Отчеты по спаму и фишингу

Спам в апреле 2014

Особенности месяца

В апреле праздничные рассылки были связаны с предстоящей Пасхой – эту тематику использовали не только рекламирующие свои товары спамеры, но и различные мошенники, рассылавшие пользователям интернета фальшивые уведомления о выигрыше в лотерею и вредоносное ПО под видом поздравительных открыток.

В апреле мошенники также массово рассылали предложения заработать на акциях американской фармацевтической компании, так называемый pump and dump спам. Немало крупных рассылок рекламировали услуги различных медицинских учреждений и стоматологических клиник, а также способы борьбы с вредными привычками и реабилитационное лечение для зависимых от наркотиков или алкоголя.

Пасхальный спам

Пасха является главным религиозным праздником как у православных, так и у католиков, и потому с размахом отмечается верующими по всему миру. Ежегодно в преддверии праздника в почтовые ящики пользователей поступает большое количество спама пасхальной тематики.

Пользователям Рунета спамеры рассылали предложения по организации и проведению пасхального вечера, а также рекламу доставки куличей и другой пасхальной еды на дом. В качестве подарка близким спамеры предлагали купить пасхальные фигурки из шоколада, а также необычные яйца в стиле Фаберже.

Доставка грузов

В апреле различные компании пытались с помощью спам-рассылок привлечь новых клиентов, обещая быструю и безопасную доставку пользователям Рунета любых грузов из стран Азии и Европы, а также из США.

Для оформления рекламных писем спамеры использовали графический спам, цветовое выделение текста и зашумление русских слов латинскими буквами. В поле From спамеры подставляли автоматически сгенерированные адреса или адреса, зарегистрированные на сервисах бесплатной почты и недавно созданных доменах.

«Заработай» на акциях

В минувшем месяце мы зафиксировали новую волну так называемого pump and dump («накачка и сброс») спама. Его авторы рассылают письма с предложением купить по супернизкой цене акции некой компании, стоимость которых якобы должна вскоре значительно вырасти. В результате спрос на акции этой компании увеличивается, их цена искусственно повышается, и в этот момент мошенники распродают имеющиеся у них ценные бумаги. Далее цена акций падает, а обманутые инвесторы остаются с обесценившимися бумагами и теряют вложенные деньги. Как правило, для реализации этой схемы мошенники выбирают малоизвестные компании, акции которых обращаются на вторичном рынке. В апреле они использовали американскую фармацевтическую компанию Rich Pharmaceuticals.

Обнаруженные рассылки pump and dump спама осуществлялись от имени различных компаний, предоставляющих услуги в сфере инвестирования и продажи ценных бумаг потенциальным инвесторам. Для придания письмам легитимного вида мошенники использовали логотипы реальных компаний и подставляли их названия в качестве имени отправителя, хотя сами адреса в поле From не были похожи на официальные. Для затруднения детектирования спамеры использовали графические изображения и мусорный текст в конце письма.

Спамеры на страже здоровья

Значительная часть спамерских рассылок в апреле содержала рекламу разнообразных медицинских услуг: от общих – таких как медосмотр, экспресс-анализы или изготовление медицинских справок – и оздоровительных процедур до лечения специфических заболеваний и даже оперативного вмешательства.

В таких письмах в основном рассылались ярко оформленные картинки с информацией об услугах и контактными данными для связи. В некоторых случаях картинки содержали гиперссылку на сайт с более подробной информацией и ценами на услуги. Иногда спамеры умудрялись даже устроить двойную рекламу. Так в письме, приведенном ниже, можно видеть помимо рекламы конкретных медицинских услуг предложение по организации массовых рассылок по всей России – для такой услуги дается отдельный контакт для связи.

Посредством спама свои услуги рекламировали и стоматологические клиники – они заманивали клиентов скидками, действующими ограниченное время, и розыгрышами различных призов. Нередко спамеры пытались зашумлять целые куски текста с помощью смешанного использования латиницы и кириллицы, легко различимого для человеческого глаза, но затрудняющего автоматическую идентификацию.

