Отчеты по спаму и фишингу

Спам в январе 2009 года

Особенности месяца

Доля спама в почтовом трафике по сравнению с декабрем увеличилась на 5,3% и составила в среднем 86,7%.

  • Вредоносные файлы содержались в 1,04% электронных сообщений, что на 0,75% больше, чем в прошлом месяце.
  • Ссылки на фишинговые сайты находились в 0,95% всех электронных писем.
  • Доля криминализированного спама составила 42,2%.
  • Доля спама с графическими вложениями значительно увеличилась и составила 17%.
  • Осуществлялись рассылки писем с шокирующими заголовками новостей и со ссылками на вредоносные объекты.
  • Спамеры рассылали письма со ссылками на комментарии на новостных сайтах, где размещалась рекламная информация.

Доля спама в почтовом трафике

Доля спама в почтовом трафике в январе 2009 года в среднем составила 86,7%. Увеличение процента нелегитимной почты более чем на 5% по сравнению с декабрем можно объяснить десятидневными новогодними каникулами, во время которых практически не было деловой переписки. Самый низкий показатель отмечен 29 января – 79,8%, больше всего спама зафиксировано 7 числа – 91,1%.


Доля спама в Рунете в январе 2009 года

Доля графического спама выросла на 6% в сравнении с прошлыми месяцами и составила 17%. Такой подъем частично объясняется большим количеством предложений подарков к новогодним праздникам, которые чаще всего сопровождались красочной рекламой распространяемого товара.

Криминализированный спам

Начиная с января текущего года в наших отчетах мы будем публиковаться данные, касающиеся процента криминализированного спама в спам-потоке. Под криминализированным спамом мы подразумеваем спам, рекламирующий незаконную деятельность или направленный на получение денег путем обмана. К такому спаму относятся нигерийские письма, поддельные уведомления о выигрышах в лотерею, письма с вредоносными вложениями или со ссылками на зараженные сайты, реклама детской порнографии, предложения о покупке-продаже ворованных банковских карт, запрещенных веществ, поддельных дипломов, контрафактной продукции, самореклама спамеров. С нашей точки зрения, выделение криминализированного спама в отдельную категорию и наблюдение за динамикой его развития особенно важно в период кризиса, когда можно ожидать усиления противоправных тенденций в самых разных сферах деятельности, в том числе и в спам-бизнесе.

В тематическом делении спама, криминализированный спам есть во многих рубриках. В рубрике «Образование» это поддельные дипломы, в спаме для взрослых — детская порнография и так далее. Рубрика «Компьютерное мошенничество», в которую входят нигерийские письма, поддельные уведомления о выигрышах в лотерею и тому подобное включается в статистику по криминальному спаму целиком. Реклама спамерских услуг также нелегитимна, так как сама рассылка спама не является законной.

В январе доля криминализированного спама в общем потоке спама составила 42,2% не включая рекламу виагры и других контрафактных медицинских препаратов.

Распространение вредоносных программ

Вредоносные вложения содержались в 1,04% всех электронных сообщений, что значительно, в 3,5 раза, больше аналогичного декабрьского показателя (0,29%).

Характерными для января оказались массовые рассылки писем, содержащих ссылки на зараженные сайты. Для того чтобы заинтересовать получателя и заставить его скачать файл с вредоносной программой, использовались шокирующие заголовки, касающиеся происходящих в мире событий.

В начале января была зафиксирована рассылка писем, имитирующих новостной бюллетень CNN. Получателю предлагалось пройти по ссылке для того, чтобы узнать о последних новостях с места ближневосточного конфликта. На сайте нужная информация оказывалась недоступной, пока пользователь не установит у себя новую версию Adobe Flash Player, под видом которой на компьютер пользователя загружался Trojan-downloader. Нужно отметить, что подобного рода письма спамеры уже использовали в июле 2008 года.

