Методы обнаружения вирусов

Спам в первом квартале 2014

Оглавление

Подделки под нотификации мобильных приложений

С повсеместным распространением мобильных механизмов в электронной почте начинает возникать спам, нацеленный на юзеров смартфонов этак словно планшетов. Мы уже писали о рассылках, содержащих вредные программы под Android. покамест аналогичных программ положительно немного, все-таки рассылаются они с завидной регулярностью. В конкретно в данном квартале мы подметили снова одну тенденцию: спамерские фальшивые извещения сейчас копируют сообщения от мобильных приложений. почаще прочих в аналогичных рассылках сталкивается кроссплатформенное мобильное приложение WhatsApp: фальшивки под нотификации WhatsApp применялось спамерами ровно для распространения вредных программ, этак примерно словно для обыкновенной рекламы.

В январе мы заприметили рассылку письма, в котором кто якобы прислал получателю картину сквозь WhatsApp. заметливый юзер задумался бы, отчего схожее письмецо наступило в почту, примерно словно акк WhatsApp впрямую перестать делать делать привязан к почтовому ящику. все-таки многие юзеры привыкли ровно к синхронизации контактов, этак примерно словно к тому, словно по электронной почте нам имеют баста шансы притащиться сообщения от мобильных приложений, потому подобное письмецо перестать делать делать заставит задуматься основополагающая масса пользователей.

На самом деле в приложенном к письмецу архиве находилась вредная программа, детектируемая «Лабораторией Касперского» ровно Backdoor.Win32.Androm.bjkd. Это ведомый бэкдор, основополагающая опция коего — загрузка на комп юзера прочих вредных программ.

В марте нам попалась альтернативная рассылка, а уж уж уж уж уж тоже эксплуатирующая известность мобильного приложения. В письмах получателю сообщали о якобы пропущенном в WhatsApp голосовом сообщении этак словно предлагали прекратиться по ссылке, для такого дабы прослушать его.

Нажав на «Autoplay», юзер попадал на взломанный законный веб-сайт со вставленным javascript последующего вида:

Если истребить символы из шестнадцатеричного мнения в буквенное, получим:

То лопать взломанный веб-сайт орудовал ровно редиректор этак словно перенаправлял юзера на противолежащий сайт, в конкретно в данном случае с рекламой «Виагры».

Примечательно, словно в похожей схеме были применены фальшивки перестать делать делать вряд под сообщения от WhatsApp, все-таки этак словно под нотификации прочих пользующихся известностью мобильных мессенджеров — Viber этак словно гугл Hangouts.

На фоне роста интереса к мобильным устройствам можно пометить участившиеся фишинговые атаки, целью коих появляется кража Apple ID:

В первом квартале 2014 фирма Apple оказалась на 17-м месте между атакуемых фишерами организаций.

Горячие темы в спаме: Олимпийские игры

В феврале в нашей родины прошли зимние Олимпийские игры. подобное обстоятельство перестать делать делать могло остаться незамеченным спамерами. этак словно действительно, они задействовали данную тематику в всевозможных рассылках, хотя спамерский горячка кругом Олимпиады был перестать делать делать настолько велик, ровно можно было ожидать. Китайские коммерсанты предлагали разную продукцию с символикой Олимпиады, «нигерийские» плуты эксплуатировали тему для выманивания у юзеров денег. а уж уж уж уж уж тоже мы заприметили малость больших рассылок, рекламирующих реплики «часов для поездки на Олимпиаду» этак словно услуги приватного вертолета в Сочи.

Надо отметить, словно мы присматриваем малосильную энергичность спамеров по отношению к такому звучному событию перестать делать делать коренной раз. Во эпоха летних Олимпийских игр в Лондоне мы фиксировали в главном жульнические рассылки об «олимпийских» выгрышах в лотерею, зимние игры 2010 возраст в Ванкувере этак словно нисколько перестать делать делать завлекли интереса киберпреступников. Интересно, словно во эпоха вселенских чемпионатов по футболу направленных на определенную тематику спамерских рассылок век больше.

Помимо темы Олимпиады в Сочи спамеры (в главном «нигерийские» мошенники) задействовали подобные новостные поводы, ровно погибель бывшего премьер-министра Израиля Ариэля Шарона. за исключением того, плуты продолжают присылать «нигерийский» спам якобы от приближенных экс-президента ЮАР Нельсона Манделы, какой-нибудь скончался в декабре.

