Спам в третьому кварталі 2010, Різне, Інтернет-технології, статті

 

Основні підсумки кварталу



Введення


Третій квартал 2010 року ознаменувався відразу кількома подіями, сприятливими для антиспам-індустрії. У серпні з допомогою ініціативної групи компанії LastLine були закриті близько 20 командних центрів ботнету Pushdo / Cutwail, відповідального приблизно за 10% спаму в світі. Небезпека цього ботнета полягає не тільки в обсязі спаму, що розсилається, а й у тому, що він пов'язаний з поширенням небезпечних шкідливих програм, таких як Zbot (ZeuS) і TDSS.


У результаті закриття командних центрів ботнету величезна кількість ботів залишилися без управління і перестали розсилати спам. Проте, сподіватися на те, що такий стан речей збережеться надовго, не доводиться. Як показує практика закриття ботнетів McColo і Lethic, на відновлення ботнету потрібно близько місяця, а потім нові командні центри зв'яжуться з зомбі-комп'ютерами, і кількість спаму повернеться до колишнього високого рівня.


У вересні про своє закриття оголосила партнерська програма SpamIt. Саме цій партнерській програмі ми зобов'язані величезною кількістю фармацевтичного спаму. На сайтах програми, таких як Spamit.biz і Spamit.com, як причини закриття були названі "довга низка негативних подій останнього року і загострилося увагу до діяльності партнерської програми". Дійсно, в цьому році "партнерка" пережила кілька "негативних" подій, наприклад, відмова Mastercard проводити операції, пов'язані з оплатою медикаментів через цю партнерську програму. Однак, закриття однієї партнерської програми, нехай навіть і потужною, може лише ненадовго полегшити ситуацію з нав'язливою рекламою віагри в наших поштових скриньках. Швидше за все, організатори "партнерки" просто відкриють нову програму, яка буде якесь час залишатися невідомою антиспам-вендорам і правоохоронним органам.


Є і погана новина: спам стає все більш небезпечним, так як все частіше містить різноманітні шкідливі вкладення і посилання на заражені сторінки. Ми закликаємо читачів ні в якому разі не відкривати вкладення і не ходити по посиланнях в спамових листах.


Пайова розподіл спаму


На моделі, що відображає частку спаму в поштовому трафіку по місяцях кварталу, видно, що у вересні в поштових скриньках користувачів стало відносно менше спаму (на 1,5% порівняно з серпнем). Це результат того, що була закрита частина командних центрів ботнету Pushdo / Cutwail.



Частка спаму по місяцях. Третій квартал 2010 р.


Найменша кількість спаму в поштовому трафіку (76,9%) зафіксовано 15 вересня. Найбільше – 90,1% – 25 і 31 липня. Частка спаму в поштовому трафіку за третій квартал 2010 року в середньому склала 82,3%.


Джерела спаму


Розподіл джерел спаму по регіонах


Розподіл джерел спаму за регіонами у третьому кварталі 2010 р.


Лідером по розсилці спаму залишається азіатський регіон.


Обіймала в минулому кварталі друге місце Латинська Америка змістилася на п'яту позицію – її частка скоротилася з 16,3% до 10,7%.


Вклад Західної Європи у світовій спам збільшився і склав 23,1% проти зафіксованих у другому кварталі 16,2%. Це відбилося на відповідному показнику і по європейському регіону в цілому (в нашому розподілі джерел спаму цей регіон включає в себе Західну і Східну Європу і Росію). В результаті, у вересні "європейська" частина в світовому спам-трафіку виявилася більшою, ніж "азіатська". За підсумками кварталу з європейського регіону було розіслано 40,7% всього світового спаму, а з азіатського – лише 31,7%.


Вклад європейського та азіатського регіонів в спам-трафік по місяцях


Збільшення частки європейського регіону в поширенні спама може бути пов'язане з масованою шкідливої ​​розсилкою, яка активно проводилася ще в червні. Однією з цілей цієї розсилки було підключення комп'ютерів користувачів до ботнету. Листи розсилки були підроблені під різні повідомлення офіційних ресурсів: банків, магазинів, соціальних мереж. Вибрані зловмисниками ресурси користуються великою популярністю у європейців, і саме їх комп'ютери в процесі атаки піддавалися найбільшому ризику зараження. В результаті до вересня кількість спаму, що розсилається з Європи, збільшилася.


Розподіл джерел спаму по країнах


Розподіл джерел спаму по країнах


На першому місці в рейтингу країн – джерел спаму традиційно знаходяться США. Другу і третю позицію, як і в минулому кварталі, займають Індія і В'єтнам.


Окремо потрібно сказати про Великобританію, яка вперше за весь час наших спостережень потрапила в першу п'ятірку країн, звідки йде спам (4-е місце). До цих пір ця країна не входила навіть в десятку країн – Лідерів по розсилці спаму.


Типи вкладень в спамових листах


Відсоток спам-листів, що містять plain-і html-вкладення


У третьому кварталі 2010 року велика частина спамерських повідомлень традиційно містила plain-і html-частини. Трохи менше повідомлень містило тільки неформатований текст, ще менше – тільки html-частину.


Серед типів графічних вкладень на перше місце повернувся формат image / jpeg. Не в останню чергу це обумовлено розсилками з саморекламою спамерів, де зображення складалося з декількох картинок в цьому форматі, розташованих впритул одна до іншої.


Найпомітнішою зміною в розподілі типів вкладень в спамових листах можна назвати збільшення кількості повідомлень із вкладеннями в форматі application / zip. Зазвичай таких повідомлень менше 0,5%. У минулому кварталі їх частка склала 2,6%. Така велика кількість повідомлень із zip-архівами пояснюється масовістю розсилок шкідливих програм.


Графічний спам


Графічного спаму стає менше. Якщо в першому кварталі 2010 року його частка становила 11,7%, у другому – 10,3%, то до третього кварталу вона скоротилася до 8,4%.


У той же час технологією оформлення тексту у вигляді графічного вкладення стали користуватися розповсюджувачі шкідливих програм. Так, наприклад, в наведеному нижче повідомленні з шкідливим вкладенням Trojan.Win32.Oficla картинкою є не тільки логотип eFax, але і текст "The fax message is attached to this e-mail!".

 


Приклад листа з текстом у вигляді графічного вкладення


Фішинг


У рейтингу організацій, які найчастіше атакували фішери, як і раніше з великим відривом лідирує PayPal. Друге місце традиційно займає інтернет-аукціон eBay. За ними слідують соціальна мережа Facebook і банк HSBC, помінявшись місцями в порівнянні з минулим кварталом.

 


ТОP 10 організацій, атакованих фішерами в третьому кварталі 2010 р.


В якості самого помітного зміни в ТОP 10 можна відзначити те, що в першу п'ятірку ввійшла популярна онлайн-гра World of Warcraft. Атаки на користувачів цієї гри ми спостерігаємо протягом року, проте в п'ятірку кращих для фішерів цілей WoW потрапив вперше.


Компанія Google перемістилася з п'ятого рядка на сьому. Частка атак на користувачів сервісів цієї компанії знизилася майже на 1%. Однак акаунти Google як і раніше залучають кіберзлочинців. Відзначимо, що зловмисникам цікаві як поштовий сервіс Google – gmail.com, так і акаунти рекламної мережі Google AdWords і платіжної системи Google Checkout. Останні цікавлять в основному кардерів (це шахраї, виробляють операції з використанням чужих банківських карт або їх реквізитів), оскільки до них прив'язуються дані пластикової карти користувача. Таким чином, необережний користувач, що відправив реєстраційні дані свого облікового запису Google Checkout, запитувані в фішинговому листі, ризикує втратити не тільки самого облікового запису, а й коштів на своєму рахунку.


Самою незвичайною фішингової розсилкою, націленої на користувачів Google, виявилася наступна:



Особливість цієї фішингової розсилки в тому, що зловмисники не включили в текст листа традиційної загрози закрити аккаунт, а також вимоги переслати пароль і логін. Текст листа в цілому повторює офіційні повідомлення від Google. За одним винятком: посилання, по якому пропонується пройти користувачеві, веде не на офіційний сайт Google, а на фішингову сторінку, зареєстровану в грецькій доменній зоні (на якій і буде запропоновано ввести логін і пароль).


Шкідливі вкладення в пошті


Частка листів з шкідливими вкладеннями в третьому кварталі зросла більше ніж у два (!) Рази і склала 4,6% (проти 1,87% у попередньому кварталі). Основний внесок у зростання цього показника внесли серпень і вересень.


Так, у серпні частка шкідливих повідомлень у пошті перевищила 6,3%. Тоді спамери – мабуть, не дочекавшись повернення своїх клієнтів з відпусток, – переключилися на роботу з партнерськими програмами, у тому числі з тими з них, які пов'язані з розсилкою шкідливих програм.


На початку вересня активність зловмисників стала падати. Проте в другій половині місяця знову були зафіксовані нові масовані шкідливі розсилки. Підсумковий показник вересня – 4,33% шкідливих листів на пошті.


Судячи з усього, зростання шкідливої ​​активності в пошті в кінці вересня пов'язаний з оголошенням про закриття вже згаданої великої партнерської програми SpamIt, що спеціалізувалася на поширенні фармацевтичного спаму. Частина спамерів, які працювали з цією програмою, мабуть переключилася на участь у партнерських програмах з розсилання шкідливого коду.


На наведеному нижче графіку видно, що протягом третього кварталу спостерігалося сім помітних сплесків розсилки шкідливого коду через пошту. При цьому лише один з них припадає на липень. Решта шість порівну розподілилися між серпнем і вереснем.


Відсоток спаму з шкідливими вкладеннями в пошті в третьому кварталі 2010 р.


Найбільший сплеск припадає на 20 вересня. Більше 4,5% всіх листів з шкідливими вкладеннями, було отримано користувачами в цей день.


Як правило, такі сплески виникають у той момент, коли вирусописатели випускають нову версію поширеної шкідливої ​​програми. Потужні розсилки покликані поширити якомога більше її копій в короткий проміжок часу – поки виробники антивірусного захисту не додали в свої бази відповідну сигнатуру.


20 вересня майже 90% всіх шкідливих програм, отриманих користувачами по електронній пошті, детектувати "Лабораторією Касперського" проактивними методами, тобто методами, за допомогою яких детектируются нові шкідливі програми і модифікації зловредів, які ще не встигли потрапити в антивірусні бази.


Свій внесок у піднесення шкідливої ​​активності 3, 9 і 19 серпня внесли підроблені антивіруси (зокрема, Trojan-Downloader.Win32.FraudLoad.xexa, на який припало 66% всіх спрацьовувань поштового антивірусу 5 серпня) і кілька модифікацій Trojan-Dropper.Win32.Zbot (ZeuS). Цікаво, що поштовий антивірус детектувала в основному нові різновиди Zbot. За дві з половиною тижні, з другого по двадцяте серпня, поштою було поширено 36,5% всіх шкідливих програм третього кварталу.


Нагадаємо, що Zbot – це троянська програма, призначена для викрадення конфіденційної інформації користувача, а також для завантаження інших шкідливих програм на комп'ютер жертви. Інформація, добута таким чином, надалі використовується зловмисниками для продажу на чорному ринку. У ТОP 10 шкідливих програм, поширених в пошті в третьому кварталі, шосту сходинку посіла одна з "свіжих" модифікацій Trojan-Dropper.Win32.Zbot. Найбільш активно вона поширювалася в серпні.


TOP 10 шкідливих програм у пошті


Перший рядок рейтингу займає Trojan-Spy.HTML.Fraud.gen – завсідник нашого рейтингу шкідливих програм. Нагадаємо, що це троянець, який використовує спуфінга-технологію і реалізований у вигляді html-сторінки. Пройшовши по посиланню в листі, користувач потрапляє на сайт – копію реального сайту банку або платіжної системи, на якому потрібно ввести логін і пароль. Введені дані потім відправляються зловмисникам. Відмінність такої технології від традиційного фішингу полягає в тому, що в адресному рядку браузера відобразиться не реальний адресу сайту, на який потрапляє користувач, а підставний адресу, що копіює адреса підробленого сайту. Така технологія дозволяє обдурити навіть пильних користувачів.


Trojan-Downloader.Win32.FraudLoad.hbf, який виявив високу активність в самому кінці вересня, а також згаданий вище Trojan-Downloader.Win32.FraudLoad.xexa, зайняли другу і четверту позиції рейтингу відповідно. Програми сімейства Trojan-Downloader.Win32.FraudLoad встановлюють на комп'ютер користувача лжеантівірус, за допомогою якого шахраї вимагають гроші у своєї жертви.


П'яту сходинку посів пакувальник Packed.Win32.Katusha.o, часто використовуваний зловмисниками для упаковки тих же підроблених антивірусів і Zbot.


Спрацювання поштового антивірусу по країнах виглядає наступним чином:


Спрацювання поштового антивірусу в різних країнах


Сім з десяти країн – це розвинені країни Європи, Азії та Америки. У цьому кварталі лідирують США: понад 11% всіх спрацьовувань поштового антивірусу прийшлося саме на цю країну.


Методи і трюки


У третьому кварталі 2010 року спамери активно підробляли свої листи під повідомлення різних ресурсів, причому цей трюк був використаний і у шкідливих розсилках.


Найрізноманітнішим був спам з посиланнями на заражені сайти, що містять Javascript-код (сімейство Trojan-Downloader.JS.Pegel), що перенаправляє користувача на спамерські сервери, з яких на комп'ютер користувача підвантажуються бекдор Bredolab, а через нього – пакет різних троянських програм, у тому числі програми сімейства Zbot. Одночасно користувач перенаправлявся на сайт, що рекламує медикаменти.


Цей спам імітував повідомлення такої великої кількості легальних ресурсів, що будь-одержувач повинен був мати обліковий запис хоча б на одному з них. Були підроблені повідомлення таких ресурсів, як Twitter, Facebook, WindowsLive, MySpace, різних популярних онлайн-магазинів (таких як BestBuy і Zappa), фотохостингів, великих банків, платіжних систем і служб доставки. Якість підробки було високим.


