Электронный журнал "Спамтест" No. 418 в этом номере: Новости Спам в марте 2012 г. Спам в Рунете: 2-8 апреля 2012 года Новости Троянский счет за услуги сотовой связи Barracuda Networks зафиксировала новую спам-рассылку, нацеленную на распространение ZeuS с помощью эксплойт-пака Blackhole. Зловредные сообщения написаны от имени Verizon Wireless и уведомляют получателя, что он якобы задолжал оператору 954,19 долл. Для просмотра баланса и оплаты «нового счета» абоненту предлагается пройти по ссылке, указанной в теле письма. предупреждают, что все ссылки в фальшивом послании ведут на страницы с Blackhole. При успешной эксплуатации на машину жертвы загружается вредоносная программа, которая, в свою очередь, загружает одну из новых модификаций ZeuS - ту, что получает команды через р2р-сеть. Судя по скриншоту, приведенному в блогпосте Barracuda, и эксплойты, и загрузчик размещены на домене cyancellular.com. Согласно записи WhoIs, этот домен был зарегистрирован накануне спам-рассылки. Примечательно, что в качестве контакта заявитель указал email, который использовался для регистрации схожих имен, недавно попавших на радары ЛК при анализе аналогичной спам-атаки. Источник: barracudalabs.com Twitter зовет спамеров в суд Twitter Inc. подала в федеральный суд иск, поименовав 2 компании и 5 частных лиц, уличенных в агрессивной продаже спамерского инструментария и рассылке спама на сервисе микроблогов. Руководство компании обвиняет ответчиков в нарушении пользовательского соглашения социального сервиса Twitter, мошенничестве и нечестных методах ведения бизнеса, нарушающих кодекс профессиональной этики штата Калифорния. По свидетельству истца, лицензионные продукты TweetAttacks, TweetAdder и TweetBuddy, которые поставщики позиционируют как легальный софт, призваны обеспечить доступ в обход API Twitter, автоматизированное создание профилей и массовую рассылку твитов, которые докучают легальным пользователям. Помимо этого, держатель веб-сайта TweetBuddy.com Джастин Кларк (Justin Clark) также торговал аккаунтами Twitter и создавал их на заказ. Спамер Джеймс Лусеро (James Lucero) - автор многочисленных рекламных рассылок с темой «как заставить Джастина Бибера стать вашим читателем». Под этим предлогом он заманивал участников Twitter в свои интернет-магазины, используя ротацию ссылок, чтобы не попасть в черные списки. Владелец онлайн-аукциона и платежного сервиса Гарленд Хэррис (Garland E. Harris) создал 129 тыс. профилей, с которых распространял спам со ссылками на сторонние сайты, вводя пользователей в заблуждение относительно их истинного назначения. Истец просит суд пресечь мошенническую деятельность, противоречащую правилам Twitter, и взыскать с ответчиков компенсацию ущерба, причиненного их противоправными действиями. По оценке держателей социального сервиса, дополнительные меры по защите от спама, к которому причастны правонарушители, обошлись им суммарно в 700 тыс. долларов, несмотря на то, что в марте Twitter удалось добиться, чтобы TweetAttacks изъяли из публичного доступа на одноименном сайте. Источник: blog.twitter.com Источник: venturebeat.com Источник: scribd.com МАСМИ: россияне сетуют на спам, порно и вирусы Согласно результатам опроса, проведенного в России агентством маркетинговых исследований МАСМИ, главным злом интернета являются спам и обилие ненужной/неприличной информации. Эти вердикты вынесли 72 и 64% респондентов соответственно. В качестве главной проблемы, с которой они столкнулись в минувшем году, больше половины назвали вирусы и троянские программы. Анкетирование проводилось в рамках действующего проекта The Online Monitor, в нем приняли участие свыше 18 тыс. российских пользователей. Как выяснилось, представительниц прекрасного пола в Рунете больше, чем мужчин: 53% против 47%. Больше половины отечественной аудитории составляют пользователи в возрасте 18-49 лет, проживающие в мегаполисах (32% опрошенных) или городах с численностью населения менее 100 тысяч (27%). 90% участников опроса регулярно пользуются интернетом, причем 26% из них постоянно находятся в онлайн. Чаще всего российские пользователи заняты поиском информации (85%) и почтовой перепиской (84%). 