Методы обнаружения вирусов

Спам в сентябре 2012 года

Сентябрь в цифрах

  • Доля спама в почтовом трафике по сравнению с августом увеличилась на 2,3% и составила в среднем 72,5%.
  • Доля фишинговых писем в почтовом потоке по сравнению с августом увеличилась втрое и составила 0,03%.
  • В сентябре вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца.

Главные темы спама

Мошенничество в спаме

В спаме, по сравнению с августом, стало меньше вредоносных и мошеннических рассылок. Однако наблюдались мошеннические рассылки, в которых использовались новые приемы социальной инженерии.

 

Нефтегазовое мошенничество

Среди традиционных мошеннических писем, сообщающих о выигрыше в лотерее, были зафиксированы сообщения, использующие имя крупнейшей в России газодобывающей компании — Газпрома (пример 1). Нехитрый текст сообщения гласил, что пользователь выиграл 920 000$ и, чтобы получить деньги, должен позвонить по указанному телефону. Напомним, что при лотерейном мошенничестве злоумышленники обычно запрашивают комиссию за перевод выигрыша, которого, конечно, не существует. Отметим также, что сообщение было составлено на английском языке.

Газпром — не единственная российская компания «засветившаяся» в мошенническом спаме в сентябре. Лукойл также показался мошенникам хорошей наживкой для пользователей. Типичные спамерские сообщения, предлагающие дистанционную работу и приличный доход, уверяли, что согласившийся пользователь будет работать не просто на «некую крупную компанию», но на Лукойл. Очевидно, этот трюк был призван повысить степень доверия пользователя к рассылке. На деле, разумеется, упоминание крупной российской нефтяной компании — только прикрытие. Такие рассылки призваны включить пользователей в незаконные схемы отмывания денег, зачастую, даже без их ведома. «Работой» оказывается процессинг денег с указанных «работодателями» счетов на счет пользователя и далее на счета третьих лиц. Пользователю этот процесс выдается, например, за работу интернет-магазина, на деле же это процессинг денег с краденых или компрометированных пластиковых карточек.

Интересно, что в поле отправителя письма в обоих случаях указан домен mail.com, что наводит на мысль о едином источнике обеих рассылок. Напрашивается также вывод, что спамер — выходец из бывшего СССР, поскольку в своих англоязычных посланиях он использовал названия российских компаний.

Подчеркнем, что спамеры могут прикрываться в своих посланиях абсолютно любыми известными брендами или именами ради того, чтобы добиться большего отклика на свои рассылки. Упоминание крупной компании в спамерском послании не делает сообщение безопасным.

Мишель Обама vs. Асма Асад

Подтверждением того, что спамеры могут прикрываться абсолютно любыми знаменитыми личностями в своих мошеннических сообщениях, служит пример 4. Это сообщение написано от имени жены действующего американского президента — Мишель Обамы, которая пишет пользователю о том, что он получит выплату от фонда Белого Дома.

Это типичное лотерейное сообщение привлекло наше внимание не только тем, что «автор» его — Мишель Обама. Интересно наблюдать, как спамеры учитывают общественное мнение о тех или иных известных личностях. Так, начиная с апреля, мы фиксируем в спам-потоках сообщения «от Асмы Асад» — жены Башара Асада — сирийского лидера. Однако в отличие от сообщения, подписанного «Мишель Обамой», письма «от первой леди Сирии» сообщают не о получении выплаты от фонда, а о баснословных средствах, которые необходимо вывести за границу. Спамеры понимают, что с точки зрения пользователя, было бы странно предполагать, что член семьи американского президента попытается вывести за границу какие-то подозрительные деньги, а вот выплаты от фонда, опекаемого первой леди США, никого не удивят. С женой же сирийского президента обратная картина — пользователь скорее почувствует подвох, если увидит в своем почтовом ящике сообщение о благотворительности из Сирии, чем о попытке вывести за границу краденое.

Само сообщение не может не поразить воображение полем «от». Отправителем письма значится World Wide Web Owner. Это забавно, так как равнозначно ситуации, в которой пользователь получает письмо от некоего мифического владельца интернета, ведь World Wide Web — это WWW. Идем дальше и видим, что доменная зона, в которой расположен почтовый ящик владельца интернета — .ru. Как следует из письма, этот самый сферический владелец всея интернета пишет от имени Мишель Обамы. Почтовый ящик самой «Мишель», указанный в поле «Отправитель» совсем уж замечателен: начать с того, что начинается он буквенным сочетанием “missnadia”, что раскладывается на Miss Nadia. Трудно представить, что Мишель Обама взяла себе для электронного почтового ящика такой странный псевдоним. Непросто также объяснить, почему этот почтовый ящик заведен на китайском yahoo. Ну и совершенно немыслимо, чтобы первая леди США отправляла с такого почтового ящика официальные письма о распределении своего фонда.

Быстрокредиты

Опасность новой волны кризиса породила множество мошеннических фирм, предлагающих быстрые кредиты всем желающим. Рекламу таких «благодетелей» можно увидеть во всех российских городах на рекламных щитах или объявлениях, расклеенных на остановках и столбах. Все эти кредиты выдаются под несправедливо большой процент, а компании, их выдающие, и права-то на такую деятельность не имеют. Весьма часто такие «конторки» являются заказчиками спамерских рассылок. Обычно их рассылки не блещут оригинальностью и по содержанию похожи на те же, расклеенные у метро, объявления: «Получите кредит без согласования! Быстро! Просто! Телефон:…»

В сентябре, однако, мы получили необычную рассылку такого рода. Письма были написаны якобы от имени управляющего одного из московских банков. Автор письма сообщает, что работает последний день и в честь такого дела готов одобрить кредит каждому, кто немедленно подаст заявку. В примере 2 вы можете увидеть письмо из «второй волны» этой рассылки, которая пошла на следующий день. В повторном сообщении сказано, что банк не справился с огромным количеством поступивших накануне запросов, однако те, кто успел в день Х отправить свою заявку и не получил ответа, все равно получат вожделенный кредит.

Отметим, что банк, чье имя использовалось в рассылке, оперативно разместил на своем официальном сайте предупреждение о том, что его именем пользуются мошенники.

Купонная история продолжается

Как мы и ожидали, тема купонов становится все популярнее у злоумышленников. В сентябре мы фиксировали рассылки, содержащие ссылки на зараженные сайты (пример 5). Сами сообщения были похожи на легитимную почту Groupon, подкачало только поле «Отправитель», которое не имеет ничего общего с купонным сервисом.

Праздник к нам приходит?

Новогодние рассылки по традиции начинаются в октябре. Обычно сначала мы фиксируем сообщения на английском, немецком и других европейских языках. Этот год стал исключением из этих правил. Уже в сентябре мы зафиксировали первую рассылку, эксплуатирующую тему новогодних праздников, и эта рассылка была на русском языке.

 

Интересно отметить, что приглашение на московскую новогоднюю елку пришло с киевского электронного адреса.

Горячие темы

В сентябре много шума наделало видео, размещенное на сервисе Youtube, — «Невинность мусульман». В России это видео стало даже поводом к закрытию Youtube в некоторых областях.

Сторонники этого видео старательно распространяли его, в том числе и через спам. Мы ожидали увидеть под видом ссылок на это видео ссылки на зараженные сайты. Как ни странно, наши ожидания не оправдались, в зафиксированных нами рассылках с этим видео не было вредоносного кода или опасных ссылок.

 

Отметим, что все зафиксированные нами сообщения были на английском языке.

Статистический обзор

Страны — источники спама

В рейтинге стран — источников спама в русскоязычном сегменте интернета, представленном ниже, уже третий месяц подряд не изменяется пара лидеров. На первом месте — Индия (-9,4%) на втором — Вьетнам (-2,8%).

 
Страны — источники спама в русскоязычном сегменте интернета, сентябрь 2012 г. (TOP 20)

Самый заметный рост доли спама, распространенного с территории государства, показала Германия, вернувшаяся к июльскому результату как по доле спама, распространенного с ее территории, так и по месту в рейтинге (3-е место и 5,3% спама).

Заметно увеличилась доля спама, распространенного в Рунете с территории США (+2,6%) и Испании (+2,3%), в результате эти страны заняли пятую и десятую строчки соответственно.

Вклад других стран в спам в русскоязычном сегменте интернета по сравнению с июлем изменился незначительно — в пределах 1%.

Россия в рейтинге сместилась на одну строчку вниз, доля спама, полученного пользователями Рунета с ее территории, увеличилась на 0,1%. Казахстан сместился с девятого места на тринадцатое, доля спама, распространенного с территории этой страны, сократилась на 0,7%.

В мировом масштабе лидерство среди стран — источников спама осталось у Китая (26,4%). Второе место занимают США (12,5%), Индия остается на третьем (10,1%).

Вредоносные вложения в почте

В сентябре вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца.

Распределение срабатываний почтового антивируса по странам

 
Распределение срабатываний почтового антивируса по странам в сентябре 2012 г.