Спамерське лист, підроблене під повідомлення від великої мережі магазинів Macy "s


Спамерське лист, підроблене під повідомлення від соціальної мережі Twitter


Крім зовнішнього вигляду листи спамери підробляли і технічні заголовки:


Технічні заголовки в одному з спамерських листів


А так як користувач не бачить цих заголовків, логічно припустити, що все це робилося заради обходу спам-фільтрів.


Так як у всіх випадках схема зараження була однією і тією ж, можна припустити, що всі ці листи розсилалися однією групою людей і за допомогою одного движка. Цю думку підтверджує і те, що в деяких листах були переплутані заголовки:


Приклад спамерського листа з помилковим заголовком


Подібний випадок переплутаних заголовків ми вже спостерігали в листах з рекламою медикаментів і реплік елітних товарів, також розсилаємих за допомогою одного движка.


Наприкінці вересня ми відзначили чергове збільшення кількості шкідливого спаму, що імітує повідомлення популярних ресурсів. На цей раз під прицілом зловмисників виявилася популярна професійна соціальна мережа LinkedIn. Посилання в підроблених повідомленнях мали заголовки "LinkedInUpdate", "LinkedIn new Messages" і "LinkedIn Alert" і вели на зламані сайти або на автоматично згенерували домени в зоні info. Пройшовши по посиланню, користувач прямував на сервери зловмисників, з яких на його комп'ютер закачувався троянець сімейства Zbot.


Спамерське лист, підроблене під повідомлення від соціальної мережі LinkedIn


Тематичні особливості спаму


Розподіл спаму за тематичними категоріями у третьому кварталі 2010 р.


Перше місце за кількістю розісланих листів зайняв спам, що рекламує медикаменти. Цей вид спаму, що здала було свої позиції в перших двох кварталах 2010 року, знову повернувся на перший рядок рейтингу. Досить імовірно, що це пов'язано із закриттям партнерської програми SpamIt, згаданої вище. Програму обіцяли закрити з жовтня, а до цього моменту спамери намагалися заробити на ній по максимуму. До кінця Вересень спамери, як видно, почали переходити на інші партнерські програми – з цим пов'язане зменшення частки рубрики "Медикаменти" в кінці місяця і зростання кількості шкідливих програм у пошті.


Частка фармацевтичного спаму в третьому кварталі 2010 р.


Частка реклами реплік елітних товарів, традиційно розсилається разом з віагрою, зросла з 6,3% до 11%.


Значно (з 14% до 4%) зменшилася в порівнянні з попереднім кварталом частка рубрики "Відпочинок і подорожі". Якщо в липні вона становила 6,4%, то в серпні та вересні не набрала і 3%.


Частка спаму, який рекламує відпочинок і подорожі, у третьому кварталі 2010 р.


Також зменшилася частка рубрики "Освіта". В цілому це дуже характерно: коли збільшується кількість спаму, що розсилається через партнерські програми ("Медикаменти" і "Репліки"), відсоток замовного спаму зменшується.


Порівняння часток деяких тематичних категорій спаму (2-й і 3-й квартали 2010 р.)


Висновок


У третьому кварталі 2010 р., як і в другому, спостерігалося стрімке зростання кількості шкідливих вкладень в спамі. Про поступової криміналізації спаму ми пишемо давно. Тепер вже можна говорити про те, що спам нероздільно пов'язаний з шкідливими програмами. Шкідливі листи зайняли 4,6% поштового трафіку – таких цифр не було за всю історію спостережень.


Спам-індустрія і виробництво шкідливих програм все більше зближуються. Одночасно йде розвиток технологій, у тому числі в сторону комплексних рішень. Вірусописьменники створюють комплексні схеми зараження, в які входить підключення комп'ютера до ботнету, що розсилає спам, завантаження на комп'ютер троянських програм, що крадуть особисті дані, і багато іншого. Сучасне спам лист може містити посилання, яка одночасно веде і на рекламний сайт, і (непомітно для користувача) на сайт з експлойти.


Зрозуміло, такі тенденції викликають тривогу – спам не лише дратує, але й несе в собі небезпеку.


З іншого боку, такий стан речей привертає до спаму увагу законодавчих та правоохоронних органів. В кінці цього кварталу в Англії і в США було затримано близько 100 осіб, підозрюваних у використанні комплекту ZeuS для розкрадання грошових коштів з онлайн-рахунків. (ZeuS детектується "Лабораторією Касперського" як сімейство Zbot, яка згадується вище серед шкідливих вкладень в спам.) Будемо сподіватися, що це послужить відправною точкою для систематичної боротьби зі спамом (принаймні, шкідливим) і міжнародного співробітництва в цьому питанні. А поки ми в черговий раз рекомендуємо нашим читачам не відкривати спамові листи і, тим більше, вкладення в них. І не ходити по посиланнях з спамових листів.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*