Нам встречались и предложения от так называемых народных целителей, которые в своих сообщениях размещали ссылку на сайт, где можно было заказать набор DVD дисков для проведения исцеляющих видео-сеансов «по уникальному методу лечения». Всего за 10 минут в день предлагалось излечить абсолютно любой недуг: от ушиба и болей в суставах до опухоли головного мозга. Для большей убедительности на сайте приводились видеозаписи благодарностей излечившихся пользователей.

Спамеры против вредных привычек

Спамеры активно рекламировали в апреле весьма необычный способ отказа от курения. Они рассылали короткие сообщения, в которых для обхода антиспам-фильтров прибегали к использованию малоупотребительных, порой даже абсурдно звучащих синонимов («бросить курить», «избавиться от пагубной привычки», «покинуть смолить», «вызволить от вредоносной привычки» и т.д.). Помимо короткой фразы или небольшого текста такие письма содержали различные ссылки, ведущие на один и тот же сайт с рекламой так называемых биомагнитов, от которых, если верить обещаниям, «тяга к курению пропадает полностью буквально за одни сутки».

Нередко спамеры упоминали в своих сообщениях некий закон, подписанный президентов Путиным, запрещающий продажу сигаретных изделий. Заголовки некоторых писем содержали фразы наподобие: «Новость дня: Путин запретил продажу сигарет: Сказал всем бросать курить!!!».

Статистика

Доля спама в почтовом трафике

Доля спама в почтовом трафике

В среднем доля спама в почтовом трафике в апреле составила 71,1%, что на 7,6% больше по сравнению с прошлым месяцем. Наибольший показатель уровня спама наблюдался в последнюю неделю месяца (73%), наименьший – в предпоследнюю (69,6%).

Географическое распределение источников спама

По итогам апреля 2014 года в первой тройке стран — источников спама, распространяемого по всему миру, произошли изменения. Первое место по-прежнему занимает Китай (24,1%), чей показатель претерпел лишь незначительное сокращение в полпроцента. Далее следует Южная Корея (15,6%), которая месяц назад замыкала тройку лидеров; доля разосланного из этой страны спама увеличилась на 2,4%. Третье место занимают США (12,1%), чей показатель, напротив, уменьшился почти на 5%, что и повлияло на смещение страны на позицию ниже.

Страны – источники спама в мире

Сохранили свои места в первой пятерке Россия (9,1%) и Тайвань (6,5%). При этом показатель России увеличился еще на 2,5%.

Увеличение доли разосланного спама наблюдалось также во Вьетнаме (4,2%), Украине (2,7%) и Филиппинах (1,9%) – в среднем показатели этих стран увеличились на 0,6%. В результате Филиппины оказались в рейтинге на 9-м месте. Напомним, в прошлом месяце страна занимала только 11-ю позицию.

Замыкает десятку Япония (1,9%), доля разосланного из этой страны спама практически не изменилась, но страна сместилась вниз на одну позицию. По итогам месяца TOP 10 покинула Румыния (1,4%).

Увеличение спамерской активности зафиксировано во Франции (1%), которая в этом месяце попала в TOP 20, причем сразу на 12-ю позицию. Также в апреле в наш рейтинг вошла Германия (0,7%).

Ситуация со спам-потоками в Рунете по итогам апреля сложилась следующим образом:

Страны – источники спама в Рунете

Лидером среди стран – источников спама в Рунете остается Россия (22%); за месяц доля разосланного из этой страны спама увеличилась еще на 4,7%. Далее следует Тайвань (13,2%), чей показатель и положение в списке за месяц не претерпели никаких изменений. Замыкает тройку лидеров Вьетнам (11,3%), прибавивший 2% и потеснивший с этой позиции Индию (7,7%), показатель которой уменьшился на 3,2%.

На 5-м месте находится Южная Корея (4,7%). Доля спама, разосланного из этой страны, выросла почти на 2%, что позволило ей переместиться на целых четыре позиции вверх.

Украина (3,8%) по-прежнему занимает 6-ю позицию; мы наблюдали лишь незначительное увеличение доли разосланного из этой страны спама — на 0,2%.

