Лаборатория Касперского: Спам в первом квартале 2013 года


KasperskyLabs

Квартал в цифрах

  • Доля спама в почтовом трафике составила - 66,5% (+ 0,5% по сравнению с четвертым кварталом 2012 года).
  • Доля фишинговых писем в почтовом потоке составила - 0,004% (меньше в 4,25 раза).
  • Вредоносные вложения в электронных сообщениях содержались - в 3,3% всех электронных сообщений (+0,1% предыдущего квартала).

 

Особенности квартала

Громкими событиями первого квартала стали:

  • смерть президента Венесуэлы Уго Чавеса;
  • уход в отставку Папы Римского Бенедикта XVI;
  • восхождение на Святой престол в Ватикане новый Папа Франциск.


Такими громкими событиями и воспользовались спамеры, которые размещали в новостях с событиями вредоносные ссылки и рассылали мошеннические письма. Дополнительно злоумышленники использовали и другие методы социальной инженерии.


Горячие новости с вредоносными ссылками
После смерти президента Венесуэлы Уго Чавеса в спаме появились письма с провокационным заголовком

  • "CIA "DELETED" Venezuela's Hugo Chavez?".


В тексте письма авторы намеками указывали на причастность правительства США и ЦРУ к смерти Уго Чавеса и предлагали получателю кликнуть по ссылке для просмотра тематического видео.

CIA killed Venezuelas Hugo Chavez

После перехода по ссылке, пользователь попадает на взломанный легитимный сайт и далее перенаправляется на вредоносный ресурс, содержащий обфусцированный javascript. Если операционная система пользователя соответствует определенным параметрам, то с помощью эксплойта

  • HEUR:Exploit.Java.CVE-2012-0507.gen

на компьютер пользователя устанавливается вредоносная программа.

В другой рассылке злоумышленники использовали имя нового Папы Римского для привлечения внимания получателей, при этом принцип заражения вредоносом использовался, как и в примере с Уго Чавесом. Спам-рассылка имитировала сообщения BBC и CNN и предлагала адресату ознакомиться с новостями, касающимися нового Папы. Например, один из заголовков предлагал обсудить возможность осуждения понтифика за сексуальное насилие.

BBC end CNN

Однако, в своих тщательно изготовленных подделках под новостные уведомления злоумышленники периодически допускала ошибки. Например, в поле "From" письма, замаскированного под сообщение CNN, вставляли слово "BBC".

Использование горячих новостей в сочетании со ссылками на якобы провокационные фотографии и видео — один из любимых приемов спамеров, распространяющих вредоносные программы. Однако, несмотря на многообразие используемых спамерами тем, результат перехода по ссылке в таких письмах один и тот же - на компьютер пользователя загружается вредоносная программа.


События в Венесуэле
"Нигерийские" мошенники использовали события в Венесуэле для рассылки писем эксплуатирующих эту тему.

Тема англоязычного письма, отправленного мошенниками, как всегда стандартно. Письмо писалось якобы от близкой к правящей верхушке особы, которая просит помощи в обналичивании денег — пока их не отняло новое правительство.

Business proposal

В рассылке на немецком языке автор пишет, что он был другом покойного Уго Чавеса и по его просьбе хранит $23 млн. для тайной возлюбленной президента, которая так и не объявилась. За солидное вознаграждение получателю предлагается поучаствовать в обналичивании этих денег.

Reagieren sie bitte sehr schnell

"Нигерийские" мошенники уже выработали стратегию переписки с потенциальными жертвами. После того, как получатель ответит на письмо, его в ходе дальнейшей переписки попросят перевести на некий счет небольшую по сравнению с обещанным гонораром сумму, якобы для благих целей. Если пользователь отправил деньги, то после их получения мошенники прекращают контакты со своей жертвой.


Социальные подделки
Несколько иначе действуют спамеры, которые для заражения компьютеров пользователей вредоносными программами используют подделки под уведомления известных сервисов. В первом квартале 2013 года к рассылкам, встречающимся в Facebook, Twitter и других сервисах, прибавился сервис Foursquare. В данном случае сработало простое правило: "чем выше популярность сервиса, тем с большей вероятностью спамеры будут рассылать от его имени фальшивые уведомления".

SPAM Lesley Martin wants to be your friend

Чаще всего в подобных письмах злоумышленники рассылают ссылки на наборы эксплойтов, благодаря которым на компьютере жертв обнаруживается уязвимость, и через которые злоумышленники устанавливают различные вредоносные программы. Самым распространенным набором эксплойтов среди злоумышленников является набор эксплойтов Blackhole.

Замечено, что спамеры, рассылая вредоносные письма под видом уведомления от того или иного сервиса, часто допускают ошибки при написании заголовка письма и содержимого поля "From". Именно такие ошибки указывают на то, что за все подобные рассылки ответственна одна группа злоумышленников.

Spam pisma s oshibkami


Методы и трюки

Спамеры изучили возможности легальных сервисов и теперь используют их для обхода спам-фильтров.


Использование легальных сервисов
В первом квартале 2013 года была обнаружена рассылка стандартной для спама рекламы медикаментов для мужчин с использованием следующих трюков:
Заголовок "Instagram Account Delete" — типичный пример социальной инженерии. Для привлечения внимания пользователя используется тема удаления аккаунта на популярном сервисе. При наличие у получателя аккаунта в Instagram, вероятно, что он откроет письмо.

Реальный адрес, на который ведет вредоносная ссылка, замаскирован с помощью сервиса коротких ссылок от Yahoo, а затем полученная таким образом ссылка обрабатывается в онлайн-переводчике Google Translate. Данный сервис способен выполнять перевод веб-страницы по указанной пользователем ссылке и генерировать собственную ссылку на результат перевода. Сочетание этих двух методов делает каждую ссылку в рассылке уникальной. Кроме того, использование двух всемирно известных доменов придает ссылке "авторитетность" в глазах получателя спама.

А более сильного психологического воздействия на получателя, спамеры добавили в конец ссылки бессмысленный запрос

  • "?/constitutional contextualization".

Instagram Account Deleted

Использование спамерами сервисов коротких ссылок - дело не впервой. С помощью данной процедуры они пытаются обмануть спам-фильтры, т.к. ссылку в каждом письме можно сделать уникальной. Также использование сервисов коротких ссылок позволяет злоумышленникам не покупать домены или взламывать легитимные сайты для привлечения и перенаправления пользователей на вредоносные ресурсы. Однако использование крупных сервисов коротких ссылок не всегда проходит, т.к. они стараются следить за контентом сайтов, на которые они перенаправляют пользователей. В случае обнаружения чего-либо подозрительного, сервисы быстро прекращать работу вредоносных ссылок.


"Белый текст" возвращается
Снова стал пользоваться популярностью простой прием замусоривания содержимого письма, известный как "белый текст". Суть данной махинации проста и заключается в добавлении в письмо случайных кусков текста (в этом квартале это, в основном, были фрагменты новостей), оформленных светло-серым шрифтом на сером фоне и отделенных от основного рекламного текста большим количеством переносов строки. Такие письма могут быть приняты спам-фильтрами, как новостная рассылка. Еще использование случайных фрагментов новостей делает каждое письмо рассылки уникальным, а это уже затрудняет детектирование.

Belii text pisma


Статистика

Доля спама в почтовом трафике
В течение первого квартала 2013 года доля спама в почтовом трафике составила - 66,55%, что на 0,53% выше, чем в предыдущем квартале.

Dolya spama v pochte v Ikv 2013
Доля спама в почтовом трафике в первом квартале 2013 года

Одной из самых крупных рассылок первого квартала стала мошенническая рассылка по методу "накачка и сброс". Данный метод представляет собой одну из форм махинаций на фондовом рынке. Заключается в том, что спамеры покупают акции мелких компаний, искусственно раздувают цены на акции за счет распространения в своих рассылках ложной позитивной информации о состоянии этих фирм, а потом продают акции по новым, более высоким ценам. Именно из-за этой рассылки первая неделя марта стала рекордной по количеству спама за квартал - 73,4%.

Rassilka Buy and Hold

Пик подобного аукционного спама пришелся на 2006-2007 годы, после чего он на несколько лет практически исчез и лишь изредка появлялся в спам-потоках. Подобные аферы мошенники пытаются провернуть максимум за 1-2 дня, пока не стал раскрыт обман.


Страны — источники спама
В первом квартале 2013 года лидирующие позиции среди стран — источников спама занимают:

  • Китай - 24,3%;
  • США - 17,7%;
  • Южная Корея - 9,6%;
  • Индия - 4,4%;
  • Тайвань - 4,1%.


При этом большинство спама рассылается

  • из Китая в Азию;
  • из США в Северную Америку (т.е. большая его часть считается внутренним спамом);
  • из Кореи в Европу.


Бразилия переместилась с 5-го места в списке на 9-е место, при этом доля исходящего оттуда спама сократилась почти в два раза. Основной причиной этого стало закрытие в конце 2012 года в Бразилии 25 TCP порт, который является портом по умолчанию для исходящего SMTP-трафика. Именно через этот порт идет большинство исходящего спама с зараженных компьютеров пользователей.

Индия, занимавшая 3-е место по итогам прошлого года, спустилась на 4-ю позицию, а Тайвань — поднялся с 10-го места на 5-е. Россия заняла 7-е место.

Raspred ist spama po stranam v Ikv 2013
Распределение источников спама по странам в первом квартале 2013 года


Регионы — источники спама
Среди регионов - источников спама лидируют:

  • Азия - 51,8% всего исходящего спама;
  • Северная Америка - 18,3%;
  • Восточная Европа - 11,1%.


Уменьшился вклад в мировые спам-потоки Латинской Америки. Это произошло за счет Бразилии, Перу и Аргентины, доля которых в этом квартале снизилась настолько, что они не вошли в TOP 20.

Raspred ist spama po regionam v Ikv 2013
Распределение источников спама по регионам в первом квартале 2013 года


Размеры спамовых писем
В первом квартале 2013 года в спаме преобладали письма, размером не более 1Kb. Такие незначительные размеры сообщений позволяют спамерам рассылать больше писем с меньшими затратами трафика. Кроме того, используя короткие фразы, целиком меняющиеся от письма к письму, чтобы им придать уникальности и усложнить работу спам-фильтрам.

Razmer spamovih pisem v Ikv 2013
Размер спамовых писем в первом квартале 2013 года


Вредоносные вложения в почте
Доля писем с вредоносными вложениями составила - 3,3%, что больше на 0,1% по сравнению с прошлым кварталом.

TOP 10 Vredonos prog v pochte  v Ikv 2013
ТОP 10 Вредоносных программ, распространенных в почте в первом квартале 2013 года

Наиболее популярными у злоумышленников являются:

  • Trojan-Spy.HTML.Fraud.gen - вредоносная программа, представляющая собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга, и использующаяся фишерами для хищения финансовой информации пользователей.

  • Bagle - семейство почтовых червей, способные рассылать свои копии по контактам адресной книги пользователя и принимать удаленные команды на установку других вредоносных программ.

  • Trojan-Banker.HTML.Agent.p - вредоносная программа, выполненная в виде html-страницы, копирующей регистрационные формы сервисов онлайн-банкинга или других интернет-сервисов.

В пятерке лидеров появился новый зловред - Trojan.Win32.Bublik.aknd - вредоносная программа, собирающая с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты, а также способная просматривать формы в браузерах Mozilla Firefox и Google Chrome на предмет сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

Raspred srabativanii pochtovogo anvir po stranam v Ikv 2013
Распределение срабатываний почтового антивируса по странам в первом квартале 2013 года

Лидерами по срабатыванию почтового антивируса стали:

  • США - 13,2%;
  • Германия - 11,2%;
  • Италия - 8,7%.


Италия, которая не всегда входит даже в первую десятку, в феврале заняла 1-е место в TOP 10, т.к. на нее была направлена мощная рассылка, содержащая Trojan-Banker.HTML.Agent.p.

В остальном рейтинг стран по срабатываниям почтового антивируса практически не претерпел изменений.


Фишинг

В первом квартале 2013 года доля фишинговых писем в почтовом потоке составила 0,004%, что меньше в 4,25 раза по сравнению с предыдущим кварталом.

TOP 100 Organizac atakovannih fisherami po kat v Ikv 2013
TOP 100 Распределение организаций, атакованных фишерами*, по категориям в первом квартале 2013 года

*Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга в продуктах ЛК, установленных на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

В первом квартале участились фишинговые атаки на:

  • социальные сети - 37,6%;
  • поисковики - 16,2%;
  • финансовые и платежные организации -  14,2%.

Raspred hostingov fishing saitov po stranam v Ikv 2013
Распределение хостингов фишинговых сайтов по странам в первом квартале 2013 года

Среди стран, в которых хостятся фишинговые сайты, лидерами стали:

  • США - 25,4%;
  • Великобритания - 8,2%;
  • Германия - 7,7%;
  • Россия - 6%;
  • Индия - 5,2%.


Две страны - Канада и Австралия, которые считаются довольно безопасными в плане киберпреступности, также вошли в TOP 10 стран и, к тому же, заняли 6-е и 7-е места.


Заключение

В 2012 году доля спама падала на протяжении всего периода. В первом квартале 2013 года доля нежелательной корреспонденции в почтовом трафике за весь квартал она практически не изменилась по сравнению с предыдущим кварталом.

Спамеры продолжают привлекать внимание пользователей, используя громкие имена, мировые события, либо просто подделывают письма под уведомления популярных ресурсов. Многие подобные письма содержат ссылки на вредоносные программы, в том числе эксплойты.

Лидерами среди стран — источников спама, продолжают оставаться США и Китай, которые вряд ли в ближайшее время покинут занимаемые позиции. В первом квартале 2013 года в тройку лидеров также вошла Южная Корея, из которой спам рассылается преимущественно в европейские страны.

Среди рассылаемых в спаме вредоносных вложений чаще всего встречались программы, используемые для кражи логинов и паролей пользователей. Особенной популярностью у злоумышленников продолжают пользоваться трояны, нацеленные на хищение информации, необходимой для работы с сервисом онлайн-банкинга.

По использованию эксплойтов, в первом квартале 2013 года наибольшей популярностью у злоумышленников продолжает пользоваться набор эксплойтов Blackhole.