Лаборатория Касперского: Спам во втором квартале 2013 года


KasperskyLabs

Квартал в цифрах

  • Доля спама в почтовом трафике составила - 70,7% (+4,2% по сравнению с первым кварталом).
  • Доля фишинговых писем в почтовом потоке - 0,0024% (-0,0016%).
  • Вредоносные вложения в электронных сообщениях содержались - в 2,3% (-1% показателя предыдущего квартала).

 

Методы и трюки

Среди злоумышленников самым прибыльным считается вредоносный спам, где за каждый зараженный компьютер спамер получает существенно больше, чем за проданную таблетку. Поэтому спамеры напрямую заинтересованы в том, чтобы вредоносная программа попала на компьютер, и именно поэтому в таком спаме они чаще прибегают к разным уловкам и социальной инженерии.


Вредоносные письма для корпоративных пользователей
В этом квартале большое количество писем было адресовано именно корпоративным пользователям. Все подобные письма были замаскированы под автоматические письма: сообщения о недоставке или получении письма, о пришедшем факсе или скане.

В таких письмах действует метод невнимательности, т.е., расчет делается на то, что сотрудник компании не обратит внимания на детали, примет такое письмо за настоящее и откроет вложенный файл с вредоносной программой.

Это письмо, якобы от почтового сервера, имитирует сообщение о недоставке отправленного письма (Not Delivery Report).

Nedostavlennoe vredonos pismo

Письмо пришло якобы от MAILER-DAEMON того домена, на котором располагается почта адресата, и выглядело как стандартное сообщение о недоставке. По всем вопросам предлагалось писать на адрес

  • postmaster @ <userdomain>


При этом во вложении находился исполняемый файл с разными именами:

  • instruction.exe;
  • mail.scr;
  • другие,

детектируемый как Email-Worm.Win32.Mydoom.m.

Кроме того, многие вредоносные письма были подделкой под автоматическое сообщение сканера или факса о новом пришедшем документе.

Pismo scan 1
Pismo scan 2

Вложения в данных письмах также содержали различные вредоносные программы. Интересный факт, много подделок было под сообщения от устройств HP и сервиса JConnect, весьма популярных в бизнес-сегменте, а сами письма были посланы на корпоративные адреса, а не на бесплатную почту. Действительно, письмо с большей вероятностью вызовет доверие у пользователя, если компания, в которой он работает, пользуется техникой или услугами этой фирмы.

Однако самым излюбленным приемом спамеров все же остается тема безопасности. Одна из рассылок имитировала сообщение от Citigroup о получении зашифрованного письма.

Zashifrovannoe pismo ot SityGroup

Во вложении вместо письма находился троян Trojan-PSW.Win23.Tepfer.nblo.

Подобные письма выглядят обычными и не вызывают подозрения, особенно у загруженного под завязку сотрудника компании. Подозрение может вызвать лишь исполняемое вложение, которое заметят не многие пользователи.


Письма от "популярных ресурсов"
Минувший квартал не остался без писем, имитирующих уведомления от социальных сетей, магазинов, сообщения от авиакомпаний и т.д. Например, к числу магазинов, уведомления от которых подделывали спамеры, присоединился Walmart.

Vredonosnoe pismo ot magazina Walmart

В поддельных письмах сообщалось о покупке, якобы сделанной в магазине. Все ссылки в письмах вели на взломанные сайты, перенаправляющие пользователя на вредоносный сайт с эксплойтами.


Вредоносные открытки
Открытки с вредоносными вложениями в этом квартале появились после долгого затишья. Зафиксированные рассылки эксплуатировали известность крупнейшего в Америке производителя открыток Hallmark.

Potdelnie otkritki Hallmark

Вложение детектировалось как Trojan.Win32.Buzus.liez.


Мусорный текст
Также во втором квартале был зафиксирован трюк спамеров названный "белый текст" - случайный текст, добавленный внизу письма, а цветом совпадающий с цветом фона. А были и такие письма, в которых текст был не невидимым, а просто отделялся от основного текста большим количеством переносов строки. При этом все тексты были взяты из различных новостных лент. Так, если в начале письма пользователь видел яркую картинку с предложением приобрести какой-либо товар или услугу, то, прокрутив письмо до конца вниз, он обнаруживал набранный мелким шрифтом фрагмент текста про Уго Чавеса, Бостонский марафон или войну в Корее.

Musornii text 1
Musornii text 2


Статистика

Доля спама
Доля спама в почтовом трафике во втором квартале составила 70,7%, что на 4,2% больше, чем в предыдущем квартале. Однако показатель первого квартала был ниже исключительно за счет невысокого процента спама в январе - 58,3%. Все остальные месяцы процент спама в почтовом трафике был близок к отметке 70.

Dolya spama v pochte za I polugodie 2013
Доля спама в почтовом трафике за первое полугодие 2013 года

Такие малые колебания процента спама в почтовом трафике могут говорить о некоторой стабилизации после резких взлетов и падений последних лет.


Страны – источники спама

Raspred ist spama po stranam za II kv 2013
Распределение источников спама по странам за второй квартал 2013 года

Лидерами среди стран – источников спама стали:

  • Китай - 23,1% (-1,2%);
  • США - 16,8% (-0,9%);
  • Южная Корея - 12,6% (-3%).


На четвертое и пятое места вышли Тайвань и Вьетнам, доля спама откуда увеличилась на (+1,6%) и (+1,1%) соответственно.

На Украине, в Казахстане  и Белоруссии – резко увеличилась доля исходящего спама, и как результат - они заняли 6-ю, 7-ю и 8-ю строчки в ТОP 20 стран - источников спама, обогнав Россию.

Diagramma izmenenii procenta spama rassil is Belorusii Ukraine Kz v Ipolugodii 2013
Изменение процента спама, рассылаемого из Белоруссии, Украины и Казахстана в первом полугодии 2013 года

Это может говорить об организации новых ботнетов в этих странах или о зараженных веб-хостингах, с которых рассылается спам.

Интересен тот факт, что в разные регионы спам идет совершенно из разных стран. Например:

  • в Европу спам приходит из Южной Кореи - 47,9%;
  • в регион APAC спам приходит из Китая - 64%;
  • в США спам приходит также из Китая - 21,2%;
  • из США наибольшее количество спама распространяется внутри региона - 51,6%;
  • в Россию спам попадает из Тайваня - 12,2%, из Вьетнама - 9,4%, с Украины - 9%.


Регионы - источники спама

Raspred ist spama po regionam vo IIkv 2013
Распределение источников спама по регионам во втором  квартале 2013 года

В регионах лидеры не изменились, однако изменились доли отдельных регионов. Например, доля:

  • Азии - увеличилась на 4,5%;
  • Восточной Европы - увеличилась на 2,6%;
  • Западной Европы - уменьшилась на 3,7%;
  • Латинской Америки - уменьшилась на 2,4%.
  • Ближнего Востока - (-0,2%);
  • Африки - (-0,6%);
  • Австралии&Океании - (-0,04%).


Размеры спамовых писем

Razmeri spam pisem vo IIkv 2013
Размеры спамовых писем во втором квартале 2013 года

В спаме по-прежнему преобладают очень короткие письма, размер которых не превышает 1Kb. Количество таких писем во втором квартале увеличилось по сравнению c первым на 4,8% и составило 73,8% всех спамовых сообщений. Интересно также небольшое увеличение (+0,94%) доли писем размера от 50Kb до 100Kb. Такой размер имеют преимущественно письма с вложениями, в том числе вредоносными.


Вредоносные вложения в почте

Количество писем с вредоносными вложениями в почтовом трафике составило - 2,3% (- 1% по сравнению с предыдущим кварталом).

TOP 10 Vredonos prog v pochte vo IIkv 2013
ТОP 10 вредоносных программ, распространенных в почте во втором квартале 2013 года

Наиболее популярными вредоносными программами в почте стали:

  • Trojan-Spy.HTML.Fraud.gen - вредоносная программа, выполненная в виде html-странички, и имитирующая регистрационную форму сервиса онлайн-банкинга. Используется фишерами для хищения финансовой информации пользователей.

  • Email-Worm.Win32.Bagle.gt - почтовый червь, способный не только рассылать свои копии по контактам адресной книги пользователя, но и принимать удаленные команды на установку других вредоносных программ.

  • Trojan-Spy.Win32.Zbot.lbda - модификация шпионской программы семейства ZeuS/Zbot, цель которой - кража различной конфиденциальной информации с компьютеров пользователей, включая данные кредитных карт.

  • Trojan-PSW.Win32.Tepfer.hjva - программа для кражи паролей к пользовательским аккаунтам.


Далее в списке располагаются несколько почтовых червей и еще две модификации трояна-шпиона ZeuS/Zbot. Также в десятку вошел бэкдор Backdoor.Win32.Androm.pta. Вредоносные программы такого типа позволяют злоумышленнику незаметно управлять зараженным компьютером, например, загружать на него другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и т.д. Нередко зараженные такими программами компьютеры становятся частью ботнета.

TOP 10 Semeistv vredonos prog v pochte vo IIkv 2013
ТОP 10 семейств вредоносных программ, распространенных в почте во втором квартале 2013 года

Более 40% вредоносных программ, рассылаемых в письмах, занимаются кражей персональной информации пользователей, в том числе финансовой.

В списке стран, куда чаще всего направлена вредоносная почта, произошли некоторые изменения.

Raspred srabativanii pochtovogo anvir po stranam vo IIkv 2013
Распределение срабатываний почтового антивируса по странам во втором квартале 2013 года

Лидирующие позиции заняли:

  • США - 12% (-1,2%);
  • Россия - 11,9 (+8,3%);
  • Германия - 9,3% (-1,9%).


Такой большой скачок в России произошел за счет июня, когда доля срабатываний почтового антивируса достигла 29,3%. Наиболее распространенными в России вредоносными семействами оказались

  • Net-Worm.Win32.Kolab;
  • Trojan-GameThief.Win32.Magania. Kolab

семейство вредоносных программ с функционалом бэкдора, препятствующих действию антивирусов и получающих удаленные команды от злоумышленника. Программы семейства Magania созданы для кражи логинов и паролей от онлайн-игры Maple Story, но имеют и функционал червя (распространяются через флешки).


Фишинг

Доля фишинговых писем в почтовом потоке во втором квартале составила - 0,0024% (-0,0016%).

TOP 100 Organizac atakov fisherami po kat vo IIkv 2013
TOP 100 организаций, атакованных фишерами*, по категориям во втором квартале 2013 года

* Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга в продуктах ЛК на компьютерах пользователей.

Распределение организаций, атакованных фишерами, не сильно отличается от предыдущего квартала. Например, количество атак на:

  • социальные сети - снизилось на 3,3%;
  • финансовые организации - увеличилась на 1,2%;
  • провайдеров - увеличилось на 1,8%;
  • электронную почту - увеличилось на 2%.


Доля атак на остальные организации изменилась менее чем на 1%.

Все чаще злоумышленники посылают вредоносные письма с программами-троянами, которые воруют логин и пароль пользователя, в том числе от аккаунтов онлайн-банкинга.

Вредоносные вложения могут содержать не только многочисленные подделки под формы фейсбука и других популярных ресурсов, но и письма якобы от банка.

Fishingovie pisma ot bankov

Данное письмо выполнено неаккуратно, а в остальном оно не выглядит подозрительно для пользователя. Даже вложенный файл – не .exe или .exe в виде архива, которые большинство пользователей сразу распознают как подозрительные. Но в невинном doc-файле содержится эксплойт Exploit.MSWord.Agent.dj, использующий уязвимость, и способный пробить защиту компьютера и загрузить на него вредоносные программы, занимающиеся кражей персональных данных пользователей.


Заключение

С февраля 2013 года доля спама в почтовом трафике остается практически неизменной.

Среди стран – источников спама произошли изменения. Так существенно увеличилась доля спама, рассылаемого с Украины, из Белоруссии и Казахстана. Такой скачок говорит о новых ботнетах или зараженных веб-хостингах на территории этих стран. Именно с хостингов в последнее время рассылается все больше и больше спама.

Среди зловредов, распространяемых через почту, преобладают семейства, цель которых - кража данных для доступа к аккаунтам пользователя (логинов и паролей), в частности доступа к онлайн-банкингу. Значительно увеличилось число писем с вредоносными вложениями, адресованные пользователям в России.

Последнее время спамеры распространяют письма с вредоносными вложениями, которые подделаны под сообщения сервера о недоставке. Нередко встречаются и подделки под уведомления с известных ресурсов со ссылками на вредоносные сайты.