Спам в августе 2014
Особенности месяца В мошеннических письмах августа эксплуатировались мировые политические события и имена известных граждан РФ. Вредоносные файлы распространялись в почтовом трафике, в том числе при помощи поддельных уведомлений от судебных инстанций. Спамеры активно рекламировали услуги туристических компаний и коллекторских агентств.
Вредоносные повестки в суд В августе нами было зафиксировано сразу несколько рассылок, имитирующих судебные уведомления, на разных языках. В Рунете мошенники рассылали фальшивые уведомления от имени Высшего Арбитражного Суда РФ; мы уже встречали подобную рассылку в январе и сентябре прошлого года. В августе 2014 года авторы письма придумали новую легенду о начале административного делопроизводства в отношении получателя. Подробную информацию можно было узнать, кликнув по указанной в тексте письма ссылке, загружающей Trojan-Ransom.Win32.Cryakl. Этот троянец шифрует файлы с наиболее распространенными расширениями, в первую очередь документы и изображения.
После установки этого зловреда на Рабочем столе жертвы появляется картинка с требованием отправить зашифрованный файл на электронный адрес мошенников. Кроме того, пользователь должен связаться со злоумышленниками в течение недели, иначе расшифровать файлы не удастся.
Конечно, распространители троянца не станут помогать безвозмездно и попросят перевести им некоторую сумму денег за оказанные услуги по расшифровке. Так как механизм мошенничества и само исполнение похожи, можно предположить, что за данной рассылкой и письмами, зафиксированными нами в прошлом году, стоят одни и те же мошенники, которые надеются заработать за счет пользователей Рунета.
Политика в «нигерийском» спаме В августе мы вновь обнаружили «нигерийские» письма, эксплуатирующие события на Украине. Автор одной из рассылок на русском языке просила помощи в трудоустройстве и поиске жилья.
Мошенники рассчитывали, что жертва поверит в историю беженки с Украины, приехавшей в Россию с сыном, и откликнется на просьбу. А отсутствие упоминания о финансовой помощи и номер телефона в качестве обратной связи явно сыграют на руку спамерам. Отметим, что не стоит звонить на указанные в мошеннических письмах номера, в лучшем случае вас попытаются уговорить перевести деньги, в худшем сам звонок на телефон может оказаться платным.
Туры ко Дню независимости Украины Праздничный спам в августе был посвящен украинскому государственному празднику — Дню Независимости, который отмечается 24-го числа последнего летнего месяца. С самого начала августа мы фиксировали рассылки спама, использующие праздничную тематику. Большая часть этих рассылок содержала предложения туристического отдыха, разнообразных поездок и программ празднования. В письмах давались описания программ и даты проведения мероприятий, указывалась стоимость поездки. Приобрести понравившийся тур можно было, связавшись с агентством или клубом, от имени которых производилась рассылка рекламы, по указанным в сообщении контактам.
«Бархатный сезон» спамеров Туристическая тематика присутствовала и в основных крупных рассылках августа. Традиционно в последний летний месяц спамеры пытались организовать отпуск для тех, кто еще не успел отдохнуть этим летом, и рекламировали услуги различных туристических агентств: горящие путевки по «улётно низким ценам», экскурсионные программы по городам Европы, тренинги за границей, а также экзотические путешествия.
Ярко оформленные письма, лаконично, но крупным шрифтом сообщающие о наличии горящих туров и их стоимости, должны были обратить внимание получателя на предложение и заинтересовать его. За подробностями предлагалось обратиться по указанным в письме телефонам. Некоторые сообщения за строкой с названием отеля и ценой также содержали гиперссылку на сайт оператора с более широким спектром предложений.
В свете последних политических событий новым интересом спамеров этим летом стала реклама отдыха в Крыму. Не стал исключением и август: почтовый трафик Рунета пестрел незапрошенными письмами с приглашениями от частных пансионатов на отдых в Севастополь, предложениями забронировать виллу в Крыму и провести выходные под Алуштой. Часто в оформлении таких писем присутствовали фотографии предлагаемых апартаментов и морских пейзажей вблизи указанных мест отдыха.
Встречались нам и нестандартные предложения, например, путешествие на автодоме по Европе и персональное приглашение от некоего фотографа Кирилла в фотопоездку по каньонам США. Кирилл активно менял адрес отправителя в своих сообщениях, однако для связи с возможными единомышленниками указывал свой телефон.
Как (не) возвращать долги Еще одной заметной тематикой спам-рассылок августа стала помощь в возврате всевозможных долгов, ориентированная как на частных лиц, так и на компании. Коллекторские агентства, специализирующиеся на взыскании просроченной дебиторской задолженности компаний, а также частные юристы обещали собрать деньги со всех должников быстро, без обращения в судебные органы и практически в полном объеме. В рекламных письмах давалось краткое описание деятельности такой организации, специфика работы, приводились некоторые статистические данные (количество взысканных средств, количество удовлетворенных клиентов и проч.) и указывались телефоны для связи. Цифры телефонных номеров нередко намеренно искажались или зашумлялись с целью обхода антиспам-фильтров. Авторы писем обещали успешный исход дела даже в тех случаях, где другие специализированные службы уже потерпели провал.
В Рунете помимо предложений услуг коллекторов нам также встречались приглашения к участию в тематических вебинарах, посвященных возврату долгов. Вебинары были рассчитаны на кредитных менеджеров, юристов и специалистов отделов продаж, имеющих дело с контрагентами-должниками. Чтобы стать участником такого мероприятия, получателю предлагалось оформить заявку, заполнив форму во вложении к письму.
Мы также зафиксировали рассылку с инструкциями наподобие «Как быстро взять кредит в любом банке?» или «Как никогда не отдавать любые долги банкам и коллекторам?». Письма данной рассылки помимо емких рекламных фраз содержали ссылки, которые после череды редиректов отправляли на сайт с рекламой книги, против которой, если верить тексту, «коллекторы и работники банков объявили настоящую охоту». Книга представляла собой курс — как взять кредит и законно не отдавать его. После покупки данной «инсайдерской информации» авторы сайта обещали в качестве бонуса подарить заказчику еще и курс по стабильному заработку в Сети. В конце пользователей призывали не упустить столь уникальный и выгодный шанс, ведь скоро доступ к обоим курсам будет закрыт. Что характерно, текст сайта складывался из кусков графических изображений, что, конечно, затрудняет возможность его обнаружения через поисковик по ключевым словам.
Статистика Доля спама в почтовом трафике
Доля спама в почтовом трафике
В среднем доля спама в почтовом трафике в августе составила 67,2%, что всего на 0,2% больше по сравнению с результатами предыдущего месяца. В течение августа доля незапрошенных писем стабильно росла — если в начале месяца процент спама составлял 64,9%, то в конце месяца уже 70,4%.
Доля спама в почтовом трафике Рунета
Доля спама в почтовом трафике Рунета
В среднем доля спама в почтовом трафике Рунета в августе составила 68,2%. Наибольший показатель спама наблюдался на третьей неделе месяца (71,2%), наименьший — на второй (65,6%).
Страны — источники спама По итогам августа список стран — источников спама, распространяемого по всему миру, по-прежнему возглавляют США (15,9%), за месяц показатель страны вырос на 0,7%. Далее следует Россия (6%), доля разосланного отсюда спама также немного увеличилась — на 0,4%. Замыкает тройку Китай с показателем 4,7%, что на 0,6% ниже итогов прошлого месяца.
Страны — источники спама в мире
На 4-м месте расположился Вьетнам (4,7%), прибавивший 1,2% и четыре позиции по сравнению с июлем. На 5-й позиции находится Аргентина (4,4%), потерявшая один пункт в рейтинге, но незначительно увеличившая долю распространенного из страны спама.
Германия (3,6%) по-прежнему на 6-м месте с незначительно сократившимся показателем доли спама. Украина (2,9%) расположилась на 8-м месте, в августе страна покинула первую пятерку. Бразилия (2,9%), напротив, сделала небольшой рывок, прибавила 0,5% и вошла в первую десятку, на 9-ю строчку. Замыкает ТОР10 Индия с показателем 2,8%.
Можно также отметить небольшое увеличение спамерской активности в Южной Корее (1,9%), в августе она также вошла в наш список.
Ситуация со спам-потоками в Рунете по итогам августа выглядит следующим образом:
Первое место занимает Россия, откуда пользователям Рунета было разослано 22,4% спама. На втором месте — Украина с показателем 12,2%. Замыкает тройку лидеров Вьетнам, ответственный за 8% спама в российском сегменте интернета.
Далее следуют США (7,3%), Казахстан (3,8%), Индия (3,7%) и Тайвань (3,5%).
На 8-й строчке расположилась Белоруссия с показателем доли спама в 3,2%. За ней следует Китай (2,2%). Замыкает первую десятку Германия, откуда было разослано 2% спама.
Вредоносные вложения в почте В августе TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом.
TOP 10 вредоносных программ, распространяемых по электронной почте
Рейтинг возглавил зловред Trojan.JS.Redirector.adf. Его название говорит само за себя: образец представляет собой HTML-страницу, при открытии которой пользователя перенаправляют на зараженный сайт. Там ему обычно предлагают загрузить Binbot — сервис автоматической торговли бинарными опционами, которые сейчас популярны в Сети. Распространяется зловред по электронной почте в незапароленном ZIP-архиве.
Третью и шестую позиции занимают троянцы-загрузчики Trojan-Downloader.Win32.Upatre.to и Trojan-Downloader.Win32.Upatre.tq. Зловреды этого семейства довольно просты, не больше ~3,5 Кб, и обычно скачивают троянца-банкера из семейства, известного как Dyre/Dyzap/Dyreza. Список атакуемых этим банкером финансовых учреждений зависит от файла конфигурации, который подкачивается из командного центра.
На четвертой строчке расположился Trojan-Banker.Win32.Fibbit.rq. Этот банковский троянец внедряется в Java-приложения для онлайн-банкинга с целью кражи аутентификационной и другой информации, ключей, а также подмены транзакций и их результатов.
Пятую и шестую позицию занимают Backdoor.Win32.Androm.enji и Backdoor.Win32.Androm.erom соответственно. Оба зловреда принадлежат к семейству универсальных модульных ботов Andromeda — Gamarue. Основные возможности — скачивание, хранение и запуск исполняемого файла; скачивание и загрузка DLL (без сохранения на диск), скачивание плагинов, возможность обновлять и удалять себя. Функционал бота расширяется с помощью системы плагинов, которые подгружаются злоумышленниками в нужном количестве в любое время.
Седьмую и восьмую строчки занимают Trojan.Win32.Bublik.clhs и Trojan.Win32.Bublik.bwbx — различные модификации хорошо знакомого нам зловреда Bublik. Их можно отнести к самым обычным троянцам-загрузчикам, которые закачивают вредоносный файл на компьютер пользователя и запускают его.
Замыкает список Trojan-Spy.Win32.LssLogger.bos — многофункциональный зловред, обладающим очень широким функционалом, среди которого в первую очередь стоит отметить возможность кражи паролей от обширного списка ПО. Вся украденная информация впоследствии передаётся злоумышленникам по электронной почте.
Распределение срабатываний почтового антивируса по странам
В августе Великобритания (13,16%) прибавила 6,26% и снова вышла в лидеры по количеству срабатываний почтового антивируса, отодвинув Германию (9,58%, -1,49%) и Соединённые Штаты (7,69%, -1,59%) на вторую и третью строки соответственно.
Главной неожиданностью стал скачок России (6,73%) с восьмой на четвёртую строку нашего рейтинга, в августе ее доля увеличилась на 3,33%.
Италия (3,31%) опустилась с пятой на восьмую строчку, потеряв 1,33%, , а Гонконг (2,74%) прибавил 0,28% и обошёл Австралию, Турцию и Вьетнам.
Особенности вредоносного спама В августе мошенники, рассылавшие вредоносные вложения посредством электронной почты, снова использовали в качестве приманки поддельные уведомления от популярной социальной сети Facebook. На этот раз пользователю с совершенного стороннего адреса приходило сообщение с предупреждением о скорой деактивации аккаунта. Согласно тексту, в последние несколько дней (а в некоторых письмах — месяцев) социальная сеть подверглась атаке хакеров, поэтому во избежание негативных последствий разработчики просят пользователей установить утилиту, находящуюся в приложении.
Каждое письмо рассылки содержало защищенный паролем ZIP-архив, в котором находился исполняемый файл, и уникальный пароль, необходимый для его распаковки. При этом вложенный архив носил имя пользователя, которому отправлялось письмо (логин его почтового аккаунта), и то же имя использовалось для генерации пароля к архиву. В конце письма мошенники уточняли, что файл откроется только на персональном компьютере с операционной системой Microsoft. В архиве под видом утилиты находился троянец-загрузчик, представитель семейства Trojan-Downloader.Win32.Haze. Такие зловреды скачивают другое вредоносное ПО, как правило, предназначенное для кражи персональных данных владельца компьютера или рассылки зараженных писем по его списку контактов.
Фишинг По итогам августа на компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 32 653 772 срабатываний системы «Антифишинг», что на 12 495 895 срабатываний выше показателя июля. Значительный рост, скорее всего, связан с летним снижением спроса на рекламный спам. Не желающие терять заработок злоумышленники переключаются в том числе и на фишинговые рассылки.
В августе в рейтинге стран, атакованных фишерами, на первое место вышла Австралия — ее показатель вырос вдвое и составил 24,4%. Бразилия (19,5%) опустилась на второе место. Места с 3-го по 5-е заняли Великобритания (15,2%), Канада (14,6%) и Индия (14,5%) соответственно.
География фишинговых атак*, август 2014
* Процент пользователей, на компьютерах которых сработала система «Антифишинг», от всех пользователей продуктов ЛК в стране
TOP 10 стран по проценту атакованных пользователей:
Страна % пользователей 1 Австралия 24.4 2 Бразилия 19.5 3 Великобритания 15.2 4 Канада 14.6 5 Индия 14.5 6 ОАЭ 14.1 7 Эквадор 13.1 8 Доминиканская Республика 13. 9 Австрия 12.8 10 Китай 12.7 Организации — мишени атак Статистика по мишеням атак фишеров основана на срабатываниях эвристического компонента системы «Антифишинг». Эвристический компонент системы «Антифишинг» срабатывает, когда пользователь переходит по ссылке на фишинговую страницу, а информация об этой странице еще отсутствует в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе.
По итогам августа рейтинг атакованных фишерами организаций не претерпел значительных изменений. Его продолжают возглавлять почтово-поисковые порталы (30,8%), их показатель увеличился на 1,3%. Доля фишинговых атак на социальные сети (17,3%) увеличилась на 3,3%. В результате в августе на долю этих двух категорий пришлась почти половина всех фишинговых атак.
Распределение организаций, атакованных фишерами, по категориям, август 2014 г.
На финансовый фишинг в целом пришлось 35,2% срабатываний эвристического компонента системы «Антифишинг», что на 6,6% меньше, чем в прошлом месяце. Общее снижение атак на финансовый сектор сказалась и на показателях отдельных категорий. Так, уменьшились доли срабатываний по категориям «Банки» (-4,9%), «Онлайн-магазины» (-1,2%) и «Платежные системы» (-0,6%).
TOP 3 атакуемых организаций Организация % срабатываний 1 Google 12,61% 2 Facebook 10,05% 3 Yahoo! 6,38% В августе среди атакуемых фишерами организаций первое место продолжают занимать сервисы Google (12,61%), их показатель увеличился на 1%. Вторую строчку с показателем 10,05% удерживает Facebook, которая традиционно является самой атакуемой фишерами социальной сетью. Ее показатель увеличился на 0,4%. На третье место вышли поисковая система и сервисы Yahoo! (6,38%). В июле, напомним, третью строчку занимали сервисы Windows Live.
В августовском спам-трафике мы обнаружили несколько фишинговых рассылок, направленных на кражу логинов и паролей сервисов Yahoo!. В письмах сообщалось, что администрацией Yahoo! были зафиксированы попытки входа в аккаунт получателя с неопознанного устройства авторизация с другого компьютера. Такая активность вызвала подозрения у администрации, и в результате аккаунт будет заблокирован, если получатель письма не подтвердит данные (логин и пароль) на специальной странице. В теле письма указывались две ссылки для верификации персональных данных: одна для подтверждения пароля и предотвращения блокировки, вторая — для защиты аккаунта в случае, если вход был выполнен не пользователем. Обе ссылки в письме имели одинаковый адрес и вели на одну и ту же фишинговую страницу. Отметим, что текст писем разных рассылок практически не менялся, а в оформлении использовалось изображение логотипа Yahoo!.
Если в одной рассылке фишинговая страница полностью имитировала официальную страницу входа в аккаунт, то в другой использовался отличный от оригинального фон страницы.
Если посмотреть на HTML-код фишинговых страниц, становится понятно, что в первом случае введенные жертвой данные отправлялись на PHP-страницу злоумышленников, а во втором — на адрес электронной почты, зарегистрированной на бесплатном почтовом сервисе. Причем в HTML-коде также указывался адрес, который будет проставляться в поле отправителя, и тема письма. Это давало мошенникам возможность идентификации полученной информации с логинами и паролями пользователей в рамках определенной рассылки.
Заключение Доля спама в мировом почтовом трафике в августе увеличилась на 0,2% и составила 67,2%. В Рунете показатель доли спама составил 68,2%.
В августе мошенники, внимательно следящие за политическими событиями на Украине, продолжили рассылать «нигерийские» письма пользователям Интернета с просьбами о помощи. В основе сюжета писем на русском языке лежала история о беженке из г. Краматорска, которая просила получателя о любой помощи.
Вредоносные письма, замаскированные киберпреступниками под уведомления от судебных инстанций, часто встречались в спам-трафике августа. Подобные сообщения были написаны на разных языках, а вложенные в них вредоносные файлы предназначались не только для кражи персональной информации, но и для получения денежных средств за расшифровку файлов на компьютере жертв.
Кроме того, в последний летний месяц спамеры активно продвигали услуги туристических и коллекторских агентств.
Среди стран-источников спама, распространяемого по всему миру, лидерами в августе остались США (15,9%), Россия (6%) и Китай (4,8%).
Список вредоносных программ, распространяемых по электронной почте в августе возглавил Trojan.JS.Redirector.adf. Хорошо знакомый нам Trojan-Spy.HTML.Fraud.gen, удерживавший лидерство на протяжении многих месяцев, продолжает занимать вторую позицию.
По итогам августа количество срабатываний системы «Антифишинг» на компьютерах пользователей продуктов «Лаборатории Касперского» увеличилось почти в 1,5 раза и составило 32 653 772 срабатываний. По статистике 24,4% всех атак пришлось на долю пользователей в Австралии. Рейтинг организаций, атакованных фишерами, по-прежнему, возглавляют почтово-поисковые порталы (30,8%). Суммарный показатель финансового фишинга в целом уменьшился на 6,6% и составил 35,2%. В ТОП-3 рейтинга организаций атакуемых фишерами вошла компания Yahoo!
Полный текст статьи читайте на Лаборатория Касперского