Отчет по спаму в первом квартале 2012 года от Лаборатории Касперского


KasperskyLabs

Особенности квартала

Цифры квартала

  • Доля спама составила в среднем 76,6% почтового трафика, что на 3% меньше показателей четвертого квартала 2011.
  • Больше всего спама по-прежнему рассылается из Азии (44%) и Латинской Америки (21%).
  • Доля писем, содержавших вредоносные вложения, увеличилась на 0,1% по сравнению с предыдущим кварталом и составила 3,3%.
  • Доля фишинговых писем в среднем составила 0,02% от всего почтового трафика.


Праздники
Первый квартал года богат на праздники. Этим, конечно, пользуются спамеры.

Праздничный спам, оформленный в праздничном стиле, в большинстве случаев сводился к традиционной рекламе медикаментов, поддельных дорогих товаров и т.п., или представлял собой партнерский спам, который активизируется именно к праздникам. Как, например, партнерские программы по продаже цветов.

Celebrate Easter Sale

Политика в спаме Рунета
В первом квартале 2012 года в Рунете продолжились рассылки политического спама. Он, как и в прошлом квартале, носил близкий к экстремистскому характер. Также, встречался и политический спам от КПСС (или подделка под него).

Были и другие варианты. Например, в одном из спамовых писем получателю предлагалось ознакомиться с порядком проведения митинга. К сообщению был прикреплен doc-файл, при открытии которого требовалось запустить макросы. И если пользователь запускал их, то на его компьютер устанавливалась троянская программа, предназначенная для выведения из строя операционной системы Windows.

Doc fail Troyan

Отличительной чертой зловреда было то, что он не обладал функционалом типичных коммерческих вредоносных программ: не воровал пароли, не подгружал боты и т.д. Его задачей было выведение из строя зараженного компьютера.


Методы и трюки спамеров

Вредоносные рассылки
После рассылок с поддельным уведомлением от американской ассоциации электронных платежей NACHA спамеры начали подделывать письма от Better Business Bureau (BBB). BBB — это частная компания, предлагающая потребителям и предпринимателям в Соединенных Штатах и Канаде сведения о компаниях и их оценку (включая отзывы, жалобы, статистику, рейтинги и многое другое) для оказания помощи в принятии решения о покупке и инвестиционной деятельности.

NACHA Start With Trust

Основной мишенью рассылки были компании малого и среднего бизнеса. В письме сообщалось о якобы поступившей в Бюро жалобе, и использовался классический метод запугивания. Если пользователь не ответит на жалобу, то рискует своим рейтингом в BBB. Однако пройдя по ссылке, пользователь попадал на какой-либо взломанный сайт со встроенным скриптом, с помощью которого он перенаправлялся на вредоносный сайт c известным эксплойт-паком Blackhole.

Похожая схема применялась и в другой рассылке, замаскированной под письмо от авиакомпании. Пользователю предлагалось в онлайн-режиме зарегистрироваться на рейс US Airways.

US Airways

По ссылке пользователь попадал на сайт со скриптом, перенаправляющим его опять же на вредоносный сайт с эксплойт-паком Blackhole. Если эксплойтам удавалось найти уязвимую программу у пользователя, на машину устанавливалась одна из модификаций троянской программы ZeuS/Zbot.

Еще вредоносные рассылки подделывались под рассылку:

  • финансовых новостей;
  • предложения о работе;
  • извещения о банковских переводах;
  • уведомления от социальных сетей;
  • многое другое.

Vredonosnie rassilki finansovih novostei

Мошенничество
"Нигерийские" спамеры опять обещали пользователям миллионы — на сей раз покойного Каддафи. Кроме того, они представлялись директором ФБР и пытались выманить у пользователей их личные данные.

Nigeriiskie pisma FBI

Также была обнаружена рассылка якобы от имени хакерской группировки Anonymous. В своем письме
лже-анонимусы предлагали получателю письма поддержать их протест против действий правительств разных стран. Для этого пользователю надо было всего лишь прислать на указанный в письме адрес свое имя, название страны проживания и мобильный телефон.

Nigeriiskie pisma Anonimus

В данном случае мошенники играют на популярности хакерской группировки. А предоставленными пользователями данными злоумышленники могут распорядиться весьма неприятным образом, например, подписать владельца телефона на платную услугу.

Отметим, что в поле From этой рассылки значился домен организации Nacha. Вероятно, что люди, рассылавшие эти письма, ранее распространяли вредоносные письма, замаскированные под рассылку от Nacha, и просто забыли сменить поддельное поле From в шаблоне, выдаваемом ботам.


Спам-статистика

Доля спама и закрытие ботнетов
Доля спама в первом квартале 2012 года составила в среднем 76,6% почтового трафика. Это на 3% меньше показателей четвертого квартала 2011.