Снижение доли спама зафиксировано в Румынии (3,4%) – её показатель уменьшился на 1,4%, а также в США (3%) и Италии (1,7%) – эти страны потеряли по 0,4%. Италия при этом замыкает первую десятку по итогам апреля. В прошлом месяце эта позиция принадлежала Сербии (1,1%), которая в апреле сместилась уже на 14-е место.

Немного увеличилась доля спама, разосланного пользователям Рунета из Казахстана (1,4%); в апреле страна поднялась на четыре позиции вверх и занимает 11-ю строчку нашего списка.

Регионы – источники спама

Среди регионов лидером по распространению спама остается Азия (59,8%). Восточная Европа (16,9%) и Северная Америка (12,3%) поменялись местами и заняли в апреле второе и третье места соответственно. При этом доля спама, разосланного из Восточной Европы, увеличилась более чем на 2%, в то время как показатель Северной Америки сократился почти на 5%.

Далее следуют регионы Западная Европа (5,3%) и Латинская Америка (2,9%), где также зафиксировано увеличение доли разосланного спама на 0,6% и 0,5% соответственно.

Вредоносные вложения в почте

В апреле TOP 10 вредоносных программ, распространяемых по почте, выглядел следующим образом.

TOP 10 вредоносных программ, распространяемых по электронной почте

Традиционно открывает список вредоносных программ, распространяемых по почте, Trojan-Spy.HTML.Fraud.gen. Хочется верить, что после многочисленных публикаций и упоминаний об этом зловреде количество пользователей, ставших его жертвами, свелось к минимуму. Напомним, чем именно опасен данный зловред: Trojan-Spy.HTML.Fraud.gen представляет собой фишинговую HTML-страницу и рассылается по электронной почте под видом важного сообщения от банков, интернет-магазинов, различных сервисов и т.д.

В апреле в наш ТОР 10 вошли многочисленные представители семейства Bublik. Все попавшие в первую десятку зловреды этого семейства скачивают на зараженный компьютер троянца из семейства ZeuS/Zbot (о котором мы также неоднократно упоминали в наших отчётах). Представители этого семейства предназначены для атаки на сервера и пользовательские компьютеры, а также перехвата данных. Хотя ZeuS/Zbot способен выполнять различные вредоносные действия, чаще всего он используется для воровства банковской информации. Также он может устанавливать CryptoLocker – вредоносную программу, вымогающую деньги за расшифровку данных пользователя.

Третью позицию занял Trojan-Downloader.Win32.Agent.heek — даунлоадер который выкачивает троянские программы-шпионы, предназначенные для кражи конфиденциальной финансовой информации. В основном такие программы нацелены на бразильские и португальские банки.

Червь Email-Worm.Win32.Bagle.gt, занявший в апреле 8-ю позицию, разбавил массовую атаку представителей семейства Bublik. После заражения компьютера вирус-червь Email-Worm.Win32.Bagle.gt рассылает себя по всем найденным на компьютере адресам электронной почты. Его основной задачей является загрузка и запуск файлов из интернета без ведома пользователя.

На девятой строчке расположился Exploit.Win32.CVE-2012-0158.j, который представляет из себя *.doc файл эксплуатирующий уязвимость в коде mscomctl.ocx в Microsoft Office, устанавливает и запускает вредоносное ПО.

Распределение срабатываний почтового антивируса по странам

В рейтинге стран по количеству срабатываний почтового антивируса лидирующую позицию по-прежнему удерживают США (11,73%), чей показатель уменьшился на 0,28%. Великобритания (9,95%) и Германия (9,47%) занимают второе и третье места соответственно.

На 2,13% увеличилась доля срабатываний почтового антивируса на территории Бразилии (4,13%), как следствие, страна поднялась сразу на 5-ю позицию. Показатель России уменьшился на 0,25%, в результате чего она сместилась с 16-го на 20-е место. Доля срабатываний почтового антивируса в других странах существенных изменений в апреле не претерпела.

Особенности вредоносного спама

На следующий день после Пасхи злоумышленники осуществили рассылку поздравительных писем на немецком языке от имени пользователей, чьи почтовые ящики, вероятно, были взломаны. В письмах содержались добрые пожелания и поздравительная открытка (во вложении), под видом которой скрывался зловред Trojan-PSW.Win32.Fareit.aonw. В отличие от других модификаций семейства Fareit функционал обнаруженного зловреда был несколько скромнее: он не крадет пароли от ПО, но загружает и запускает другого троянца – Trojan-Spy.Win32.Zbot.sbba, — предназначенного для атаки серверов и кражи персональных данных.

Также в апреле мы зафиксировали несколько крупных вредоносных атак, происходивших под видом рассылки факсов с помощью известного онлайн-сервиса факсовой печати eFax, который позволяет оправлять и получать факсы в виде вложений в электронной почте. Поддельные сообщения обычно содержали уведомление о получении факса и для большей убедительности – информацию о количестве страниц в полученном документе. На деле же в архивах находилось вредоносное ПО, в частности зловред Trojan-Downloader.Win32.Cabby.a – небольшой троянец-загрузчик, который носит в своем теле CAB файл с документом или картинкой, которые показывает пользователю после запуска. Пока жертва занята просмотром вложения, Cabby незаметно загружает другой зловред. В рассматриваемом нами случае скачивался представитель все того же популярного семейства ZeuS/Zbot (Trojan-Spy.Win32.Zbot.shqe).

Фишинг

В апреле в рейтинге атакованных фишерами организаций мы объединили электронную почту, программы мгновенного обмена сообщениями и поисковики в одну категорию «Почтово-поисковые порталы». По итогам апреля именно эта категория возглавила рейтинг с показателем 31,9%. Вторую строчку занимают социальные сети (23,8%), их показатель уменьшился на 0,2%. Тройку лидеров замыкают финансовые и платежные организации (13%), потерявшие 0,2%. Доля атак на онлайн-магазины (12,1%) уменьшилась на 0,8%. Показатели остальных категорий также претерпели незначительные изменения, что никак не повлияло на их расположение в рейтинге.

Распределение TOP 100 организаций, атакованных фишерами, по категориям

Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете.

Крупные китайские организации часто становятся мишенями фишеров, в их числе и телекоммуникационная компания Tencent, занимающаяся, помимо прочего, и поддержкой сервиса мгновенного обмена сообщениями QQ. Мошенники пытались заполучить у клиентов компании логины и пароли от их личных кабинетов, используя для этого популярные уловки. Так, в поддельном уведомлении сообщалось, что с аккаунта пользователя был отправлен запрос по его восстановлению. Так как данный запрос был сделан посторонним пользователем, то в целях предотвращения кражи личной информации доступ к учетной записи был ограничен.

Чтобы отменить запрос, пользователю предлагалось пройти по ссылке, которая вела на фишинговую страницу. Отметим, что уведомление рассылалось в виде графического изображения, что затрудняло работу спам-фильтра, и позволяло без труда придать письму легитимный вид.

Заключение

Доля спама в мировом почтовом трафике в апреле увеличилась на 7,6% и составила 71,1%. Наибольший показатель уровня спама наблюдался в последнюю неделю месяца — 73%.

Количество праздничного спама, посвященного Пасхе, в апреле достигло своего максимума. В основном спамеры рассылали предложения различных пасхальных товаров и услуг, а также рекламу товаров, не имеющих прямого отношения к этому празднику. Пасха упоминалась и в мошеннических уведомлениях о выигрыше в лотерею – для привлечения внимания и обмана пользователей. Кроме того, на волне праздника злоумышленники рассылали письма поздравления, содержащие вредоносные программы.

Тройка лидеров среди стран — источников спама, распространяемого по всему миру, выглядела в апреле следующим образом: Китай (24,1%), Южная Корея (15,6%), США (12,1%). Среди регионов лидером по распространению спама остается Азия (59,8%).

По итогам апреля рейтинг организаций, атакованных фишерами, возглавила новая категория «Почтово-поисковые порталы» (31,9%). Вторую строчку удерживают социальные сети (23,8%), а замыкают тройку лидеров финансовые и платежные организации (13%).

Спам в апреле 2014

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике