Спам в марте 2013
Март в цифрах
- Доля спама в почтовом трафике в марте снизилась на 1% и составила 70,1%.
- Доля фишинговых писем в почтовом потоке по сравнению с февралем увеличилась вдвое и составила 0,006%
- Вредоносные вложения содержались в 4% всех электронных сообщений, что на 1,2% выше показателя прошлого месяца
Особенности месяца
В марте количество спамерских писем, эксплуатирующих тему праздников, пошло на спад. Однако в спам-трафике Рунета мы все еще фиксировали рассылки, посвященные Масленице и Международному женскому дню (8 марта).
Праздничный спам
В приуроченном к Масленице спаме традиционно рассылались предложения совершить праздничный тур или тематическую экскурсию. Кроме того, нами была зафиксирована рассылка с предложением услуг по созданию сайтов, оформленная в теме этого праздника.
В марте количество спам-сообщений, использующих тему Международного женского дня, сократилось, однако в начале месяца мы зафиксировали несколько рассылок с традиционной для этого праздника рекламой цветочных букетов и именных сувениров.
Кроме того, мы обнаружили несколько англоязычных спам-рассылок, приуроченных к празднованию Пасхи. В России в этом году Пасха приходится на 5 мая, и мы ожидаем, что русскоязычный «пасхальный» спам появится в апреле.
«Нигерийцы» и события в Венесуэле
Одним из главных политических событий марта стала смерть президента Венесуэлы. Уго Чавес 14 лет бессменно руководил страной и был весьма одиозной политической фигурой. Шумиха вокруг его смерти не утихает. Уже в начале марта нами были зарегистрированы так называемые «нигерийские письма» на английском и немецком языках, эксплуатирующие интерес пользователей к событиям в Венесуэле.
Одно из мошеннических писем было разослано от имени начальника морского порта Венесуэлы, который якобы просил помочь ему сохранить деньги, полученные от продажи дизельного топлива Южному Судану. При этом в первом же письме мошенники не обещают адресату конкретную сумму за помощь, их цель на начальном этапе – заинтересовать получателя и заставить его ответить на письмо. И только в ходе дальнейшей переписки ему предлагается денежное вознаграждение.
В другой рассылке распространялось письмо якобы от начальника службы безопасности и по совместительству близкого друга Уго Чавеса. Как всегда, «нигерийские» мошенники
В обоих случаях главной целью мошенников было вовлечь пользователя в переписку, чтобы ввести его в заблуждение и выманить у него деньги, например под предлогом оплаты каких-либо услуг, способствующих получению им мифических миллионов.
Географическое распределение источников спама
По итогам марта 2013 года среди стран — источников спама, распространяемого по всему миру, на первое место вновь вышел Китай (25,8%). Доля спама, рассылаемого из США, незначительно увеличилась (17,3%), и теперь страна занимает второе место в общем зачете. В целом из этих двух стран в марте было разослано около 43% мирового спама.
Страны — источники спама в мире
Третье место, как и в феврале, занимает Южная Корея (9,8%), доля которой в марте уменьшилась на 3,8%. Сохранили свои места в первой пятерке Тайвань (5%) и Индия (3,4%). А вот Россия (2,4%) потеряла почти 1% и передвинулась в рейтинге с 7-го на 10-е место. Германия (2,7%), занимавшая ранее 10-ю строчку, по итогам марта прибавила около 1% и заняла 8-е место.
Ситуация со спам-потоками в Рунете по итогам марта выглядит следующим образом:
Страны – источники спама в Рунете
Индия потеряла лидирующую позицию среди стран – источников спама в Рунете и заняла второе место в рейтинге. Показатель этой страны уменьшился почти вдвое и составил 9,1%. На освободившееся 1-е место с 3-ей позиции поднялся Тайвань – его результат 10,7%, что на 1,6% больше по сравнению с февралем. На третье место вышел Вьетнам (8,1%), несмотря на то что его показатель снизился на 0,3%.
Доля спама из Германии (7,9%) в Рунете увеличилась на 2,3%, и в результате страна заняла 4-е место в рейтинге. Вклад США в спам-потоки Рунета увеличился на 3%, и страна поднялась с 7-го на 5-е место с показателем 5,9%. На 6-е место опустилась Италия (5,6%), которая в феврале занимала вторую строчку рейтинга, ее показатель уменьшился более чем вдвое.
Россия (4,7%) в марте потеряла около 1% и спустилась на 8-ю строчку.
Среди регионов лидером по распространению спама остается Азия (54%). В первую тройку, как и в феврале, вошли Северная Америка (17,8%) и Восточная Европа (10,2%). За ними с небольшим отрывом следует Западная Европа (9,4%).
Вредоносные вложения в спаме
В марте 2013 года доля писем с вредоносными вложениями составила 4% от мирового почтового трафика. Это на 1,2% пункта больше, чем в прошлом месяце.
