Лаборатория Касперского: Спам в августе 2013 года


KasperskyLabs

Август в цифрах

  • В августе доля спама в почтовом трафике составила - 67,6% (- 3,6% по сравнению с июлем).
  • Доля фишинговых писем в почтовом потоке составила - 0,013% (увеличилась более чем в 10 раз).
  • Вредоносные вложения в электронных сообщениях содержались - в 5,6% (+ 3,4%).

 

Главные события месяца

В августе 2013 года сильно криминализировался спам, значительно выросло количество мошеннических и вредоносных писем на фоне уменьшения общей доли спама.

Перед началом нового учебного года одной из самых популярных тем в спамерских кругах стала тема "День знаний", т.е. рекламировались всевозможные школьные товары. Однако это не значит, что злоумышленники забыли о спаме с темой о здоровье и спортивном образе жизни. Также услугами спамеров воспользовались и продавцы автомобилей, различных аксессуаров для них, а также сопутствующих услуг.


Спам для автолюбителей
В августе было зарегистрировано несколько рекламных рассылок, как со стандартными предложениями продажи и ремонта машин, так и более оригинальные. Например, с предложением пройти мастер-класс по изготовлению тортов в форме автомобилей.

Torti v vide avto Spam

Злоумышленники сумели проявить смекалку и воспользоваться приказом об ужесточении штрафов за нарушения правил дорожного движения и наличии на дорогах камер слежения, для рекламы чудо-пленок, наклеиваемых поверх номера машины, а также услуг по изготовлению дубликатов номеров. Предположительно эти ухищрения сделают номерной знак невидимым для инфракрасных камер автоматической фиксации. Для привлечения внимания получателей подобных рассылок использовались весьма нехитрые заголовки типа "Изготовление номеров" с упоминанием нанотехнологий. В письмах спамеры использовали, как традиционное текстовое описание, так и графические файлы.

Reklama chudo-plenok i potdelivaniya nomerov Spam


Жизнь без долгов
В июле мы уже писали в блоге о мошеннических сайтах, на которых автовладельцы могут якобы проверить наличие штрафов за нарушение ПДД и тут же оплатить их.

В августе была зафиксирована мошенническая рассылка с рекламой сайта проверки государственных задолженностей. Письмо было оформлено под официальное, только адрес отправителя был видимым отличием от оригинала. Он был сгенерирован автоматически и менялся от письма к письму, как и темы сообщений.

Jizn bez dolgov Spam

Полученное жертвой письмо содержало три одинаковые ссылки, перейдя по которым пользователь попадал на один и тот же мошеннический сайт, на котором жертве предлагали зарегистрироваться и ввести:

  • свои контактные данные;
  • ФИО;
  • номер паспорта;
  • ИНН;
  • номер автомобиля и свидетельства о его регистрации.


От юридических лиц требовали данные об организации. Таким образом, о гражданах РФ собиралась вся информация, которую в дальнейшем злоумышленники использовали для различных махинаций. Жертвы подобных сайтов часто несли еще и финансовые потери. Например, для подтверждения введенного мобильного телефона пользователю нужно прислать ответное SMS на премиум-номер, после чего со счета мобильного телефона будет без предупреждения списана значительная сумма. Также злоумышленники могут просто потребовать некоторую сумму денег за информацию о задолженностях.


Снова в школу
Не обошла спамеров всего мира и тема 1 сентября, а основной их задачей стало продвижение всевозможных школьных товаров.

Den znaniii prodvijenie shkolnih tovarov Spam

Например, в Рунете чаще других встречались сообщения с рекламой школьной формы и канцелярских товаров. Эти рекламные письма приходили в больших количествах с анонимных почтовых ящиков и содержали в себе короткие ссылки, перенаправляющие пользователя на сайт интернет-магазина. Некоторые сообщения даже содержали номера телефонов, сильно зашумленные буквенными символами для обхода спам-фильтров. Для привлечения внимания пользователей использовались крупные короткие заголовки, например

  • "ШКОЛЬНАЯ ФОРМА по ДОСТУПНЫМ ЦЕНАМ";
  • "КАЧЕСТВЕННАЯ ФОРМЕННАЯ ОДЕЖДА ДЛЯ ШКОЛЫ".


