Лаборатория Касперского: Спам в апреле 2013 года


KasperskyLabs

Апрель в цифрах

  • Доля спама в почтовом трафике в апреле составила - 72,2% (+ 2,1% по сравнению с мартом).
  • Доля фишинговых писем в почтовом потоке составила - 0,002% (меньше в 3 раза).
  • Вредоносные вложения в электронных сообщениях содержались - в 2,4% всех электронных сообщений (-1,6% марта месяца).

 

Особенности месяца

В апреле количество спам-писем увеличилось на 2,1%. Объем "праздничного" спама уменьшился, однако спамерами активно продолжалась эксплуатироваться для рассылки мошеннических писем и сообщений с рекламой товаров и услуг на русском и английском языках пасхальная тематика. Для привлечения внимания пользователей мошенники использовали имена мировых политических деятелей и произошедшие в США трагические события.


События в США и вредоносный спам
В апреле, для привлечения внимания пользователей, злоумышленники эксплуатировали трагические события в США — взрыв на финише известного Бостонского марафона и на химическом заводе в Техасе.

Злоумышленники подделывали письма под рассылки известных новостных ресурсов (CNN и BBC), создавая провокационные заголовки, а также прилагали ссылку на статью, якобы посвященную трагическим событиям. При переходе по данной ссылке, пользователь попадал на сайт злоумышленников, с которого на его систему осуществлялась атака с использованием эксплойт-пака Blackhole 2. Впоследствии атаки на компьютер пользователя загружалась шпионская вредоносная программа Backdoor.Win32.Papras.ppk, предназначенная для хищения и передачи злоумышленникам информации из защищенных соединений браузера (HTTPS), cookies, скриншотов, сведений о компьютере (установленные программы, конфигурация системы).

Spam s ispolzovaniem imeni CNN

Подобная вредоносная рассылка уже наблюдалась в первом квартале 2013 года, только темой рассылок выступали новости, касающиеся нового Папы Римского.

В рамках еще одной рассылки злоумышленники распространяли ссылки на веб-страницы со словами texas, boston, news в адресе. Перейдя по такой ссылке, пользователь попадал на страницу с подборкой видеозаписей взрывов, взятых с сайта Youtube. Также на этой странице содержался эксплойт, загружающий на компьютер пользователя вредоносную программу Trojan-PSW.Win32.Tepfer, которая используется злоумышленниками для кражи пользовательских аккаунтов (логин и пароль) с зараженных компьютеров.

Rassilki s video vzrivov


Мошенничество
В апреле популярными были несколько мошеннических спам-рассылок на русском языке. Суть одной из них: к получателю обращается якобы хорошо знакомый ему человек, это подчеркивается разговорным стилем письма. Этот "знакомый" обнаружил безопасный способ размножения электронных денег через сервис WebMoney и теперь готов поделиться им с получателем письма. Единственное, что нужно получателю для получения легких денег - перечислить собственные средства на указанный в письме номер электронного кошелька и добавить к переводу особый код, который якобы позволит пополнять свой электронный кошелек без ограничений. Естественно, что после перевода средств, ничего не произойдет.

Nauchi USA materitsa

В другой рассылке мошенники предлагали получателям пожертвовать деньги на программу обучения русскому мату в американских школах и на издание в США соответствующих учебных материалов. В письме спамеры ссылались на эффективность сбора денег через интернет. Также они подчеркивали, что президент США Барак Обама тоже прибегал к такому методу сбора пожертвований для своей предвыборной компании.

Продолжают изобретать уловки и "Нигерийские" мошенники, активно используя имена известных политических лидеров в своих письмах. На этот раз в рассылках фигурировали Барак Обама и сын Муаммара Каддафи. Письма отправлялись якобы от имени служащей Белого Дома. В нем сообщалось, что американский президент раздает 100 золотых слитков нуждающимся по всему миру и именно получатель письма станет владельцем ценного металла. В "нигерийском" письме на немецком языке, написанном от лица помощника сына бывшего президента Ливии Муаммара Каддафи, содержалась традиционная просьба о помощи в переводе и обналичивании миллионов.

The Governments Aid

Сценарий подобного мошенничества следующий: вступив в переписку с мошенниками, они просят у жертв незначительные суммы денег на покрытие расходов посредника или оформление документов. Данная уловка рассчитана на то, что огромная разница между запрошенными и обещанными за помощь деньгами заставит потенциальную жертву забыть об осторожности и выполнить все требования злоумышленников.


"Праздничный" спам
В апрельских рассылках, посвященных православной Пасхе, в качестве подарков предлагались цветы и воздушные шары, оформленных в пасхальной тематике.

Pravoslavnaya pasha


Географическое распределение источников спама

В апреле среди стран — источников спама, распространяемого по всему миру, лидирующие позиции заняли:

  • Китай - 23,9%;
  • США - 16,8%;
  • Южная Корея - 11,4%;
  • Тайвань - 5,5%.


Индия опустилась с 5-ой на 9-ю строчку с показателем 2,9%, уступив место Вьетнаму (4%). Россия (3,3%) поднялась в рейтинге с 10-го на 7-е место. Германия опустилась с 8-го на 12-е место. Италия спустилась с 6-го на 14-е место.

Strani ist spama v mire v aprele 2013
Страны — источники спама в мире

Лидерами среди стран — источников спама в Рунете стали:

  • Тайвань - 11,4%;
  • Вьетнам - 8,9%;
  • Украина - 7,8%.


Индия опустилась со 2-го на 6-е место. Италия спустилась с 6-й строчки на 14-ю.

Strani ist spama v runete v aprele 2013
Страны — источники спама в Рунете

Среди регионов лидерами по распространению спама стали:

  • Азия - 55,7%;
  • Северная Америка - 17,6%;
  • Восточная Европа - 13,6%.

Regioni ist spama v aprele 2013
Регионы — источники спама


Вредоносные вложения в почте

Доля вредоносных вложений в почте в апреле составила 2,4% почтового трафика, что на 1,6% меньше, чем в марте.

TOP 10 Vredonos prog rasprostr po pochte v aprele 2013
TOP 10 вредоносных программ, распространявшихся по электронной почте

Наиболее популярными вредоносными программами являются:

  • Trojan-Spy.HTML.Fraud.gen - троян, представляющий собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. При вводе пользователем своих данных в предложенные поля и последующей отправкой, его личная информация попадает к мошенникам.

  • Email-Worm.Win32.Bagle.gt - червь, способный распространять свои копии по контактам в адресной книге пользователя, а также устанавливать на зараженный компьютер другие вредоносные программы.

  • Backdoor.Win32.Androm.pta - вредоносная программа, позволяющая злоумышленнику незаметно управлять зараженным компьютером. Например, загружать на него другие вредоносные программы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. С помощью этого вредоноса, зараженные компьютеры нередко становятся частью ботнета.

  • Trojan-PSW.Win32.Tepfer.hjva - троянская программа, созданная для похищения паролей к пользовательским аккаунтам.

Raspred srabativanii pochtovogo anvir po stranam v aprele 2013
Распределение срабатываний почтового антивируса по странам

Лидерами среди стран, по наиболее частым срабатываниям почтового антивируса стали:

  • США - 12,4%;
  • Германия - 10,7%;
  • Великобритания - 6,8%.


Список остальных атакуемых стран остался практически без изменений.

В апреле спамеры активно использовали имя международной логистической компании DHL для рассылки поддельных уведомлений с вредоносными вложениями. Были зафиксированы сразу несколько рассылок на английском и голландском языках.

В англоязычной рассылке получателя уведомляли, что якобы курьер почтовой службы не смог доставить ему посылку и теперь ее нужно получать в офисе компании. Чтобы обратиться в офис, необходимо распечатать документ, который находится во вложенном архиве. Также уведомляется, что за хранение посылки он будет обязан заплатить штраф. Сумма штрафа и количество дней, в течение которых необходимо забрать отправление, меняются постоянно.

Во вложенном архиве под названием

  • DHL.REPORT.ID680.zip

находился файл

  • DHL.REPORT.F3B5DJ7.exe

(название архива в письмах было различно только по цифрам, а имя, находящегося в нем исполняемого файла, во всех письмах было одно и то же). Данный файл представлял собой троянскую программу семейства ZBot (ZeuS) - Trojan-Spy.Win32.Zbot.krhu.ZeuS, которая используется для кражи персональной информации пользователей и паролей от платежных и банковских систем, а также для организации ботнетов.

Arhiv s vredonosom

В письме на голландском языке сообщалось, что в приложенном файле находится счет за предоставленные компанией DNL услуги. На самом деле в архиве

  • UwrecentsteDHLfactuur.zip

находился вредоносный файл

  • UwrecentsteDHLfactuur.pdf.exe

детектируемый как Trojan.Win32.Generic.

Vredonos v golandskom arhive

Также нашли свое распространение у злоумышленников поддельные уведомления от интернет-магазинов, в которых также рассылаются вредоносные файлы. Например, в апреле была зарегистрирована рассылка поддельных уведомлений от имени популярного немецкого интернет-магазина одежды и обуви Otto. Интересно, что в поле From указан легитимный, на первый взгляд, отправитель otto-newsletter — это один из излюбленных приемов мошенников, используемый для введения получателя в заблуждение. На самом деле злоумышленник может вписать в поле From любой адрес.

Vredonos spam ot internet magazina Otto

В полученном письме пользователю объявляется благодарность за заказ от имени компании, и прикрепляется вложенный файл, однако не просят его открыть. Таким образом, злоумышленники играют на любопытстве пользователя - откроет он прикрепленный в письме архив или нет. Внутри архива Besstellung_bei_OTTO.zip содержится троян семейства Trojan.Win32.Bublik, который используется злоумышленниками для сбора с зараженного компьютера сохраненных пользователем логинов, паролей и другой ценной информации.


Фишинг

В апреле доля фишинговых писем в глобальном почтовом потоке составила 0,002%, что втрое меньше, чем в марте.

TOP 100 Organizacii atakovannih fisherami po kat v aprele 2013
Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга в продуктах ЛК, установленных на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

Лидерами атакуемых фишерами организаций стали:

  • Социальные сети - 35,5%;
  • Финансовые и платежные организации - 17%;
  • Поисковые системы - 15,3%;
  • ИТ-вендоры - 9,1%;
  • Телефонные и интернет-провайдеры - 8,7%.


Заключение

В апреле количество "праздничного" спама уменьшилось. Были зарегистрированы рассылки, посвященные православной Пасхе, спамеры использовали пасхальную тематику для рекламы товаров и услуг, а также для обмана пользователей. Мошеннические рассылки с именами известных политических лидеров также довольно часто встречались в спам-потоке.

В апреле после двух прогремевших в США взрывов интернет заполонили вредоносные рассылки, эксплуатирующие эти трагические события.

В апреле общая доля спама увеличилась незначительно.

В апреле большая часть спама по миру распространялась из Китая и США. В спам-потоках Рунета Индия и Италия покинули пятерку лидеров. Первые места заняли Тайвань, Вьетнам и Украина.

Количество фишинговых писем уменьшилось втрое. В первой пятерке атакованных фишерами организаций лидерами по количеству атак остались социальные сети.