TOP 10 вредоносных программ, распространявшихся по электронной почте
На первом месте по-прежнему находится вредоносная программа Trojan-Spy.html.Fraud.gen (6,9%), однако ее доля по сравнению с прошлым месяцем уменьшилась на 4,1% пункта. Напомним, что этот троянец представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Если пользователь вводит свои данные в предложенные поля и нажимает на кнопку отправления, его личная информация попадает к мошенникам.
На второе место вышел Trojan.win32.Bublik.aknd. Эта вредоносная программа собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, она может просматривать формы в браузерах Mozilla Firefox и Google Chrome в поисках сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.
На третьем месте находится вредоносная программа Email-Worm.Win32.Bagle.gt. Почтовые черви часто попадают в TOP-10, так как их основной функционал – рассылать свои копии по контактам в адресной книге пользователя. Черви семейства Bagle могут связываться с командным центром и устанавливать на зараженный компьютер другие вредоносные программы.
Помимо прочего, в первую десятку в этом месяце вошли вредоносные программы семейства Trojan-Ransom, вымогающие у пользователей деньги за доступ к операционной системе или программам (обычно требуется отправить платное SMS). Обнаруженные нами модификации троянской программы Trojan-Ransom.Win32.Blocker блокируют работу операционной системы и вешают на Рабочем столе баннер с условиями разблокировки. Мы хотим напомнить читателям, что не следует идти на поводу у киберпреступников и платить злоумышленникам деньги. Чтобы разблокировать компьютер, воспользуйтесь нашим бесплатным сервисом:
Распределение срабатываний почтового антивируса по странам
Распределение срабатываний почтового антивируса по странам
Внезапно поднявшаяся в феврале на 1-е место Италия (6,6%) вновь уступила лидирующую позицию США (13,6%). Интересно, что в марте пользователи из США получали, помимо ворующих пароли Trojan-Spy.html.Fraud.gen и Trojan.win32.Bublik.aknd, множество других нацеленных на пароли троянцев семейства Trojan-PSW.Win32.Tepfer. На 2-м месте по-прежнему Германия (11,1%), за месяц ее доля практически не изменилась. А вот на 3-е место с 5-го поднялась Австралия (7%) – ее доля увеличилась на 1,3%. В целом распределение срабатываний по странам поменялось незначительно.
После некоторого затишья злоумышленники, распространяющие вредоносные программы по электронной почте, возобновили рассылку писем – подделок под уведомление о бронировании отелей и авиабилетов. В частности, в марте нами была зарегистрирована новая рассылка подделок под уведомление о бронировании номера в Atlantic Hotel. В письме, написанном от лица менеджера отеля, злоумышленники благодарили получателя за бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013 года.
Предполагается, что заинтригованный получатель письма откроет приложенный к письму архив, якобы содержащий подтверждение бронирования номера, и запустит исполняемый файл AtlanticHotel Booking Confirmation.doc.exe. В результате произойдет заражение компьютера вредоносной программой, детектируемой «Лабораторией Касперского» как Trojan-Ransom.Win32.Blocker.awbi. Данный троянец широко используется для вымогания денежных средств или финансовой информации.
Также мошенники рассылали письма с вредоносными вложениями под видом уведомления о бронировании авиабилетов. Так, мы обнаружили письма-подделки, рассылаемые от имени онлайн-сервиса Delta.com. В письме злоумышленники благодарили за выбор сервиса бронирования авиабилетов и сообщали, что требования к багажу и порядок регистрации могут различаться в зависимости от аэропорта и авиаперевозчика, поэтому получатель должен открыть приложенный к письму электронный билет и внимательно прочитать его.
На самом деле во вложении находился исполняемый файл eTicket and Receipt.pdf.exe, детектируемый «Лабораторией Касперского» как Backdoor.Win32.ZAccess.bmdt.Это вредоносное ПО используется злоумышленниками для получения удаленного доступа к компьютеру жертвы с целью кражи персональной информации, включения компьютера в ботнет и т.д.
Помимо подделок под уведомление о бронировании номера отеля или авиабилетов в марте для обмана пользователей спамеры использовали имя австралийской телекоммуникационной компании TPG Telecom. В поддельном письме сообщалось, что баланс мобильного телефона получателя был меньше 5 долларов, но компания предоставила кредит, и теперь баланс телефона составляет 20 долларов. А более подробную информацию о состоянии счета получатель письма мог узнать, открыв вложенный файл.
Во вложенном zip-архиве содержался файл TGP-Account-Details.doc.exe, детектируемый «Лабораторией Касперского» как троянская программа-шпион Trojan-Spy.Win32.Zbot.jqye. Это одна из разновидностей знаменитого трояца ZeuS, предназначенная для похищения конфиденциальной информации пользователя.