Спамерские методы: зашумление HTML

Чтобы свершить каждое письмецо в громадный рассылке уникальным, спамеры нередко прибегают к «зашумлению» текста — добавлению случайных символов, слов, фрагментов текста. Очевидно, словно письмецо от этого останавливается наименее опрятным этак словно читаемым, вызывает минимальный заинтересованность пользователей. потому спамеры, ровно правило, пытаются утаить от юзера случайный текст. подобные престарелые приемы, ровно позиционирование белоснежного текста на белоснежном фоне либо же элементарное филиал мусорного текста от главного содержания огромным численностью переносов строчки перед началом сих времен обширно используются спамерами, хотя трюки эти буквально ровесники самого спама.

Однако кое-какие спамеры пользуют максимально продвинутые методы. равный из них — зашумление письмеца HTML-тегами. Особенностью способа появляется то, словно юзер перестать делать делать обнаружит ничего, за исключением главного контента, при конкретно в данном для спам-фильтра каждое письмецо хватит уникальным.

Вот этак спамовое письмецо обнаружит пользователь:

В начальном же коде торс письмеца смотрится надлежащим образом:

Весь HTML-текст, за исключением выделенных красноватым ссылок этак словно картинок, абсолютно бессмысленный. В частности, нередко сталкивается тег span с разнообразными атрибутами. Это тег-контейнер, применяемый в главном для дизайна и/или предназначения уникального идентификатора конкретному фрагменту текста. В конкретно в данном случае ни малейшего действительного текста между открывающими этак словно закрывающими тегами нет, то лопать эти теги запросто замусоривают письмо.

Отдельного интереса стоит сама ссылка, которая а уж уж уж уж уж тоже зашумлена. Можно заметить, словно между обычными буковками малость как-то в случайных местах добавлена последовательность «=EF=BB=BF». этакий последовательностью в шестнадцатеричной системе обозначается равный UTF-8- символ, применяемый для индикации порядка байтов текстового файла. все-таки это в книжка случае, в случае коли он применяют по своему прямому предназначению этак словно стоит в начале текста. сообразно спецификации Unicode, этакий знак в середине потока заданных обязан интерпретироваться ровно «нулевой ширины неразрывный пробел» (по существу, равен нулю символ). То лопать почтовый покупатель запросто проигнорирует данную последовательность этак словно с легкостью откроет гиперссылку либо же подгрузит картинку. все-таки для спам-фильтров любая подобная гиперссылка хватит уникальной. за исключением того, ругательство кусочек ссылки (выделен оранжевым) тоже появляется случайным.

В итоге, в незамусоренном образе начальный код письмеца высмотрел бы так:

Как можно заметить, по объему мусорная пай значительно превосходит содержательную пай письма. цельный данный сор генерируется случайным образом этак словно появляется ни на чисто непохожим для всякого письмеца в рассылке. При конкретно в данном получатель, раскрывающий письмецо в почтовом клиенте, лицезреет вряд аккуратненько оформленное письмо, без каких-то отпечатков спамерских ухищрений.

Статистика

Доля спама в почтовом трафике

Доля спама в почтовом трафике в первом квартале 2014 возраст составила 66,34%. Это на 6,43% меньше, чем в предыдущем квартале. все-таки по уподоблению с подобным показателем за коренной квартал 2013 возраст участь спама в Q1 2014 уменьшилась некординально — вряд на 0,16%.



Доля спама в почтовом трафике, коренной квартал 2014 г.

Можно а уж уж уж уж уж тоже отметить, словно на протяжении квартала участь спама крайне колебалась, достигнув самого невысокого смысла — 61% — в последнюю недельку квартала.

Страны — источники спама

Что касается географического распределения источников спама, то оно поменялось незначительно.



Распределение источников спама по странам, коренной квартал 2014 г.

Первые удовлетворительно места в TOP 20 занимают, соответственно, Китай (-0,34%), USA (+1,23%) этак словно Корея (-0,91%). наша родина по численности распространяемого спама обогнала Тайвань этак словно поднялась на 4-е пост — на одну позицию выше по уподоблению с предыдущим кварталом (+0,34%).

В остальном 1-ая 10-ка рейтинга поменялась незначительно.

Во другой 10-ке произошли максимально приметные изменения. С 20-го на 11-е пост поднялись Филиппины (+0,67%), уменьшилась участь Казахстана (-0,76%), какой-нибудь сместился с 11-го на 17-е место. за исключением того, Канада, занимавшая в минувшем квартале 10-е место, спустилась на 27-ю строчку, ее показатель уменьшился с 1,73% перед началом 0,49%.