Доля спама в почтовом трафике, первый квартал 2012 года

Уменьшение процента мусорных писем в почте связано с обезвреживанием второй версии пирингового ботнета Hlux/Kelihos. По данным компании, в ботнет входило свыше 100 тысяч зараженных компьютеров.

Hlux был впервые замечен в декабре 2010, как раз после закрытия командных центров таких крупных ботнетов, как Pushdo/Cutwail и Bredolab.
В сентябре 2011 была отключена первая его модификация, однако злоумышленники быстро создали новую версию бота.
В конце того же сентября 2011 появилась новая модификация ботнета, уже с расширенным функционалом. Именно она и была обезврежена в марте 2012.


География спама
Распределение источников спама по регионам
Что касается географических источников спама, то доля спама неуклонно растет из стран:

  • Азии - (+3,83%);
  • Латинской Америки - (+2,66%);
  • Африки - (+0,67%);
  • Ближнего Востока - (+1,09%).


И хотя объемы спама, идущего из африканского и ближневосточного регионов, пока невелики, динамика роста там наиболее заметна. Количество спама, рассылаемого из Африки, выросло по сравнению с прошлым кварталом на 20%, а с Ближнего Востока — на 29,6%.

Q1 2012 Q4 2011
Распределение источников спама по регионам в Q4 2011 и Q1 2012

Доли и Западной, и Восточной Европы продолжают уменьшаться, и в первом квартале 2012 в совокупности составили 23,43% от общего объема рассылаемого спама (-8,35%). После обезвреживания ботнета Hlux можно ожидать дальнейшего изменения в географическом распределении источников спама.


Страны — источники спама
Среди стран лидером по количеству рассылаемого спама по-прежнему остается

  • Индия;
  • Индонезия;
  • Бразилия.

Strani - istochniki spama v 1kv 2012
Страны — источники спама, первый квартал 2012 года


Тематическое распределение спама
Более половины всего спама в Рунете приходится на три тематические категории:

  • Образование;
  • Медикаменты;
  • Недвижимость.


Tematich raspred spama v Runete v Ikv 2012
Тематическое распределение спама в Рунете, первый квартал 2012 года

Как и ранее, заказной и партнерский спам рассылаются в противофазе:

Sootnosh zakaz, partn i samoreklami okt 2011 - mart 2012
Соотношение заказного, партнерского спама и саморекламы спамеров, октябрь 2011 — март 2012 годов

В январе количество заказного и партнерского спама в почте стало одинаковым в результате уменьшения доли заказного спама и увеличения партнерского. Это обусловлено отсутствием заказного спама в неделю новогодних каникул. В период отсутствия заказов спамеры просто переключили мощности на партнерские программы. В первую неделю года количество партнерского спама достигло 79% от общего объема.

Несмотря на противоположные тенденции в партнерском и заказном спаме, количество спама наиболее популярных рубрик обоих видов к концу квартала снизилось.

Sootnosh kat
Соотношение категорий "Медикаменты" и "Образование" в спаме, первый квартал 2012 года

В то же время значительно выросли доли рубрик

  • Недвижимость;
  • Другие товары и услуги,

что и обеспечило заказному спаму более высокие цифры.


Письма с вредоносными вложениями

Доля писем с вредоносными вложениями
В первом квартале 2012 года доля писем, содержавших вредоносные вложения, увеличилась на 0,1% по сравнению с предыдущим кварталом и составила 3,3%.

Dolya pisem s vredonos vloj v pochte v Ikv 2012
Доля писем с вредоносными вложениями в почте, первый квартал 2012 года

Как видно на диаграмме, максимальной доля вредоносных вложений в электронной почте была в январе — более 4% всех сообщений содержали вредоносное вложение. В феврале и марте - 2,8%.

Довольно высокий процент вредоносного спама в январе объясняется длительными новогодними каникулами в России и не слишком высоким уровнем деловой активности в остальные недели первого месяца года. Очевидно, испытывая дефицит заказов, многие ботмастеры взялись рассылать спам-сообщения партнерских программ, отдавая при этом предпочтение партнеркам по распространению фармацевтической продукции и вредоносного кода.

Вероятно, уменьшение доли вредоносного кода в почте, зафиксированное в феврале и марте, является временным явлением, и с большой вероятностью можно предположить, что во втором квартале доля вредоносных рассылок увеличится. Нелишне напомнить, что для распространения вредоносных программ в спаме используются не только вложения в сообщениях, но и вредоносные ссылки. Таким образом, уменьшение доли вредоносных вложений, зафиксированных в почте, не всегда указывает на уменьшение доли вредоносных рассылок как таковых.


