Спам в первом квартале 2013
Квартал в цифрах
- По сравнению с четвертым кварталом 2012-го года доля спама в почтовом трафике увеличилась на 0,5% и составила 66,5%.
- Доля фишинговых писем в почтовом потоке уменьшилась в 4,25 раза и составила 0,004%.
- Вредоносные вложения содержались в 3,3% всех электронных сообщений, что на 0,1% выше показателя предыдущего квартала.
Особенности квартала
В первом квартале произошло несколько громких событий: умер президент Венесуэлы Уго Чавес, ушел в отставку Папа Римский Бенедикт XVI и официально взошел на Святой престол в Ватикане новый Папа Франциск. Как обычно, события такого масштаба не остались незамеченными спамерами. Интерес пользователей к важным мировым событиям использовался в первую очередь распространителями вредоносных ссылок и мошеннических писем. Впрочем, злоумышленники не забыли и про другие приемы социальной инженерии.
Горячие новости с вредоносными ссылками
После смерти венесуэльского лидера в спаме появились
Нажавший на ссылку неосторожный пользователь попадал на взломанный легитимный сайт, откуда перенаправлялся на вредоносный ресурс, содержащий обфусцированный javascript. Если операционная система потенциальной жертвы соответствовала определенным параметрам, то с помощью эксплойта (проактивно детектировался антивирусом Касперского как HEUR:Exploit.Java.CVE-2012-0507.gen) на компьютер пользователя устанавливалась вредоносная программа.
Но не только Уго Чавес привлек в этом квартале внимание спамеров. В другой рассылке с провокационным текстом и вредоносной ссылкой злоумышленники использовали имя нового Папы Римского для привлечения внимания получателей. Спам-рассылка имитировала
Схема заражения компьютера с использованием данной вредоносной рассылки копировала схему, использованную в рассылке с вредоносной ссылкой на «новость» о смерти Уго Чавеса: после нажатия на ссылку пользователь перенаправлялся на взломанный сайт, затем на его компьютер загружался эксплойт (чаще всего из набора эксплойтов Blackhole), с помощью которого и происходило заражение компьютера вредоносной программой.
Интересно, что при всей кажущейся тщательности изготовления подделок под новостные уведомления злоумышленники периодически путали заголовки: например, оставляли в поле «From» письма, замаскированного под сообщение CNN, слово «BBC» .
Использование горячих новостей в сочетании со ссылками на якобы провокационные фотографии и видео — один из любимых приемов спамеров, распространяющих вредоносные программы. Ранее мы уже встречали подобные рассылки, предлагающие посмотреть фотографии Осамы бен Ладена, компромат на Барака Обаму и многое другое. Несмотря на многообразие используемых спамерами тем, результат перехода по ссылке в таких письмах один и тот же: на компьютер пользователя пытается загрузиться вредоносная программа.
События в Венесуэле и «нигерийский» спам
«Нигерийские» мошенники, которые всегда использовали фактор нестабильности в какой-либо стране, не пропустили и события в Венесуэле. Мы зафиксировали несколько эксплуатирующих эту тему рассылок на разных языках.
Сюжет англоязычного письма стандартен для «нигерийского» мошенничества: письмо написано якобы от близкой к правящей верхушке особы, которая просит помощи в обналичивании денег — пока их не отняло новое правительство.
«Нигерийские» письма с очень похожим содержанием, но другими именами мы фиксировали и после смерти ливийского лидера Муамара Каддафи, и после тюремного заключения египетского президента Хосни Мумбарака.
В рассылке на немецком языке автор пишет, что он был другом покойного Уго Чавеса и по его просьбе хранит 23 миллиона долларов США для тайной возлюбленной президента, которая так и не объявилась. Получателю предлагается поучаствовать в обналичивании этих денег — разумеется, за солидное вознаграждение.