Регионы — источники спама



Распределение источников спама по регионам, коренной квартал 2014 г.

Распределение источников спама по регионам тоже перестать делать делать перетерпело особенных изменений. участь Азии малость уменьшилась — на 3,2%, — все-таки она баста еще с огромным отрывом лидирует в рассылке спама. участь Северной Америки буквально перестать делать делать поменялась (-0,01%), характеристики прочих регионов малость увеличились.

Размеры спамовых писем

В спаме баста еще с огромным отрывом лидируют супер-короткие письмеца размером перестать делать делать максимально 1Кб.



Размеры спамовых писем, коренной квартал 2014 г.

В январе мы закрепили повышение численности писем размером от 10 перед началом 20Кб. Возможно, это связано с торжественными рассылками прекрасно оформленного спама с картинками.

Вредоносные вложения в почте



ТОP 10 вредных программ, общераспространенных в почте, коренной квартал 2014 г.

Наиболее пользующимся известностью вредным вложением в почте баста еще появляется Trojan-Spy.HTML.Fraud.gen. данная программа как-либо правило распространяется с фишинговыми письмами этак словно воображает собой HTML-страничку, имитирующую регистрационную форму обслуживания онлайн-банкинга. Она применяют фишерами для хищения учетных заданных пользователей.

На 2-ое этак словно седьмое места получились сетевые глисты Net-Worm.Win32.Aspxor. подобные вредные программы имеют баста шансы автоматизированно разыскивать уязвимые сайты, коие будут попозже массово заражены с целью предстоящего распространения бота. В них функционал заходит скачивание этак словно пуск иного вредного ПО, сбор ценной инфы на персональном персональном компьютере (такой ровно сохраненные пароли, заданные для доступа к почтовым этак словно FTP-аккаунтам), а уж уж уж уж уж а уж уж уж уж тоже рассылка спама.

На третьем месте древний участник нашего TOP 10 тля Email-Worm.Win32.Bagle.gt. основополагающая опция любых почтовых глистов — коллекционировать электронные адреса с зараженных компьютеров. Почтовый тля семейства Bagle а уж уж уж уж уж тоже возможно воспринимать удаленные команды на инсталляцию прочих вредных программ.

На 4-м этак словно 8-м местах троянцы семейства Fareit, максимально интенсивно они распространялись в январе. Эти вредные программы имеют баста шансы красть пользовательские пароли, воплотить в жизнь DDoS-атаки, скачивать этак словно метать произвольное ПО. пара представителя семейства, попавшие в наш рейтинг, а уж уж уж уж уж тоже скачивают этак словно запускают троянцев семейства Zbot. за исключением того, зловреды семейства Fareit воруют кошельки Bitcoin этак словно прочих криптовалют (всего подле 30).

На пятом месте располагаться Trojan.Win32.Bublik.bwbx, какой-нибудь возможно закачивать на комп юзера иные вредные программы, в частности, семейства Zbot.

На шестом месте Backdoor.Win32.Androm.bngy. К семейству Androm относятся бэкдоры, дозволяющие злодеям неприметно ворочать зараженным компьютером. нередко зараженные подобными программами компы превращаются частично ботнета.

На девятом месте располагаться древний почтовый тля Email-Worm.Win32.Mydoom.l.

Замыкает 10-ку известный троянец семейства Zbot. Это фамилия специализируется на краже секретной информации. за исключением этого, зловред возможно ставить на зараженную машину Cryptolocker — вредоносную программу, шифрующую заданные на персональном персональном компьютере юзера этак словно требующую финансы за расшифровку.



Распределение срабатываний почтового антивируса по странам, коренной квартал 2014 г.

Что касается стран, в коие рассылались письмеца с вредоносными вложениями, то по уподоблению с предыдущим кварталом выросла участь срабатываний почтового антивируса в USA (+3,68%), в то же эпоха понизилась участь англии (-2,27%), Германии (-1,34%) этак словно Гонконга (-2,73%). В итоге США, коие в предыдущем квартале занимали вряд 3-е пост в рейтинге, опять возглавили TOP атакуемых стран. участь вредных программ, направленных в иные страны, поменялась незначительно.

Фишинг

С этого квартала мы уладили связать две категории организаций «Электронная почта, программы моментального обмена сообщениями» этак словно «Поисковики» в одну — «Почтово-поисковые порталы». брань в том, словно на аналогичных порталах нередко лопать равный всеобщий аккаунт, какой-нибудь в одно так ровно тоже час отвечает за настройки, за историю поиска, появляется почтовым аккаунтом, а уж уж уж уж уж за исключением того, отдает доступ к пасмурным сервисам этак словно иным возможностям.



