Методы обнаружения вирусов

Спам в апреле 2013

Апрель в цифрах

  • Доля спама в почтовом трафике в апреле увеличилась на 2,1% и составила 72,2%
  • Доля фишинговых писем в почтовом потоке по сравнению с мартом уменьшилась втрое и составила 0,002%
  • Вредоносные вложения содержались в 2,4% всех электронных сообщений, что на 1,6% ниже показателя предыдущего месяца

Особенности месяца

В апреле количество спамерских писем увеличилось незначительно — на 2,1%. Объем «праздничного» спама уменьшился, но спамеры продолжали активно эксплуатировать пасхальную тематику для рассылки мошеннических писем и сообщений с рекламой товаров и услуг на русском и английском языках. Кроме того, для привлечения внимания пользователей мошенники использовали имена мировых политических деятелей ипроизошедшие в США трагические события.

События в США и вредоносный спам

Громкие события месяца, как всегда, не остались без внимания спамеров. В апреле злоумышленники эксплуатировали внимание пользователей к трагическим событиям в США —взрывам на финише известного Бостонского марафона и на химическом заводе в Техасе.

Уже на следующий день после взрывов в Бостоне мы зафиксировали в спам-трафике несколько рассылок, тема которых была связана с трагедией. Об одной из таких рассылок мы подробно рассказали в блоге.

Письма, подделанные под рассылки известных новостных ресурсов (CNN и BBC), содержали провокационный заголовок и ссылку якобы на статью, посвященную трагическим событиям. Если пользователь проходил по ссылке, он попадал на сайт злоумышленников, где на его систему осуществлялась атака с использованием эксплойт-пака Blackhole 2. В случае успеха на компьютер пользователя загружалась шпионская вредоносная программа Backdoor.Win32.Papras.ppk, предназначенная для хищения и передачи злоумышленникам информации из защищенных соединений браузера (HTTPS), cookies, скриншотов, сведений о компьютере (установленные программы, конфигурация системы).


Отметим, что подобную вредоносную рассылку мы уже наблюдали в первом квартале 2013 года. В письмах с очень похожим оформлением злоумышленники использовали новости, касающиеся нового Папы Римского, актуальные в марте.

В рамках еще одной рассылки злоумышленники распространяли ссылки на веб-страницы со словами texas, boston, news в адресе. Пройдя по такой ссылке, пользователь попадал на страницу с подборкой видеозаписей взрывов, взятых с сайта Youtube. На этой же странице содержался эксплойт, который загружал на компьютер пользователя вредоносную программу, детектируемую «Лабораторией Касперского» как Trojan-PSW.Win32.Tepfer.Этот троянец используется злоумышленниками для кражи пользовательских аккаунтов (логин и пароль) с зараженных компьютеров.

 

Мошенничество

Мошеннические рассылки по-прежнему встречаются очень часто. Чтобы выманить у жертв денежные средства, спамеры регулярно придумывают новые уловки и легенды, среди которых встречаются весьма необычные.

В апреле нами были зафиксированы несколько мошеннических спам-рассылок на русском языке. В одной из них злоумышленники использовали хорошо известный прием для привлечения внимания пользователя: к получателю обращается якобы хорошо знакомый ему человек, это подчеркивается разговорным стилем письма. Этот «знакомый» обнаружил безопасный способ размножения электронных денег через сервис WebMoney и теперь хочет поделиться им с другом, т.е. с получателем письма. Для получения легких денег пользователь должен перечислить собственные средства на указанный в письме номер электронного кошелька и добавить к переводу особый код, использование которого якобы позволит жертве пополнять свой электронный кошелек без ограничений. Уловка, конечно, рассчитана на наивных неопытных пользователей, не знакомых с системой электронных денег.

 

В другой рассылке мошенники проявили больше фантазии. Они предлагали получателям пожертвовать деньги на программу обучения русскому мату в американских школах и на издание в США соответствующих учебных материалов. В письме спамеры ссылались на то, что сбор денег через интернет очень эффективен, и подчеркивали, что нынешний президент США Барак Обама в ходе своей предвыборной кампании тоже прибегал к такому методу сбора пожертвований. Вряд ли эта басня поможет мошенникам собрать значительную сумму денег, однако возможность хищения данных банковских карт, которые доверчивый пользователь введет на сайте для сбора «пожертвований», ничуть не исключена.

«Нигерийские»мошенники продолжают активно использовать имена известных политических лидеров всвоих письмах — на этот раз в рассылках фигурировали Барак Обама и сын Муаммара Каддафи. В письме, отправленном от имени служащей Белого Дома, сообщалось, что американский президент раздает 100 золотых слитков нуждающимся по всему миру и именно получатель письма станет владельцем ценного металла. А в«нигерийском» письме на немецком языке, написанном от лица помощника сына бывшего президента Ливии Муаммара Каддафи, содержалась традиционная просьба о помощи в переводе и обналичивании миллионов.

 

Сценарий развития подобного мошенничества один: как только человек вступает в переписку, мошенники просят у него незначительныe суммы денег на покрытие расходов посредника или оформление документов. Спамеры рассчитывают на то, что огромная разница между запрошеннымии обещанными за помощь деньгами заставит потенциальную жертву забыть об осторожности и выполнить все требования злоумышленников.

«Праздничный» спам

В этом году православная Пасха была поздняя, пришлась на начало мая. В то время как волна англоязычного пасхального спама уже почти закончилась, пасхальные рассылки на русском языке только появились в Рунете. Но в отличие от прошлого года, в этом мы не зарегистрировали спам-сообщений с рекламой пасхальных туров и экскурсий. В апреле в рассылках, эксплуатирующих тему православного праздника, в качестве подарков предлагались цветы и воздушные шары, оформленные в пасхальной тематике.

 

Географическое распределение источников спама

По итогам апреля 2013 года среди стран — источников спама, распространяемого по всему миру, первая тройка осталась без изменений. В лидерах вновь Китай (23,9%), хотя его доля уменьшилась почти на 2%. Доля рассылаемого из США спама незначительно уменьшилась, до16,8%, и страна сохранила второе место в общем зачете. В целом из этих двух стран в апреле было разослано около 41% мирового спама.

 
Страны — источники спама в мире

Третье место занимает Южная Корея (11,4%), доля которой в апреле увеличилась на 1,5%. Сохранил свое место в первой пятерке Тайвань (5,5%). Индия, занимавшая по итогам марта пятую строчку, потеряла всего 0,5%, но опустилась на четыре позиции вниз и теперь занимает 9-ю строчку с показателем 2,9%. На 5-е место вышел Вьетнам (4%). Показатель России (3,3%) увеличился на 1%, что позволило ей подняться в рейтинге с 10-го на 7-е место. Германия (1,6%), занимавшая ранее 8-ю строчку, по итогам апреля потеряла около 1% и заняла 12-е место. Италия потеряла 2,1% и спустилась с 6-го места на 14-е.

Ситуация со спам-потоками в Рунете по итогам апреля выглядит следующим образом:

 
Страны — источники спама в Рунете

Лидером среди стран — источников спама в Рунете остается Тайвань (11,4%). Показатель Вьетнама увеличился лишь на 0,8%, но это позволило стране подняться на одну строчку вверх, и теперь она занимает 2-е место в общем зачете. Индия, занимавшая по итогам марта 2-ю строчку, потеряла 2,2% и опустилась на 6-е место, покинув первую пятерку. На третье место вышла Украина (7,8%), ее показатель увеличился на 3,6%.

Доля спама из Германии уменьшилась на 4,2%, и в результате страна с результатом 3,6% заняла 9-е место в рейтинге. США (7,3%) сохранили за собой 5-ю позицию, вклад страны в спам-потоки Рунета увеличился на 1,5%. Также в пятерку лидеров вошла Россия (7,5%), ее показатель увеличился на 2,9%. Италия (1,4%) продолжает терять позиции, с 6-й строчки она опустилась на 14-ю, потеряв при этом 4,2%.

 
Регионы — источники спама

Среди регионов лидером по распространению спама остается Азия (55,7%). В апреле в первую тройку, как и в предыдущем месяце, вошли Северная Америка (17,6%) и Восточная Европа (13,6%).

Вредоносные вложения в почте

Доля вредоносных вложений в почте в апреле снизилась на 1,6% и составила 2,4% почтового трафика.

 
TOP 10 вредоносных программ, распространявшихся по электронной почте

Наиболее популярной вредоносной программой по-прежнему остается Trojan-Spy.HTML.Fraud.gen. Напомним, что этот троянец представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Если пользователь вводит свои данные в предложенные поля и нажимает на кнопку отправления, его личная информация попадает к мошенникам.

На вторую позицию попала вредоносная программа Email-Worm.Win32.Bagle.gt. Этот червь умеет распространять свои копии по контактам в адресной книге пользователя (стандартный функционал для этого типа зловредов), а также может связываться с командным центром для установки на зараженный компьютер других вредоносных программ.

На третьем месте находится вредоносная программа Backdoor.Win32.Androm.pta. Такие вредоносные программы позволяют злоумышленнику незаметно управлять зараженным компьютером, например загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета. В 2013 году бэкдоры семейства Backdoor.Win32.Andromчасто попадают в TOP-10; возможно, это связано с попытками злоумышленников организовать новые ботнеты.

На четвертом месте находится троянец Trojan-PSW.Win32.Tepfer.hjva, созданный для похищения паролей к пользовательским аккаунтам.

На пятом, восьмом и девятом местах находятся вредоносные программы семейства Trojan.Win32.Bublik. Они собирают с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, троянец может просматривать формы в браузерах Mozilla Firefox и Google Chrome на предмет сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

 
Распределение срабатываний почтового антивируса по странам

Лидерами среди стран, где наиболее часто срабатывает почтовый антивирус, по-прежнему остаются США (12,4%) и Германия (10,7%). В апреле на 3-еместо вышла Великобритания (6,8%). В остальном список атакуемых стран остался практически без изменений.

В апреле спамеры активно использовали имя международной логистической компании DHL для рассылки поддельных уведомлений с вредоносными вложениями. Нами было зарегистрировано сразу несколько рассылок на английском и голландском языках.

Из письма англоязычной рассылки получатель узнавал, что якобы курьер почтовой службы не смог доставить ему посылку и теперь ее нужно получать в офисе компании. А для обращения в офис необходимо распечатать документ, который находится во вложенном архиве. Злоумышленники традиционно пытаются давить на получателя и сообщают, что за хранение посылки он будет обязан заплатить штраф. Сумма штрафа и количество дней, в течение которых необходимо забрать отправление, меняются от письма к письму.

Во вложенном архиве«DHL.REPORT.ID680.zip» находился файл DHL.REPORT.F3B5DJ7.exe(в названии архива в письмах отличались только цифры, имя находящегося в нем исполняемого файла во всех письмах было одно и то же). Естественно, этот файл не содержал никакой информации о несуществующей посылке, он представлял собой троянскую программу семейства ZBot (ZeuS), а именноTrojan-Spy.Win32.Zbot.krhu.ZeuSактивно используется с 2007 года не только для кражи персональной информации пользователей и паролей от платежных и банковских систем, но и для организации ботнетов. Благодаря простоте конфигурации и удобству использования для кражи веб-данных, ZeuS стал одной из самых опасных и самых распространенных программ-шпионов.

 

В письме на голландском языке сообщалось, что в приложенном файле находится счет за предоставленные компанией DNL услуги. На самом деле в архиве UwrecentsteDHLfactuur.zip находился вредоносный файл UwrecentsteDHLfactuur.pdf.exe, который детектируется эвристическими технологиями «Лаборатории Касперского» как Trojan.Win32.Generic.

 

Поддельные уведомления от интернет-магазинов также пользуются популярностью у злоумышленников, рассылающих вредоносные файлы. В апреле нами была зарегистрирована рассылка поддельных уведомлений от имени популярного немецкого интернет-магазина одежды и обуви Otto. Примечательно, что в поле From указан легитимный, на первый взгляд, отправитель otto-newsletter — это один из излюбленных приемов мошенников, используемый для введения получателя в заблуждение. На самом деле злоумышленник может вписать в поле From любой адрес.

 

В письме пользователя благодарят за заказ от имени компании, но ничего не говорят о том, что пользователю необходимо открыть вложенный файл. По-видимому, злоумышленники рассчитывают, что пользователь по собственной инициативе, из любопытства откроет архив Besstellung_bei_OTTO.zip, в котором содержится вредоносный файл, детектируемый «Лабораторией Касперского» как троянец семейства Trojan.Win32.Bublik. Он используется злоумышленниками для сбора с зараженного компьютера сохраненных пользователем логинов, паролей и другой ценной информации. По итогам апреля одна из вредоносных программ этого семейства заняла 5-е место среди самых распространенных в почте вредоносных программ.

Фишинг

В апреле доля фишинговых писем в глобальном почтовом потоке уменьшилась втрое и составила 0,002%.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

По итогам апреля в пятерке лидеров атакуемых фишерами организаций не произошло существенных изменений. Социальные сети продолжают удерживать лидирующую позицию по количеству фишинговых атак, их показатель увеличился на 1% и составил 35,5%. В первую тройку также вошли финансовые и платежные организации (17%) и поисковые системы (15,3%), они занимают вторую и третью строчку соответственно.

Четвертую позицию сохранили за собой ИТ-вендоры (9,1%). Замыкают первую пятерку телефонные и интернет-провайдеры (8,7%).

Заключение

Как мы и прогнозировали, в апреле количество «праздничного» спама уменьшилось. Нами были зарегистрированы рассылки, посвященные православной Пасхе, спамеры использовали пасхальную тематику не только для рекламы товаров и услуг, но и для обмана пользователей. Мошеннические рассылки с именами известных политических лидеров также довольно часто встречались в спам-потоке.

Трагические события редко остаются без внимания спамеров, и апрель2013 года не стал исключением. После двух прогремевших в США взрывов интернет заполонили вредоносные рассылки, эксплуатирующие эти трагические события.

В целом в апреле общая доля спама незначительно увеличилась.

В апреле большая часть спама по миру распространялась из Китая и США. В спам-потоках Рунета показатели Индии и Италии продолжают снижаться, и в результате эти страны покинули пятерку лидеров. На первом месте по-прежнему Тайвань, следом за ним идут Вьетнам и Украина.

Количество фишинговых писем уменьшилось втрое, однако в первой пятерке атакованных фишерами организаций значительных изменений не произошло. Как и в прошлом месяце, социальные сети являются лидером по количеству атак, и следует ожидать, что в мае они сохранят позицию. Возможно, в следующем месяце вырастет показатель онлайн-игр: во время летних каникул традиционно увеличивается активность школьников и студентов, которые активно пользуются различными социальными и развлекательными онлайн-сервисами.

НОВОЕ НА САЙТЕ