Методы обнаружения вирусов

Спам в декабре 2013

Оглавление

Особенности месяца

В декабре спамеры традиционно пытались привлечь потенциальных клиентов самыми разнообразными и нестандартными предложениями подарков и зимнего отдыха, активно используя при этом тематику предстоящих праздников.Не были забыты и сезонные товары и услуги. Очередным поводом для рассылки мошеннических писем в прошлом месяце стала новость о смерти Нельсона Манделы.

Еще одной темой, которую в декабре активно эксплуатировали спамеры, стал финансовый кризис. На фоне новостей о возможных последствиях кризиса спамеры старались выставить рекламируемые ими услуги в самом выгодном свете, а также привлечь потенциальных клиентов за счет представления «спасительных антикризисных мер», известных лишь авторам данных рассылок.

Новогодний спам

В декабре, когда  миллионы людей заняты поиском и покупкой подарков для своих родных и друзей, резко возрастает спрос на тематические товары и услуги. Для привлечения новых клиентов и повышения продаж некоторые компании и частные лица прибегают к помощи спам-рассылок.

В декабре мы продолжили фиксировать туристический спам, содержащий предложения отпраздновать Новый Год за границей. Не обошлось и без рекламы услуг по организации корпоративных новогодних вечеринок, причем в этом году спама данной тематики стало заметно больше. Потенциальным клиентам спамеры предлагали не только традиционные празднования с участием популярных артистов, но и различные экстремальные развлечения.

 

Не забыли спамеры и про неотъемлемые атрибуты празднования Нового Года – в спам-трафике нам часто встречались предложения по продаже фейерверков и гирлянд. Реклама услуг по декоративному оформлению воздушными шарами в декабре также была приурочена к Новому Году.

 

Мы также обнаружили и другие новогодние предложения спамеров, среди них доставка новогодней елки, курьерские услуги, реклама картин с фотографиями в качестве подарка и т.д.

 

Многочисленные новогодние спам-рассылки были адресованы родителям и их детям. В таких сообщениях спамеры предлагали билеты на ежегодные новогодние елки, услуги Деда Мороза, а также карнавальные костюмы.

 

Как мы и прогнозировали, в декабре увеличилось количество праздничного графического спама, чаще всего для оформления писем использовалось изображение Деда Мороза. Не обошлось и без популярной у спамеров уловки - в темах декабрьских писем для привлечения внимания получателей упоминались названия праздников.

 «Нигерийский» адвокат Нельсона Манделы

В начале декабря на 96-м году жизни умер 8-й Президент ЮАР Нельсон Мандела. Это трагическое событие мошенники не оставили без внимания, и в середине месяца мы зафиксировали первую «нигерийскую» спам-рассылку. В письме, написанном от имени личного адвоката покойного президента, мошенники использовали стандартные уловки для обмана получателя: просили помочь вложить миллионы долларов,  сулили щедрое вознаграждение и приводили ссылки на известные новостные издания. Все подробности сотрудничества жертве обещали сообщить после ответа на полученное письмо. В качестве обратной связи использовался адрес электронной почты, зарегистрированный на бесплатном сервисе.

 

Зимние товары

Зимой спамеры рассылают не только праздничный спам, не забывают они и о рекламе сезонных товаров и услуг. С наступлением холодов в наши антиспам-фильтры начали попадать рассылки с рекламой различной обогревающей бытовой техники и обуви с утеплением или подогревом. Предложения по чистке и вывозу снега также ежегодно фиксируются нами в спам-трафике.

 

Антикризисный спам

Экономическая ситуация во многих странах сейчас нестабильна, и слово «кризис» нередко можно встретить в аналитических статьях СМИ. Именно на данной тематике пытались спекулировать в прошлом месяце авторы различных спам-рассылок. Содержимое незапрошенных писем прямо или косвенно связывалось с уже прогрессирующим или грядущим кризисом, а их авторы продвигали свои услуги как единственно возможное средство избежать или преодолеть финансовый кризис.

 

Аналогичным образом спамеры привлекали внимание к услугам создания сайтов, поиска потенциальных клиентов и продвижения товаров в Сети с помощью массовых рассылок. Цены за услуги тоже предлагались «кризисные», то есть со скидкой. Для оформления заказа нужно было позвонить по указанному в письме телефону. Мы также зафиксировали немало приглашений на семинары, посвященные оптимизации расходов предприятий в период кризиса. Зарегистрироваться на семинар традиционно можно было по указанной в письме ссылке или позвонив по телефону.

Визы и путешествия

Для тех, кто не успел заранее спланировать и организовать свой зимний отдых, спамеры рассылали предложения по получению виз в любые страны в кратчайшие сроки без присутствия самого получателя на собеседовании в посольстве. Включая даже те страны, куда получить визу не так легко, и где процесс оформления связан с предоставлением множества документов и прохождением многочисленных проверок (например, США или Великобритания). Но сложности не смущали авторов писем, в полученных нами сообщениях они предлагали решить все вопросы за определенную сумму денег. Как правило, в таких письмах указывался телефон для связи или адрес агентства, занимающегося оказанием данных услуг.

 

Географическое распределение источников спама

Доля спама в почтовом трафике

 
Доля спама в почтовом трафике

Наибольшая доля спама была зафиксирована в начале второй половины месяца, когда в связи с предстоящими праздниками активность  спамеров достигла своего пика. К концу месяца мы уже наблюдали снижение активности, и в результате в декабре доля спама составила в среднем 73,3% почтового трафика.

Страны – источники спама

 
Страны – источники спама в мире

В конце года в объеме мирового спама и его географическом распределении сохранилась устойчивая ситуация. Не претерпели каких-либо значительных изменений не только список стран – источников спама, но и доля незапрошенной почты, разосланной из этих стран. По итогам декабря 2013 года на первом месте по-прежнему находится Китай (23,1%). Второе место занимают США (19%). Третья позиция принадлежит Южной Кореей (13,9%). В целом в прошлом месяце из этих трех стран было разослано 56% мирового спама.

На четвертом месте, как и в ноябре, расположилась Тайвань (6,5%). За ней следует Россия, доля разосланного из этой страны спама составила 5,4%. Замыкает десятку Румыния (1,6%).

В два раза уменьшилась доля спама, разосланного из Канады (0,8%), за счет чего страна потеряла четыре пункта и переместилась на 14-ю позицию.

Напротив, небольшое увеличение доли спама наблюдалось в Испании (0,7%) и Израиле (0,7%), которые в декабре пополнили наш список.

 
Страны – источники спама в Рунете

По итогам декабря некоторые перестановки произошли в первой тройке стран – источников спама в Рунете. Лидером среди остается Россия (15,9%). Далее следует Тайвань (12,7%), чей показатель за месяц  увеличился на 1%. На третью позицию снова вышла Индия (11%), доля спама из этой страны увеличилась на 0,8%.

Вьетнам, замыкавший тройку лидеров в прошлом месяце, в декабре расположился на 4-м месте с показателем 10,5%. На 5-й позиции по-прежнему находится Украина (5%), хотя доля разосланного из этой страны спама сократилась на 1%. Также на 1% уменьшился показатель Казахстана (2%), в этом месяце страна замыкает десятку, потеряв два пункта.

С одинаковыми показателями в 1% наш список в декабре пополнили Испания и Турция.

В остальном, список стран – источников спама в Рунете не претерпел значительных изменений.

 
Регионы – источники спама

Среди регионов лидером по распространению спама по-прежнему является Азия (56,6%), по сравнению с прошлым месяцем её показатель сократился на 2%. Далее с незначительным приростом в 0,3% следует Северная Америка (19,9%). Замыкает первую тройку Восточная Европа (13,7%). Далее в списке следуют регионы Западная Европа (4,4%) и Латинская Америка (2,5%). Доля спама по региону Ближний Восток составляет 2,4%.

Вредоносные вложения в почте

В декабре TOP 10 вредоносных программ, распространяемых по почте, выглядел следующим образом:

 
TOP 10 вредоносных программ, распространяемых по электронной почте

Неизменным осталось положение зловреда Trojan-Spy.HTML.Fraud.gen, который на протяжении многих месяцев упорно не покидает первое место. Напомним, что представитель семейства троянцев Fraud.gen представляет собой поддельную HTML-страницу и рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, софтверных компаний и т.д.

На втором, четвёртом и шестом местах соответственно расположились Trojan-PSW.Win32.Tepfer.stlj, Trojan-PSW.Win32.Tepfer.swrz и Trojan-PSW.Win32.Tepfer.sugm - программы-шпионы, которые крадут cookie и пароли браузеров, пароли от FTP-клиентов, почтовых программ и отсылают их злоумышленникам.

Третью позицию занимает Trojan.Win32.Inject.gxgh. Этот зловред незаметно устанавливает на компьютер жертвы вредоносное расширение для браузеров Google Chrome и Mozilla Firefox. Расширение перехватывает поисковые запросы к большому числу поисковых сервисов, отсылает строку запроса на сервер злоумышленника, а затем подменяет поисковую выдачу, т.е. демонстрирует пользователю не реальные, а подложные, сфабрикованные злоумышленниками результаты поиска.

На пятой позиции расположился уже хорошо знакомый нам Email-Worm.Win32.Bagle.gt - почтовый червь, который рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также червь имеет функционал загрузки файлов из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку.

Восьмое и десятое места в списке самых распространённых почтовых зловредов в декабре заняли Net-Worm.Win32.Aspxor.apo и Net-Worm.Win32.Aspxor.app соответственно. Aspxor- рассылающий спам сетевой червь. Он может автоматически заражать сайты, скачивать и запускать другое ПО, собирать ценную  информацию на компьютере, такую как сохраненные пароли, данные для доступа к почтовым и FTP-аккаунтам.

На девятой строке в декабре расположился Trojan-Spy.Win32.Zbot.qvpu. Семейство Zbot/Zeus - это троянцы, разработанные для атаки на сервера и пользовательские компьютеры, перехвата данных. Хотя троян способен выполнять различные вредоносные действия, чаще всего используется для воровства банковской информации. Так же он может устанавливать CryptoLocker – вредоносную программу, требующую деньги за расшифровку данных пользователя.

 
Распределение срабатываний почтового антивируса по странам

В рейтинге стран по количеству срабатываний почтового антивируса начиная с ноября на первом месте держится Великобритания (14%). В декабре ее показатель увеличился на 1,7%. Доля срабатываний в США (13,2%) также выросла на 3,1%, благодаря чему страна переместилась на вторую позицию. В результате на третьей строчке оказалась Германия, ее показатель снизился на 1%.

Доля срабатываний почтового антивируса на территории России уменьшилась до 1,7%. Доля срабатываний почтового антивируса в других странах существенных изменений в декабре не претерпела.

Особенности вредоносного спама.

Все чаще мошенники, рассылающие вредоносные сообщения используют в качестве имен отправителей названия известных компаний, продающих электронику или ПО. Расчет злоумышленников прост: получив уведомление от компании, клиентом которой пользователь зачастую является на самом деле, он непременно заинтересуется и с высокой долей вероятности откроет  архив с вредоносной программой.

В прошлом месяце мы зафиксировали немало сообщений, рассылаемых от имени известного производителя телекоммуникационного оборудования, бытовой техники, аудио- и видеоустройств – компании Samsung, а также от имени американского разработчика программного обеспечения – Adobe Systems Inc.

 

От имени Samsung злоумышленники рассылали письма, якобы написанные одним из менеджеров компании. В письме «менеджер» сообщал, что ему необходимо организовать срочные поставки какой-либо продукции, и после долгих поисков посредника выбор пал именно на получателя письма и его компанию. С заказом на поставку необходимых товаров предлагалось ознакомиться, открыв приложенный файл. Также указывался необходимый срок поставки, в пределах которого должны быть улажены все формальности, касающиеся документов и оплаты. В письме имелась автоподпись менеджера со всеми необходимыми контактными данными. На самом деле файл в приложенном архиве являлся зловредом, детектируемым «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot.qzpl. Это шпионский троян из семейства Zbot/Zeus, предназначенный для похищения конфиденциальной информации пользователя.

 

Сообщения от имени Adobe имитировали подтверждение покупки программного продукта компании и якобы содержали лицензионный ключ для его активации. При проверке оказывалось, что вместо регистрационного кода в приложенном к письму архиве находился червь, детектируемый «Лабораторией Касперского» как Net-Worm.Win32.Aspxor.apo. Это червь из семейства Net-Worm.Win32.Aspxor, используемый злоумышленниками для рассылки спама. Он также может заражать сайты, скачивать и запускать ПО, красть данные с компьютера пользователя.

Фишинг

По итогам декабря рейтинг атакованных фишерами организаций не претерпел значительных изменений.

 
Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Первую строчку по-прежнему занимают социальные сети (26,9%), чей показатель продолжает уменьшаться (-0,4%.) Показатели почтовых сервисов (19,5%) и поисковых систем (16,6%) увеличились незначительно и по итогам декабря данные категории продолжили удерживать 2-ю и 3-ю строчку соответственно.

Показатель финансовых и платежных организаций (15,8%) уменьшился на 0,3%, и по итогам месяца категория сохранила 4-ю строчку.

Категория «Телефонные и интернет-провайдеры» вновь поменялась местами с категорией «ИТ-вендоры», и в декабре обе категории заняли 5-ю и 6-ю строчку соответственно. При этом показатель ИТ-вендоров (6%) уменьшился, а показатель телефонных и интернет-провайдеров (8,5%), напротив, увеличился на 2,4%.

Показатели онлайн-игр, правительственных организаций и СМИ незначительно уменьшился; в декабре перечисленные категории заняли 8-ю, 9-ю и 10-ю строчки соответственно.

Некоторые банковские организации с незавидным постоянством становятся мишенями фишеров. Так, в декабре, злоумышленники вновь рассылали поддельные официальные уведомления от имени индийского банка ICICI. В письме сообщалось, что защита системы онлайн-банкинга была улучшена и теперь пользователю необходимо авторизоваться в системе и убедиться, что обновление прошло успешно. Далее приводилась пошаговая инструкция, в которой от пользователя требовали открыть HTML-вложение, ввести необходимую информацию и подтвердить ее. Отметим, что в письме было два таких вложения, предназначенные для корпоративных и частных клиентов, однако поля, которые было необходимо заполнить, были идентичны. Далее информация, введенная на фишинговых HTML-страницах, передавалась злоумышленникам, и они получали полный доступ к аккаунту пользователя.

 

Для убеждения получателя в легитимности письма злоумышленники использовали  адрес отправителя, похожий на официальный, а в тексте письма приводилась подробная инструкция по активации, что редко можно встретить в фишинговых письмах. Также оформление вложенных в письмо фишинговых страниц было похоже на оформление страниц официального сайта банка.

Заключение

Доля спама в мировом почтовом трафике в декабре увеличилась на 0,8% и составила 73,3%. В январе количество спама, предположительно, снизится, так как начало января – время затишья в спаме: в период праздников большое количество ботнетов выключено и пользовательская активность снижается.

Как мы и прогнозировали, количество праздничного спама в декабре достигло своего максимума. При этом в 2013 году новогодний и рождественский спам стал еще более разнообразным, появились новые предложения, возросло количество спама с предложением весело провести корпоративный Новый год. В то же время сохраняется тенденция увеличения графического спама, посвященного зимним праздникам.  

Смерть Нельсона Манделы в декабре стала очередным поводом для рассылки «нигерийских» писем от имени коллег покойного президента и обмана пользователей. Мы ожидаем, что в январе продолжится рассылка мошеннических писем, посвященных данному трагическому событию.

По итогам декабря категория «Социальные сети» продолжает удерживать лидирующую позицию в ТОР 100 атакованных фишерами организаций, ее показатель уменьшился на 0,4%. Далее идут почтовые сервисы и поисковые системы, чьи показатели незначительно выросли. Показатель занимающих 4-ю строчку финансовых организаций наоборот уменьшился и составил 15,8%. В январе в этом списке, скорее всего, не произойдет существенных изменений.

Что касается вредоносных рассылок, то в декабре мошенники использовали для прикрытия не только названия финансовых организаций или социальных сетей, но и имена известных компаний, создающих электронику и программное обеспечение, которыми пользуются по всему миру.

НОВОЕ НА САЙТЕ