Фишинг
В марте доля фишинговых писем в глобальном почтовом потоке увеличилась вдвое и составила 0,006%.
Распределение TOP 100 организаций, атакованных фишерами, по категориям*
*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.
По итогам марта социальные сети продолжают удерживать лидирующую позицию по количеству фишинговых атак, их показатель уменьшился на 4,3% и составил 34,5%. В первую тройку также вошли финансовые и платежные организации (17,4%) и поисковые системы (14,9%), которые занимают вторую и третью строчку соответственно.
Четвертую позицию сохранили ИТ-вендоры (9,9%). Замыкают первую пятерку телефонные и интернет провайдеры (8,9%), ранее занимавшие 7-е место, — их показатель увеличился на 3,5%.
В марте нами было получено любопытное фишинговое письмо на китайском языке, якобы отправленное известным китайским сетевым изданием sina.com.cn. В письме фишеры прибегли к популярной легенде о том, что аккаунт пользователя на сайте издания плохо защищен и для обеспечения безопасности получателю письма необходимо перейти по ссылке и обновить данные аккаунта. Кликнув по указанной в письме мошеннической ссылке, жертва попадает на поддельную страницу, где ее просят ввести логин и пароль для доступа к аккаунту. В результате в руки мошенников попадают персональные данные пользователя, а украденный аккаунт в дальнейшем может быть использован для рассылки спама от имени жертвы.
Интересно, что в письме мошенники предлагают пользователю написать в службу поддержки или позвонить по указанному телефону в случае возникновения каких-либо сомнений или вопросов. Данный прием используется для убеждения получателя в легитимности письма.
Заключение
В марте общая доля спама незначительно уменьшилась, а спамеры продолжили эксплуатировать тематику праздников для рекламы различных товаров и услуг. В апреле мы ожидаем уменьшения количества спама, использующего эту тематику, но в то же время весьма вероятно появление русскоязычного «пасхального» спама. Одним из заметных событий марта стало появление «нигерийских писем», использующих интерес пользователей к событиям в Венесуэле.
Как и в феврале, большая часть спама распространяется по миру из США и Китая – в марте эти две страны стали источником примерно 43% нежелательных сообщений. В спам-потоках Рунета произошли значительные изменения: вдвое упали показатели Индии и Италии, двух главных источников спама в феврале.
Рейтинг рассылаемых по почте вредоносных программ в марте отличался разнообразием: компанию вложенным в письма фишинговым страницам составили бэкдоры, почтовые черви и даже троянцы-вымогатели. Но 1-е место с большим отрывом по-прежнему занимает Trojan-Spy.html.Fraud.gen.
Количество фишинговых писем увеличилось вдвое, однако в первой тройке атакованных фишерами организаций существенных изменений не произошло. Как и в прошлом месяце, около трети всех атак были нацелены на пользователей социальных сетей, а в первую тройку мишеней фишеров вошли поисковые системы и финансовые организации.
НОВОЕ НА САЙТЕ
Главная
Методы обнаружения вирусов
Классификация антивирусов
Недостатки
Новости антивирусов
Антивирус Касперского
Антивирус Dr.Web
Антивирус Nod32
Антивирус Panda
Антивирус Avira
Антивирус Avast
Антивирус AVG
Вирусные новости
Горячая лента угроз и предупреждений о вирусной опасности!
Лента уязвимостей
Новости Безопастности
Вирусный Лист
Аналитические статьи
Каталог
Спам в июле 2011 года
Обзор DDoS-атак во втором квартале 2011 года
Спам во втором квартале 2011
Развитие информационных угроз во втором квартале 2011 года
Обзор вирусной активности - июль 2011
Наборы эксплойтов в первой половине 2011 года
Спам в июне 2011 года
Обзор вирусной активности - июнь 2011
Дети онлайн: техника безопасности
TDL4 - Top Bot
Спам в мае 2011 года
Землетрясение в Японии - хронология IT-угроз
Спам в первом квартале 2011
Спам в апреле 2011 года
Развитие информационных угроз в первом квартале 2011 года
Спам в марте 2011 года
«Рекламный» ботнет
Обзор вирусной активности - март 2011
Спам и закон: осеннее противостояние
Мобильная вирусология, часть 4
Планета, захваченная спамерами
MYBIOS. Возможно ли заразить BIOS?
