Лаборатория Касперского: Цифры месяца или спам в марте 2013 года


KasperskyLabs

Март в цифрах

  • Доля спама в почтовом трафике в марте составила - 70,1% (-1%).
  • Доля фишинговых писем в почтовом потоке составила - 0,006%.
  • Вредоносные вложения в электронных сообщениях содержались - в 4% всех электронных сообщений (+1,2%).

 

Особенности месяца

В марте количество спамерских писем, эксплуатирующих тему праздников, пошло на спад. Однако в спам-трафике Рунета все еще фиксировались рассылки, посвященные Масленице и 8 марта.


Праздничный спам
В спаме, затрагивающей Масленицу, рассылались предложения совершить праздничный тур или тематическую экскурсию. Кроме того, была зафиксирована рассылка с предложением создать сайт.

Maslenica rulit

В марте количество спамовых писем, использующих тему 8 Марта, сократилось. И лишь в начале месяца было зафиксировано несколько рассылок с рекламой цветочных букетов и именных сувениров.

Svejie rozi k 8 marta

Также было обнаружено несколько англоязычных спам-рассылок, посвященных к празднованию Пасхи.


"Нигерийцы" и события в Венесуэле
Одно из самых главных политических событий марта - смерть президента Венесуэлы Уго Чавеса, который бессменно руководил страной 14 долгих лет. "Нигерийские письма", посвященные этому событию, начали появляться еще в начале марта. Они были написаны на английском и немецком языках.

Одно из таких мошеннических писем было разослано от имени начальника морского порта Венесуэлы, который якобы просил помочь ему сохранить деньги, полученные от продажи дизельного топлива Южному Судану. При этом цель первого письма - заинтересовать получателя и заставить его ответить на письмо. И только в ходе дальнейшей переписки ему предлагается денежное вознаграждение.

Nigeriiskoe pismo get back to me

В другой рассылке письма распространялись, якобы от начальника службы безопасности и по совместительству близкого друга Уго Чавеса. Суть письма следующая: "друг" имеет доступ к деньгам, которые покойный президент хранил на банковском счету своей тайной возлюбленной, и теперь готов предложить получателю письма 25% от общей суммы за помощь в выводе средств.

В данном письме целью мошенников является также вовлечение пользователя в переписку, а далее ввести его в заблуждение и выманить у него деньги разными уловками.


Географическое распределение источников спама

В марте 2013 года среди стран — источников спама, распространяемого по всему миру, первые места заняли:

  • Китай - 25,8%;
  • США - 17,3%;
  • Южная Корея - 9,8%.


Четвертую и пятую позицию, как и в прошлом месяце, заняли Тайвань и Индия. Изменили свои позиции Россия и Германия, которые практически поменялись местами. Россия передвинулась в рейтинге с 7-го на 10-е место, а Германия - с 10-го на 8-е место.

Ctrani ist spama v mire v marte 2013
Страны — источники спама в мире


Среди стран – источников спама в Рунете произошли некоторые изменения. Теперь рейтинг выглядит следующим образом:

  • Тайвань - 10,7% (+1,6%  по сравнению с февралем);
  • Индия - 9,1%;
  • Вьетнам - 8,1% (-0,3%).


Доля спама из Германии в Рунете увеличилась на 2,3%, в результате чего страна заняла 4-е место в рейтинге. На пятое место вышли США, спам-потоки которых увеличились на 3%. В результате страна поднялась с 7-го на 5-е место. Италия, которая в феврале занимала вторую строчку рейтинга, спустилась на 6-ю позицию. Сама Россия в марте потеряла около 1% и спустилась на 8-ю строчку.

Ctrani ist spama v Runete v marte 2013
Страны – источники спама в Рунете


Среди регионов лидерами по распространению спама остаются:

  • Азия - 54,1%;
  • Северная Америка - 17,8%;
  • Восточная Европа - 10,2%.

Regioni istochniki spama v marte 2013
Регионы – источники спама


Вредоносные вложения в спаме

В марте 2013 года доля писем с вредоносными вложениями составила 4% от мирового почтового трафика, что на 1,2% пункта больше, чем в прошлом месяце.

TOP 10 Vredonos prog rasprostr po pochte v marte 2013
TOP 10 вредоносных программ, распространявшихся по электронной почте


Лидирующие позиции занимают:

  • Trojan-Spy.html.Fraud.gen - троян, представляющий собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. При вводе пользователем своих данных в предложенные поля и нажатии на кнопку отправления, вся его личная информация попадает к мошенникам.

  • Trojan.win32.Bublik.aknd - вредоносная программа, собирающая с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Также она может просматривать формы в браузерах Mozilla Firefox и Google Chrome в поисках сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам.

  • Email-Worm.Win32.Bagle.gt - семейство почтовых червей, способные рассылать свои копии по контактам в адресной книге пользователя, а также могут связываться с командным центром и устанавливать на зараженный компьютер другие вредоносные программы.


Также в первую десятку в марте вошли вредоносные программы семейства Trojan-Ransom - вредоносы, вымогающие у пользователей деньги за доступ к операционной системе или программам (обычно требуется отправить платное SMS). Например, одна из модификации троянской программы Trojan-Ransom.Win32.Blocker - способна блокировать работу операционной системы и размещает на Рабочем столе баннер с условиями разблокировки.