Сценарий взаимодействия «нигерийских» мошенников с потенциальными жертвами хорошо известен. Если получатель ответит на письмо, то в ходе дальнейшей переписки его попросят перевести на некий счет небольшую по сравнению с обещанным гонораром сумму — на оплату работы юриста, выплату налогов и т.п. Получив деньги, мошенники прекратят всякие контакты со своей жертвой.
Социальные подделки
Спамеры — в особенности те, кто хочет заразить компьютеры пользователей вредоносными программами, - по-прежнему используют подделки под уведомления известных сервисов. В этом квартале к постоянно встречающимся в подобных рассылках Facebook, Twitter и многим другим прибавился сервис Foursquare. Сработало простое правило: чем выше популярность сервиса, тем с большей вероятностью спамеры будут рассылать от его имени фальшивые уведомления.
Чаще всего в подобных письмах злоумышленники рассылают ссылки на наборы эксплойтов, способные найти уязвимость на компьютере пользователя и использовать ее для установки различных вредоносных программ. Особой популярностью у спамеров пользуется набор эксплойтов Blackhole.
Интересно, что спамеры, посылая вредоносные письма под видом уведомления от того или иного сервиса, часто не следят за тем, чтобы заголовок письма или содержимое поля «From» соответствовали содержанию письма. Отметим, что эту же ошибку совершают злоумышленники, рассылающие поддельные сообщения от имени медиагигантов CNN и BBC. Это может указывать на то, что за все подобные рассылки ответственна одна группа злоумышленников.
Методы и трюки
Не секрет, что в последнее время спамеры не могут придумать ничего нового: все трюки уже были использованы когда-то в том или ином виде. В результате злоумышленники перешли на использование комбинаций из нескольких приемов, в том числе довольно известных, но со временем утративших популярность. Кроме того, спамеры изучили возможности легальных сервисов и теперь используют их для обхода спам-фильтров.
Использование легальных сервисов
В первом квартале 2013 года нам встретилась рассылка стандартной для спама рекламы медикаментов для мужчин, где были использованы следующие трюки:
- Заголовок «Instagram Account Delete» — типичный пример социальной инженерии. Для привлечения внимания пользователя используется тема удаления аккаунта на популярном сервисе. Если у получателя есть аккаунт в Instagram, то он, скорее всего, откроет письмо, вместо того чтобы сразу его удалить.
- Реальный адрес, на который ведет вредоносная ссылка, замаскирован с помощью сразу двух легальных методов. Сначала спамеры воспользовались сервисом коротких ссылок от Yahoo, а затем обработали полученную таким образом ссылку в онлайн-переводчике Google Translate. Этот сервис может выполнять перевод веб-страницы по указанной пользователем ссылке и генерировать собственную ссылку на результат перевода. Сочетание этих методов делает каждую ссылку в рассылке уникальной, а кроме того, использование двух всемирно известных доменов помогает сделать ссылку достаточно «авторитетной» в глазах получателя спама.
А чтобы еще сильнее запутать получателя, спамеры добавили в конец ссылки бессмысленный запрос, состоящий из случайных слов: «?/constitutional contextualization».
Спамеры часто пользуются сервисами коротких ссылок. Во-первых, таким образом они пытаются обмануть спам-фильтры, сделав ссылку уникальной в каждом письме. Во-вторых, использование сервисов коротких ссылок не накладывает на злоумышленников дополнительных затрат, как в случае с покупкой доменов или взломом легитимных сайтов. С другой стороны, крупные сервисы коротких ссылок стараются следить за контентом сайтов, на которые они перенаправляют пользователей, и быстро прекращать работу вредоносных ссылок.
«Белый текст» возвращается
Снова стал пользоваться популярностью простой прием замусоривания содержимого письма, известный как «белый текст». По сути, это добавление в письмо случайных кусков текста (в этом квартале это, в основном, были фрагменты новостей), оформленных светло-серым шрифтом на сером фоне и отделенных от основного рекламного текста большим количеством переносов строки. Такой прием, во-первых, рассчитан на то, что контентные спам-фильтры примут такое письмо за новостную рассылку, а во-вторых, использование случайных фрагментов новостей делает каждое письмо рассылки уникальным, что затрудняет детектирование
Статистика
Доля спама в почтовом трафике
В течение первого квартала 2013 года доля спама в почтовом трафике заметно колебалась и в итоге составила в среднем 66,55%. Это на 0,53% пункта выше, чем в предыдущем квартале.