Страны, ставшие мишенью вредоносных рассылок

Srabat pocht anvir po stranam v Ikv 2012
Распределение срабатываний почтового антивируса по странам, первый квартал 2012 года

Доля срабатываний почтового антивируса на территории России составила 2%, что не позволило этой стране попасть в ТОР 10. На первой строчке рейтинга оказались США - доля срабатываний почтового антивируса, по сравнению с прошлым кварталом, - (+0,5%). Почти вдвое выросла доля срабатываний на территории Гонконга, который в итоге занял второе место в ТОР 10.

Весь 2011 год сохранялась обратная зависимость между динамикой рассылки вредоносного кода на территории США и Индии. Когда больше вредоносного спама детектировалось в США, в Индии доля таких детектирований заметно сокращалась, и наоборот. В первом квартале 2012 года такая зависимость уже не наблюдалась.

В отчете за третий квартал 2011 года указывалось, что сходство интернет-ландшафта в США и Австралии привела к синхронному изменению срабатываний почтового антивируса на территории США и Австралии. В первом квартале 2012 года эта тенденция сохранилась.

Srabat pocht anvir v USA&Australiya v dec 2011 - marte 2012
Динамика срабатывания почтового антивируса в США и Австралии декабрь 2011 — март 2012 годах


Рейтинг вредоносных программ в почте
По итогам первого квартала 2012 года лидером среди наиболее часто детектируемых нашим почтовым антивирусом программ стали:

  • Trojan-Spy.HTML.Fraud.gen - более 14% всех детектирований. Trojan-Spy.HTML.Fraud.gen — вредоносная программа, выполненная в виде html-странички, имитирующей регистрационную форму финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам.

  • Email-Worm.Win32.Mydoom.m - почтовый червь, собирающий электронные адреса на зараженных машинах и рассылающий по ним самого себя.

TOP 10 vredonos prog v pochte v Ikv 2012
TOP 10 вредоносных программ в почте, первый квартал 2012 года

Распространение почтовых червей абсолютно неконтролируемо, поскольку механизм, заложенный в них, не предполагает выполнение каких-либо команд от "хозяина". Представленные в рейтинге семейства распространяются в почте на протяжении нескольких лет и, вероятнее всего, уже давно не приносят пользы своим создателям. Кроме фишингового зловреда Trojan-Spy.HTML.Fraud.gen преступники распространяют новые модификации различных троянов-загрузчиков, или троянов-дропперов.

Часто рассылки проходят настолько быстро, что соответствующие записи не успевают появиться в антивирусных базах. В таком случае почтовый антивирус блокирует вредоносное вложение проактивными методами. В первом квартале 2012 года 11% всех программ, обнаруженных почтовым антивирусом, были обнаружены именно проактивно.


Фишинг

Доля фишинговых писем в первом квартале 2012 года составила 0,02% от всего почтового трафика.

Fishing v pochte v Ikv 2012
Процент фишинговых писем в почте, первый квартал 2012 году


TOP 100 organizac atakov fisherami v Ikv 2012
Распределение TOP 100 организаций, атакованных фишерами, по категориям

Срабатывание компонента "Антифишинг", первый квартал 2012 года

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях компонента "Антифишинг" в продуктах "Касперский" на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь.

В течение всего первого квартала распределение фишинговых атак по организациям разных категорий было стабильным. Из заметных изменений можно отметить лишь увеличение доли атак на интернет-магазин amazon, наблюдавшееся в январе. По итогам первого месяца года категория "Онлайн-магазины и интернет-аукционы" занимала вторую строчку в рейтинге. Однако уже в феврале категория "Социальные сети" укрепилась на второй строчке из-за высокого процента атак на Facebook.

По данным KSN почти 70% переходов по фишинговым ссылкам производится из почтовых клиентов. То есть почта является основным каналом распространения фишинговых ссылок.


Заключение

Количество спама в почте уменьшается, что не может не радовать. Этому во многом способствует активная борьба с ботнетами со стороны разных независимых организаций. Однако, как показывает практика, чтобы эффективно бороться с угрозами, необходима совместная работа с правоохранительными органами, расследования и судебные дела.

География спама практически не изменилась по сравнению с прошлым кварталом. Однако не следует рассчитывать на дальнейшую стабильность. Отключение ботнетов сильно меняет географию источников спама, так как преступники пытаются организовывать ботнеты в более безопасных (или выгодных) для себя местах.

Процент вредоносных вложений в спаме уменьшился, однако по-прежнему высок. Немало вредоносного спама содержит не вложения, а ссылки на сайты с эксплойтами, используемыми в ходе drive-by атак. Такие рассылки характерны тем, что ссылки в письмах через несколько по-разному устроенных редиректов ведут на сайты с эксплойт-паками.
Эксплойт-папки — набор эксплойтов, рассчитанных для поиска на компьютере пользователя каких-нибудь уязвимостей в одном из таких популярных приложений, как Java, Flash Player и Adobe Reader. Организаторы подобных спам-рассылок весьма изобретательны и используют различные приемы социальной инженерии.