"Лаборатория Касперского": Спам в августе 2011 года

Источник: SecureList

Август в цифрах

  • Доля спама в почтовом трафике по сравнению с июлем уменьшилась на 0,9% и составила в среднем 80%.
  • Доля фишинговых писем в общем почтовом потоке по сравнению с июлем увеличилась на 0,01% и составила 0,03%.
  • В августе вредоносные файлы содержались в 5,9% всех электронных сообщений - на 1,2% больше, чем в прошлом месяце.

Обзор главных событий месяца

Спам с вредоносными вложениями: новые и подзабытые приемы

В августе доля спама с вредоносными вложениями снова увеличилась. Она составила 5,9% от всех спамовых писем. При этом злоумышленники для рассылки сообщений, содержащих вредоносные вложения, используют разнообразные приемы - и уже давно известные и испробованные, и новые.

С конца июля и на протяжении всего августа мы фиксировали сообщения, подделанные под уведомления от почтовых сервисов UPS, FedEX и DHL. Наиболее активно такие подделки распространялись с 8 по 11 августа.

В письмах сообщалось, что почтовая служба не смогла доставить посылку и ее требуется срочно забрать из офиса, или что адрес получателя заполнен неверно, или что пользователю отправлена посылка и он получит ее в ближайшее время. Ко всем сообщениям прилагался zip-архив - якобы заархивированная форма, которую необходимо заполнить для успешной отправки или получения посылки.

На самом деле в сообщения были вложены различные вредоносные объекты. Например, в довольно крупной рассылке поддельных сообщений от UPS содержались разные модификации вредоносной программы Trojan-Downloader.Win32.FraudLoad. Самыми многочисленными были рассылки различных модификаций Backdoor.Win32.Agobot. Этот зловред распространялся в сообщениях, подделанных под уведомления от всех трех почтовых компаний: UPS, FedEX и DHL. Реже в таких сообщениях встречались различные модификации троянца Trojan.Win32.Yakes.cap. Отметим, что упомянутые выше зловреды загружают на компьютер пользователя другие вредоносные программы.

Рассылка поддельных уведомлений от упомянутых почтовых компаний - не новый прием. Злоумышленники пользуются им уже по крайней мере два года. Однако судя по тому, насколько часто спамеры к нему возвращаются, этот прием по-прежнему эффективен.

Кроме того, в августе мы отметили несколько новых уловок распространителей вредоносного кода, однако в основе всех их один и тот же принцип: чем загадочнее тема письма и меньше текст, тем больше шансов пробудить любопытство пользователей. Всего нами были получены сообщения трех видов:

  • первые содержали в теме слово Changelog и дату. Текст в сообщениях практически отсутствовал и в основном состоял из пары слов, таких как "Как и обещано" или "См. в приложении";
  • у вторых в качестве темы значилось "End of July Statement required" или "End of July Statement". В тексте сообщения говорилось, что, как и было запрошено, отправитель передает открытые счета за какой-то определенный день (обычно стояла дата);
  • третьи были озаглавлены "Внутренние счета от корпорации ATFT" и содержали в тексте сообщение о том, что внутренние счета за 2010 год во вложении, а также благодарность "за поддержку процесса".

Интересно, что все эти сообщения явно происходят из одного и того же источника. Общими были не только использованный трюка и стиль оформления текста, но и схема, по которой давались названия zip-архивов: после некоего реально существующего слова через нижнее подчеркивание следовала дата, затем через еще одно нижнее подчеркивание - латинская буква и одна или две цифры.

Кроме того, прослеживается и связь этих сообщений с поддельными сообщениями от почтовых компаний, о которых говорилось выше. А именно: самыми распространенными вложениями в этих сообщениях были различные модификации Trojan.Win32.Yakes и Backdoor.Win32.Agobot.

Для распространения различных модификаций Trojan-Downloader.Win32.FraudLoad тоже был использован новый прием социальной инженерии. Сообщения были подделаны под уведомление от полиции США о том, что получатель нарушил правила дорожного движения и должен распечатать приложенную к письму квитанцию и отправить ее в городское отделение суда.