73% опрошенных общаются в социальных сетях, 70% читают новости. Многие прослушивают аудиозаписи, смотрят видео, при этом в 63% случаев без скачивания, в 55% со скачиванием. Из поисковых систем россияне предпочитают Яндекс (55%) и Google (35%). Наиболее распространенными браузерами являются Chrome (36%), Firefox (24%) и Opera (23%); IE используют лишь 13% наших соотечественников. В рейтинге популярности социальных сетей лидирует ВКонтакте (40%), у Одноклассники и Мой Мир почитателей меньше (28 и 13% соответственно), Facebook используют лишь 5%. Источник: 3dnews.ru Gateline.net ― платежный процессор для фармпартнерок По свидетельству известного журналиста и блоггера Брайана Кребса, большинство платежей за фармпрепараты, продвигавшиеся через спам в рамках партнерских программ SpamIt and Rx-Promotion, проводились через платежный шлюз Gateline.net московской компании «Онэлия», предоставляющий процессинговые услуги интернет-магазинам. Бухгалтерские записи почившей SpamIt, утекшие в Сеть, показывают, что администратор Gateline Николай, известный под ником Shaman, получал порядка 8% с продаж в интернет-аптеках этой спамерской партнерки. Щедрые комиссионные порой приносили ему десятки тысяч долларов в неделю, которые отмывались через латышские холдинги или оседали на его личном счету WebMoney. Из приватных бесед администраторов SpamIt и Gateline явствует, что «Шаман» был очень обеспокоен контрольными закупками, которые производили в спамерских интернет-аптеках представители MasterCard, чтобы выявить мошеннические транзакции. SpamIt была не единственным теневым клиентом Gateline. На тот же кошелек WebMoney «Шаману» переводились деньги за обработку платежей для ее конкурента, партнерки Rx-Promotion, деятельность которой Кребс упорно связывает с именем экс-главы ChronoPay Павла Врублевского. По словам Кребса, в настоящий момент Rx-Promotion тоже уже практически распалась. Степень причастности ООО «Онэлия» к теневому фармбизнесу пока не установлена. На сайте Gateline указано, что эта компания специализируется на высокотехнологичных решениях в области онлайн-платежей. Сама «Онэлия» позиционирует себя как разработчика баз данных и информационных систем для туристических организаций. Примечательно, что по ее адресу на Новом Арбате прописана еще одна софтверная компания - ООО УФС («Универсальная Финансовая Система»), торгующая железнодорожными билетами через сайт ufs-online.ru. По данным Кребса, этот сервис стараниями «Шамана» тоже иногда предоставлял процессинговые услуги интернет-аптекам SpamIt. Возглавляет обе новоарбатские компании одно и то же лицо - Рафаэль Хасанович Мухаметшин. Источник: krebsonsecurity.com Китайцам докучает SMS-спам По данным сообщества интернет-индустрии Китая, 22,6% текстовых сообщений, полученных абонентами во второй половине прошлого года, составил спам. Согласно результатам опроса, проведенного этой некоммерческой организацией, местные владельцы мобильных телефонов в среднем получают 11,4 непрошеных SMS в неделю. Большинство из них составляют мошеннические сообщения: 65,2% респондентов получили фальшивое уведомление о выигрыше, 47,1% - извещение о новом счете за услуги сотовой связи, 46,6% поддельное послание из банка. В конце марта министерство ИТ-индустрии Китая запустило трехнедельную кампанию по выявлению сервисов групповой доставки, распространяющих нелегитимные сообщения, и обязало операторов ужесточить фильтрацию спама. По некоторым оценкам, в минувшем году китайцы получили около 100 млрд. спамовых SMS по всей абонентской базе, численность которой составляет 1 миллиард. Для сравнения: по данным Ferris Research, американские абоненты сотовой связи за тот же период получили 4,5 млрд. единиц спама (вдвое больше, чем в 2009 году). Источник: usa.chinadaily.com.cn Спам в марте 2012 г. Мария Наместникова, "Лаборатория Касперского" Март в цифрах Обзор главных событий месяца Статистический обзор Страны — источники спама Вредоносные вложения в почте Распределение срабатываний почтового антивируса по странам ТОP 10 вредоносных программ, распространенных в почте Фишинг Тематические направления в спаме Заключение Март в цифрах Доля спама в почтовом трафике по сравнению с февралем уменьшилась на 3,5% и составила в среднем 75%. Доля фишинговых писем в почтовом потоке по сравнению с февралем снизилась вдвое и составила 0,01%. В марте вредоносные файлы содержались в 2,8% всех электронных сообщений, что соответствует показателю прошлого месяца. Обзор главных событий месяца Hlux/Kelihos - уменьшение доли спама не заставило себя ждать В марте доля спама уменьшилась на 3,5% по сравнению с февралем. Это довольно внушительная цифра, если учитывать, что речь идет об относительных величинах. В абсолютных цифрах это означает, что количество спама по сравнению с прошлым месяцем уменьшилось почти на 20%. Мы связываем это уменьшение с обезвреживанием новой версии ботнета Hlux/Kelihos. Доля спама на неделе с 19 по 25 марта, когда началась операция по обезвреживанию зомби-сети, была самой низкой по итогам месяца - 73,4%. На последней неделе марта, когда было объявлено об успехе операции, доля спама немного увеличилась - до 74,1%, что, вероятно, связано с началом перераспределения спамерских мощностей. Новые уловки во вредоносном спаме Последние годы спамерам, рассылающим вредоносные вложения или ссылки на вредоносный код, приходится регулярно менять тактику. Причина в том, что их задача - спровоцировать пользователя открыть вложение или пройти по ссылке. Если пользователь этого не сделает, спам не принесет рассыльщикам выгоды. Соответственно, вредоносный спам всегда замаскирован под безопасные письма. При этом чем чаще злоумышленники используют один и тот же прием маскировки, тем больше пользователей опознают скрытую под маской опасность, и, как следствие, злоумышленники получают меньше выгоды. Зачастую спамеры, изобретя новую уловку, в течение двух-трех дней проводят быстрые и многочисленные рассылки, стремясь поймать на удочку как можно больше пользователей, прежде чем новый трюк окажется раскрыт. Как правило, чтобы добиться успеха, спамеры играют на любопытстве получателей и/или рассылают письма, подделанные под уведомления, посланные с легитимных сайтов. Ярким примером одного из таких трюков во вредоносном спаме стала рассылка, прошедшая с 20 по 23 марта. Разосланные спамерами сообщения были подделаны под подтверждение о приобретении авиабилета. Использование темы авиабилетов во вредоносных письмах не ново, однако прежде зловред, упакованный в архив, прилагался к сообщению об успешной оплате авиабилета. Спамовые письма из этой рассылки не содержали вложений - вместо этого пользователю предлагалось пройти онлайн-регистрацию на рейс, перейдя по ссылке в письме. После перехода по ссылке на компьютер пользователя устанавливался троянец, который загружал на компьютер нашего старого знакомого - вредоносную программу ZeuS/Zbot. Технические подробности атаки можно прочитать здесь. Атака была окончена 23 марта около 21 часа по Москве. Отметим, что во всех сообщениях, приходивших с 20 по 23 число, предлагалось зарегистрироваться на самолет, вылетающий 20 марта. Этот факт еще раз напоминает о том, что внимательность пользователя находится на первой линии обороны его компьютера. Актуальный спам Темами, использованными в мартовском спаме, стали день святого Патрика, Пасха и выпуск iPad3. В блогпосте, посвященном дню святого Патрика, уже отмечалось, что партнерские программы для привлечения внимания используют всевозможные праздники и другие заметные события. В частности, приводился пример шаблонного спамерского сайта, торгующего репликами часов, который был украшен в праздничном лепреконском стиле. Пасха, как того и следовало ожидать, используется спамерами очень активно. Та же реклама реплик элитных товаров в конце марта стала рассылаться в сообщениях, оформленных в стиле пасхальных открыток. Заметим, что в отличие от рассылок, использующих тему дня святого Патрика, «пасхальные» сообщения не только направляли пользователя на празднично украшенный сайт, но и сами содержали пасхальную атрибутику. В англоязычном «пасхальном» спаме, помимо рекламы реплик элитных товаров, представленных как лучший подарок на Пасху, встречались «нигерийские» поздравления с выигрышем в пасхальную лотерею и предложения различных подарков на весенний праздник. Русскоязычный «пасхальный» спам также содержит много рекламы подарков для родных и близких, а также рекламу пасхальных туров и экскурсий. В отличие от англоязычных сообщений рассылки на русском языке, распространенные в Рунете, не являются партнерскими, а заказаны у спамеров малым и средним бизнесом, который использует спам как средство рекламы. Выпуск нового продукта от Apple - iPad третьего поколения - тоже не остался незамеченным спамерами. Как и в случае с «пасхальными» рассылками, между сообщениями на английском и русском языке были очевидные различия. Так в англоязычном спаме, нацеленном преимущественно на жителей Соединенных Штатов, новинки от Apple используются в основном как сыр в мышеловке. Посулить пользователю бесплатный iPad или iPhone - это широко известный, но, видимо, все еще эффективный способ, который злоумышленники используют, чтобы заставить человека вступить в финансовую пирамиду, перейти по фишинговой или вредоносной ссылке или установить на компьютер рекламную программу. Если месяц назад в таких рассылках получателям обещали в основном iPad2 или iPhone 4S, то сейчас в них активно используется iPad3. В русскоязычном спаме встречаются сообщения, в которых небольшие магазины или даже просто перекупщики в России, на Украине и еще в ряде стран Европы предлагают приобрести новинку или оставить на нее предзаказ. Статистический обзор Страны - источники спама В марте состав Top 20 стран - источников спама опять практически не изменился по сравнению с прошлым месяцем. В ТОР 6 вошли те же страны, что и в феврале, лишь Вьетнам и Корея поменялись местами, заняв четвертое и пятое места соответственно. Доля спама, распространенного в марте с территории Кореи, уменьшилась на 2,3%. Доли остальных стран, входящих в рейтинг, изменились незначительно - в пределах 1,5%. Россия в марте расположилась на 13-й строчке рейтинга. Лидером рейтинга по-прежнему остается Индия, доля которой составила 12,3% (+0,4%). Вредоносные вложения в почте В марте вредоносные файлы содержались в 2,8% всех электронных сообщений, что соответствует показателю прошлого месяца. Распределение срабатываний почтового антивируса по странам Уже третий месяц подряд Соединенные Штаты занимают первую строчку рейтинга стран по срабатыванию почтового антивируса. Доли срабатываний Kaspersky Mail Antivirus на территории США выросла на 1,7% по сравнению с февралем и составила 14,7%. Неожиданно второе место по срабатываниям почтового антивируса заняла Австралия, ее доля выросла более чем в два раза (+6,9%) и составила 12,4%. Третье место, как и в феврале, занимает Гонконг. По сравнению с февралем заметно снизилась доля срабатываний в Германии - на 2,5%. Доля остальных стран рейтинга изменилась в пределах 2%. ТОP 10 вредоносных программ, распространенных в почте 12% всех детектирований Kaspersky Mail Antivirus приходится на традиционного лидера нашего рейтинга -Trojan-Spy.HTML.Fraud.gen. По сравнению с прошлым месяцем доля этого зловреда уменьшилась на 2%. Напомним, что Trojan-Spy.HTML.Fraud.gen - это вредоносная программа, выполненная в виде html-странички в виде регистрационной формы финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам. Использование этого зловреда фактически является одним из приемов фишеров. Почтовые черви Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q и Email-Worm.Win32.NetSky.c по-прежнему остаются в рейтинге и занимают соответственно третье, четвертое, шестое и седьмое места. Почтовые черви обычно наделены нехитрым функционалом: они собирают электронные адреса с зараженных машин и рассылают по ним самих себя. Bagle.gt - единственный червь из десятки, который, помимо этого, может также обращаться к интернет-ресурсам для загрузки оттуда вредоносных программ. Отметим, что поскольку функционал самораспространения червей является бескотрольным, то эти зловреды не используются как оружие для целевых атак. Две вредоносные программы в нашем мартовском рейтинге - это поддельные антивирусы. Зловреды такого типа давно не встречались в TOP 10. Напомним, что основная функция таких зловредов - это вымогательство денег у пользователя зараженного компьютера. Фишинг Доля фишинговых писем в почтовом потоке по сравнению с февралем уменьшилась вдвое и составила 0,01%. Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, - будь то ссылка в спамовом письме или в интернете. В рейтинге категорий организаций, наиболее интересных фишерам, лидируют, как и ранее, финансовые организации. На них приходится почти четверть всех срабатываний антифишинга. Можно отметить стабильность этой категории - с января ее доля практически не изменилась. Да и в целом интересы фишеров мало меняются. По сравнению с февралем самым заметным изменением в рейтинге стало увеличение доли фишинговых атак на пользователей интернет-магазинов на 1%. Доли остальных категорий в рейтинге изменились по сравнению с прошлым месяцем незначительно - в пределах 1%. Тематические направления в спаме Доля традиционного лидера нашего рейтинга, тематики «Образование», уменьшилась на 8,4%. В результате по итогам марта она заняла вторую строчку (16,6%). Несмотря на снижение доли лидирующей категории спама, доля заказного спама в марте увеличилась и практически достигла 60%. Этому способствовало увеличение количества писем других категорий заказного спама. В марте значительно увеличилась доля рекламы недвижимости (+5,9%) и отдыха и путешествий (+3,9%). Кроме того, более чем вдвое (+7,4%) увеличилась доля спама, относящегося к категории «Другие товары и услуги», которая в Рунете состоит в основном из рассылок малого и среднего бизнеса. Доля партнерского спама в Рунете сократилась на 5% и составила треть всех спам-сообщений. Хотя лидирующая тематика партнерского спама - «Медикаменты» - заняла по итогам месяца первую строчку рейтинга (17%), ее доля уменьшилась по сравнению с прошлым месяцем на 2,7%. Доли остальных тематик изменились в пределах 2,5%. Заключение По итогам месяца доля спама снизилась на 3,5%. Мы склонны связывать это уменьшение с успешной операцией по обезвреживанию ботнета Hlux/Kelihos, проведенной при участии специалистов «Лаборатории Касперского». В марте спамеры, рассылающие вредоносный код, пополнили свой арсенал еще несколькими приемами. Спам по-прежнему опасен, несмотря на некоторое снижение доли вредоносных вложений, распространенных в почте в первый весенний месяц. Самыми яркими темами, отраженными в мартовском спаме, стали день святого Патрика, Пасха и выпуск iPad3. Отметим, что тема праздников эксплуатировалась в основном для рекламы различных товаров, в то время как новинка от Apple стала новой приманкой в разнообразных мошеннических рассылках. Как мы и предполагали, доля партнерского спама в Рунете сохраняется на достаточно высоком уровне — около трети всех сообщений. Доля заказного спама по сравнению с февралем увеличилась и практически достигла 60%, однако к лету мы предполагаем уменьшение доли заказных рассылок и, соответственно, рост количества сообщений, содержащих саморекламу спамеров и партнерского спама. Полную версию статьи смотрите на сайте Securelist.com/ru. Спам в Рунете: 2-8 апреля 2012 года "Лаборатория Касперского" Объем и тематические особенности спама Прошедшая неделя оказалась чуть более «урожайной» на спам, чем последняя неделя марта (78% против 74,1%). Распределение спама по тематикам тоже не обошлось без сюрпризов - если сами цифры и не сильно изменились по сравнению с предыдущей неделей, то соотношение тематик поменялось. За счет нескольких рассылок наш обычный «лидер» - тематика «Образование» - уступил первое место «Недвижимости», а реклама фильмов на DVD заняла третье место, потеснив «Медикаменты». Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   21,1%   +4,3%   2   Образование   Реклама семинаров, тренингов, курсов.   18,5%   Изменения незначительны   3   Коллекции фильмов на DVD   Предложения купить фильмы или другую информацию на DVD.   12,1%   Изменения незначительны   4   Другие товары и услуги     12%   Изменения незначительны   5   Медикаменты, товары и услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   9,4%   -6,7%   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,7%   Изменения незначительны   7   Ремонт и благоустройство   Предложения по ремонту и отделке интерьера квартир и домов.   5,7%   -2,7%   8   Транспорт и перевозки   Реклама грузоперевозок и пассажирских перевозок   4,5%   -2,8%   9   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,2%   Изменения незначительны   10   Юридические услуги и аудит   Предложения юридических услуг.   2%   -2,6%   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012