Распределение TOP 100 организаций, атакованных фишерами*, по категориям, коренной квартал 2014 г.

*Рейтинг категорий атакованных фишерами организаций строится на срабатываниях нашего ингридиента антифишинга на персональных компьютерах пользователей. Антифишинг детектирует баста фишинговые ссылки, по коим старался прекратиться пользователь, — будь то гиперссылка в спамовом письмеце либо же в интернете.

Как этак словно ожидалось, категория «Почтово-поисковые порталы» заняла верхнюю строчку в рейтинге категорий атакуемых фишерами организаций. невзирая на то, словно нынешний акк на почтово-поисковом портале отдает гибель возможностей, основополагающая масса аналогичных атак ориентированы на кражу данных, дающих доступ к почтовому ящику пользователя. Отметим, словно за исключением применения ящика в своих целях, преступники имеют баста шансы испытать его содержимое на присутствие прочих логинов этак словно паролей. а уж уж уж уж уж примерно словно собственно почтовый сундук нередко применяют разными веб-сайтами для напоминания позабытого пароля. Причем, в случае коли одни веб-сайты присылают вряд ссылки для генерации новенького пароля, то иные присылают пароль аккурат в письме. К тому же, кое-какие веб-сайты присылают письмо, содержащее логин этак словно пароль, незамедлительно далее регистрации. для такого дабы избежать утраты секретной информации, современные почтовые системы предлагают способ двойственный аутентификации: за исключением логина этак словно пароля надобно возвести код, пришедший по SMS. за исключением того, можно запросто вытаскивать из ящика баста письма, содержащие секретную информацию.

Занимающие вторую позицию аккаунты общественных сетей баста еще отчаянно известны между фишеров, хотя них участь в рейтинге понизилась на 1,44% по уподоблению с предыдущим кварталом.

Наиболее приметно выросла участь атак на онлайн-магазины (+2,47%). случилось это в первую очередность за счет атак на купонные сервисы, а уж уж уж уж уж а уж уж уж уж тоже на необычно известные у фишеров в марте агентства, продающие билеты на всевозможные мероприятия.

Несколько понизилась участь атак на IT вендоров (-2,46%), в остальном распределение категорий осталось буквально без изменений.

Заключение

В неподдельное эпоха «умные» мобильные устройства лопать буквально у каждого, этак словно практически баста известные интернет-ресурсы имеют мобильные версии. за исключением того, лопать этак словно особые мобильные приложения, пользующиеся гигантской популярностью. данную известность эксплуатируют злоумышленники, подделывающие спам под извещения мобильных приложений. Со периодом аналогичных фальшивок будет вряд больше. за исключением того, можно ждать этак словно роста фишинга, целью коего будут пароли от аккаунтов мобильных приложений.

Вредоносные программы под ОС Android уже распространяются по электронной почте, все-таки покамест них полно мало. Можно ждать повышения в почте численности вредных программ, созданных для мобильных платформ.

Основной целью большинства вредных программ, распространяемых сквозь почту, появляется хищение секретной инфы пользователя. все-таки в конкретно в данном квартале а уж уж уж уж уж тоже были известны зловреды, могущие рассылать спам этак словно устраивать DDoS-атаки. Отметим, словно основополагающая масса пользующихся известностью зловредов многофункциональны: они имеют баста шансы красть заданные с персонального компьютера жертвы, включать комп в ботнет, скачивать этак словно ставить иные вредные программы.

Для обхода фильтров спамеры продолжают применять всевозможные трюки. равный из максимально прогрессивных — зашумление писем HTML-тегами, а уж уж уж уж уж а уж уж уж уж тоже обфускация ссылок в письме. ругательство сродный трюк — добавление в ссылки UTF-8 символа, который, часом располагаться перестать делать делать в начале текста, интерпретируется ровно равен нулю символ. На самом деле аналогичных хитростей в UTF-8 полно много, чем временами этак словно применяют злоумышленники.

Большинство фишинговых атак было ориентировано на почтовые аккаунты. нередко юзеры перестать делать делать боятся за свою почту, многие пользуют ординарные логины этак словно пароли. все-таки мы желаем напомнить, словно взломанная почта отдает злодеям доступ ко всей хранящейся засим информации, охватывая иные логины этак словно пароли. Мы предлагаем применять сложные пароли для почтовых ящиков этак словно по способности воспользоваться двойственный аутентификацией.

НОВОЕ НА САЙТЕ