Доля спама в почтовом трафике, первый квартал 2013 г.
Одной из самых крупных рассылок этого квартала стала мошенническая рассылка по методу «накачка и сброс». Это одна из форм махинаций на фондовом рынке, когда спамеры покупают акции мелких компаний, искусствено раздувают цены на акции за счет распространения в своих рассылках ложной позитивной информации о состоянии этих фирм, а потом продают акции по новым, более высоким ценам. Именно из-за этой рассылки первая неделя марта стала рекордной по количеству спама за квартал (73,4%).
Пик подобного акционного спама пришелся на 2006-2007 годы, после чего он на несколько лет практически исчез и лишь изредка появлялся в спам-потоках. Интересно, что в годы популярности подобного спама рассылки тоже
Страны — источники спама
В первом квартале 2013 года Китай (24,3%) и США(17,7%) по-прежнему держат лидирующие позиции среди стран — источников спама. На 3-е место с довольно большой долей поднялась Южная Корея (9,6%).
Интересно, что спам из этих стран нацелен на разные регионы: большинство китайского спама рассылается в Азию, спам из США нацелен преимущественно на Северную Америку (т.е. большую его часть фактически можно считать внутренним спамом), а спам из Кореи направлен в основном на Европу.
Распределение источников спама по странам, первый квартал 2013 года
Бразилия (2,2%), занимавшая по итогам прошлого года 5-е место в списке, опустилась на 9-е место: доля исходящего оттуда спама сократилась почти в два раза. Это связано с тем, что в конце 2012 года Бразилия на уровне страны закрыла 25 TCP порт, который является портом по умолчанию для исходящего SMTP-трафика. Именно через этот порт идет большинство исходящего спама с зараженных компьютеров пользователей. Закрытие порта 25 является стандартной практикой для интернет-провайдеров, но в данном случае проблема была решена на более высоком уровне.
В первую пятерку стран вошли также Индия (4,4%), занимавшая 3-е место по итогам прошлого года, и Тайвань — его результат вырос более чем в два раза, что позволило стране подняться с 10-го места на 5-е. Россия (3,2%) набрала 1,2% и в результате поднялась на одну строчку вверх - на 7-е место.
Регионы — источники спама
Азия по-прежнему является регионом, лидирующим по количеству рассылаемого спама — на нее приходится 51,8% всего исходящего спама. За ней идет Северная Америка с показателем 18,3%.
Распределение источников спама по регионам, первый квартал 2013 года
Выросла доля спама, рассылаемого из Восточной Европы (11,1%). Хотя в первую десятку стран-источников спама входит только одна восточноевропейская страна — Россия, — во второй десятке таких стран уже половина.
Вклад в мировые спам-потоки Латинской Америки уменьшился за счет Бразилии, Перу и Аргентины, доля которых в этом квартале снизилась настолько, что они не вошли в TOP 20.
Размеры спамовых писем
Размер спамовых писем, первый квартал 2013 г.
В первом квартале 2013 года в спаме преобладали очень короткие письма, размером не более 1Kb. Использование компактных сообщений позволяет спамерам рассылать больше писем с меньшими затратами трафика. Кроме того, используя короткие фразы, которые целиком меняются от письма к письму, такие письма проще сделать уникальными, что усложнит работу спам-фильтрам.
Вредоносные вложения в почте
Доля писем с вредоносными вложениями выросла по сравнению с прошлым кварталом на 0,1% пункт и составила 3,3%.
ТОP 10 вредоносных программ, распространенных в почте, первый квартал 2013 г.
Наиболее популярной у злоумышленников по-прежнему остается вредоносная программа Trojan-Spy.HTML.Fraud.gen, которая представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения финансовой информации пользователей.