Инаугурацию американского президента, запланированную на 20 января, злоумышленники тоже не обошли своим вниманием. В письмах сообщалось об отмене церемонии по тем или иным причинам, а для выяснения подробностей предлагалось пройти по ссылке. Ссылка обязательно содержала имя президента, а на сайте размещались материалы, связанные с жизнью и карьерой Барака Обамы. Когда пользователь пытался ознакомиться с какой-либо из статей, ему предлагали загрузить Flash Player в формате .exe. Под видом этой программы на компьютер загружался Email-Worm.Win32.Iksmas.

Barack Obama has gone http://www.thebarack.LINK/

With best wishes,
Israel Saunders

В течение всего месяца наблюдались рассылки, с поддельными извещениями о присланной открытке. Для заражения ПК было достаточно пройти по ссылке в письме: она вела на страницу с exe-файлом, который на самом деле был программой Trojan Backdoor.IRC.Zapchast.zwrc.

Фишинг

В январе доля писем, содержащих фишинговые ссылки, увеличилась по сравнению с декабрем на 0,17% и составила 0,95% от общего почтового трафика. Чаще всего атакам мошенников подвергалась платежная система PayPal (28,75%) и Fifth Third Bank (17,54%).


Организации, подвергшиеся фишинговым атакам

В наступившем году для получения персональных данных пользователей злоумышленники воспользовались необычным приемом. Они провели рассылку, в которой пользователи предупреждались о том, что с 21 января якобы наблюдается фишинговая атака на несколько крупных банков. В сообщении говорилось о временных ограничениях в проведении финансовых операций, и предлагалось пройти по ссылке для того, чтобы ознакомиться с перечнем атакованных банков и принятыми мерами. На сайте находилась поддельная страница с формой для ввода персональных данных.

FEDERAL RESERVE BANK

Important:
You’re getting this letter in connection with new directions issued by U.S. Treasury Department. The directions concern U.S. Federal Wire online payments.

On January 21, 2009 a large-scaled phishing attack started and has been still lasting. A great number of banks and credit unions is affected by this attack and quantity of illegal wire transfers has reached an extremely high level.

U.S. Treasury Department, Federal Reserve and Federal Deposit Insurance Corporation (FDIC) in common worked out a complex of immediate actions for the highest possible reduction of fraudulent operations. We regret to inform you that definite restrictions will be applied to all Federal Wire transfers from January 26 till February 6.

Here you can get more detailed information regarding the affected banks and U.S. Treasury Department restrictions:

LINK

Federal Reserve Bank System Administration

Тематический состав спама


Распределение тематик спама в Рунете в январе 2009 г.

Пятерка лидирующих спам-тематик января:

  1. «Медикаменты; товары и услуги для здоровья»- 25,3%
  2. Спам «для взрослых» — 19,7%
  3. «Реклама спамерских услуг» — 12,2%
  4. «Реплики элитных товаров» — 7,3%
  5. «Образование» — 6,5%

В январе рубрика «Медикаменты; товары и услуги для здоровья», как и предполагалось, продолжала лидировать со значительным перевесом. Очевидно, спамеры рассчитывают, что в тяжелые времена пользователи интернета будут основное внимание уделять состоянию своего здоровья. Помимо привычной виагры в этом месяце довольно активно рекламировалась психологическая помощь, а также «средства продления жизни».

Процент спама «для взрослых» в сравнении с декабрем вырос, при этом для продвижения этого рода услуг используются все более хитрые приемы. Была зафиксирована рассылка с темой «Списки вич-инфицированных», где ссылка в письмах вела на страницу с порноконтентом.

Процент сообщений с рекламой спамерских услуг резко увеличился. Этот скачок связан в первую очередь с началом года, так как именно в этот момент возрастает необходимость набрать новых клиентов. Предлагая свои услуги, спамеры стараются внушить, что раскрутить товары, забрасывая потенциальных клиентов рекламными письмами, – самый дешевый и действенный способ в условиях кризиса. При этом замалчивается, что получатель негативно настроен по отношению к письмам, которые засоряют его почтовый ящик.

Рубрика «Отдых и путешествия» покинула пятерку лидеров, что связано с окончанием длительных новогодних каникул.