Распределение срабатываний почтового антивируса по странам

Raspred srabativanii pochtovogo anvir po stranam v marte 2013
Распределение срабатываний почтового антивируса по странам


Здесь рейтинг стран следующий:

  • США - 13,6%;
  • Германия - 11,1%;
  • Австралия - 7%.


Интересное наблюдение, в марте пользователи из США получали, помимо ворующих пароли Trojan-Spy.html.Fraud.gen и Trojan.win32.Bublik.aknd, множество других нацеленных на пароли троянов семейства Trojan-PSW.Win32.Tepfer.

После некоторого затишья злоумышленники возобновили рассылку писем–подделок под уведомление о бронировании отелей и авиабилетов. Например, в марте была обнаружена новая рассылка подделок под уведомление о бронировании номера в Atlantic Hotel. В письме, написанном от лица менеджера отеля, злоумышленники благодарили получателя за бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013 года.

Atlantic Hotel

Рассылка рассчитывается на то, что заинтригованный получатель письма откроет приложенный к письму архив, якобы содержащий подтверждение бронирования номера, и запустит исполняемый файл

  • AtlanticHotel Booking Confirmation.doc.exe


После открытия файла происходит заражение компьютера вредоносной программой Trojan-Ransom.Win32.Blocker.awbi – троянская программа, использующаяся для вымогания денежных средств или финансовой информации.

Также мошенники рассылали письма с вредоносными вложениями под видом уведомления о бронировании авиабилетов, например, от имени онлайн-сервиса Delta.com. В письме, отправленным злоумышленниками, пользователей благодарили за выбор сервиса бронирования авиабилетов и сообщали, что требования к багажу и порядок регистрации могут различаться в зависимости от аэропорта и авиаперевозчика, поэтому получатель должен открыть приложенный к письму электронный билет и внимательно прочитать его.

Ticket end receipt

В предлагаемом для скачивания файле находился исполняемый файл

  • eTicket and Receipt.pdf.exe

детектируемый как Backdoor.Win32.ZAccess.bmdt - вредоносное ПО, используемое злоумышленниками для получения удаленного доступа к компьютеру жертвы с целью кражи персональной информации, включения компьютера в ботнет и т.д.

Для обмана пользователей в марте, спамеры также использовали имя австралийской телекоммуникационной компании TPG Telecom. В поддельном письме сообщалось, что баланс мобильного телефона получателя был меньше $5, однако компания предоставила кредит, и теперь баланс телефона составляет 20 долларов. А более подробную информацию о состоянии счета получатель письма мог узнать, открыв вложенный файл.

Restoration of Mobile Phone Deposit

Во вложенном zip-архиве содержался файл

  • TGP-Account-Details.doc.exe

детектируемый как Trojan-Spy.Win32.Zbot.jqye - троянская программа-шпион, разновидность знаменитого трояна ZeuS, предназначенная для похищения конфиденциальной информации пользователя.


Фишинг

В марте доля фишинговых писем в глобальном почтовом потоке увеличилась вдвое и составила 0,006%.

TOP 100 Organizacii atakov fisherami po kategoriyam v marte 2013
Распределение TOP 100 организаций, атакованных фишерами, по категориям


Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга в продуктах ЛК, установленных на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

По итогам марта лидирующие позиции по количеству фишинговых атак занимают:

  • социальные сети - 34,5% (-4,3%);
  • финансовые и платежные организации - 17,4%;
  • поисковые системы - 14,9%;
  • ИТ-вендоры - 9,9%;
  • телефонные и интернет провайдеры - 8,9%.


В марте было выявлено фишинговое письмо на китайском языке, якобы отправленное известным китайским сетевым изданием sina.com.cn. В письме фишеры использовали легенду о плохо защищенном аккаунте пользователя на сайте издания, и для обеспечения безопасности которого, получателю письма необходимо перейти по ссылке и обновить данные аккаунта. При переходе по мошеннической ссылке, жертва попадает на поддельную страницу ввода логина и пароля для доступа к аккаунту, которые впоследствии будут переправлены в руки мошенников. Украденные аккаунты в дальнейшем могут быть использованы для рассылки спама от имени жертвы.

Moshennicheskoe pismo na kitaiskom yazike

Для убеждения получателя в легитимности письма, мошенники предлагают пользователю написать в службу поддержки или позвонить по указанному телефону в случае возникновения каких-либо сомнений или вопросов.


Заключение

В марте общая доля спама уменьшилась незначительно, а спамеры продолжили эксплуатировать тематику праздников для рекламы различных товаров и услуг. Одним из заметных событий марта стали события в Венесуэле и появление "нигерийских писем", использующие эти события.

В марте большая часть спама распространяется по миру из США и Китая – примерно 43% нежелательных сообщений. В спам-потоках Рунета произошли значительные изменения: вдвое упали показатели из двух главных источников спама февраля - Индии и Италии.

Рейтинг вредоносных программ, рассылаемых по почте в марте, отличался разнообразием: компанию вложенным в письма фишинговым страницам составили бэкдоры, почтовые черви и даже трояны-вымогатели. Но 1-е место с большим отрывом по-прежнему занимает Trojan-Spy.html.Fraud.gen.

Количество фишинговых писем увеличилось вдвое, однако в первой тройке атакованных фишерами организаций существенных изменений не произошло. Как и в феврале, около трети всех атак были нацелены на пользователей социальных сетей, а в первую тройку мишеней фишеров вошли поисковые системы и финансовые организации.