Еще в обнаруженных рассылках иногда упоминался законопроект о школьной форме, внесенный на рассмотрение Государственной Думы РФ этим летом. Подобная информация, вероятно, должна была создать у получателя впечатление, что в новом учебном году его ребенку никак не обойтись без рекламируемой спамерами школьной одежды.

Kolekciya shkolnoi formi na saite Spam

Также с почтовых ящиков, адреса которых были сгенерированы автоматически и менялись от письма к письму, отправлялись сообщения с рекламой канцелярской продукции, а качестве имени отправителя каждый раз указывались разные имена и фамилии. Единственным общим для всех писем была ссылка на JPEG-файл – картинку, содержащую небольшой перечень товаров с ценами, и сообщение о распродаже и снижении цен. Адреса сайтов или контактные данные в письме отсутствовали. Именно поэтому получить различного рода дополнительную информацию о товарах можно было, лишь ответив на такое письмо. Таким образом заказчики спам-рассылки получали потенциального клиента, а спамеры – сигнал о том, что почтовый ящик получателя существует и активно используется. В дальнейшем подобная методика может привести к увеличению количества отправляемого на адрес пользователя спама.

Rasprodaja k 1 sentyabrya Spam


Лечебный спам
Значительную часть спама в августе составили сообщения на тему здоровья и здорового образа жизни. Спамеры уделили внимание сторонникам и традиционной, и народной медицины.

Sikret zdorovya sustavov i pozvonka Spam

Одной из самых популярных спамерских тем была и остается реклама препаратов для снижения веса без изнуряющих диет. В августе-месяце подобные рассылки фиксировались как в Рунете, так и в англоязычном интернете.

В русскоязычных сообщениях, как правило, содержалась короткая ссылка, перенаправляющая пользователя на рекламный сайт. Нередко к ней добавлялись контактные данные для связи и заказа товара.

Hudenie bez tabletok Spam

Также в минувшем месяце фиксировалось множество рассылок с приглашениями на онлайн-семинары, предлагающие пользователям различные программы оздоровления организма, чаще всего суставов или позвоночника.

Besplatnii online seminar Spam

С помощью массовых рассылок рекламировались стоматологические услуги по сниженным ценам. Такие сообщения приходили с безличных почтовых ящиков и помимо информации рекламного характера содержали телефон для заказа предлагаемых спамерами услуг.

Prof gigiena polosti rta Spam

Нередко для привлечения внимания к продаваемым товарам спамеры использовали слово "фитнес". Например, рассылка с рекламой фитнес-самокатов. Для получения подробной информации о новинке пользователю необходимо было пройти по ссылке на только что созданный в рекламных целях сайт.

Fitness samokati Spam


Географическое распределение источников спама

По итогам августа 2013 года лидерами среди стран — источников спама, распространяемого по всему миру, стали:

  • Китай - 21% (- 2,4%);
  • США - 19% (+ 1%);
  • Южная Корея - 15,4% (+ 0,5%).


В сумме из этих трех стран в августе было разослано 55% мирового спама.

Strani ist spama v mire v afguste 2013
Страны – источники спама в мире

Статистика по всему миру изменилась незначительно. Так на 4-м месте, как и в прошлом месяце, расположился Тайвань (5,5%). Почти на 2% выросла доля спама, рассылаемого из России, что переместило ее на 5-ю позицию с показателем 4,3%. В прошлом месяце, напомним, Россия замыкала первую десятку стран.

На пять позиций вверх в списке поднялась Япония с показателем 1,8%, что больше на 0,9% июля.

Остальные страны, входящие в ТОП-10, не изменили своего местоположения, а их изменились лишь незначительно.

Strani ist spama v Runete v afguste 2013
Страны – источники спама в Рунете

Лидерами среди стран – источников спама в Рунете стали:

  • Тайвань - 13% (+ 1,6%);
  • Россия - 10% (+ 4,5%);
  • Вьетнам - 8,7% (+ 1,4%).


Из первой тройки вышли Украина (6,7%), занимавшая в июле 2-ю строчку, и в августе переместившаяся на 6-ю позицию, а также Индия (7,7%), перейдя с 3-й строки на 4-ю.

Увеличилась доля спама в Рунете из США на 1,7%, и в результате страна заняла 5-е место в нашем рейтинге. Спам из Белоруссии и Казахстана расположились на 7-й и 8-й строчках соответственно. Доля рассылаемого из этих стран спама уменьшилась в среднем на 1,5%.

Китай сразу вошел в первую десятку заняв 9-ю строку с результатом 2,8%. Также наблюдалось увеличение доли спама, рассылаемого из Японии (2,7%).

Regioni ist spama v afguste 2013
Регионы – источники спама

Среди регионов лидерами по распространению спама стали:

  • Азия - 55,2%;
  • Северная Америка - 21%;
  • Восточная Европа - 14%;
  • Западная Европа - 4,6%;
  • Латинская Америка - 3%.


Вредоносные вложения в почте

Доля вредоносных вложений в почте в августе составила - 5,6% почтового трафика (+ 3,4%).

Dolya vredonos vlojenii v pochte v afguste 2013

Лидерами в рейтинге вредоносных программ, распространяемых по почте, стали:

  • Trojan-Spy.HTML.Fraud.gen - 8,1%. Поддельная страница для ввода данных, которые отправляются напрямую злоумышленникам. Распространяется обычно по почте под видом важного сообщения от крупных коммерческих организаций.

  • Trojan-Ransom.Win32.Blocker.byxx - 3%. Вредоносные программы семейства Trojan-Ransom, предназначенные для шантажа и вымогательства. Они блокируют работу операционной системы и размещают на рабочем столе баннер с условиями разблокировки.

  • Email-Worm.Win32.Bagle.gt - 2,3%. Червь, распространяющийся по электронной почте в виде вложений, а в дальнейшем рассылая себя по всем найденным на зараженном компьютере адресам электронной почты. Вирус обладает функцией загрузки файлов из Сети без ведома пользователя.

  • Trojan-Spy.Win32.Zbot.nyis - 2,2%. Модификация шпионской программы семейства Zbot (ZeuS), использующаяся злоумышленниками для кражи с компьютеров пользователей различной банковской информации.

Raspred srabat pochta anvir po stranam v afguste 2013
Распределение срабатываний почтового антивируса по странам

Среди стран по количеству срабатываний почтового антивируса тройку в августе занимают:

  • Германия - 12,3%;
  • США - 10,1%;
  • Великобритания - 8,7% срабатываний.


Индия переместилась с 3-го места на 5-е. Россия вышла на 9-ю позицию, а Канада замкнула первую десятку стран.


Особенности вредоносного спама
В конце лета мошенники активно продолжили рассылать письма-подделки с сообщениями о бронировании авиабилетов и отелей. Под прицел спамеров попали наиболее известные компании вроде booking.com или DeltaAirlines. Спам-письма от подобных компаний на первый взгляд кажутся вполне легитимными, что заставляет пользователя открыть письмо.

Например, в письме от имени booking.com мошенники сообщали, что бронирование отеля подтверждено и приводили подробную информацию о заказе, в том числе дату заселения и выезда, а также полную стоимость номера. При этом мошенническое письмо было оформлено в стиле официального сайта. А в письме от DeltaAirlines, получателю сообщали о принятии платежа по кредитной карте, а и также приводили подробную информацию о номере, дате и стоимости полета. Авторы письма просили получателя пройти по ссылке, чтобы распечатать билет, но если пользователь клевал на их приманку, на его компьютер загружался вредоносный файл семейства Trojan-PSW.Win32.Tepfer. В сообщении якобы от booking.com вредоносный файл был прикреплен к письму.

Также в августе вновь появились вредоносные подделки под уведомления от круизной компании Royal Caribbean International. В письмах злоумышленники сообщали пользователям о готовности документов для круиза. В упомянутых документах содержалась "важная информация", с которой пассажиру необходимо ознакомиться перед посадкой на лайнер, а кроме того их следовало сохранить и взять с собой на борт вместе с паспортом и свидетельством о гражданстве. На самом деле в этом документе скрывался вредоносный файл Backdoor.Win32.Androm.qt, являющийся одной из модификаций бэкдора Backdoor.Win32.Androm и использующийся для скрытого управления компьютером пользователя и присоединения его к ботнету.

