Спам во втором квартале 2010

Основные итоги квартала

• Доля спама в почтовом трафике составила в среднем 84,4%.
• Ссылки на фишинговые сайты содержались в 0,02% всех электронных писем.
• Среди организаций, наиболее подверженных фишинговым атакам, с огромным отрывом лидирует PayPal. В пятерку лидеров по-прежнему входит социальная сеть Facebook.
• Графические вложения находились в 10,3% спамовых писем.
• Спамеры активно рассылали рекламу виагры и зловреды в письмах, подделанных под уведомления от социальных сетей и почтовых служб.
• В тройку лидеров стран — источников спама вошли США, Индия и Вьетнам. В общем потоке существенно увеличилась доля спама, рассылаемого из Латинской Америки.

Долевое распределение спама

Доля спама в почтовом трафике

Доля спама в почтовом трафике во втором квартале 2010 года по сравнению с предыдущим кварталом уменьшилась на 0,8% и составила 84,4%. Наибольшее количество спама было зафиксировано 18 апреля и 9 мая — 89,8%, наименьшее — 79,2% — было отмечено 20 апреля.

Наибольший процент спама в почтовом трафике наблюдался в первой половине мая. Это связано главным образом с тем, что во время праздников и отпусков уменьшается количество легитимной почты.

Источники спама

Распределение источников спама по регионам

Распределение источников спама по регионам

Регионом, лидирующим по рассылке спама, по-прежнему остается Азия. В апреле из азиатских стран было разослано 40,5% спама. Однако затем доля азиатского спама начала уменьшаться. В целом, в апреле — июне 2010 года из Азии было распространено 32,8% всего спама, что ненамного превышает аналогичный показатель первого квартала (31,7 %). При этом от месяца к месяцу количество азиатского спама уменьшалось. В то же время росло количество мусорной почты из Латинской Америки. Напомним, что в 2009 году доля спама, разосланного из этого региона, составила 15%, в первом квартале 2010 года она уменьшилась до 10,5%. Итоги второго квартала превысили показатели первых трех месяцев не только 2010-го, но и 2009-го года: из Латинской Америки было распространено 16,3% всех спамовых писем.

Динамика рассылки спама из регионов «Азия» и «Латинская Америка»

В прошлом квартале мы писали, что если сравнить Азию с Европой в целом (Восточная, Западная Европа и Россия), то Европейский регион займет лидирующую позицию в рейтинге. Однако в этом квартале на 5,5% снизилось количество спама, рассылаемого из Восточной Европы. В результате по количеству разосланного спама Азия остается на первом месте даже в сравнении со всей Европой (32,8% против 31,5%).

Распределение источников спама по странам

Страны — источники спама

На первом месте по рассылке спама с большим отрывом традиционно идут США (15%), на втором по-прежнему Индия (8,5%). Поднялся на две позиции и вышел на третье место Вьетнам. Однако в течение квартала ситуация была весьма неровной. В апреле США, Индия и Вьетнам практически сравнялись в долях рассылаемого спама (12,3%, 11,7% и 11,6% соответственно), но уже в мае позиции США восстановились: из этой страны было разослано 20,8% всего спама.

Неожиданно в TOP 10 вошли Италия (3,3%) и Испания (2,8%), которые в прошлом квартале занимали лишь 14-е и 15-е места в рейтинге стран — источников спама. Китай (2,3%) так и не вернулся в десятку лидеров, так что смело можно сказать, что суровые китайские законы в области интернета имеют свои плюсы.

Размеры спамовых писем

Распределение размеров спамовых писем

В спаме по-прежнему преобладают сообщения, размер которых не превышает 5 Кб. Хотя по сравнению с первым кварталом количество коротких писем несколько уменьшилось, они составляют более половины всех спам-сообщений. При этом немного увеличилась доля писем, размер которых попадает в диапазон 5Кб – 10Кб. Скорее всего, это обусловлено активными рассылками спам-рекламы виагры и реплик элитных товаров, содержащей небольшие картинки либо длинный фрагмент случайного текста.