Спамерские методы и трюки

В первом месяце 2009 года спамеры применяли все методы обхода спам-фильтров, которые были популярны в прошлом году: сильное замусоривание контактной информации случайными символами, использование псевдобелого текста, указание ссылок в поле “from”.

Новинкой января стала рассылка писем со ссылками на комментарии к новостям, опубликованным на одном из популярных ресурсов. Однако, пройдя по ссылке, пользователь вместо комментариев читателей находил рекламу порноресурса. У этого способа обхода фильтров оказался один существенный недостаток: на странице комментариев есть кнопка «Пожаловаться на спам», поэтому вся реклама сайтов «для взрослых» была стерта через полчаса после ее создания.

Hе пpoпyсти — http://news.LINK//sport/2327273/comments/?thread=3E25EB767AFB22AE

В январе спамеры нашли еще один способ для создания нечитаемого текста. Для прохождения спам-фильтров все слова в рекламном сообщении писались слитно. С целью зашумления в конце письма добавлялись тексты новостей.

УчасткиЗемлиОт12До163ГeктаровЦена25ДолларовСотка
185КилометровОтЛенинградскогоШоссе203КилометровОтНовойРиги
784МетровОтБерегаВолги
МетроПавелецкаяТелефон
ТЕЛЕ- Натан
ФОН

Новости:
02:43 На юго-востоке Испании в результате крушения двух военных самолетов погибли три человека.

10:02 Температура воздуха в Москве сегодня днем будет около 0 градусов.
12:17 В ГД предлагают передать полномочия по приобретению соцжилья Фонду жилищного строительства.

09:10 Экс-президент США Дж.Буш, вернулся в Техас, где его встречали 25 тыс. сторонников.

13:15 ЦБ РФ: Ликвидационные мероприятия, по данным на 1 января, осуществляются в 117 банках.

Заключение

Дальнейшая криминализация спама, вызванная с одной стороны кризисом, а с другой стороны укладывающаяся в общую логику развития спам-бизнеса, проявилась в январе 2008 года в увеличении процента фишинговых писем и в значительном увеличении процента писем с вредоносными вложениями, последних стало в 3,5 раза больше, чем в декабре.

Активизировалась реклама спамерских услуг, что может говорить не только о сезонном праздничном затишье на рынке нелегальной рекламы, но и о том, что в период экономического кризиса бизнес, построенный на рассылке нелегальной рекламы, испытывает дефицит заказов.

В настоящее время, по нашим оценкам, доля криминализированного спама составляет 42,2% от всего спама (не включая рекламу виагры и других контрафактных медицинских препаратов). В дальнейшем можно ожидать увеличения этого показателя.

Поскольку январское увеличение доли спама обусловлено в большой своей части новогодними каникулами и уменьшением общего почтового трафика, в феврале доля спама может несколько уменьшиться. Однако надо учесть, что спам-трафик формируется под влиянием множества факторов. Так, активная самореклама спамеров, направленная на оживление ситуации с заказами на спам-рынке, может привести к тому, что это снижение не будет слишком существенным.

Ожидается, что доля графического спама в феврале останется на высоком уровне, так как свой вклад в нее внесут рассылки, рекламирующие подарки и услуги ко дню святого Валентина, 23 февраля и 8 марта.

С большой осторожностью следует относиться к сообщениям, содержащим сенсационные известия или похожим на новостные бюллетени, так как для распространения вредоносных и фишинговых ссылок спамеры все активней прибегают к социальной инженерии, стараясь под разными предлогами завлечь пользователей на страницы, зараженные вредоносными программами или страницы с поддельными формами для ввода персональных данных.

В тематическом составе спама в феврале могут произойти следующие изменения: начало нового семестра увеличит долю рубрики «Образование», а в преддверии праздников рубрика «Отдых и путешествия» укрепит свои позиции и может снова попасть в пятерку лидеров.

Разнообразие методов, которые спамеры применяли в самом начале года, позволяет говорить о том, что технологии рассылок будут совершенствоваться, и непрошеные письма доставят пользователям Рунета новую серию неприятностей.

Спам в январе 2009 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике