Методы обнаружения вирусов

Спам в первом квартале 2013

Квартал в цифрах

  • По сравнению с четвертым кварталом 2012-го года доля спама в почтовом трафике увеличилась на 0,5% и составила 66,5%.
  • Доля фишинговых писем в почтовом потоке уменьшилась в 4,25 раза и составила 0,004%.
  • Вредоносные вложения содержались в 3,3% всех электронных сообщений, что на 0,1% выше показателя предыдущего квартала.

Особенности квартала

В первом квартале произошло несколько громких событий: умер президент Венесуэлы Уго Чавес, ушел в отставку Папа Римский Бенедикт XVI и официально взошел на Святой престол в Ватикане новый Папа Франциск. Как обычно, события такого масштаба не остались незамеченными спамерами. Интерес пользователей к важным мировым событиям использовался в первую очередь распространителями вредоносных ссылок и мошеннических писем. Впрочем, злоумышленники не забыли и про другие приемы социальной инженерии.

Горячие новости с вредоносными ссылками

После смерти венесуэльского лидера в спаме появились письма с провокационным заголовком "CIA "DELETED" Venezuela's Hugo Chavez?". Авторы письма намекали на причастность правительства США и ЦРУ к смерти Уго Чавеса и предлагали получателю кликнуть по ссылке для просмотра тематического видео.

 

Нажавший на ссылку неосторожный пользователь попадал на взломанный легитимный сайт, откуда перенаправлялся на вредоносный ресурс, содержащий обфусцированный javascript. Если операционная система потенциальной жертвы соответствовала определенным параметрам, то с помощью эксплойта (проактивно детектировался антивирусом Касперского как HEUR:Exploit.Java.CVE-2012-0507.gen) на компьютер пользователя устанавливалась вредоносная программа.

Но не только Уго Чавес привлек в этом квартале внимание спамеров. В другой рассылке с провокационным текстом и вредоносной ссылкой злоумышленники использовали имя нового Папы Римского для привлечения внимания получателей. Спам-рассылка имитировала сообщения BBC и CNN и предлагала адресату ознакомиться с новостями, касающимися нового Папы. Например, один из заголовков предлагал обсудить возможность осуждения понтифика за сексуальное насилие.

 

Схема заражения компьютера с использованием данной вредоносной рассылки копировала схему, использованную в рассылке с вредоносной ссылкой на «новость» о смерти Уго Чавеса: после нажатия на ссылку пользователь перенаправлялся на взломанный сайт, затем на его компьютер загружался эксплойт (чаще всего из набора эксплойтов Blackhole), с помощью которого и происходило заражение компьютера вредоносной программой.

Интересно, что при всей кажущейся тщательности изготовления подделок под новостные уведомления злоумышленники периодически путали заголовки: например, оставляли в поле «From» письма, замаскированного под сообщение CNN, слово «BBC» .

Использование горячих новостей в сочетании со ссылками на якобы провокационные фотографии и видео — один из любимых приемов спамеров, распространяющих вредоносные программы. Ранее мы уже встречали подобные рассылки, предлагающие посмотреть фотографии Осамы бен Ладена, компромат на Барака Обаму и многое другое. Несмотря на многообразие используемых спамерами тем, результат перехода по ссылке в таких письмах один и тот же: на компьютер пользователя пытается загрузиться вредоносная программа.

События в Венесуэле и «нигерийский» спам

«Нигерийские» мошенники, которые всегда использовали фактор нестабильности в какой-либо стране, не пропустили и события в Венесуэле. Мы зафиксировали несколько эксплуатирующих эту тему рассылок на разных языках.

Сюжет англоязычного письма стандартен для «нигерийского» мошенничества: письмо написано якобы от близкой к правящей верхушке особы, которая просит помощи в обналичивании денег — пока их не отняло новое правительство.

 

«Нигерийские» письма с очень похожим содержанием, но другими именами мы фиксировали и после смерти ливийского лидера Муамара Каддафи, и после тюремного заключения египетского президента Хосни Мумбарака.

В рассылке на немецком языке автор пишет, что он был другом покойного Уго Чавеса и по его просьбе хранит 23 миллиона долларов США для тайной возлюбленной президента, которая так и не объявилась. Получателю предлагается поучаствовать в обналичивании этих денег — разумеется, за солидное вознаграждение.

 

Сценарий взаимодействия «нигерийских» мошенников с потенциальными жертвами хорошо известен. Если получатель ответит на письмо, то в ходе дальнейшей переписки его попросят перевести на некий счет небольшую по сравнению с обещанным гонораром сумму — на оплату работы юриста, выплату налогов и т.п. Получив деньги, мошенники прекратят всякие контакты со своей жертвой.

Социальные подделки

Спамеры — в особенности те, кто хочет заразить компьютеры пользователей вредоносными программами, - по-прежнему используют подделки под уведомления известных сервисов. В этом квартале к постоянно встречающимся в подобных рассылках Facebook, Twitter и многим другим прибавился сервис Foursquare. Сработало простое правило: чем выше популярность сервиса, тем с большей вероятностью спамеры будут рассылать от его имени фальшивые уведомления.

 

Чаще всего в подобных письмах злоумышленники рассылают ссылки на наборы эксплойтов, способные найти уязвимость на компьютере пользователя и использовать ее для установки различных вредоносных программ. Особой популярностью у спамеров пользуется набор эксплойтов Blackhole.

Интересно, что спамеры, посылая вредоносные письма под видом уведомления от того или иного сервиса, часто не следят за тем, чтобы заголовок письма или содержимое поля «From» соответствовали содержанию письма. Отметим, что эту же ошибку совершают злоумышленники, рассылающие поддельные сообщения от имени медиагигантов CNN и BBC. Это может указывать на то, что за все подобные рассылки ответственна одна группа злоумышленников.

 

Методы и трюки

Не секрет, что в последнее время спамеры не могут придумать ничего нового: все трюки уже были использованы когда-то в том или ином виде. В результате злоумышленники перешли на использование комбинаций из нескольких приемов, в том числе довольно известных, но со временем утративших популярность. Кроме того, спамеры изучили возможности легальных сервисов и теперь используют их для обхода спам-фильтров.

Использование легальных сервисов

В первом квартале 2013 года нам встретилась рассылка стандартной для спама рекламы медикаментов для мужчин, где были использованы следующие трюки:

  1. Заголовок «Instagram Account Delete» — типичный пример социальной инженерии. Для привлечения внимания пользователя используется тема удаления аккаунта на популярном сервисе. Если у получателя есть аккаунт в Instagram, то он, скорее всего, откроет письмо, вместо того чтобы сразу его удалить.
  2. Реальный адрес, на который ведет вредоносная ссылка, замаскирован с помощью сразу двух легальных методов. Сначала спамеры воспользовались сервисом коротких ссылок от Yahoo, а затем обработали полученную таким образом ссылку в онлайн-переводчике Google Translate. Этот сервис может выполнять перевод веб-страницы по указанной пользователем ссылке и генерировать собственную ссылку на результат перевода. Сочетание этих методов делает каждую ссылку в рассылке уникальной, а кроме того, использование двух всемирно известных доменов помогает сделать ссылку достаточно «авторитетной» в глазах получателя спама.

А чтобы еще сильнее запутать получателя, спамеры добавили в конец ссылки бессмысленный запрос, состоящий из случайных слов: «?/constitutional contextualization».


Спамеры часто пользуются сервисами коротких ссылок. Во-первых, таким образом они пытаются обмануть спам-фильтры, сделав ссылку уникальной в каждом письме. Во-вторых, использование сервисов коротких ссылок не накладывает на злоумышленников дополнительных затрат, как в случае с покупкой доменов или взломом легитимных сайтов. С другой стороны, крупные сервисы коротких ссылок стараются следить за контентом сайтов, на которые они перенаправляют пользователей, и быстро прекращать работу вредоносных ссылок.

«Белый текст» возвращается

Снова стал пользоваться популярностью простой прием замусоривания содержимого письма, известный как «белый текст». По сути, это добавление в письмо случайных кусков текста (в этом квартале это, в основном, были фрагменты новостей), оформленных светло-серым шрифтом на сером фоне и отделенных от основного рекламного текста большим количеством переносов строки. Такой прием, во-первых, рассчитан на то, что контентные спам-фильтры примут такое письмо за новостную рассылку, а во-вторых, использование случайных фрагментов новостей делает каждое письмо рассылки уникальным, что затрудняет детектирование

 

Статистика

Доля спама в почтовом трафике

В течение первого квартала 2013 года доля спама в почтовом трафике заметно колебалась и в итоге составила в среднем 66,55%. Это на 0,53% пункта выше, чем в предыдущем квартале.


Доля спама в почтовом трафике, первый квартал 2013 г.

Одной из самых крупных рассылок этого квартала стала мошенническая рассылка по методу «накачка и сброс». Это одна из форм махинаций на фондовом рынке, когда спамеры покупают акции мелких компаний, искусствено раздувают цены на акции за счет распространения в своих рассылках ложной позитивной информации о состоянии этих фирм, а потом продают акции по новым, более высоким ценам. Именно из-за этой рассылки первая неделя марта стала рекордной по количеству спама за квартал (73,4%).


Пик подобного акционного спама пришелся на 2006-2007 годы, после чего он на несколько лет практически исчез и лишь изредка появлялся в спам-потоках. Интересно, что в годы популярности подобного спама рассылки тоже отличались масштабностью. Все дело в том, что подобные аферы мошенники пытаются провернуть как можно быстрее, за 1-2 дня, пока обман не раскрыли. И чем больше писем они успеют разослать за такой короткий срок, тем больше потенциальных жертв мошенничества могут купить предложенные акции.

Страны — источники спама

В первом квартале 2013 года Китай (24,3%) и США(17,7%) по-прежнему держат лидирующие позиции среди стран — источников спама. На 3-е место с довольно большой долей поднялась Южная Корея (9,6%).

Интересно, что спам из этих стран нацелен на разные регионы: большинство китайского спама рассылается в Азию, спам из США нацелен преимущественно на Северную Америку (т.е. большую его часть фактически можно считать внутренним спамом), а спам из Кореи направлен в основном на Европу.

 
Распределение источников спама по странам, первый квартал 2013 года

Бразилия (2,2%), занимавшая по итогам прошлого года 5-е место в списке, опустилась на 9-е место: доля исходящего оттуда спама сократилась почти в два раза. Это связано с тем, что в конце 2012 года Бразилия на уровне страны закрыла 25 TCP порт, который является портом по умолчанию для исходящего SMTP-трафика. Именно через этот порт идет большинство исходящего спама с зараженных компьютеров пользователей. Закрытие порта 25 является стандартной практикой для интернет-провайдеров, но в данном случае проблема была решена на более высоком уровне.

В первую пятерку стран вошли также Индия (4,4%), занимавшая 3-е место по итогам прошлого года, и Тайвань — его результат вырос более чем в два раза, что позволило стране подняться с 10-го места на 5-е. Россия (3,2%) набрала 1,2% и в результате поднялась на одну строчку вверх - на 7-е место.

Регионы — источники спама

Азия по-прежнему является регионом, лидирующим по количеству рассылаемого спама — на нее приходится 51,8% всего исходящего спама. За ней идет Северная Америка с показателем 18,3%.

 
Распределение источников спама по регионам, первый квартал 2013 года

Выросла доля спама, рассылаемого из Восточной Европы (11,1%). Хотя в первую десятку стран-источников спама входит только одна восточноевропейская страна — Россия, — во второй десятке таких стран уже половина.

Вклад в мировые спам-потоки Латинской Америки уменьшился за счет Бразилии, Перу и Аргентины, доля которых в этом квартале снизилась настолько, что они не вошли в TOP 20.

Размеры спамовых писем


Размер спамовых писем, первый квартал 2013 г.

В первом квартале 2013 года в спаме преобладали очень короткие письма, размером не более 1Kb. Использование компактных сообщений позволяет спамерам рассылать больше писем с меньшими затратами трафика. Кроме того, используя короткие фразы, которые целиком меняются от письма к письму, такие письма проще сделать уникальными, что усложнит работу спам-фильтрам.

Вредоносные вложения в почте

Доля писем с вредоносными вложениями выросла по сравнению с прошлым кварталом на 0,1% пункт и составила 3,3%.

 
ТОP 10 вредоносных программ, распространенных в почте, первый квартал 2013 г.

Наиболее популярной у злоумышленников по-прежнему остается вредоносная программа Trojan-Spy.HTML.Fraud.gen, которая представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Она используется фишерами для хищения финансовой информации пользователей.

На втором месте почтовый червь семейства Bagle, который может не только рассылать свои копии по контактам адресной книги пользователя, но и принимать удаленные команды на установку других вредоносных программ.

На третье место в первом квартале 2013 года вышел Trojan-Banker.HTML.Agent.p. Как и Fraud.gen, данный зловред выполнен в виде html-страницы, копирующей регистрационные формы сервисов онлайн-банкинга или других интернет-сервисов.

Помимо нескольких старых почтовых червей, постоянно курсирующих в интернете, в TOP 10 распространяемых в письмах программ вошли Trojan.Win32.Bublik.aknd и несколько бэкдоров семейства Androm.