Спам в августе 2011 года
Обзор вирусной активности - август 2011
ZeuS-in-the-Mobile - факты и догадки
Обзор вирусной активности - сентябрь 2011
Спам в сентябре 2011 года
Спам в третьем квартале 2011
Обзор вирусной активности - октябрь 2011
Развитие информационных угроз в третьем квартале 2011 года
Спам в октябре 2011 года
Головы Гидры. Вредоносное ПО для сетевых устройств
Легальные буткиты
Онлайн-платежи - удобно и безопасно
Обзор вирусной активности - ноябрь 2011
Троянцы-вымогатели
Спам в ноябре 2011 года
Stuxnet/Duqu: эволюция драйверов
Спам в декабре 2011 года
Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете
Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году
Kaspersky Security Bulletin. Основная статистика за 2011 год
Kaspersky Security Bulletin. Спам в 2011 году
Спам в январе 2012 года
DDoS-атаки второго полугодия 2011 года
Мобильная вирусология, часть 5
Обзор вирусной активности - февраль 2012
Спам в феврале 2012 года
Спам в марте 2012 года
Обзор вирусной активности, март 2012
Анатомия Flashfake. Часть I
Спам в первом квартале 2012
Спам в апреле 2012 года
Развитие информационных угроз в первом квартале 2012 года
Обзор вирусной активности - апрель 2012
Анатомия Flashfake. Часть II
Спам в мае 2012 года
XPAJ. Исследование буткита под Windows x64
Спам в июне 2012 года
Развитие информационных угроз во втором квартале 2012 года
Спам в июле 2012 года
Спам во втором квартале 2012
География киберпреступлений. Западная Европа и Северная Америка
Спам в августе 2012 года
«Этот сайт может причинить вред вашему компьютеру». Как распознать и предотвратить заражение веб-сайтов
Спам в сентябре 2012 года
Безопасность ключевых систем информационной инфраструктуры: точка доверия
Развитие информационных угроз в третьем квартале 2012 года
Спам в третьем квартале 2012
Спам в октябре 2012
Kaspersky Security Bulletin 2012. Кибероружие
Kaspersky Security Bulletin 2012. Основная статистика за 2012 год
Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году
Спам в ноябре 2012
Информационная безопасность в 2030 году: прежними останутся только люди
Спам в 2012 году
Спам в декабре 2012
Нигерийское наследство ждет вас
Отчет «Лаборатории Касперского»: оценка уровня опасности уязвимостей в ПО
«Операция Абабиль»: итоги
«Медовые ловушки» в интернете
Контроль запуска программ как залог безопасности сети. Часть 1
Контроль запуска программ как залог безопасности сети. Часть 2
Спам в январе 2013
Мобильная вирусология, часть 6
Спам в феврале 2013
Winnti. Это вам не игрушки
Анализ Winnti 1.0
Спам в марте 2013
Spyware. HackingTeam
Спам в первом квартале 2013
Развитие информационных угроз в первом квартале 2013 года
Спам в апреле 2013
Спам в мае 2013
Перенаправления в спаме
Спам в июне 2013
Спам во втором квартале 2013
Развитие информационных угроз во втором квартале 2013 года
Anti-decompiling techniques in malicious Java Applets
The curious case of a CVE-2012-0158 exploit
Spam in Q2 2013
Spam in June 2013
Redirects in Spam
Spam in May 2013
Spam in April 2013
IT Threat Evolution: Q1 2013
Spam in Q1 2013
Spyware. HackingTeam
Spam in March 2013
Spam in February 2013
Mobile Malware Evolution: Part 6
Spam in January 2013
Application Control: the key to a secure network. Part 1
Application Control: the key to a secure network - Part 2
Honey traps on the Internet
Kaspersky Lab report: Evaluating the threat level of software vulnerabilities
Spam in December 2012
Kaspersky Security Bulletin: Spam Evolution 2012
Спам в июле 2013
Как закрыть черную дыру?
DDoS-атаки первого полугодия 2013 года
Операция «Kimsuky»: северокорейская разведдеятельность?
Защита от виртуальных грабителей
Спам в августе 2013
PAC - файл автоконфигурации проблем
Проигрыш обеспечен, или настоящее лицо фальшивой Фортуны
Спам в первом квартале 2014
Спам в марте 2014
Развитие информационных угроз в первом квартале 2014 года
Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО
Финансовые киберугрозы в 2013 году. Часть 1: фишинг
BitGuard: система принудительного поиска
Спам в феврале 2014
Мобильные угрозы - 2013
Спам в январе 2014
Угроза из BIOS
Спам-кредиторы: кража данных, троянцы и другие особенности «дешевых» займов
Kaspersky Security Bulletin. Спам в 2013 году
Спам в декабре 2013
Спам в ноябре 2013
Kaspersky Security Bulletin 2013. Развитие угроз в 2013 году
Kaspersky Security Bulletin 2013. Корпоративные угрозы
Kaspersky Security Bulletin 2013. Основная статистика за 2013 год
Kaspersky Security Bulletin 2013. Прогнозы
Новая угроза для онлайн-банка
Спам в апреле 2014
Дети в Сети: формула безопасности
Обманщики в социальных сетях
Многофункциональный DDoS-троянец под Linux
Спам в мае 2014