Электронный журнал "Спамтест" No. 309 в этом номере: Новости Спам-статистика за период 30 ноября – 6 декабря 2009 г. Новости Опасные прививки С начала декабря эксперты наблюдают всплеск спам-рассылок с ботнета Pushdo, посвященных эпидемии свиного гриппа и нацеленных на распространение нового варианта Zbot на территории США. Фальшивые извещения написаны от имени органа государственного санэпиднадзора США, Centers For Disease Control And Prevention (CDC). В них сообщается о проведении всеобщей вакцинации от гриппа H1N1 (что, разумеется, фикция), в связи с чем американским гражданам якобы надлежит заполнить на сайте CDC форму индивидуального учета. Указанная в письме ссылка ведет на сайт-подделку, где при попытке пользователя скачать инструкцию по заполнению формы индивидуального учета на компьютер пользователя загружается троянский файл. В первые часы атаки AppRiver регистрировала в среднем 18 тыс. сообщений в минуту (более 1 млн. в час). На вторые сутки производительность спамботов снизилась почти наполовину, но количество заблокированных сообщений все равно было внушительным — около 13 млн. за сутки. По имеющимся сведениям, в этой кибератаке задействовано более 30 доменов, которые были зарегистрированы в зонах .be и .im (остров Мэн) за неделю до начала спам-рассылок. Они привязаны к 135 IP-адресам, размещенным на территории Колумбии, Бразилии, Индии, Малайзии, Чили и Аргентины. Вредоносный файл vacc_profile.exe вначале плохо детектировался антивирусами, а на второй день атаки его определяла уже половина из списка VirusTotal. Антивирус Касперского опознал его как Packed.Win32.Krap.ae. На случай, если осмотрительный пользователь откажется скачивать «инструкции» с поддельной страницы CDC, злоумышленники предусмотрели резервный способ заражения. Страница содержит iFrame-редирект, запускающий эксплойты для уязвимостей Adobe Reader and Flash Player. Источник:H1N1 Vaccination Profile – A path to infection Источник:Botnet continues massive H1N1 malware campaign Источник:Bots Using H1N1 Fear to Distribute Malware Источник:Pushdo Now Delivering Flu Vaccinations Источник:Zeus Trojan Catches Swine Flu Рождественских подарков от спамеров не будет? В преддверии Рождества в британском секторе интернета были закрыты более 1200 онлайн-магазинов, торговавших фальшивыми предметами роскоши по бросовым ценам. Операцию Papworth («Дешевка») возглавило недавно образованное Центральное полицейское подразделение по борьбе с электронными преступлениями (Central e-Crime Unit, PCeU). В ней также приняли участие британский регистратор Nominet и Управление добросовестной торговли Великобритании (Office of Fair Trading). Выявленные в ходе расследования мошеннические ресурсы предлагали большие скидки на авторские модели одежды, обуви, ювелирных украшений, которые на поверку оказывались дешевыми подделками. Нередко покупатели, прельстившись низкими ценами и оформив заказ, вообще ничего не получали. Как выяснилось, подавляющее большинство этих интернет-магазинов были оформлены в зоне .uk по заявкам из Азии. Во многих случаях регистрационные данные оказались недостоверными или откровенно фальшивыми. Британские органы правопорядка не только прикрыли мошеннические сайты, но и лишили их владельцев возможности повторной регистрации. Источник:UK police take down fake designer goods sites Вебмастер, помогите фишеру! Эксперты университета Алабамы, г.Бирмингем, зафиксировали масштабную фишинговую атаку, нацеленную на получение административного доступа к сайтам клиентов крупнейших веб-хостингов. В мошенническом уведомлении, распространяемом от имени произвольного хостера, пользователя ставят в известность о ремонтно-профилактических работах, якобы проводимых на сервисе. Используя этот незамысловатый предлог, злоумышленники просят адресата «оказать любезность» и подтвердить регистрационные данные к ftp-аккаунту. Активация ссылки, приведенной в письме, открывает поддельную страницу авторизации в cPanel — популярной системе управления веб-контентом, применяемой многими хостинг-провайдерами. После ввода ftp-идентификаторов посетитель перенаправляется на сайт хостера, указанного в заголовке и теле мошеннического письма. Похищенные таким образом данные позволяют злоумышленникам, не прибегая к взлому, размещать свой контент на легальном сайте. По свидетельству экспертов, текст мошеннических писем неизменен, меняется только имя хостинг-провайдера. Злоумышленники используют более 90 имен, в число которых входят такие известные сервисы, как GoDaddy, MasterHost, eNom, EarthLink, ThePlanet и Yahoo. Поддельные страницы cPanel размещены на доменах, зарегистрированных в зоне .uk. Судя по сходству доменных имен, эти веб-страницы были созданы фишерской группировкой Avalanche. Источник:Webmasters Targeted by CPANEL phish Источник:Phishers angling for Web site administrators Источник:Attack Attempts to Hijack Yahoo Hosting Customers’ Websites Trusteer об эффективности фишинговых атак Согласно расчетам компании Trusteer, фишинговые сайты ежегодно посещают немногим более 1% пользователей системы интернет-банкинга, но их беспечность может стоить банкам более 9 миллионов долларов в год. Современные спам- и фишинг-фильтры, а также банковские системы защиты от фишинга успешно отражают большинство атак, предпринимаемых фишерами. Частная компания Trusteer, специализирующаяся на обеспечении безопасности онлайн-транзакций, попыталась определить результативность фишинговых посланий, которые по тем или иным причинам все же достигли адресата. Опубликованная Trusteer статистика основана на результатах анализа данных, собранных за 3 месяца на внутреннем сервисе Rapport. Этот сервис в настоящее время обслуживает более 3 млн. клиентов 10 крупнейших банков США и Европы. Браузерные плагины Rapport, установленные на стороне клиента, позволяют осуществлять мониторинг фишинговых атак и регистрировать попытки посещения фишинговых страниц и ввода персональных данных. В отчетный период эксперты регистрировали в среднем 16 активных фишинговых страниц в неделю, с помощью которых злоумышленники пытались атаковать клиентов конкретной финансовой организации. Следовательно, за год каждый брэнд может быть атакован 832 раза. На каждую поддельную страницу, указанную ссылкой в фишинговом письме, пытались зайти немногим более 12 из миллиона пользователей соответствующего банковского сервиса, что эквивалентно 1,04% клиентов в год. Как выяснилось, половина посетителей фишинговых страниц готовы последовать инструкциям злоумышленников и ввести требуемые реквизиты. Это означает, что за год в руках фишеров окажутся 4,7 тыс. идентификаторов, облегчающих доступ к счетам атакуемого банка. Если все они будут использованы для кражи денежных средств, годовые потери банка могут составить от 2,4 до 9,4 млн. долларов в пересчете на миллион пользователей. Источник:Trusteer Reports that Half of Online Banking Users Who Click on Phishing E-mails Lose their Login Credentials Источник:How many people fall victim to phishing attacks? Источник:Measuring the Effectiveness of In-the-Wild Phishing Attacks Cisco о старых и новых угрозах Согласно прогнозу Cisco, в будущем году глобальные объемы спама увеличатся на 30-40%. Следует также ожидать, что любители легкой наживы закрепят свой успех в социальных сетях, а фишеры сделают выбор в пользу троянских помощников. Эксперты отмечают, что в уходящем году до 90% спам-рассылок были нетаргетированными и проводились, в основном, с использованием ботнетов. В ноябре Cisco регистрировала до 250 млн. спамовых сообщений в сутки. Источники спама постепенно перемещаются на территорию стран с формирующейся рыночной экономикой, вклад которых в спам-трафик уже достиг 55%. За год потоки спама из Бразилии, Индии, Вьетнама увеличились в несколько раз, а из США, Китая, Турции и России уменьшились на 20-40%. По оценкам Cisco, рост числа уязвимостей и новых угроз в этом году был весьма умеренным, однако количество сетевых атак увеличилось на 57%. В настоящее время вредоносным является 1 из 600 загружаемых из сети pdf-файлов, 1 из 2000 яваскрипт-файлов и 1 из 3000 флэш-файлов. Эти показатели могут показаться весьма скромными, но широкое использование соответствующих приложений заставляет считаться с угрозой заражения по этим каналам. Взлет популярности социальных сетей и освоение этих сервисов бизнес-структурами привлекли к ним повышенное внимание сетевого андерграунда. Такие угрозы, как Koobface (Net-Worm.Win32.Koobface), заразивший более 3 млн. компьютеров, демонстрируют высокую эффективность кибератак на этом поприще, перспективность которого вполне осознали сетевые злоумышленники. За последние несколько месяцев атаки с использованием троянских программ, крадущих персональную информацию, приобрели особый размах. По оценкам, количество ПК, зараженных каким-либо из многочисленных вариантов Zbot (Trojan-Spy.Win32.Zbot), достигло 3,6 млн., а армия Clampi (Backdoor.Win32.Clampi) насчитывает сотни тысяч боевых единиц. Использование троянцев для получения доступа к онлайн-счетам оказалось более результативным, чем традиционный фишинг. По мнению экспертов, последний становится неблагодарным занятием с расширением внедрения эффективных механизмов идентификации и блокирования поддельных веб-сайтов. Уменьшается также количество кибератак, проводимых по IM-каналам. DDoS-атаки преимущественно используются как средство политического давления. А такие проверенные криминальные методы, как лже-антивирусы, шпионские программы, накрутка рейтинга контекстной рекламы (click fraud), «нигерийское» мошенничество и фармаспам, исправно приносят дивиденды злоумышленникам и не скоро сойдут со сцены. Источник:Cisco 2009 Annual Security Report Источник:Brazil: The New Spam King Источник:Social Network and Banking Scams Are on the Rise, Says Cisco Спам-статистика за период 30 ноября – 6 декабря 2009 г. Дарья Бронникова, "Лаборатория Касперского" Спам-статистика за период 30 ноября – 6 декабря 2009 г Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 83,4%. Тематическое распределение спама на прошлой неделе претерпело заметные изменения. Увеличились доли рубрик «Образование» (+2,2%) и «Отдых и путешествия (+2,4%). Уменьшилось количество спама тематик «Медикаменты; товары/услуги для здоровья» (-4,4%), «Реплики элитных товаров» (-2,6%). Колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   21,9%   +2,2%   2   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   16,9%   +2,4%   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   10,2%   -4,4%   4   Другие товары и услуги   Предложения других товаров и услуг.   9,1%   +0,6%   5   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   7,8%   -0,2%   6   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   7,4%   -0,7%   7   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   6,8%   -2,6%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   5,7%   Без изменений   9   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,5%   +1,5%   10   Юридические услуги и аудит   Предложения юридических услуг.   3,2%   +0,4%   11   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,5%   Без изменений   12   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,3%   +0,9%   13   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,0%   -0,3%   14   Остальной спам     Менее 2%   +0,1%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009