Спам в феврале 2014
Оглавление
Особенности месяца
В феврале спамеры активно рассылали рекламные предложения ко дню святого Валентина (14 февраля), 23 февраля и 8 марта. Тема прошедшей Олимпиады эксплуатировалась спамерами для рекламы товаров и услуг, использовали ее для своих целей и «нигерийские» мошенники. Среди примечательных рассылок месяца – реклама революционного метода восстановления зрения.
Олимпиада в спаме
В феврале состоялось долгожданное открытие Олимпийских игр в Сочи. Спортивное событие не только привлекло внимание миллионов болельщиков по всему миру, но и стало для различных организаций поводом лишний раз прорекламировать свои товары и услуги. В результате в феврале увеличилось количество спам-рассылок с предложением скидок и распродаж, приуроченных к Олимпиаде. В рекламных письмах спортивное событие упоминалось не только в теме и теле сообщения - спамеры также использовали соответствующее графическое оформление. Если в
Тема Олимпиады активно эксплуатировалась не только для рекламы товаров и услуг, но и в мошенническом спаме. В наших блогах мы уже писали о
В феврале мы обнаружили новую мошенническую рассылку, уведомляющую получателя о выигрыше в лотерее. В письме от имени swisslotto.ch сообщалось, что на электронный адрес русского пользователя выпал крупный выигрыш и для получения денег необходимо связаться с организаторами лотереи по электронному адресу, указанному в письме. Адрес отправителя был явно сгенерирован автоматически; единственное, что не поленились сделать мошенники, чтобы хоть как-то придать письму легитимный вид, это подставить адрес сайта лотереи в качестве имени отправителя.
Текст письма был переведен на русский язык с помощью автоматического переводчика, без малейшего намека на то, что кто-то этот словесный паззл пытался сложить, а адреса получателей рассылки принадлежали пользователям Рунета. Скорее всего, мошенники рассылали письма по собранной в интернете базе электронных адресов. Отметим, что злоумышленники активно используют программу-переводчик для создания писем, причем иногда в письме можно встретить тексты на языке оригинала и на языке перевода одновременно.
Праздничный спам
В феврале в спаме, приуроченном к «главному мужскому празднику», встречалась реклама традиционных реплик элитных товаров и подарков военной тематики, а также предложения по организации и проведению праздничных мероприятий.
Как мы и ожидали, в праздничном спаме, посвященном 8 марта, появилась разнообразная реклама услуг по доставке цветов. Также встречались предложения о проведении празднеств и туристических поездок. Организации, предоставляющие полиграфические услуги, привлекали клиентов рекламой поздравительных открыток с индивидуальным логотипом и текстом, а также печатью на фольгированных шарах. Даже агентства недвижимости не остались в стороне и предлагали весенние скидки на квартиры.
В Рунете ко дню святого Валентина рассылалась реклама пирожных ручной работы, настенных часов, которые можно украсить фотографией заказчика, и других товаров и услуг самой разной тематики. Встречалась и довольно необычная реклама: мы зафиксировали рассылку с предложением купить звезду и назвать ее в честь второй половинки, компании или знаменательного события. Отметим, что подобное предложение в январе рассылалось на английском языке.
Мы предполагаем, что в марте спамеры продолжат эксплуатировать праздничные темы (8 марта, день святого Патрика и др.) в рассылках с рекламой всевозможных товаров и услуг.
«Верните свое идеальное зрение!»
В прошлом месяце в Рунете очень активно распространялся спам, содержащий рекламу метода естественного восстановления зрения. Письмо представляло собой яркий флаер-картинку с призывом «Верните свое идеальное зрение прямо сейчас!» и областью гиперссылки со словами «Заказать сейчас», за которой скрывалась короткая ссылка, меняющаяся от письма к письму. Ссылка вела на один из сайтов-близнецов под общим названием «Полное восстановление зрения». Сайты были созданы недавно, их средний «возраст» составлял около двух месяцев. На таком сайте приводилась довольно обширная подборка информации о видах глазных болезней, наиболее подверженных им категориях людей и существующих способах лечения, как оперативных, так и безоперационных. Далее читателю сообщали о революционной разработке – курсе восстановления зрения в домашних условиях. Авторы сайта делали акцент на огромную экономию средств (в отличие от дорогостоящих операций и неудобных линз) и стопроцентный результат всего за месяц использования. После этого посетителю предлагали пройти по ссылке, которая открывала форму заказа с необходимыми для заполнения полями. Посетителю нужно было указать полный адрес, ФИО и телефон. Легко предположить, что эти данные вполне могли попасть к спамерам. К тому же для дальнейшего получения «специальных предложений» предлагалось дополнительно оставить адрес электронной почты.
Для обхода антиспам-фильтров эта рассылка маскировалась под новостную статью от информационного агентства «Интерфакс». Рекламу услуг спамеры пытались скрыть за текстом актуальных на тот момент новостей, которые брали с официального сайта информагентства, иногда даже вместе с официальными фотографиями. Так, в феврале главной темой стала Олимпиада в Сочи, поэтому все новости, использованные спамерами в рассылке, были связаны с этим событием. Новости использовались не только как средство зашумления для обхода антиспам-фильтра, но и как дополнительный способ привлечения внимания получателей, следящих за результатами игр. Так, в частности, самой популярной тематикой стали соревнования по женскому фигурному катанию и главные российские претенденты на медали в данном виде спорта.
Заправка картриджей
Еще одной примечательной темой прошедшего месяца стали предложения по заправке картриджей к принтерам и копировальным аппаратам; за последние год-два спама данной тематики стало заметно больше. Такие сообщения мы фиксировали на разных языках, но способ и оформление рассылок в целом были похожи.
Так, в русскоязычном спаме предлагалось в короткие сроки осуществить замену или заправку картриджей для любой модели принтера или копира. В некоторых случаях в рекламе предлагались и услуги по продаже и ремонту оргтехники в целом. Такие письма приходили с адресов, представляющих собой бессвязный набор букв, а необходимые для связи контактные данные указывались в тексте рекламы.
Статистика
Доля спама в почтовом трафике
Доля спама в почтовом трафике в течение месяца практически не менялась, за исключением небольшого прироста на третьей неделе месяца. В среднем доля спама в январе составила 69,9%.
Страны – источники спама
По итогам февраля 2014 года список стран — источников спама, распространяемого по всему миру, выглядит следующим образом.
Страны – источники спама в мире
На первую позицию снова вышел Китай (23%). В прошлом месяце страна занимала второе место, но увеличение доли разосланного спама на 7% позволило Китаю выбиться в лидеры. Далее следуют США (19,1%): за прошедший месяц лидер января потерял 2,8% и переместился на вторую позицию. Замыкает первую тройку Южная Корея (12,8%). Доля разосланного из этой страны спама не претерпела значительных изменений.
На четвертом месте расположилась Россия (7%), продемонстрировав прирост доли спама на 1,1%. На пятое место переместился Тайвань (5,1%), чья доля, наоборот, уменьшилась на 1,1%.
Уменьшение доли разосланного спама в среднем на 0,2% наблюдалось в Индии (3,4%), Вьетнаме (3%), на Украине (2,3%) и в Румынии (2%).
Замыкает первую десятку Япония (1,8%). По сравнению с прошлым месяцем она потеряла 0,3% и переместилась на одну строчку ниже в нашем списке.
Стоит также отметить, что некоторое увеличение спамерской активности наблюдалось в Германии (0,7%) и Великобритании (0,7%), которые по итогам февраля также вошли в наш список.
Ситуация со спам-потоками в Рунете по итогам февраля выглядит следующим образом.
Страны – источники спама в Рунете
Распределение стран в первой тройке осталось прежним. На первой позиции расположилась Россия (19,8%), количество спама, разосланного из этой страны за прошлый месяц, выросло на 3,3%. Далее следует Тайвань (11,5%), доля разосланного из этой страны спама уменьшилась на 1,7%. Третье место занимает Индия (10,8%), здесь также зафиксировано сокращение доли разосланного спама на 0,5%.
4-ю и 5-ю позиции, как и в прошлом месяце, занимают Вьетнам (8,3%) и Румыния (4,9%). По сравнению с январем показатели этих двух стран сократились на 1,4% и 0,3% соответственно. Небольшое уменьшение в размере 0,3% в доле разосланного спама наблюдалось также в Италии (2,1%). По итогам месяца страна замыкает первую десятку в нашем списке. На 6-й строчке, прибавив 0,2%, расположилась Украина (4,6%).
Увеличение доли разосланного спама продемонстрировали также Болгария (3%) – на 0,3% и Сербия (2,4%) – на 0,4%.
Среди регионов лидером по распространению спама остается Азия. Её показатель составил 54%, что на 5% больше по сравнению с январем. На второй позиции Северная Америка (20%), доля разосланного из этого региона спама уменьшилась на 3,2%. На третьем месте Восточная Европа (16,2%), чей показатель увеличился на 1,2%. Далее в списке расположились регионы Западная Европа (4,5%), Латинская Америка (2,7%) и Ближний Восток (2,4%).
Вредоносные вложения в почте
В феврале TOP 10 вредоносных программ, распространяемых по почте, выглядел следующим образом.
TOP 10 вредоносных программ, распространяемых по электронной почте
Первое место уже который месяц занимает Trojan-Spy.HTML.Fraud.gen. Напомним, что этот зловред представляет собой поддельную HTML-страницу и рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, софтверных компаний и т.д.
Второе и девятое места занимают Backdoor.Win32.Androm.bngy и Backdoor.Win32.Androm.bmvm. Зловреды семейства Andromeda – бэкдоры, позволяющие злоумышленникам незаметно управлять зараженным компьютером. Часто зараженные такими программами компьютеры становятся частью ботнета.
На третьей позиции расположился сетевой червь Asprox. Он автоматически заражает сайты, скачивает и запускает другое ПО, собирает ценную информацию на компьютере, такую как сохраненные пароли, данные для доступа к почтовым и FTP-аккаунтам.
Четвёртое и пятое места заняли Trojan-Spy.Win32.Zbot.rpce и Trojan-Spy.Win32.Zbot.rpce. Zbot – троянец, специализирующийся на краже конфиденциальной информации. Напомним также, что этот зловред может устанавливать
Далее следует Email-Worm.Win32.Bagle.gt - почтовый червь, который рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также червь имеет функцию загрузки файлов из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку.
Восьмую позицию занимает Trojan.Win32.Inject.hpdp, который представляет собой шпиона и кейлоггер (Limitless Logger). Программа передает информацию о нажатиях клавиш, системную информацию, данные авторизации на различных сайтах, пароли от почтовых сервисов, пароли из программ - хранителей паролей.
Замыкает десятку Trojan.Win32.Bublik.cbds – маленький Trojan-Downloader, который скачивает и запускает троянцы семейства Zbot.
Особенности вредоносного спама.
На волне празднования дня святого Валентина в феврале увеличилось количество сообщений на тему знакомств в сети. К письмам от «прекрасных незнакомок», желающих вступить в переписку, прилагались архивы, в которых вместо обещанных фотографий оказывалось различное вредоносное ПО, например Trojan.Win32.Reconyc.rb. Он представляет собой Trojan-Dropper, который устанавливает в систему два разных зловреда: один из них шпион, который крадет с компьютера все документы (*.docx, *.xlsx, *.pdf), отсылая их на определенный почтовый ящик; второй – это IRC-бот/червь под названием ShitStorm, который умеет устраивать DDoS-атаки на сайты и рассылать себя через MSN и P2P-сервисы. Встречалось также немало зловредов, которые относятся к группе вымогателей, блокирующих компьютер пользователя и выманивающих деньги за разблокировку. К ним относится, например, Trojan-Ransom.Win32.Gimemo.boyz.Нам также попадались сообщения без текста, тематика которых угадывалась по заголовкам письма, таким как «смотри мои обнаженные фотографии во вложении». В приложенных к этим сообщениях архивах также скрывались зловреды, в частности Backdoor.Win32.Androm.bnaf из семейства Andromeda, позволяющий злоумышленникам незаметно управлять зараженным компьютером пользователя.
Аналогичные зловреды распространялись в феврале и более привычными способами – в виде поддельных уведомлений от представителей известных социальных сетей. Например, в поддельных сообщениях от имени Facebook говорилось, что со времени последнего входа пользователя в систему в ленте его друзей произошло немало интересных событий, информацию о которых можно прочитать в приложенном к письму архиве. Архив содержал зловред Backdoor.Win32.Androm.bmvv из вышеупомянутого семейства Andromeda.
Фишинг
По итогам февраля рейтинг атакованных фишерами организаций не претерпел значительных изменений.
Распределение TOP 100 организаций, атакованных фишерами, по категориям
Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.
Первую строчку уверенно занимают социальные сети (27,3%), их показатель по итогам месяца уменьшился всего на 0,06%. Показатель почтовых сервисов (19,34%) также незначительно уменьшился и по итогам февраля категория удерживает 2-ю строчку. На третью строчку поднялись финансовые и платежные организации (16,73%), доля фишинговых атак этот сектор увеличилась на 1,1%.
Поисковики переместились на 4-ю строчку (16,51%), их показатель уменьшился на 0,4%. Пятую и шестую строчки, как и в январе, занимают интернет-провайдеры (8,43%) и ИТ-вендоры (5,85%).p>
Фишинговые сообщения от имени крупных финансовых и платежных организаций различных стран активно рассылаются злоумышленниками с целью кражи персональной финансовой информации. В феврале мы обнаружили мошеннические уведомления, отправителем которых якобы был малазийский банк HongLeong, точнее технический департамент этой организации. В письме сообщалось, что банком проводится улучшение способов обеспечения защиты данных и всех клиентов просят подтвердить данные банковского аккаунта, перейдя по ссылке, указанной в письме. Кликнув по ссылке, пользователь попадает на фишинговую страницу, имитирующую официальную страничку входа в личный кабинет на сайте банка. Все введенные данные передаются мошенникам, которые получают полный доступ к личному кабинету жертвы. Мошенники использовали название самого банка и постарались заставить жертву поверить, что письмо пришло от банковского служащего, указав фамилию и инициалы в имени почтового ящика, но адрес в поле отправителя сразу выдавал подлог: доменное имя не имело ничего общего с доменом, принадлежащим банку, - как оказалось, домен принадлежал одному из университетов Австралии. Возможно, мошенники получили доступ к электронному ящику и использовали его для фишинговой рассылки без ведома владельца.
Заключение
Доля спама в мировом почтовом трафике в феврале увеличилась на 4,2% и составила 69,9%. Увеличение данного показателя по сравнению с январем, связано в том числе и с затишьем в первые дни года.
В феврале пользователям Рунета рассылались праздничные предложения товаров и услуг, приуроченные к 23 февраля и 8 марта. Выросло количество рассылок с рекламой цветов для прекрасной половины человечества и услуг по организации и проведению праздников. День святого Валентина, отмечаемый и в России, и за рубежом, также активно использовался спамерами для привлечения новых клиентов.
Неудивительно, что в феврале выросло количество спама, использующего олимпийскую тематику. В спам-потоках фиксировались не только предложения скидок на товары и услуги, но и мошеннические рассылки. Также новости на тему Олимпиады использовались как способ зашумления спам-рассылок для обхода фильтров.
Среди писем с вредоносными вложениями встречались и стандартные поддельные уведомления от известных социальных сетей, и сообщения на тему знакомства в сети - количество последних увеличилось в связи с празднованием дня святого Валентина.
По итогам февраля рейтинг организаций, атакованных фишерами, по-прежнему возглавляют социальные сети. Вторую строчку удерживают почтовые сервисы, а на третью позицию переместились финансовые и платежные организации, их показатель увеличился на 1,1%.
НОВОЕ НА САЙТЕ
Главная
Методы обнаружения вирусов
Классификация антивирусов
Недостатки
Новости антивирусов
Антивирус Касперского
Антивирус Dr.Web
Антивирус Nod32
Антивирус Panda
Антивирус Avira
Антивирус Avast
Антивирус AVG
Вирусные новости
Горячая лента угроз и предупреждений о вирусной опасности!
Лента уязвимостей
Новости Безопастности
Вирусный Лист
Аналитические статьи
Каталог
Спам в июле 2011 года
Обзор DDoS-атак во втором квартале 2011 года
Спам во втором квартале 2011
Развитие информационных угроз во втором квартале 2011 года
Обзор вирусной активности - июль 2011
Наборы эксплойтов в первой половине 2011 года
Спам в июне 2011 года
Обзор вирусной активности - июнь 2011
Дети онлайн: техника безопасности
TDL4 - Top Bot
Спам в мае 2011 года
Землетрясение в Японии - хронология IT-угроз
Спам в первом квартале 2011
Спам в апреле 2011 года
Развитие информационных угроз в первом квартале 2011 года
Спам в марте 2011 года
«Рекламный» ботнет
Обзор вирусной активности - март 2011
Спам и закон: осеннее противостояние
Мобильная вирусология, часть 4
Планета, захваченная спамерами
MYBIOS. Возможно ли заразить BIOS?
Спам в августе 2011 года
Обзор вирусной активности - август 2011
ZeuS-in-the-Mobile - факты и догадки
Обзор вирусной активности - сентябрь 2011
Спам в сентябре 2011 года
Спам в третьем квартале 2011
Обзор вирусной активности - октябрь 2011
Развитие информационных угроз в третьем квартале 2011 года
Спам в октябре 2011 года
Головы Гидры. Вредоносное ПО для сетевых устройств
Легальные буткиты
Онлайн-платежи - удобно и безопасно
Обзор вирусной активности - ноябрь 2011
Троянцы-вымогатели
Спам в ноябре 2011 года
Stuxnet/Duqu: эволюция драйверов
Спам в декабре 2011 года
Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете
Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году
Kaspersky Security Bulletin. Основная статистика за 2011 год
Kaspersky Security Bulletin. Спам в 2011 году
Спам в январе 2012 года
DDoS-атаки второго полугодия 2011 года
Мобильная вирусология, часть 5
Обзор вирусной активности - февраль 2012
Спам в феврале 2012 года
Спам в марте 2012 года
Обзор вирусной активности, март 2012
Анатомия Flashfake. Часть I
Спам в первом квартале 2012
Спам в апреле 2012 года
Развитие информационных угроз в первом квартале 2012 года
Обзор вирусной активности - апрель 2012
Анатомия Flashfake. Часть II
Спам в мае 2012 года
XPAJ. Исследование буткита под Windows x64
Спам в июне 2012 года
Развитие информационных угроз во втором квартале 2012 года
Спам в июле 2012 года
Спам во втором квартале 2012
География киберпреступлений. Западная Европа и Северная Америка
Спам в августе 2012 года
«Этот сайт может причинить вред вашему компьютеру». Как распознать и предотвратить заражение веб-сайтов
Спам в сентябре 2012 года
Безопасность ключевых систем информационной инфраструктуры: точка доверия
Развитие информационных угроз в третьем квартале 2012 года
Спам в третьем квартале 2012
Спам в октябре 2012
Kaspersky Security Bulletin 2012. Кибероружие
Kaspersky Security Bulletin 2012. Основная статистика за 2012 год
Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году
Спам в ноябре 2012
Информационная безопасность в 2030 году: прежними останутся только люди
Спам в 2012 году
Спам в декабре 2012
Нигерийское наследство ждет вас
Отчет «Лаборатории Касперского»: оценка уровня опасности уязвимостей в ПО
«Операция Абабиль»: итоги
«Медовые ловушки» в интернете
Контроль запуска программ как залог безопасности сети. Часть 1
Контроль запуска программ как залог безопасности сети. Часть 2
Спам в январе 2013
Мобильная вирусология, часть 6
Спам в феврале 2013
Winnti. Это вам не игрушки
Анализ Winnti 1.0
Спам в марте 2013
Spyware. HackingTeam
Спам в первом квартале 2013
Развитие информационных угроз в первом квартале 2013 года
Спам в апреле 2013
Спам в мае 2013
Перенаправления в спаме
Спам в июне 2013
Спам во втором квартале 2013
Развитие информационных угроз во втором квартале 2013 года
Anti-decompiling techniques in malicious Java Applets
The curious case of a CVE-2012-0158 exploit
Spam in Q2 2013
Spam in June 2013
Redirects in Spam
Spam in May 2013
Spam in April 2013
IT Threat Evolution: Q1 2013
Spam in Q1 2013
Spyware. HackingTeam
Spam in March 2013
Spam in February 2013
Mobile Malware Evolution: Part 6
Spam in January 2013
Application Control: the key to a secure network. Part 1
Application Control: the key to a secure network - Part 2
Honey traps on the Internet
Kaspersky Lab report: Evaluating the threat level of software vulnerabilities
Spam in December 2012
Kaspersky Security Bulletin: Spam Evolution 2012
Спам в июле 2013
Как закрыть черную дыру?
DDoS-атаки первого полугодия 2013 года
Операция «Kimsuky»: северокорейская разведдеятельность?
Защита от виртуальных грабителей
Спам в августе 2013
PAC - файл автоконфигурации проблем
Проигрыш обеспечен, или настоящее лицо фальшивой Фортуны
Спам в первом квартале 2014
Спам в марте 2014
Развитие информационных угроз в первом квартале 2014 года
Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО
Финансовые киберугрозы в 2013 году. Часть 1: фишинг
BitGuard: система принудительного поиска
Спам в феврале 2014
Мобильные угрозы - 2013
Спам в январе 2014
Угроза из BIOS
Спам-кредиторы: кража данных, троянцы и другие особенности «дешевых» займов
Kaspersky Security Bulletin. Спам в 2013 году
Спам в декабре 2013
Спам в ноябре 2013
Kaspersky Security Bulletin 2013. Развитие угроз в 2013 году
Kaspersky Security Bulletin 2013. Корпоративные угрозы
Kaspersky Security Bulletin 2013. Основная статистика за 2013 год
Kaspersky Security Bulletin 2013. Прогнозы
Новая угроза для онлайн-банка
Спам в апреле 2014
Дети в Сети: формула безопасности
Обманщики в социальных сетях
Многофункциональный DDoS-троянец под Linux
Спам в мае 2014