"Лаборатория Касперского" Электронный журнал "Спамтест" No. 240 в этом номере: Новости Спам-статистика за период 23 - 29 июня 2008 г. Спам в июне 2008 Новости Отчет Symantec об июньских спам-рассылках 03.07.2008 Согласно статистике компании Symantec, в прошедшем месяце уровень спама в почтовом трафике составлял 80%. Стремясь привлечь внимание потенциальных жертв, злоумышленники активно эксплуатировали тему проведения Олимпийских игр в Китае, занимались сбором адресов для рассылки спама и распространяли "нигерийские" письма по контактным адресам взломанных аккаунтов. В тематическом рейтинге спам-рассылок, по оценке Symantec, преобладали четыре основные категории, хотя их соотношение несколько перераспределилось. На долю рекламы промтоваров в июне приходилось 22% от общего объема спама, финансовых предложений - 19%, интернет-услуг - 18%, медицинских товаров и услуг - 17%. В географическом разделении источников спама лидируют страны Европы, Африки и Ближнего Востока с показателем 43% спам-трафика. На втором месте - компьютерный парк Северной Америки (около 28%), на третьем - страны азиатско-тихоокеанского региона (примерно 17%). В июне в компании были зарегистрированы многочисленные образцы спамовых писем с традиционно броскими заголовками, которые гласили о мифических сенсациях. При попытке получателя просмотреть предложенный видеоролик на его машину загружался троянский даунлоудер. Отдельная вредоносная рассылка, привязанная к "штормовому" ботнету, эксплуатировала интерес мирового сообщества к предстоящим Олимпийским играм, распространяя дезинформацию о землетрясении, якобы происшедшем в Пекине. Эксперты также зафиксировали серию мошеннических уведомлений о выигрыше в лотерею, разосланных от имени Олимпийского комитета. Спамовые письма были снабжены вложенными файлами, инструктировавшими "счастливчика" о процедуре оформления нежданного "приза", которая предусматривала передачу персональной информации третьему лицу. Особо в Symantec отметили случаи взлома бесплатных почтовых аккаунтов с целью рассылки "нигерийских" посланий по контактам жертвы. От имени и за электронной подписью жертвы мошенники сообщали о стесненных обстоятельствах в связи с грабительским налетом и обращались к ее родным и знакомым с просьбой отозваться электронным письмом и одолжить 2500 долларов. В отдельных случаях мошенники даже добирались до аккаунта жертвы на онлайн-аукционе, от ее имени покупали лэптопы и заказывали транспортировку в Нигерию. Взломав почтовый аккаунт, злоумышленники меняли пароль, логин и даже параметры контрольной проверки, предусмотренной на случай потери пароля. Эксперты подчеркивают, что данная схема не привязана к ресурсам определенных интернет-провайдеров или организаций. По данным Symantec, в июне спамеры также использовали новую, упрощенную тактику сбора почтовых адресов. Они рассылали на приобретенные сомнительными способами адреса "коммерческие предложения", ориентированные на потенциальных покупателей рекламирующихся в спаме товаров - медикаментов, пиратского ПО, порнороликов. Адреса отозвавшихся на призыв получателей автоматически заносились в активный список "opt-in" (подписчиков на нелегитимную рекламу) и могли использоваться спамером для дальнейшей беспрепятственной рассылки релевантной рекламы. Источник: Symantec (pdf) "Штормовой" троянец отметил День независимости США 07.07.2008 Масштабная рассылка вредоносных писем, предпринятая операторами "штормового" ботнета в начале июля, не явилась большим сюрпризом для специалистов по сетевой безопасности. Несмотря на значительное снижение спамопроизводительности, одиозный троянец традиционно воспользовался праздничной атмосферой в целях расширения своего присутствия в Интернете. По свидетельству экспертов, заголовки данных сообщений отличаются большим разнообразием и призваны привлечь внимание к грандиозному цветовому шоу, устроенному в ознаменование Дня независимости в ночном небе Америки. Краткое сообщение в теле письма предлагает полюбоваться праздничным салютом, просмотрев видеоролик, якобы размещенный на указанной ссылкой веб-странице. По данным исследователей, последняя размещена на одном из "штормовым" веб-хостингов и содержит релевантную фотографию, препровожденную уместными дифирамбами в адрес устроителей ежегодного зрелища. Попытка просмотреть "видеоконтент" приводит к загрузке на машину жертвы файла fireworks.exe с копией "штормового" троянца. В настоящее время этот файл детектируется примерно половиной общеупотребительных антивирусных программ. В компании TrendMicro зафиксировали еще одну, не связанную со "штормовым" ботнетом вредоносную спам-рассылку, использующую традиционную форму уведомления о виртуальной открытке. Специалисты предупреждают, что вместо поздравления с Днем независимости на машину неосторожного получателя загружается троянский файл july.exe, устанавливающий в систему IRC-программу удаленного администрирования - один из вариантов IRC_ZAPCHAST. Источник: blog.trendmicro.com Источник: Marshal Источник: Sophos Спамеры осваивают доступ к грид-среде Amazon 07.07.2008 В последние дни истекшего месяца специалисты по безопасности зафиксировали ряд спам-рассылок, проведенных с серверов Elastic Compute Cloud (EC2), владельцем которых является крупнейший фигурант в области электронной коммерции - Amazon.com. Помимо порноспама, данная нелегитимная корреспонденция включала ложные уведомления от имени Microsoft о новом пакете обновлений для систем безопасности. На самом деле под видом "патча" злоумышленники предлагали загрузить троянскую программу-бэкдор. По сведениям экспертов, использованный в данной спам-рассылке вредоносный веб-хостинг был размещен на разных платформах и умело замаскирован, так что пытавшиеся его обнаружить неискушенные следопыты иногда попадали даже на официальный сайт Секретной службы США. Необычным оказался сам источник спам-рассылок: сервис EC2 используется мелкими и средней величины компаниями для получения доступа к широкому спектру размещенных в Сети прикладных программ и к мощным вычислительным платформам. Поскольку клиенты EC2 платят только за потребляемые ресурсы и услуги, эта виртуальная среда имеет определенную привлекательность для злоумышленников, вооруженных чужими кредитками. Поскольку EC2-сервис полностью автоматизирован и использует динамические адреса, идентификация правонарушителей представляет собой весьма нелегкую задачу. Пока от их действий страдает репутация полезного сервиса и его легитимные пользователи, так как публикующая популярные "черные списки" организация Spamhaus уже зафиксировала солидную порцию динамических адресов EC2 как потенциальный источник спама. Аналогичная группа Outblaze, базирующаяся в Гонконге, пошла еще дальше и внесла в "черный список" все адресное пространство EC2. Источник: blog.washingtonpost.com Английский автомеханик установил персональный рекорд по получению спама 07.07.2008 По оценке британской компании ClearMyMail, специализирующейся на системах фильтрации спама, на почтовый аккаунт ее клиента Колина Уэллза (Colin Wells) ежедневно поступает 44000 единиц нелегитимной корреспонденции. Опубликованный ClearMyMail рейтинг основан на внутренней статистике по блокировке спама в рамках клиентской базы. Согласно данным компании, ежедневная порция спама, отсеиваемая на каждом из пяти наиболее атакуемых спамерами аккаунтах, измеряется тысячами. Три лидирующих по получению спама клиента зарегистрированы в сетях английского интернет-провайдера Orange; на их долю совокупно приходится более 63000 спамовых писем в сутки - более 23 миллионов в год. 40-летний Уэллз, который является работником автомастерских автобусного парка Stagecoach, подписался на услуги Orange еще в 1999 году. Тогда он ежедневно получал по электронной почте только 50 нелегитимных посланий и имел опасную привычку публиковать свой единственный электронный адрес на всех интересовавших его веб-сайтах. Когда лавина получаемого им спама стала неудержимо нарастать, обеспокоенный пользователь попытался ее остановить, кликая по указанным в непрошеной рекламе ссылкам в надежде "отписаться от рассылки". Однако вскоре он понял, что подобные действия только подтверждают активность его почтового аккаунта. Когда же Уэллз обнаружил, что ежедневно тратит по два часа на поиск легитимной корреспонденции в горах спама, он задумался о возможных путях избавления от этой проблемы. Альтернатива изменения почтового адреса, ставшего частью его личной жизни, повергала незадачливого получателя спама в уныние, поэтому в 2007 году он воспользовался предложением ClearMyMail и установил на свой ПК спам-фильтр. За год работы защитная программа заблокировала 6 миллионов непрошеных писем. Теперь Уэллз сетует, что без привычной ежедневной процедуры исследования спам-контента его пребывание во "всемирной паутине" несколько обесцветилось - а ведь он мнил себя состоявшимся экспертом по употреблению Виагры! Источник: sourcewire.com Источник: thesun.co.uk Commtouch: к концу 2 квартала уровень спама взлетел до 94% 09.07.2008 Согласно статистике компании Commtouch, объемы спама во втором квартале текущего года в среднем составляли 77% нерегулируемого почтового трафика. К концу 2 квартала уровень спама взлетел до 94%. Эксперты обеспокоены интенсификацией вредоносных рассылок с ботнетов и ежедневно фиксируют около 10 миллионов динамических IP-адресов, ассоциированных с зараженными ресурсами. В тематическом раcпределении спам-рассылок в отчетный период преобладала реклама медицинских препаратов и услуг с показателем 46% от общего объема спама в Интернете. Выделенные Commtouch в отдельную категорию нелегитимные сообщения, продвигающие средства для повышения сексуальной потенции, составляли 22% спам-трафика. Третье место в данном рейтинге занимала реклама фальшивых часов (21%). В апреле исследователи Commtouch зафиксировали серию спам-рассылок, эксплуатирующих актуальную в то время тематику пересмотра системы налогообложения и кредитования в США. Спамеры предлагали потенциальным клиентам широкий спектр финансовых "услуг" - от срочного погашения долгов до предоставления пакета налоговых льгот по отдельной договоренности. Среди весенних спам-рассылок, зарегистрированных в Commtouch, особое место занимали фишинговые послания. Пытаясь "продавить" нелегитимные письма через защитные фильтры, злоумышленники, например, использовали "белую" репутацию рекламного сервиса Google AdWords, распространяя от имени администрации сервиса ложные извещения о мнимой задолженности. Обеспокоенные получатели, активировавшие указанные фишерами ссылки, перенаправлялись с легального веб-сайта на поддельную страницу на китайском домене, созданную для хищения персональной информации. Среди прочих образцов "техничного" спама специалисты Commtouch отметили виртуозно замаскированную рекламу медикаментов под личиной официального письма от администрации Hotmail, очередную пробную рассылку фармаспама в виде документа GoogleDocs, а также рассчитанное на ловцов чужих капиталов неожиданное предложение по анонимному размещению доходов на мошеннических оффшорных счетах. В отчетный период в компании были также зарегистрированы несколько злонамеренных атак, проведенных со "штормового" ботнета. Одна серия "троянских" посланий была ориентирована на романтически настроенных пользователей Сети и имела целью загрузить на их машины вредоносный файл iloveyou.exe, другие варианты обыгрывали интерес мирового сообщества к Олимпийским играм и распространяли троянский файл под видом видеоролика о мифическом землетрясении в Пекине. В целом исследователи отмечают возросшую активность ботнетов и публикуют список крупнейших интернет-провайдеров, в сетях которых они обнаружили большое количество инфицированных машин. Первое место в этом непочетном рейтинге занимает турецкий провайдер Turk Telekom, на втором -компания Telecom Italia, на третьем - Telekomunikacja Polska. В сетях этих лидеров по количеству заражений функционирует более миллиона зомби-компьютеров. В разделении зомби-парка по странам лидирует Турция с показателем 11% от глобального объема, второе место занимает Бразилия, на третьем - Россия (8,4 и 7,4% соответственно). Источник: Commtouch(pdf) Спам-статистика за период 30 июня - 6 июля 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 83,3%. Основные изменения в тематическом распределении спама на прошедшей неделе произошли в рубриках "Медикаменты; товары/услуги для здоровья" (-4,6%), "Образование" (-3,6%) и "Отдых и путешествия" (+5,2%). Продолжает увеличиваться доля спама, посвященного рекламе копий товаров класса люкс. В первую очередь рекламируются копии элитных часов. Также популярны реплики известных марок обуви и одежды. Большинство таких предложений поступает к пользователям в англоязычных письмах. Однако все чаще наблюдается и русскоязычный спам такого рода. Любопытно, что в некоторых русскоязычных письмах рекламируются не один или два товара, как это обычно бывает, а предлагаются дешевые копии целого спектра престижных аксессуаров. По-прежнему наблюдаются рассылки писем, рекламирующих услуги магов, которые готовы оказать помощь в решении любых проблем. Как мы уже писали, весной был принят закон о запрете на рекламу услуг магов и целителей, работающих без лицензии. Видимо, многим из них проще перейти на нелегальную рекламу посредством спама, чем получить лицензию. Если же колдуны и целители не помогают, спамеры готовы предложить и другие методы лечения. Например, на прошедшей неделе прошла массовая рассылка, рекламирующая медицинских пиявок. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 17,8% -4,6% 2 Другие товары и услуги Предложения других товаров и услуг 17,3% -1,6% 3 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 16,4% +5,2% 4 Образование Реклама семинаров, тренингов, курсов 12,1% -3,6% 5 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 7,1% +2,1% 6 Реплики элитных часов Копии элитных, в первую очередь швейцарских, часов 6,0% -2,3% 7 Юридические услуги и аудит Предложения юридических услуг 4,8% +2,2% 8 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,1% -0,7% 9 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,3% -0,9% 10 Полиграфия Визитки, календари, печать, услуги типографии и пр. 3,3% +2,3% 11 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 2,7% +0,5 12 Остальной спам   2,4% +1,2% 13 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества Менее 2% -0,3% 14 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% +0,6% Примеры спамовых писем смотрите на сайте Спамтест. Спам в июне 2008 г. Татьяна Куликова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с маем увеличилась на 3% и составила в среднем 82,1%. Вредоносные файлы содержались в 0,38% электронных сообщений. Ссылки на фишинговые сайты находились в 1,45% всех электронных писем, что почти в два раза меньше майских показателей и приближается к апрельскому уровню фишинга в электронной почте. Спамеры воспользовались популярностью европейского чемпионата по футболу. Спамеры использовали страницы популярных сетевых ресурсов. Появился русскоязычный MP3-спам. В спамерских рассылках использовались адреса доменов с суффиксами ряда экономических групп. Доля спама в почтовом трафике Доля спама в почтовом трафике в июне 2008 года в среднем составила 82,1%. Самый низкий показатель был отмечен 5 июня - 71,6%, больше всего спама было зафиксировано 25 числа - 91,5%. Оправдался прогноз, сделанный нами в прошлом месяце: впервые за несколько лет мы наблюдаем сезонное падение долевых показателей спама. С января по апрель спам составлял более 86% почтового трафика (в среднем за месяц). В мае доля спама составила 79,1% - на 7% меньше, чем в апреле. В июне, несмотря на незначительный рост относительного количества спама, тенденция к ослаблению спамерской активности сохранилась. Почти вдвое по сравнению с маем уменьшилась доля электронных писем, содержащих ссылки на фишинговые сайты. Июньские показатели составили 1,45%, что приближается к апрельскому уровню фишинга в электронной почте. Доля писем, содержащих вредоносные файлы, по сравнению с майскими показателями (0,08%) значительно возросла и составила 0,38% электронных сообщений. Тематический состав спама Пятерка лидирующих спам-тематик июня: "Медикаменты; товары и услуги для здоровья" - 25,8% "Образование" - 14,4% "Отдых и путешествия" - 10,8% "Реплики элитных товаров" - 9,4% Спам "для взрослых" - 5,2% Письма с рекламой лекарственных препаратов продолжают возглавлять список лидирующих спам-тематик месяца. Как обычно, спамеры идут на любые ухищрения, чтобы заманить пользователя на сайты с виагрой. В июне в Интернете появились письма, якобы разосланные MSN. Пользователям сообщалось, что они подписаны на рассылки MSN и тут же предлагалось отписаться от нежелательных писем. Картинка, прилагавшаяся к письму, красноречиво намекала на то, что ждет тех, кто решил отписаться: по какой бы ссылке не прошел получатель, он попадал на сайт, специализирующийся на продаже медикаментов. Спам, связанный с образованием, традиционно занимает в пятерке лидирующих тематик Рунета второе место, и июнь не стал исключением. Сезон отпусков способствовал популярности рубрики "Отдых и путешествия", которая поднялась с четвертого на третье место, потеснив рекламу дешевых копий престижных аксессуаров. В июне доля спама "для взрослых" достигла 5,2%, и данная рубрика заняла пятую позицию в пятерке тематик-лидеров. Такие же долевые показатели рубрики наблюдались в январе текущего года, когда число рассылок "для взрослых" увеличилось в связи с новогодними каникулами. Июньский всплеск объясняется началом летних отпусков - многочисленные приглашения на сайты знакомств и страницы с фривольным содержанием рассчитаны на тех, кто значительную часть отпускного времени проводит за компьютером. И в январе, и в июне рост долевых показателей спама "для взрослых" был обеспечен, в основном, русскоязычными рассылками. Горячая тема июня: Евро-2008 Спамеры не преминули воспользоваться популярностью чемпионата Европы по футболу, перипетии которого на протяжении трех недель волновали большую часть пользователей Интернета. Футбольные победы и поражения в ходе Евро-2008 использовались спамерами для рекламы товаров и услуг, не имеющих никакого отношения к футболу. Ярким примером может служить предложение спамерских услуг со слоганом: "массовые рассылки, попадающие точно в цель!". Клиентам предлагались бонусы в том случае, если рассылка будет заказана до 26 июня (день матча между сборными России и Испании), и Россия одержит победу над Испанией. Не остались без внимания спамеров и герои Евро-2008. Приведенное ниже спамовое письмо, имитирующее личное сообщение, на первый взгляд, не содержит в себе никакой рекламной информации. Однако ссылка в письме ведет на сайт, где продаются именные сертификаты на небесные светила. Предложения приобрести такие сертификаты встречались в спаме неоднократно, но в данном случае в рассылке использовалась популярность Гуса Хиддинка, тренера российской сборной по футболу. Привет Серега да ты был прав они назвали звезду в честь Гуса Хиддинка! тренера Российской сборной по футболу re5di {Site} глянь я нашел это сегодня в интернетеp А в последний день месяца пользователи могли видеть англоязычное спамовое письмо, с рекламой сайта, услугами которого якобы пользовались победители футбольного чемпионата. Ссылка вела на страницу с привычным ассортиментом дешевых медикаментов: Спамерские методы и трюки Использование популярных сетевых ресурсов для размещения рекламной информации В начале июня прошла волна спама, в котором ссылки вели на livefilestore, сервер Miсrosoft для бессрочного хранения файлов. Взлом позволил спамерам задействовать множество страниц файлохранилища и использовать ссылки на них в письмах, что увеличивало вероятность прохождения спам-фильтров. При прохождении по указанной в письме ссылке начинал подгружаться зашифрованный JavaScript, который перенаправлял пользователя на сайт с рекламируемым товаром. В качестве пространства для размещения информации был использован и Живой журнал. Ссылки в спамовых письмах вели на одну из его страниц, где располагалась реклама. В обоих случаях нелегитимные рассылки рекламировали лекарственные препараты. Использование доменов экономических групп В Сети существуют специальные домены, предназначенные для регистрации на них компаний, занимающихся определенным родом деятельности. Адреса таких доменов ранее никогда не встречались в спамерских письмах. В июне русскоязычные спамеры впервые использовали такие домены для размещения на них рекламной информации. Так фирма, приглашавшая "вернуться в прошлое", использовала для размещения рекламы домен с суффиксом travel. А в качестве домена второго уровня в адресе стояло название известного интернет-ресурса, что должно было вселять в пользователя уверенность в высоком уровне предоставляемых услуг. MP3-спам на русском языке Осенью 2007 года впервые была опробована спам-рассылка рекламы в MP3-формате. В июне 2008 года этот прием решили опробовать русскоязычные спамеры. Текстовая часть письма у таких писем отсутствовала, но получатель мог узнать предназначенную для него информацию, прослушав прилагающийся к письму MP3-файл. Хотя реклама звучала довольно разборчиво, большой размер письма сделал этот прием не слишком продуктивным. Продолжение экспериментов с графическим спамом В спамовых письмах используются все новые и новые методы искажения текста на картинках. В ряде сообщений информационный текст преподносится в виде волнообразной строки - с расчетом на то, что это затруднит работу спам-фильтров. Cюрпризы для начинающих фишеров В середине месяца мы в очередной раз обнаружили ряд веб-серверов, распространяющих phishing kits - наборы "сделай сам" для неопытных или ленивых фишеров, позволяющие за считанные минуты организовать фишинговую атаку. Набор содержал поддельный веб-сайт, шаблоны писем и систему обработки данных, поступающих от жертв мошенников. Примечательно, что эти наборы, в отличие от большинства других, распространялись бесплатно. Нас не удивил тот факт, что в эти бесплатные киты была встроена "шпионская" компонента - украденные у пользователей данные отправлялись не только организаторам атаки, но и авторам кита. Кроме того, сайт, с которого можно было скачать phishing kit, был заражен вредоносной программой Net-Wotm.Win32.Nimda. Заключение По итогам первого летнего месяца можно предположить, что дальнейший рост доли спама в почтовом трафике летом будет незначительным. Однако рост доли писем с вредоносными вложениями настораживает и заставляет еще раз предупредить о недопустимости легкомысленного отношения к спаму. Отклик на чемпионат Европы по футболу еще раз показал, что спамеры готовы пойти на любые хитрости, чтобы привлечь внимание к своим рассылкам. А эксперименты с формой и содержанием рассылок свидетельствуют о том, что спамеры будут искать новые пути для обхода спам-фильтров, зачастую не считаясь с информативной стороной заказанной им рекламы. Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005