Март в цифрах или спам в марте 2012 года


KasperskyLabs

Март в цифрах

  • Доля спама в почтовом трафике составила в среднем - 75% (на 3,5% меньше, чем в феврале);
  • Доля фишинговых писем в почтовом потоке составила - 0,01% (вдвое меньше, чем в феврале);
  • В марте вредоносные файлы содержались в 2,8% всех электронных сообщений (что соответствует показателю прошлого месяца).

Главные события месяца

Hlux/Kelihos — уменьшение доли спама
В марте доля спама уменьшилась на 3,5% по сравнению с февралем. Причиной этому, возможно, является обезвреживание новой версии ботнета Hlux/Kelihos. Доля спама на неделе с 19 по 25 марта

  • когда началась операция по обезвреживанию зомби-сети, была самой низкой по итогам месяца — 73,4%;
  • на последней неделе марта, когда было объявлено об успехе операции, доля спама увеличилась — до 74,1%.


Это, вероятно, связано с началом перераспределения спамерских мощностей.


Новые уловки во вредоносном спаме
Спамерам, рассылающим вредоносные вложения или ссылки на вредоносный код, приходится регулярно менять тактику. Причина - необходимость спровоцировать пользователя открыть вложение или пройти по ссылке. Соответственно, вредоносный спам всегда замаскирован под безопасные письма. Поэтому, чем чаще злоумышленники используют один и тот же прием маскировки, тем больше пользователей опознают скрытую под маской опасность. Результат - злоумышленники получают меньше выгоды.

Спамеры, изобретя новую уловку, в течение двух-трех дней проводят быстрые и многочисленные рассылки, с целью поймать на удочку как можно больше пользователей, прежде чем новый трюк окажется раскрыт. Чтобы добиться успеха, спамеры играют на любопытстве получателей и/или рассылают письма, подделанные под уведомления, посланные с легитимных сайтов.

Пример: в рассылке, прошедшей с 20 по 23 марта, сообщения были подделаны под подтверждение о приобретении авиабилета.

Спамовые письма из этой рассылки не содержали вложений. Вместо этого пользователю предлагалось пройти онлайн-регистрацию на рейс, перейдя по ссылке в письме.

Onlain registraciya na reis

После перехода по ссылке на компьютер пользователя устанавливался троян, загружающий на компьютер вредоносную программу ZeuS/Zbot.

Атака была окончена 23 марта около 21 часа по Москве. Во всех сообщениях, приходивших с 20 по 23 число, предлагалось зарегистрироваться на самолет, вылетающий 20 марта.


Актуальный спам
Темами, использованными в мартовском спаме, стали день святого Патрика, Пасха и выпуск iPad3.

В блогпосте, посвященном дню святого Патрика, отмечалось, что партнерские программы для привлечения внимания используют всевозможные праздники и другие заметные события. В частности, приводился пример шаблонного спамерского сайта, торгующего репликами часов, украшенного в праздничном лепреконском стиле.

Пасха используется спамерами очень активно. Та же реклама реплик элитных товаров в конце марта стала рассылаться в сообщениях, оформленных в стиле пасхальных открыток:

Pashalnaya otkritka

В отличие от рассылок, использующих тему дня святого Патрика, "пасхальные" сообщения не только направляли пользователя на празднично украшенный сайт, но и сами содержали пасхальную атрибутику.

В англоязычном "пасхальном" спаме, помимо рекламы реплик элитных товаров, представленных как лучший подарок на Пасху, встречались "нигерийские" поздравления с выигрышем в пасхальную лотерею и предложения различных подарков на весенний праздник.

Русскоязычный "пасхальный" спам также содержит много рекламы подарков для родных и близких, а также рекламу пасхальных туров и экскурсий. В отличие от англоязычных сообщений рассылки на русском языке, распространенные в Рунете, не являются партнерскими, а заказаны у спамеров малым и средним бизнесом, который использует спам как средство рекламы.

Выпуск нового продукта от Apple — iPad третьего поколения — тоже не остался незамеченным спамерами.

Англоязычный спам был нацелен преимущественно на жителей Соединенных Штатов. Бесплатный iPad или iPhone — это широко известный и все еще эффективный способ используемый злоумышленниками, чтобы заставить человека вступить в финансовую пирамиду, перейти по фишинговой или вредоносной ссылке или установить на компьютер рекламную программу.

В русскоязычном спаме встречаются сообщения, в которых небольшие магазины или даже просто перекупщики в России, на Украине и еще в ряде стран Европы предлагают приобрести новинку или оставить на нее предзаказ.