В рейтинге стран по срабатыванию почтового антивируса произошли кардинальные изменения. США, лидировавшие в этом рейтинге восемь месяцев подряд, неожиданно сместились сразу на восьмую строчку. Доля детектирований нашего почтового антивируса, приходящаяся на эту страну, уменьшилась на 6,9%. Одновременно почти на 6% возросла доля срабатываний почтового антивируса на территории Германии. Эта страна с большим отрывом вырвалась вперед по доле срабатываний почтового антивируса. Занимающая второе место в рейтинге Испания отстает от лидера на 6,4%. Надо отметить, что доля Испании в рейтинге увеличилась более чем на 4%. Третье место в рейтинге заняла Россия, доля срабатываний на ее территории также заметно увеличилась (+5,4%). Почти на 2% стала больше доля срабатываний почтового антивируса на территории Индии. В то же время, уменьшилась доля срабатываний MAV на территории Великобритании.

Изменения долей остальных стран рейтинга не превышают 1,5%.

ТОP 10 вредоносных программ, распространенных в почте

 
ТОP 10 вредоносных программ, распространенных в почте в сентябре 2012 г.

По итогам сентября доля детектирований почтовым антивирусом традиционного лидера нашего рейтинга Trojan-Spy.HTML.Fraud.gen резко сократилась. Эта вредоносная программа даже не вошла в ТОР 10.

На первом месте в рейтинге расположился зловред Backdoor.Win32.Androm.kv, а на шестом — другая вредоносная программа того же семейства модификации Androm.ib. Напомним, что вредоносные программы этого семейства появились в ТОР 10 самых часто детектируемых нашим почтовым антивирусом программ в июне, и все лето они оставались в числе популярных в почте зловредов. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы, в том числе спам-боты.

Почтовые черви Email-Worm.Win32.Bagle.gt, Email-Worm.Mydoom.m и Mydoom.l занимают второе, третье и четвертое места соответственно. Напомним, что стандартный функционал почтовых червей заключается в сборе электронных адресов на зараженном компьютере и рассылке по ним самого себя, Bagle.gt единственный из трех зловредов снабженный дополнительным функционалом — возможностью обращаться в интернет и загружать на компьютер пользователя другие вредоносные программы.

Четыре из десяти самых популярных в почте программ относятся к семейству Trojan-Ransom.Win32.PornoAsset — это программы вымогатели, блокирующие операционную систему и требующие заплатить деньги за разблокировку. Заметим, что даже после выплаты «выкупа» система не будет разблокирована, поэтому пользователю не стоит идти на поводу спамеров, а имеет смысл обратиться за помощью к специалистам, которые объяснят, как разблокировать систему.

Фишинг

Доля фишинговых писем в почтовом потоке по сравнению с августом увеличилась втрое и составила 0,03%.

 
Распределение TOP 100 организаций, атакованных фишерами,
по категориям, сентябрь 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Вопреки нашим ожиданиям, доля атак на социальные сети в сентябре не уменьшилась. Эта категория организаций все еще занимает первое место по популярности у фишеров, доля атак на нее подросла незначительно — на 0,1%. Доля атак на финансовые организации уменьшилась на 3,6%, что также не соответствует нашим прогнозам. Вероятно, снижение доли атак на банки и финансовые организации связано, в том числе, с усилиями таких организаций по защите своих клиентов и введению дополнительных защитных технологий и технологий авторизации.

Заключение

В сентябре, как мы и прогнозировали, количество вредоносных и мошеннических рассылок в спаме несколько уменьшилось, так как закончился сезон отпусков, выросла деловая активность, и у спамеров стало больше заказов со стороны малого и среднего бизнеса. Вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца. Тем не менее, в спам-потоках наблюдались мошеннические рассылки, в которых использовались новые приемы социальной инженерии.

В сентябре мы зафиксировали первую рассылку, посвященную Новому году. Обычно такие рассылки появляются лишь в октябре, но этот год стал исключением. В следующие месяцы доля таких сообщений вырастет, и новогодние и рождественские сообщения станут разнообразнее.

В рейтинге стран по срабатыванию почтового антивируса по итогам сентября произошли кардинальные изменения. США, лидировавшие восемь месяцев подряд, неожиданно сдали позиции: доля детектирований нашего почтового антивируса, приходящаяся на эту страну, уменьшилась на 6,9%. Изменения коснулись и рейтинга наиболее часто детектируемых почтовым антивирусом программ: традиционный лидер нашего рейтинга Trojan-Spy.HTML.Fraud.gen резко сдал свои позиции и даже не вошел в ТОР 10.

Распределение фишинговых атак по категориям организаций не соответствует нашим прогнозам на сентябрь: доля атак на социальные сети не сократилась, и, вопреки нашим ожиданиям стало меньше атак на финансовые организации. Вероятно, снижение доли атак на банки и финансовые организации связано, в том числе, с усилиями таких организаций по защите своих клиентов и введению дополнительных защитных технологий и технологий авторизации. Тем не менее, снижение интереса фишеров к банковскому сектору может носить лишь временный характер, так как в случае успеха именно такие атаки приносят злоумышленникам наибольший доход.

НОВОЕ НА САЙТЕ