На втором месте почтовый червь семейства Bagle, который может не только рассылать свои копии по контактам адресной книги пользователя, но и принимать удаленные команды на установку других вредоносных программ.
На третье место в первом квартале 2013 года вышел Trojan-Banker.HTML.Agent.p. Как и Fraud.gen, данный зловред выполнен в виде html-страницы, копирующей регистрационные формы сервисов онлайн-банкинга или других интернет-сервисов.
Помимо нескольких старых почтовых червей, постоянно курсирующих в интернете, в TOP 10 распространяемых в письмах программ вошли Trojan.Win32.Bublik.aknd и несколько бэкдоров семейства Androm.
Bublik собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, троянец может просматривать формы в браузерах Mozilla Firefox и Google Chrome на предмет сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.
Программы типа backdoor позволяют злоумышленнику незаметно управлять зараженным компьютером, например, загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета. В большинстве случаев бэкдоры семейства Androm распространялись в поддельных письмах, присланных от имени сервисов Booking.com, DHL, British Airways и других. Подобным образом распространяются и троянские программы семейства ZeuS/Zbot.
Распределение срабатываний почтового антивируса по странам, первый квартал 2013 г.
Наибольшее количество срабатываний почтового антивируса по-прежнему приходится на США (13,2%) и Германию (11,2%). Суммарно в эти две страны рассылается почти четверть всех вредоносных писем. На 3-е место в рейтинге вышла Италия (8,7%), которая не всегда входит даже в первую десятку. Все дело в том, что в феврале в Италию была направлена мощная рассылка, содержащая Trojan-Banker.HTML.Agent.p, в результате в феврале Италия даже заняла 1-е место в TOP 10.
В остальном рейтинг стран по срабатываниям почтового антивируса практически не претерпел изменений.
Фишинг
В первом квартале 2013 года доля фишинговых писем в почтовом потоке уменьшилась в 4,25 раза и составила 0,004%.
Распределение TOP 100 организаций, атакованных фишерами*, по категориям, первый квартал 2013 г.
*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.
В этом квартале снова участились фишинговые атаки на социальные сети (37,6%), злоумышленники активно подделывали свои письма под уведомления Facebook и LinkedIn. На 2-м месте находятся поисковики (16,2%). Такую высокую позицию поисковых систем можно объяснить тем, что крупные компании - владельцы поисковиков, также предлагают множество других сервисов, предоставляющих функционал виртуального дискового пространства, почты, социальных сетей и многое другое. Часто ключом от всех сервисов является один аккаунт, поэтому поисковые системы представляют собой привлекательную мишень для киберпреступников.
На 3-м месте находятся финансовые и платежные организации (14,2%). Хочется отметить, что в отличие, к примеру, от социальных сетей, где большая часть атак приходится на одну-две организации, распределение атак на банки более равномерно: атакуется огромное число различных банков, как крупных и всемирноизвестных, так и небольших и локальных.
Распределение хостингов фишинговых сайтов по странам, первый квартал 2013 г.
Что касается стран, в которых хостятся фишинговые сайты, то тут на первом месте находятся США (25,4%), на 2-м и 3-м — Великобритания (8,2%) и Германия (7,7%). Следом за ними идет Россия (6%), а замыкает первую пятерку Индия (5,2%).
Интересно, что в TOP 10 стран, в которых расположено больше всего фишинговых сайтов, вошли Канада (4,5%) и Австралия (3,9%). Обе эти страны считаются довольно безопасными в плане киберпреступности, а количество исходящего оттуда спама минимально (менее 1%).
Заключение
В 2012 году доля спама падала на протяжении всего периода. В первом квартале 2013 года доля нежелательной корреспонденции в почтовом трафике хоть и колебалась от месяца к месяцу, в среднем за квартал она практически не изменилась по сравнению с предыдущим кварталом. Мы ожидаем, что в дальнейшем доля спама останется на нынешнем уровне или даже немного возрастет, так как в последнее время участились случаи очень крупных многомиллионных рассылок.
Спамеры стараются привлекать внимание пользователей к своим сообщениям: используют громкие имена, мировые события, либо просто подделывают письма под уведомления популярных ресурсов. Многие подобные письма содержат ссылки на вредоносные программы, в том числе эксплойты. Мы хотим еще раз напомнить читателям, что не стоит кликать по ссылкам в письмах, даже если отправитель кажется знакомым. Гораздо безопасней вручную набрать в браузере адрес нужного ресурса.
Лидеры среди стран — источников спама — США и Китай — вряд ли в ближайшее время покинут занимаемые позиции, если только инициативные группы не закроют командные центры расположенных в этих странах ботнетов. В первом квартале 2013 года в тройку лидеров также вошла Южная Корея, из которой спам рассылается преимущественно в европейские страны.
Среди рассылаемых в спаме вредоносных вложений чаще всего нам встречались программы, используемые для кражи логинов и паролей пользователей. Особенно популярны у злоумышленников троянцы, нацеленные на хищение информации, необходимой для работы с сервисом онлайн-банкинга. Кроме того, многие спам-рассылки содержали ссылки на наборы эксплойтов — в первом квартале 2013 года наибольшей популярностью у злоумышленников пользовался Blackhole.
НОВОЕ НА САЙТЕ
Главная
Методы обнаружения вирусов
Классификация антивирусов
Недостатки
Новости антивирусов
Антивирус Касперского
Антивирус Dr.Web
Антивирус Nod32
Антивирус Panda
Антивирус Avira
Антивирус Avast
Антивирус AVG
Вирусные новости
Горячая лента угроз и предупреждений о вирусной опасности!
Лента уязвимостей
Новости Безопастности
Вирусный Лист
Аналитические статьи
Каталог
Спам в июле 2011 года
Обзор DDoS-атак во втором квартале 2011 года
Спам во втором квартале 2011
Развитие информационных угроз во втором квартале 2011 года
Обзор вирусной активности - июль 2011
Наборы эксплойтов в первой половине 2011 года
Спам в июне 2011 года
Обзор вирусной активности - июнь 2011
Дети онлайн: техника безопасности
TDL4 - Top Bot
Спам в мае 2011 года
Землетрясение в Японии - хронология IT-угроз
Спам в первом квартале 2011
Спам в апреле 2011 года
Развитие информационных угроз в первом квартале 2011 года
Спам в марте 2011 года
«Рекламный» ботнет
Обзор вирусной активности - март 2011
Спам и закон: осеннее противостояние
Мобильная вирусология, часть 4
Планета, захваченная спамерами
MYBIOS. Возможно ли заразить BIOS?
Спам в августе 2011 года
Обзор вирусной активности - август 2011
ZeuS-in-the-Mobile - факты и догадки
Обзор вирусной активности - сентябрь 2011
Спам в сентябре 2011 года
Спам в третьем квартале 2011
Обзор вирусной активности - октябрь 2011
Развитие информационных угроз в третьем квартале 2011 года
Спам в октябре 2011 года
Головы Гидры. Вредоносное ПО для сетевых устройств
Легальные буткиты
Онлайн-платежи - удобно и безопасно
Обзор вирусной активности - ноябрь 2011
Троянцы-вымогатели
Спам в ноябре 2011 года
Stuxnet/Duqu: эволюция драйверов
Спам в декабре 2011 года
Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете
Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году
Kaspersky Security Bulletin. Основная статистика за 2011 год
Kaspersky Security Bulletin. Спам в 2011 году
Спам в январе 2012 года
DDoS-атаки второго полугодия 2011 года
Мобильная вирусология, часть 5
Обзор вирусной активности - февраль 2012
Спам в феврале 2012 года
Спам в марте 2012 года
Обзор вирусной активности, март 2012
Анатомия Flashfake. Часть I
Спам в первом квартале 2012
Спам в апреле 2012 года
Развитие информационных угроз в первом квартале 2012 года
Обзор вирусной активности - апрель 2012
Анатомия Flashfake. Часть II
Спам в мае 2012 года
XPAJ. Исследование буткита под Windows x64
Спам в июне 2012 года
Развитие информационных угроз во втором квартале 2012 года
Спам в июле 2012 года
Спам во втором квартале 2012
География киберпреступлений. Западная Европа и Северная Америка
Спам в августе 2012 года
«Этот сайт может причинить вред вашему компьютеру». Как распознать и предотвратить заражение веб-сайтов
Спам в сентябре 2012 года
Безопасность ключевых систем информационной инфраструктуры: точка доверия
Развитие информационных угроз в третьем квартале 2012 года
Спам в третьем квартале 2012
Спам в октябре 2012
Kaspersky Security Bulletin 2012. Кибероружие
Kaspersky Security Bulletin 2012. Основная статистика за 2012 год
Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году
Спам в ноябре 2012
Информационная безопасность в 2030 году: прежними останутся только люди
Спам в 2012 году
Спам в декабре 2012
Нигерийское наследство ждет вас
Отчет «Лаборатории Касперского»: оценка уровня опасности уязвимостей в ПО
«Операция Абабиль»: итоги
«Медовые ловушки» в интернете
Контроль запуска программ как залог безопасности сети. Часть 1
Контроль запуска программ как залог безопасности сети. Часть 2
Спам в январе 2013
Мобильная вирусология, часть 6
Спам в феврале 2013
Winnti. Это вам не игрушки
Анализ Winnti 1.0
Спам в марте 2013
Spyware. HackingTeam
Спам в первом квартале 2013
Развитие информационных угроз в первом квартале 2013 года
Спам в апреле 2013
Спам в мае 2013
Перенаправления в спаме
Спам в июне 2013
Спам во втором квартале 2013
Развитие информационных угроз во втором квартале 2013 года
Anti-decompiling techniques in malicious Java Applets
The curious case of a CVE-2012-0158 exploit
Spam in Q2 2013
Spam in June 2013
Redirects in Spam
Spam in May 2013
Spam in April 2013
IT Threat Evolution: Q1 2013
Spam in Q1 2013
Spyware. HackingTeam
Spam in March 2013
Spam in February 2013
Mobile Malware Evolution: Part 6
Spam in January 2013
Application Control: the key to a secure network. Part 1
Application Control: the key to a secure network - Part 2
Honey traps on the Internet
Kaspersky Lab report: Evaluating the threat level of software vulnerabilities
Spam in December 2012
Kaspersky Security Bulletin: Spam Evolution 2012
Спам в июле 2013
Как закрыть черную дыру?
DDoS-атаки первого полугодия 2013 года
Операция «Kimsuky»: северокорейская разведдеятельность?
Защита от виртуальных грабителей
Спам в августе 2013
PAC - файл автоконфигурации проблем
Проигрыш обеспечен, или настоящее лицо фальшивой Фортуны
Спам в первом квартале 2014
Спам в марте 2014
Развитие информационных угроз в первом квартале 2014 года
Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО
Финансовые киберугрозы в 2013 году. Часть 1: фишинг
BitGuard: система принудительного поиска
Спам в феврале 2014
Мобильные угрозы - 2013
Спам в январе 2014
Угроза из BIOS
Спам-кредиторы: кража данных, троянцы и другие особенности «дешевых» займов
Kaspersky Security Bulletin. Спам в 2013 году
Спам в декабре 2013
Спам в ноябре 2013
Kaspersky Security Bulletin 2013. Развитие угроз в 2013 году
Kaspersky Security Bulletin 2013. Корпоративные угрозы
Kaspersky Security Bulletin 2013. Основная статистика за 2013 год
Kaspersky Security Bulletin 2013. Прогнозы
Новая угроза для онлайн-банка
Спам в апреле 2014
Дети в Сети: формула безопасности
Обманщики в социальных сетях
Многофункциональный DDoS-троянец под Linux
Спам в мае 2014