Таким образом, злоумышленники стали искать новые методы привлечения внимания пользователей. Вероятно, это происходит оттого, что избитые трюки безошибочно распознаются большинством людей как мошеннические и уже не дают прежней отдачи.

Примечательно также, что раньше множество вредоносных вложений распространялось в сообщениях под видом "эротических фотографий" от "девушек, желающих познакомиться" или "скандальных фото знаменитостей", а сейчас злоумышленники стараются подделывать письма под различные официальные уведомления или деловую переписку. Это связано с тем, что большинство пользователей не ожидают обнаружить в случайно попавшем к ним "деловом письме с вложенными документами" вредоносную программу. К тому же эротическими фотографиями девушек, желающих познакомиться, и так кишмя кишат социальные сети, а вот внутренние документы какой-либо компании на сегодняшний день пользователям куда интереснее.

Горячие темы в спаме

Снова в школу!

В августе в спаме традиционно появляются рассылки, посвященные 1 сентября. Основную массу таких писем составляет реклама товаров для школьников. В этом году в одной из больших рассылок предлагалось купить различные товары для развития школьников, например школьную экспериментальную лабораторию.

 

Рамадан

Есть и рассылки, обращенные к мусульманам, поскольку аудитория спамеров интернациональна и поликультурна. В этом году август - месяц мусульманского праздника Рамадан, и, как и ежегодно, в спаме были сообщения на эту тему.

В этом году сразу несколько рассылок, рекламирующих "правильную" еду во время Рамадана было зафиксировано специалистами "Лаборатории Касперского". Так, мы получили рассылку, предлагающую доставку еды на дом со скидкой на время Рамадана. Еще одна рассылка рекламировала ресторан, работающий ночью, то есть в то время, когда мусульмане могут принимать пищу во время священного месяца.

Напомним, что спам - это в первую очередь угроза, с которой необходимо бороться, поэтому не стоит относиться к рекламным спам-сообщениям, как к обычной рекламе. Даже самое безобидное на вид письмо может содержать вредоносный скрипт, а спамер никогда не побрезгует заработать денег и на рекламодателе, и на установивших вредоносную программу пользователях.

Статистический обзор

Страны - источники спама

Страны - источники спама в августе 2011 г.

В августе четверка лидеров рейтинга стран - источников спама не изменилась. В нее по-прежнему входят Индия (15,6%), Индонезия (11,7%), Бразилия (9,24%) и Перу (6%).

Из наиболее заметных изменений в ТОР 10 стоит отметить то, что единственная остававшаяся в нем западноевропейская страна - Италия (- 1%) в августе оказалась уже на двенадцатой строчке. В десятку же вошла Польша, с территории которой было распространено на 1,3% больше спама, чем в июле. Таким образом, ТОР 10 стран - источников спама в августе полностью состоит из стран Азии, Латинской Америки и Восточной Европы.

Россия по-прежнему занимает 11-ю строчку рейтинга, однако доля спама, распространенного отсюда, по сравнению с июлем незначительно уменьшилась. Сократилась почти на 1% и доля спама, распространенного с территории Украины.

Спам-потоки из двух групп стран, выделенных нами в июле (Индия - Бразилия и Индонезия - Украина - Таиланд - Перу) продолжают распространяться синхронно.

Корреляция в четверке Индонезия - Украина - Таиланд - Перу сохраняется, несмотря на то что доля спама, распространяемого из Индонезии, в течение последнего месяца увеличивалась, а доли спама из остальных трех стран уменьшались. Тем не менее, локальные максимумы и минимумы у этих четырех стран явно совпадают. Судите сами:

Процент спама, отправленного с территории Индонезии, Перу, Украины и Таиланда за период с 18 июля по 28 августа

Кривые, отображающие динамику рассылок с территории Индии и Бразилии, несколько разошлись в последние две недели августа, но изменения показателей рассылки спама из этих стран столь незначительны, что это расхождение с большой вероятностью обусловлено локальными факторами, такими как наличие в регионе других спамерских ботсетей, управляемых другими людьми.

Процент спама, отправленного с территории Индии и Бразилии за период с 18 июля по 28 августа

Наблюдения за группой Вьетнам - Южная Корея - Россия - Италия не выявили дальнейших совпадений в изменениях спам-трафика, распространяемого из этих стран:

Процент спама, отправленного с территории России, Кореи, Вьетнама и Италии с 27 июня по 28 августа

Некоторое сходство можно заметить в совпадении локальных минимумов и максимумов рассылок спама из России и Вьетнама, в связи с этим мы продолжим дальнейшие наблюдения за этой парой.

Вредоносные вложения в почте

В августе вредоносные файлы содержались в 5,9% всех электронных сообщений, что на 1,2% больше, чем в прошлом месяце.

В рейтинге стран по количеству срабатываний почтового антивируса Россия заметно сдала свои позиции. Показатель этой страны в августе составил 8,96%, что на 5,1% меньше соответствующего показателя июля. В результате Россия оказалась на второй строчке рейтинга, уступив первенство США.

Показатель США вырос на 2,6% и составил 10,1%, вернувшись на уровень июня.

Распределение срабатываний почтового антивируса по странам в августе 2011 г.

Количество срабатываний почтового антивируса на территории Германии (5,45%) и Индии (5,1%) уменьшилось настолько же резко, насколько резко выросло в прошлом месяце - на 3,8% и 2,8% соответственно.

Заметно (+3,7%) увеличилась доля срабатываний почтового антивируса на территории Японии. Интересно, что ТОР 20 наиболее часто детектируемых почтовым антивирусом вредоносных программ в этой стране почти полностью состоит из модификаций уже упомянутых Trojan.Win32.Yakes и Backdoor.Win32.Agobot.

Первые две строчки рейтинга наиболее часто детектируемых в почте вредоносных программ в августе заняли хорошо знакомые нам зловреды:

TOP 10 вредоносных программ, распространенных в почте в августе 2011 г.

5% срабатываний почтового антивируса приходится на долю традиционного лидера нашего рейтинга -Trojan-Spy.HTML.Fraud.gen. Это на 0,5% меньше, чем аналогичный показатель в июле. На второй строчке расположился почтовый червь Email-Worm.Win32.Mydoom.m. Это единственный представитель почтовых червей в августовском рейтинге. Напомним, что этот зловред выполняет только две функции: осуществляет сбор электронных адресов на зараженных машинах и рассылает по ним самого себя.

Третье место в рейтинге наиболее часто детектируемых почтовым антивирусом программ занял зловред Trojan-Downloader.Win32.Deliver.ll. Троянцы этого семейства составляли б О льшую часть нашего рейтинга в марте. Эта вредоносная программа является классическим троянцем-загрузчиком, устанавливающим на зараженный компьютер другие вредоносные программы без ведома пользователя.

Четыре из десяти вредоносных программ рейтинга - модификации уже упомянутого выше Trojan.Win32.Yakes. Они занимают четвертое, пятое, восьмое и девятое места.

Фишинг

Доля фишинговых писем в общем почтовом потоке по сравнению с июлем незначительно возросла и составила 0,03%.

Четверка лидеров среди наиболее часто атакованных фишерами организаций по сравнению с июлем не изменилась.

ТОР 10 организаций, атакованных фишерами*

* Рейтинг составляется на основе доли фишинговых URL, распространенных в Сети. Рейтинг не является показателем уровня безопасности указанных организаций, а отображает популярность различных сервисов у фишеров. Отметим, что фишеры предпочитают атаковать сервисы, наиболее популярные и авторитетные среди пользователей.

Одним из главных изменений августа можно смело считать перемещение социальной сети Orkut (6%) с седьмой на пятую строчку рейтинга наиболее часто атакованных фишерами организаций.

Также заметим снижение интереса фишеров к онлайновым играм: RuneScape, занимавшая в июле шестую строчку, сместилась на две позиции вниз (-1,1%), а WoW, замыкавшая десятку в прошлом месяце, в августе и вовсе не вошла в ТОР 10 наиболее часто атакованных фишерами организаций, хотя доля атак на нее не изменилась.

Отметим появление на десятом месте нашего рейтинга налоговой организации IRS. В ближайшие месяцы ее позиция в рейтинге будет повышаться - близится срок подачи налоговых деклараций гражданами США, а в этот период всегда увеличивается доля атак с использованием IRS.

Тематические направления в спаме

Тематические категории спама в августе 2011 г.

В августе лидером среди тематических направлений в спаме стала рубрика "Реклама спамерских услуг", доля таких писем в Рунете увеличилась почти на 5%. Рубрика "Медикаменты; товары/услуги для здоровья", вернувшаяся в прошлом месяце в пятерку лидеров, в августе заняла второе место. В то же время доля рассылок образовательной тематики продолжает активно уменьшаться. В августе эта рубрика заняла лишь третью строчку рейтинга.

Пятерка лидирующих тематических категорий в спаме:

  • Реклама спамерских услуг 14,9% (+4,9%)
  • Медикаменты; товары/услуги для здоровья 14% (+0,9%)
  • Образование 13,1% (-10,8%)
  • Недвижимость 9,7 (-6%)
  • Спам для взрослых 7,3% (+3,2%)

Рост доли партнерского спама в Рунете продолжается. В ТОР 5 августа вошли уже две рубрики, относящиеся к таким рассылкам. Это "Медикаменты; товары/услуги для здоровья" (+0,9%) и "Спам для взрослых" (+3,2%). Увеличилась на 2% и доля "Реплик элитных товаров". В целом партнерские рассылки в Рунете составили более трети всего спама.

В то же время, доля рассылок, заказанных малым и средним бизнесом, в августе была меньше, чем в предыдущие месяцы. Всего на такие рассылки пришлось чуть больше половины всего спама, в то время как в июле их доля составляла почти две трети, а в конце весны - начале лета и вовсе превышала 75%. Наиболее заметно снижение доли рубрик "Образование" (-10,8%), "Недвижимость" (-6%) и "Услуги по ремонту и благоустройству" (-6,6%).

Заключение

Доля вредоносных вложений в спаме продолжает активно расти. За последние два месяца этот показатель возрос на треть. В целом это нормальная тенденция для летних месяцев - в период отпусков спамеры, получающие меньше заказов от своих клиентов, переключаются на наиболее выгодные для них рассылки партнерских программ. Партнерки, выплачивающие спамерам гонорар за установки зловредов, всегда довольно популярны, а летом их популярность растет. При этом спамеры используют для распространения вредоносных программ как новые, так и старые, проверенные трюки. Обновление арсенала мошенников, а также рост доли вредоносных вложений являются хорошим поводом, чтобы напомнить пользователям о том, что безопасность компьютера зависит прежде всего от внимательности и осторожности его хозяина.

Наш июньский прогноз традиционных летних изменений в тематическом составе спама: рост доли саморекламы спамеров и партнерского спама и снижение доли сообщений, разосланных по заказу малого и среднего бизнеса - в августе оправдался в полной мере.

В целом процент партнерского спама в августе 2011 соответствует среднестатистическим показателям, наблюдавшимся до закрытия партнерской программы SpamIt и ботнетов Pushdo/Cutwail и Bredolab летом 2010 года. С наступлением осени снижения доли партнерского спама ожидать не приходится - он снова набирает обороты, поскольку гонения на партнерки со стороны правоохранительных органов прекратились. Мы полагаем, что в ближайшее время доля партнерских сообщений в общем потоке спама сохранится на установившемся в августе уровне.

В то же время, доля заказного спама довольно мала. Можно предположить, что осенью она будет расти за счет уменьшения доли саморекламы спамеров.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=26553