в почте в конце сентября связан с объявлением о закрытии уже упомянутой крупной партнерской программы SpamIt, специализировавшейся на распространении фармацевтического спама. Часть спамеров, работавших с этой программой, видимо переключилась на участие в партнерских программах по рассылке вредоносного кода.

На приведенном ниже графике видно, что в течение третьего квартала наблюдалось семь заметных всплесков рассылки вредоносного кода через почту. При этом лишь один из них приходится на июль. Остальные шесть поровну распределились между августом и сентябрем.

Процент спама с вредоносными вложениями в почте в третьем квартале 2010 г.

Самый большой всплеск приходится на 20 сентября. Более 4,5% всех писем с вредоносными вложениями, было получено пользователями в этот день.

Как правило, такие всплески возникают в тот момент, когда вирусописатели выпускают новую версию распространенной вредоносной программы. Мощные рассылки призваны распространить как можно больше ее копий в короткий промежуток времени — пока производители антивирусной защиты не добавили в свои базы соответствующую сигнатуру.

20 сентября почти 90% всех вредоносных программ, полученных пользователями по электронной почте, детектировалось «Лабораторией Касперского» проактивными методами, то есть методами, с помощью которых детектируются новые вредоносные программы и модификации зловредов, которые еще не успели попасть в антивирусные базы.

Свой вклад в подъем вредоносной активности 3, 9 и 19 августа внесли поддельные антивирусы (в частности, Trojan-Downloader.Win32.FraudLoad.xexa, на который пришлось 66% всех срабатываний почтового антивируса 5 августа) и несколько модификаций Trojan-Dropper.Win32.Zbot (ZeuS). Интересно, что почтовый антивирус детектировал в основном новые разновидности Zbot. За две с половиной недели, со второго по двадцатое августа, по почте было распространено 36,5% всех вредоносных программ третьего квартала.

Напомним, что Zbot — это троянская программа, предназначенная для похищения конфиденциальной информации пользователя, а также для загрузки других вредоносных программ на компьютер жертвы. Информация, добытая таким образом, в дальнейшем используется злоумышленниками для продажи на черном рынке. В ТОP 10 вредоносных программ, распространенных в почте в третьем квартале, шестую строчку заняла одна из «свежих» модификаций Trojan-Dropper.Win32.Zbot. Наиболее активно она распространялась в августе.

TOP 10 вредоносных программ в почте

Первую строчку рейтинга занимает Trojan-Spy.HTML.Fraud.gen — завсегдатай нашего рейтинга вредоносных программ. Напомним, что это троянец, использующий спуфинг-технологию и реализованный в виде html-страницы. Пройдя по ссылке в письме, пользователь попадает на сайт — копию реального сайта банка или платежной системы, на котором требуется ввести логин и пароль. Введенные данные затем отправляются злоумышленникам. Отличие такой технологии от традиционного фишинга заключается в том, что в адресной строке браузера отобразится не реальный адрес сайта, на который попадает пользователь, а подставной адрес, копирующий адрес поддельного сайта. Такая технология позволяет обмануть даже бдительных пользователей.

Trojan-Downloader.Win32.FraudLoad.hbf, проявивший высокую активность в самом конце сентября, а также упомянутый выше Trojan-Downloader.Win32.FraudLoad.xexa, заняли вторую и четвертую строчки рейтинга соответственно. Программы семейства Trojan-Downloader.Win32.FraudLoad устанавливают на компьютер пользователя лжеантивирус, с помощью которого мошенники вымогают деньги у своей жертвы.

Пятую строчку занял упаковщик Packed.Win32.Katusha.o, зачастую используемый злоумышленниками для упаковки тех же поддельных антивирусов и Zbot.

Срабатывание почтового антивируса по странам выглядит следующим образом:

Срабатывание почтового антивируса в разных странах

Семь из десяти стран — это развитые страны Европы, Азии и Америки. В этом квартале лидируют США: более 11% всех срабатываний почтового антивируса пришлось именно на эту страну.

Методы и трюки

В третьем квартале 2010 года спамеры активно подделывали свои письма под уведомления различных ресурсов, причем этот трюк был использован и во вредоносных рассылках.

Самым разнообразным был спам со ссылками на зараженные сайты, содержащие Javascript-код (семейство Trojan-Downloader.JS.Pegel), перенаправляющий пользователя на спамерские серверы, с которых на компьютер пользователя подгружался бэкдор Bredolab, а через него — пакет различных троянских программ, в том числе программы семейства Zbot. Одновременно пользователь перенаправлялся на сайт, рекламирующий медикаменты.

Этот спам имитировал уведомления такого большого количества легальных ресурсов, что любой получатель должен был иметь учетную запись хотя бы на одном из них. Были подделаны уведомления таких ресурсов, как Twitter, Facebook, WindowsLive, MySpace, различных популярных онлайн-магазинов (таких как BestBuy и Zappa), фотохостингов, крупных банков, платежных систем и служб доставки. Качество подделки было высоким.

Спамерское письмо, подделанное под уведомление от крупной сети магазинов Macy’s

Спамерское письмо, подделанное под уведомление от социальной сети Twitter

Кроме внешнего вида письма спамеры подделывали и технические заголовки:

Технические заголовки в одном из спамерских писем

А так как пользователь не видит этих заголовков, логично предположить, что все это делалось ради обхода спам-фильтров.

Так как во всех случаях схема заражения была одной и той же, можно предположить, что все эти письма рассылались одной группой людей и с помощью одного движка. Эту мысль подтверждает и то, что в некоторых письмах были перепутаны заголовки:

Пример спамерского письма с ошибочным заголовком

Подобный случай перепутанных заголовков мы уже наблюдали в письмах с рекламой медикаментов и реплик элитных товаров, также рассылаемых с помощью одного движка.

В конце сентября мы отметили очередное увеличение количества вредоносного спама, имитирующего уведомления популярных ресурсов. На этот раз под прицелом злоумышленников оказалась популярная профессиональная социальная сеть LinkedIn. Ссылки в поддельных уведомлениях имели заголовки «LinkedInUpdate», «LinkedIn new Messages» и «LinkedIn Alert» и вели на взломанные сайты или на автоматически сгенерированные домены в зоне info. Пройдя по ссылке, пользователь направлялся на серверы злоумышленников, с которых на его компьютер закачивался троянец семейства Zbot.

Спамерское письмо, подделанное под уведомление от социальной сети LinkedIn

Тематические особенности спама

Распределение спама по тематическим категориям в третьем квартале 2010 г.

Первое место по количеству разосланных писем занял спам, рекламирующий медикаменты. Этот вид спама, сдавший было свои позиции в первых двух кварталах 2010 года, вновь вернулся на первую строчку рейтинга. Весьма вероятно, что это связано с закрытием партнерской программы SpamIt, упомянутой выше. Программу обещали закрыть с октября, а до этого момента спамеры пытались заработать на ней по максимуму. К концу сентября спамеры, по всей видимости, начали переходить на другие партнерские программы – с этим связано уменьшение доли рубрики «Медикаменты» в конце месяца и рост количества вредоносных программ в почте.

Доля фармацевтического спама в третьем квартале 2010 г.

Доля рекламы реплик элитных товаров, традиционно рассылаемой вместе с виагрой, выросла с 6,3% до 11%.

Значительно (с 14% до 4%) уменьшилась по сравнению с предыдущим кварталом доля рубрики «Отдых и путешествия». Если в июле она составляла 6,4%, то в августе и сентябре не набрала и 3%.

Доля спама, рекламирующего отдых и путешествия, в третьем квартале 2010 г.

Также уменьшилась доля рубрики «Образование». В целом это весьма характерно: когда увеличивается количество спама, рассылаемого через партнерские программы («Медикаменты» и «Реплики»), процент заказного спама уменьшается.

Сравнение долей некоторых тематических категорий спама (2-й и 3-й кварталы 2010 г.)

Заключение

В третьем квартале 2010 г., как и во втором, наблюдался стремительный рост количества вредоносных вложений в спаме. О постепенной криминализации спама мы пишем давно. Теперь уже можно говорить о том, что спам нераздельно связан с вредоносными программами. Вредоносные письма заняли 4,6% почтового трафика — таких цифр не было за всю историю наблюдений.

Спам-индустрия и производство вредоносных программ все более сближаются. Одновременно идет развитие технологий, в том числе в сторону комплексных решений. Вирусописатели создают комплексные схемы заражения, в которые входит подключение компьютера к ботнету, рассылающему спам, загрузка на компьютер троянских программ, ворующих персональные данные, и многое другое. Современное спамовое письмо может содержать ссылку, которая одновременно ведет и на рекламный сайт, и (незаметно для пользователя) на сайт с эксплойтами (подробнее —здесь.)

Разумеется, такие тенденции вызывают тревогу — спам не только раздражает, но и несет в себе опасность.

С другой стороны, такое положение вещей привлекает к спаму внимание законодательных и правоохранительных органов. В конце этого квартала в Англии и в США были задержаны около 100 человек, подозреваемых в использовании комплекта ZeuS для хищения денежных средств с онлайн-счетов. (ZeuS детектируется «Лабораторией Касперского» как семейство Zbot, упоминаемое выше среди вредоносных вложений в спаме.) Будем надеяться, что это послужит отправной точкой для систематической борьбы со спамом (по крайней мере, вредоносным) и международного сотрудничества в этом вопросе. А пока мы в очередной раз рекомендуем нашим читателям не открывать спамовые письма и, тем более, вложения в них. И не ходить по ссылкам из спамовых писем.