Типы вложений в спамовых письмах

Распределение типов вложений в спамовых письмах

Во втором квартале 2010 года в 75,7% писем содержался простой неотформатированный текст. Более половины писем содержали html-часть. Впервые количество графических вложений в формате gif превысило число вложений в формате jpeg и составило 10,1%. По-прежнему встречались спамовые письма, содержащие одновременно и gif-, и jpeg- вложения.

В целом, количество спама, содержащего графические вложения, составило 10,3%, что на 1,4% меньше, чем в предыдущем квартале. Больше всего графического спама — 12,53% — было отмечено в апреле.

Доля писем, содержащих графические вложения, в спаме

Фишинг

Количество фишинговых писем в почте во втором квартале 2010 года было незначительным. После того как оно резко сократилось в марте (с 0,87% трафика до 0,03%), доля фишинговых писем продолжала уменьшаться и по итогам второго квартала составила 0,02% почтового трафика.

Десятку наиболее атакуемых организаций по-прежнему с большим отрывом возглавляет платежная система PayPal. На ее долю приходится 60,4% всех фишерских атак. В июне эта цифра приблизилась к 70%.

TOP 10 организаций, атакуемых фишерами

Также среди лидеров, помимо аукциона eBay (9,36% атак) и банка HSBC (6,51% атак), можно снова видеть социальную сеть Facebook (6,03%) и почтовую систему Google (2,84%). Хочется отметить, что сфера общения и развлечений пользуется у фишеров все большей популярностью: помимо сети Facebook подвергались атакам социальные сети MySpace, Orkut и Habbo, онлайн-игры WoW и Zynga и игровой сервис STEAM.

Самым слабым местом фишинг-атаки всегда являлась ссылка в письме: можно убедить пользователя, что письмо пришло, например, от банка, но если он замечает, что ссылка ведет на совершенно иной сайт, то, скорее всего, насторожится. Поэтому фишеры стараются замаскировать поддельную ссылку, сделав ее похожей на ссылку на оригинальный сайт:

Пример письма с фишинговой ссылкой, похожей на легитимную

В этом квартале для обмана пользователей фишеры также использовали домены, само название которых внушает мысль о безопасности:

Фишинговая ссылка, ведущая на домен guardianangels.co.za

Вредоносные вложения в спаме

Во втором квартале 2010 года вредоносные файлы содержались в 1,87% электронных сообщений, что на 1,19% выше, чем в предыдущем квартале.

Десятка наиболее распространенных в почте вредоносных файлов во втором квартале выглядит следующим образом:

Десятка наиболее распространенных в почте вредоносных файлов

На первое место в рейтинге вышел троянец Trojan-Downloader.JS.Pegel.g. Другая вариация этого зловреда, Trojan-Downloader.JS.Pegel.bc, заняла седьмую строчку рейтинга. Троянцы данного типа представляют собой HTML-страницы, содержащие сценарий, написанный на языке Javascript. Задача этого троянца заключается в том, чтобы перенаправить пользователя на страницу злоумышленников, которая может иметь как рекламный контент, так и вредоносный код, который будет загружен на компьютер пользователя. Похожим образом ведут себя троянцы семейства Redirector, один из которых, Trojan.JS.Redirector.dz, занял шестое место в рейтинге почтовых зловредов. Аналогично действует и Trojan.Script.Iframer, занявший девятую строчку рейтинга.

Хочется отметить, что все вышеперечисленные зловреды заняли высокие позиции в рейтинге благодаря одной массированной июньской спам-атаке, речь о которой пойдет ниже. До этого ни один из них не входил в TOP 10 почтовых зловредов.

На второй строчке рейтинга находится упаковщик Packed.Win32. Krap.an. Похожий троянец, Packed.Win32.Krap.x, был лидером прошлого квартала. Помимо Krap.an в рейтинге присутствует еще один упаковщик — Packed.Win32.Katusha.l (5-е место). Подобные программы часто используются для упаковки фальшивых антивирусов.

Третью строчке в рейтинге почтовых зловредов занял Trojan-Spy.HTML.Fraud.gen, использующий уязвимость в 5.x и 6.x версиях Microsoft Interner Explorer. В прошлом квартале этот троянец занимал второе место. Основная задача данного зловреда — сбор конфиденциальных данных, которые пользователь вводит на различных сайтах.

Вредоносные файлы распространялись в почте под самыми разнообразными предлогами. Это были и псевдо-уведомления почтовых и социальных сетей, в которых пользователю предлагалось установить обновление либо сменить пароль, и поддельные открытки, и псевдо-инвойсы почтовых служб, и подделки под рассылки скандальных новостей, и обещания фотографий обнаженных красоток в приложении, и многое другое. Порой у вирусописателей уже не хватало фантазии, и тогда мы могли видеть весьма лаконичные письма:

Самое лаконичное письмо с вредоносным вложением

Июнь: массированная атака

Как уже говорилось выше, занявший первое место в рейтинге почтовых зловредов Trojan-Downloader.JS.Pegel.g был наиболее активен в июне, — на него пришлось 23,3% от всех вредоносных файлов в почте. Всему виной была одна видоизменяющаяся рассылка.

Рассылались письма, подделанные в основном под уведомления социальных и почтовых сетей и популярных сайтов (таких, как Facebook, Twitter, Digg, Amazon, Windows live, Youtube, Skype и Wikipedia). Больше всего такие письма напоминали фишинг. Однако, пройдя по ссылке, пользователь попадал на взломанный сайт, с которого загружался вредоносный скрипт. Этот скрипт перенаправлял пользователя на сайт с рекламой медикаментов или реплик элитных товаров. В отличие от фишинговых писем, где, как правило, на сайт злоумышленников ведет только одна ссылка, в данном случае все ссылки в письме вели на одну и ту же страницу.

Примеры писем, содержащих Pegel и ведущих на сайт с виагрой

Характерной чертой этой рассылки было наличие в письмах html-вложения либо ссылки, пройдя по которой пользователь попадал на веб-страницу, содержащую Pegel, Iframe или Redirector. Обфусцированный JavaScript перенаправлял пользователя на сайт злоумышленников. Вся эта сложная схема в большинстве случаев использовалась для того, чтобы пользователь оказался на сайте, рекламирующем виагру или реплики элитных товаров. Однако в некоторых случаях сайты содержали различные зловреды, в том числе Backdoor.Win32.Bredolab. Подобная схема уже использовалась мошенниками в прошлом году, подробней о ней можно прочитать здесь: securelist.ru.

Спамерские методы и трюки

Очень разнообразна была в этом квартале реклама медикаментов. Помимо описанного выше метода с редиректом, в некоторых случаях спамерская картинка подгружалась прямо в тело письма, являющегося подделкой под нотификации с известных ресурсов:

Спам-реклама в письме, подделанном под нотификацию с Twitter

Интересно, что в примере, приведенном выше, не только основная ссылка в картинке, но и все остальные ссылки («not my account» и «Twitter support») вели на рекламируемый сайт фармацевтического магазина.

В другой фармацевтической рассылке для обхода спам-фильтров спамеры зашумляли письмо большими фрагментами текстов, взятых из различных литературных произведений либо статей. Сама реклама была размещена на картинке, подгружаемой с бесплатного хостинга. Приятно отметить, что хостинг-провайдер заблокировал часть подобных картинок, и в результате пользователь вместо рекламы мог увидеть предупреждение об опасности спама:

Пример письма с рекламой виагры и письма с заблокированной хостинг-провайдером картинкой

Кроме того, в некоторых случаях спамеры старались замаскировать URL, на который должен перейти пользователь. В этом квартале они использовали в подобных целях службу «Google Переводчик». Ссылка в письме выглядела следующим образом:

http://www.google.com.et/translate?js=y&prev=_t&u=http %3A%2F%2F*****.info&sl=auto&tl=en

Как можно заметить, для повышения шансов обхода фильтров часть спамерской ссылки представлена в виде ASCII-кодировки (выделена красным). Пройдя по ссылке, пользователь сначала попадал на страницу с «шапкой» переводчика, а оттуда его перенаправляли на спамерский сайт.

Тематические особенности спама

Распределение тематик спама

Первое место среди тематик спама, как и в прошлом квартале, занимает рубрика «Образование». К данной рубрике в основном относятся предложения о различных тренингах и семинарах. На второе место, обогнав фармацевтический спам, вышла рубрика «Отдых и путешествия». В апреле доля писем этой тематики достигла 21,1%, однако потом количество подобных писем пошло на спад.

Доля писем рубрики «Отдых и путешествия» в спаме

В течение квартала увеличивалось количество мошеннических писем в спаме. В июне процент рубрики «Компьютерное мошенничество» достиг 14,5%. Большую часть писем этой тематики составили поддельные нотификации от социальных сетей с редиректом на сайты, рекламирующие виагру. О таких рассылках мы рассказывали выше.

Доля рубрики «Компьютерное мошенничество» в спаме

Рубрика «Медикаменты» заняла лишь третью позицию в рейтинге. С одной стороны, это связано с тем, что часть рекламирующих виагру писем попало в рубрику «Компьютерное мошенничество». С другой стороны, нельзя не отметить то, что, по сравнению с предыдущим кварталом, выросли доли таких рубрик, как «Образование», «Отдых и путешествия» и «Другие товары и услуги». В целом, динамика распределения различных тематик спама свидетельствует о том, что после окончания кризиса количество традиционного «заказного» спама растет, в то время как количество «партнерского» спама уменьшается.

Чемпионат мира по футболу

Не обошли спамеры и такое событие, как Чемпионат мира по футболу. Однако следует отметить, что спама, так или иначе эксплуатирующего популярность чемпионата, было существенно меньше, чем обычно бывает во время событий такого масштаба. Как всегда, горячую тему использовали и в мошеннических схемах, нацеленных на распространение зловредов. Большинство сообщений, в которых эксплуатировался интерес к чемпионату, представляли собой «нигерийские» письма либо поддельные уведомления о выигрыше в лотерею, некоторые из них содержали вредоносные программы.

Примеры писем, использующих популярность Чемпионата мира по футболу

В первом примере вложение содержит лишь развернутое содержание спам-письма — мошенническое уведомление о выигрыше в лотерею. Тем, кто откроет вложение из второго письма, повезет меньше: html-вложение содержит скрипт Trojan.JS.Redirector.dw, который перенаправит пользователя на сайт злоумышленников.

Заключение

Во втором квартале 2010 года спам, разосланный из стран Азии и Латинской Америки, составил почти половину всего объема спам-трафика. Ранее мы отмечали смещение источников спама в данные регионы. Сейчас можно констатировать, что данная тенденция сохранилась. Такое положение обусловлено как отсутствием в странах Азии и Латинской Америки должной законодательной базы, так и низкой осведомленностью пользователей интернета этих стран об опасностях и способах защиты компьютера — именно такие, незащищенные, компьютеры, легче всего становятся жертвами зловредов и попадают в зомби-сеть.

Среди организаций, подвергающихся фишинговым атакам, с огромным отрывом лидирует платежная система PayPal. Однако все большей популярностью пользуются различные социальные сети, среди которых наиболее подвержена атакам сеть Facebook.

Мы неоднократно писали о криминализации спама и о кооперации спамеров, мошенников и вирусописателей. Во втором квартале 2010 года эту тенденцию можно было наблюдать на примере одной из спамерских рассылок, проведенных в июне. В спам-письмах использовались классические фишерские приемы: точное копирование нотификаций почтовых систем и социальных сетей. При этом, пройдя по ссылке, пользователь мог перенаправляться как на сайт, рекламирующий виагру или реплики элитных товаров, так и на сайт, содержащий вредоносные программы. Подобные схемы уже не редкость, и в будущем их, по всей видимости, будут использовать все чаще.

Мы в очередной раз советуем пользователям интернета не ходить по ссылкам из спам-писем, вовремя скачивать программные обновления и своевременно обновлять антивирусные программы!