Статистический обзор

Страны — источники спама

Strani istochniki spama v marte 2012

В марте состав Top 20 стран — источников спама практически не изменился по сравнению с прошлым месяцем. В ТОР 6 вошли те же страны, что и в феврале, лишь Вьетнам и Корея поменялись местами, заняв четвертое и пятое места соответственно. Доля спама, распространенного в марте с территории Кореи, уменьшилась на 2,3%. Доли остальных стран, входящих в рейтинг, изменились незначительно — в пределах 1,5%.

Россия в марте расположилась на 13-й строчке рейтинга.

Лидером рейтинга по-прежнему остается Индия, доля которой составила 12,3% (+0,4%).


Вредоносные вложения в почте
В марте вредоносные файлы содержались в 2,8% всех электронных сообщений, что соответствует показателю прошлого месяца.


Распределение срабатываний почтового антивируса по странам

Raspredelenie srabativanii pochtovogo anvir po stranam v marte 2012

Первые строчки рейтинга стран по срабатыванию почтового антивируса (Kaspersky Mail Antivirus):

  • США - 14,7% (+1,7%);
  • Австралия - 12,4% (+6,9%);
  • Гонконг - 8,67%
  • Германии — 4,51% (-2,5%).


Доля остальных стран рейтинга изменилась в пределах 2%.


ТОP 10 вредоносных программ, распространенных в почте

TOP 10 vredonosnih prog v pochte v marte 2012

Согласно срабатыванию Kaspersky Mail Antivirus, первые позиции занимают:

  • Trojan-Spy.HTML.Fraud.gen - 12,01% (-4,56%) срабатываний. Это вредоносная программа, выполненная в виде html-странички в виде регистрационной формы финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам. Использование этого зловреда фактически является одним из приемов фишеров.

  • Почтовые черви Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q и Email-Worm.Win32.NetSky.c - занимают соответственно третье, четвертое, шестое и седьмое места. Почтовые черви обычно собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt — единственный червь, который, помимо этого, может также обращаться к интернет-ресурсам для загрузки оттуда вредоносных программ. Поскольку функционал самораспространения червей является бесконтрольным, то эти зловреды не используются как оружие для целевых атак.


Две вредоносные программы в нашем мартовском рейтинге — это поддельные антивирусы. Зловреды данного типа давно не встречались в TOP 10. Основная функция таких зловредов — это вымогательство денег у пользователя зараженного компьютера.


Фишинг
Доля фишинговых писем в почтовом потоке по сравнению с февралем уменьшилась вдвое и составила 0,01%.

Raspredelenie TOP 100 organizacii atakovanih fisherami v marte 2012

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

В рейтинге категорий организаций, наиболее интересных фишерам, лидируют, как и ранее, финансовые организации. На них приходится почти четверть всех срабатываний антифишинга. Можно отметить стабильность этой категории — с января ее доля практически не изменилась. Да и в целом интересы фишеров мало меняются. По сравнению с февралем самым заметным изменением в рейтинге стало увеличение доли фишинговых атак на пользователей интернет-магазинов на 1%.

Доли остальных категорий в рейтинге изменились по сравнению с прошлым месяцем незначительно — в пределах 1%.


Тематические направления в спаме

Tematicheskie kategorii spama v marte 2012

Традиционные лидеры рейтинга по тематическим направлениям:

  • Медикаменты - 17%;
  • Образование - 16,6% (-8,4%);
  • Недвижимость - 15,1% (+5,9%);
  • Другие товары и услуги - 19,3% (+7,4%);
  • Доли остальных тематик изменились в пределах - 2,5%.


Заключение

По итогам месяца доля спама снизилась на 3,5%.

В марте спамеры, рассылающие вредоносный код, пополнили свой арсенал еще несколькими приемами. Спам по-прежнему опасен, несмотря на некоторое снижение доли вредоносных вложений, распространенных в почте в первый весенний месяц.

Самыми яркими темами, отраженными в мартовском спаме, стали:

  • день святого Патрика;
  • Пасха;
  • выпуск iPad3.


Отметим, что тема праздников эксплуатировалась в основном для рекламы различных товаров, в то время как новинка от Apple стала новой приманкой в разнообразных мошеннических рассылках.

Доля партнерского спама в Рунете сохраняется на достаточно высоком уровне — около трети всех сообщений.
Доля заказного спама по сравнению с февралем увеличилась и практически достигла 60%.

К лету ожидается уменьшение доли заказных рассылок и, соответственно, рост количества сообщений, содержащих саморекламу спамеров и партнерского спама.