Booking com

Еще в спамерских подделках часто используются названия популярных международных служб доставки, вроде FedEx, UPS или DHL. В письмах от лица этих компаний, спамеры сообщают своим жертвам о невозможности доставить посылку, например, из-за ошибки в адресе. Для получения посылки необходимо распечатать приложенный к письму файл и обратиться в офис компании или подтвердить определенные данные, например адрес доставки. Также вредоносный файл может скрываться под видом документов с более подробной информацией о посылке (которой на самом деле не существует). И как всегда спамеры стараются придать подделке легитимный вид и традиционно используют не только на первый взгляд кажущийся настоящим адрес отправителя, но и приводят детальную информацию по заказу, настоящие контактные данные с официальных сайтов и копируют уведомления о конфиденциальности письма.

В прикрепленных к подобным письмам архивах находятся вредоносные файлы различных семейств. Например, в поддельном сообщении от FedEx в архиве FedEx Invoice copy.zip находился исполняемый файл FedEx Invoice copy.exe, содержащий трояна семейства ZeuS/Zbot. Данный зловред используется для кражи персональной информации пользователей и паролей от платежных и банковских систем. В подделках от имени компании UPS рассылался троян Trojan-PSW.Win32.Tepfer.pnfu, предназначенный для кражи логинов и паролей пользователей. А вредоносная программа семейства Backdoor.Win32.Androm была обнаружена в рассылке якобы от имени DHL. С ее помощью злоумышленники пытались получить полный доступ к компьютеру жертвы.

FedEx Invoise copy No


Фишинг

В августе вся деловая активность упала, а, соответственно, и заказов на рекламу стало меньше, поэтому спамеры активно взялись за мошеннические сообщения. В результате доля фишинговых писем в глобальном почтовом потоке увеличилась более чем в 10 раз и составила 0,013%.

TOP 100 Organizac atak fisherami po kat v avguste 2013
TOP 100 Распределение организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга в продуктах ЛК на компьютерах пользователей.

Лидирующие позиции в рейтинге атакованных фишерами организаций заняли:

  • социальные сети с показателем - 29,6%;
  • почтовые сервисы - 17,2%;
  • поисковые системы - 16,1%.


Остальные организации не претерпели существенных изменений.

В августе одной из главных мишеней фишеров среди ИТ-вендоров стала компания Apple. Фишинговые письма от этой компании сообщали пользователю, что ему в течение 48 часов необходимо подтвердить данные своего аккаунта iTunes, доступ к которому был заблокирован в целях защиты. Для разблокировки аккаунта получателю необходимо было пройти по присланной в письме ссылке и следовать дальнейшим инструкциям на сайте. Чтобы усыпить бдительность получателя, злоумышленники подчеркивали, что сообщение было создано автоматически.

Apple Security Update Notification


Заключение

В августе доля мирового спама снизилась до 67%, что, вероятно, связано с ежегодным снижением деловой активности в летний период и уменьшением количества рекламного спама. Однако количество рассылок, посвященных аренде или продаже автомобилей, медицине и здоровому образу жизни, всеже было велико. Помимо этого спамеры эксплуатировали начало учебного года для рекламы распродаж самых разнообразных товаров.

В августе среди распространяемых по почте вредоносных программ преобладали трояны-шпионы, ворующие финансовую информацию пользователей. Также огромной популярностью среди мошенников пользовались черви семейства Trojan-Ransom.Win32.Blocker.

Поддельные сообщения от имени компаний, занимающихся бронированием отелей и авиабилетов, также нашли свое применение в период отпусков. Имена известных компаний, специализирующихся на доставке товаров, также использовались для фишинга и распространения вредоносных программ.

А популярность продуктов и сервисов компании Apple фишеры использовали для обмана пользователей и кражи их логинов и паролей. В Рунете с помощью спама мошенники создавали и продвигали онлайн-сервисы, маскирующиеся под официальные сервисы государственных служб.

Рейтинг атакованных фишерами организаций практически не изменился. Лидеры июля так и остались на своих позициях и в августе. В последний месяц лета активность школьников и студентов в соцсетях и почтовых сервисах остается достаточно высокой и как следствие сохраняется интерес фишеров к этому сектору. Однако в сентябре интерес фишеров переключится с социальных сетей на финансовые организации, что, возможно, приведет к росту количества атак на банковский сектор. В то же время, скорее всего, уменьшится число мошеннических и вредоносных рассылок.