Bublik собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, троянец может просматривать формы в браузерах Mozilla Firefox и Google Chrome на предмет сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

Программы типа backdoor позволяют злоумышленнику незаметно управлять зараженным компьютером, например, загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета. В большинстве случаев бэкдоры семейства Androm распространялись в поддельных письмах, присланных от имени сервисов Booking.com, DHL, British Airways и других. Подобным образом распространяются и троянские программы семейства ZeuS/Zbot.

 
Распределение срабатываний почтового антивируса по странам, первый квартал 2013 г.

Наибольшее количество срабатываний почтового антивируса по-прежнему приходится на США (13,2%) и Германию (11,2%). Суммарно в эти две страны рассылается почти четверть всех вредоносных писем. На 3-е место в рейтинге вышла Италия (8,7%), которая не всегда входит даже в первую десятку. Все дело в том, что в феврале в Италию была направлена мощная рассылка, содержащая Trojan-Banker.HTML.Agent.p, в результате в феврале Италия даже заняла 1-е место в TOP 10.

В остальном рейтинг стран по срабатываниям почтового антивируса практически не претерпел изменений.

Фишинг

В первом квартале 2013 года доля фишинговых писем в почтовом потоке уменьшилась в 4,25 раза и составила 0,004%.

 
Распределение TOP 100 организаций, атакованных фишерами*, по категориям, первый квартал 2013 г.

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

В этом квартале снова участились фишинговые атаки на социальные сети (37,6%), злоумышленники активно подделывали свои письма под уведомления Facebook и LinkedIn. На 2-м месте находятся поисковики (16,2%). Такую высокую позицию поисковых систем можно объяснить тем, что крупные компании - владельцы поисковиков, также предлагают множество других сервисов, предоставляющих функционал виртуального дискового пространства, почты, социальных сетей и многое другое. Часто ключом от всех сервисов является один аккаунт, поэтому поисковые системы представляют собой привлекательную мишень для киберпреступников.

На 3-м месте находятся финансовые и платежные организации (14,2%). Хочется отметить, что в отличие, к примеру, от социальных сетей, где большая часть атак приходится на одну-две организации, распределение атак на банки более равномерно: атакуется огромное число различных банков, как крупных и всемирноизвестных, так и небольших и локальных.

 
Распределение хостингов фишинговых сайтов по странам, первый квартал 2013 г.

Что касается стран, в которых хостятся фишинговые сайты, то тут на первом месте находятся США (25,4%), на 2-м и 3-м — Великобритания (8,2%) и Германия (7,7%). Следом за ними идет Россия (6%), а замыкает первую пятерку Индия (5,2%).

Интересно, что в TOP 10 стран, в которых расположено больше всего фишинговых сайтов, вошли Канада (4,5%) и Австралия (3,9%). Обе эти страны считаются довольно безопасными в плане киберпреступности, а количество исходящего оттуда спама минимально (менее 1%).

Заключение

В 2012 году доля спама падала на протяжении всего периода. В первом квартале 2013 года доля нежелательной корреспонденции в почтовом трафике хоть и колебалась от месяца к месяцу, в среднем за квартал она практически не изменилась по сравнению с предыдущим кварталом. Мы ожидаем, что в дальнейшем доля спама останется на нынешнем уровне или даже немного возрастет, так как в последнее время участились случаи очень крупных многомиллионных рассылок.

Спамеры стараются привлекать внимание пользователей к своим сообщениям: используют громкие имена, мировые события, либо просто подделывают письма под уведомления популярных ресурсов. Многие подобные письма содержат ссылки на вредоносные программы, в том числе эксплойты. Мы хотим еще раз напомнить читателям, что не стоит кликать по ссылкам в письмах, даже если отправитель кажется знакомым. Гораздо безопасней вручную набрать в браузере адрес нужного ресурса.

Лидеры среди стран — источников спама — США и Китай — вряд ли в ближайшее время покинут занимаемые позиции, если только инициативные группы не закроют командные центры расположенных в этих странах ботнетов. В первом квартале 2013 года в тройку лидеров также вошла Южная Корея, из которой спам рассылается преимущественно в европейские страны.

Среди рассылаемых в спаме вредоносных вложений чаще всего нам встречались программы, используемые для кражи логинов и паролей пользователей. Особенно популярны у злоумышленников троянцы, нацеленные на хищение информации, необходимой для работы с сервисом онлайн-банкинга. Кроме того, многие спам-рассылки содержали ссылки на наборы эксплойтов — в первом квартале 2013 года наибольшей популярностью у злоумышленников пользовался Blackhole.

НОВОЕ НА САЙТЕ