Электронный журнал "Спамтест" No. 436 в этом номере: Новости Спам в августе 2012 года  Новости Grum ― новое фиаско В минувший уикенд ботоводы Grum предприняли очередную попытку оживить свое поверженное детище. Их маневр не остался незамеченным и окончился провалом. Ботнет Grum, недавний лидер по спам-рассылкам, был обезврежен в минувшем июле. Кампанию по его ликвидации пришлось проводить в 2 этапа. Дело в том, что эта зомби-сеть была изначально поделена на сегменты, каждый из которых контролировался отдельной группой C&C серверов. Нейтрализовать все сегменты единым ударом не удалось, ботоводы воспользовались коротким тайм-аутом и перенесли управление спам-операциями к новому хостеру, подняв там новые сервера. Этот маневр был вовремя отслежен, и попытка быстро реанимировать Grum провалилась. В середине сентября активисты Spamhaus вновь забили тревогу: в Турции ожил новый центр управления Grum. Получив это известие, эксперты FireEye проверили турецкий датацентр и обнаружили еще один контроллер. Оба C&C сервера были быстро отключены. К удивлению исследователей, ботоводы не воспользовались своим кратковременным успехом, чтобы возобновить спам-рассылки. FireEye полагает, что они были заняты реорганизацией ботнета и не хотели привлекать внимание к этому процессу. Источник: blog.fireeye.com SMS-мошенник пошел на мировую Приняв условия мирового соглашения, распространитель мошеннических SMS заплатит 500 тыс. долл. в казну штата Нью-Йорк. Как показало расследование, калифорнийская компания Game Theory LLC распространяла текстовый спам с целью заинтриговать получателя и заставить его подписаться на платные услуги. Это могло быть анонимное сообщение о тайном поклоннике, о новом письме или необычной диете, которую якобы прислал некий доброжелатель. Тем, кто хотел удовлетворить свое любопытство, предлагалось выслать ответ, набрав слово «yes». После отправки такой SMS абонента автоматически подписывали на рекламную рассылку, за которую с его счета ежемесячно списывалось около 10 долл. Эта позиция в текущих счетах скромно именовалась «premium content» или «direct-bill charge» («переменные расходы»). По оценке следователей, с конца мая по начало июля 2011 г. Game Theory разослала свыше 150 тыс. мошеннических SMS-сообщений. Помимо уплаты штрафа, провинившаяся компания обязалась пересмотреть свои методы ведения бизнеса. Правда, пока велось расследование, на Game Theory нашелся покупатель. Тем не менее, по уверениям прокуратуры, это не освобождает участника мирового соглашения от принятых в его рамках обязательств. Источник: timesunion.com Источник: nypost.com Symantec: спама стало больше По данным Symantec, в августе уровень спама в почтовом трафике поднялся [pdf] на 4,7 процентных пункта и составил 72,3%. Больше прочих от спама страдали жители Саудовской Аравии (83,3%), а в разделении по сферам хозяйственной деятельности ― образовательные учреждения (75,6%). Свыше четверти нелегитимных писем рассылалось из Саудовской Аравии, 15,2% ― из Индии. Наиболее популярной темой у спамеров являлась реклама порноресурсов и сайтов знакомств: доля этой категории в общем объеме почтового мусора почти удвоилась и составила 42,51%. Вклад фармаспама также значительно увеличился ― в 2,5 раза, до 32,61%. В общей массе TLD-доменов, присутствующих в спамерских ссылках, по-прежнему преобладает зона .com (64,6%). Бразильский национальный домен выбыл из четверки лидеров, уступив место .info; российский сохранил третью позицию, но снизил свой показатель до 7,0%. Коротких спам-писем (до 5 КБ), как и объемных (свыше 10 КБ), стало меньше, хотя на долю первых все еще приходится 44,3% почтового мусора. Вклад фишеров в почтовый трафик в минувшем месяце увеличился на 0,109 процентных пункта и составил 0,32% (1 письмо на 312,9). Наиболее высокие уровни фишинга наблюдались в Голландии (1 письмо на 122,6), а в разделении по отраслям ― в госсекторе (1 на 83,1). Основными источниками фишинговых атак являлись США (37,3% от общего количества), Великобритания (28,9%) и Новая Зеландия (15,9%). Общее число фишинговых сайтов, обнаруженных Symantec, выросло на 9,44%. При этом количество ловушек, созданных автоматизированными средствами, уменьшилось на 7%, хотя их доля в общем объеме все еще велика. Неанглоязычные имитации стали встречаться реже: их присутствие в Сети, по данным компании, сократилось в полтора раза. Такие сайты ориентированы, в основном, на носителей португальского, французского, итальянского и китайского языков. Размещать свои ловушки фишеры по-прежнему предпочитают в США (52% от общего количества), Германии (6,0%) и Великобритании (4,1%). Их основные мишени ― сервисы электронной коммерции (39% имитаций), информационные порталы (32%) и системы онлайн-банкинга (27%). Уровень вредоносного спама в почтовой корреспонденции снизился на 0,14 процентных пункта ― до 0,4% (1 письмо на 233,1). При этом заметно сократились потоки писем с вредоносными ссылками, их доля в общем объеме зловредных посланий в августе составила лишь 19,6%, что на 6,9 пункта меньше, чем в июле. Больше прочих от вредоносного спама страдали голландцы (1 письмо на 107,7) и британцы (1 на 115,1), а также правительственные организации (1 на 54,0). Больше половины писем, нацеленных на распространение зловредов, исходило с территории Великобритании, 23,3% ― из США. Источник: symantec.com Спамеры предлагают японцам шпиона Symantec наблюдает мощный всплеск спам-рассылок на территории Японии. Спамеры рекламируют шпионскую программу, выдавая ее за безобидные приложения для Android. По оценке экспертов, количество получателей непрошеных писем увеличивается день ото дня в геометрической прогрессии. Масштабная спам-кампания широко обсуждается в японских социальных сетях и на форумах. Некоторые участники этих дискуссий жалуются, что реклама ― сплошной обман, ибо Android-приложение не работает, как заявлено. На самом деле это не так, комментирует Symantec: программа, выдаваемая за полезную, прекрасно справляется со своей задачей ― ворует контакты жертвы и отправляет их хозяевам, чтобы те могли продолжать спам-рассылки. Symantec обнаружила данного зловреда в минувшем месяце и детектирует его как Android.Sumzand. Вирусописатели стараются подавать своего шпиона под разными соусами. Недавно он был переименован в четвертый раз и теперь упоминается в спам-письмах как Sun Charger. Это имя перекликается с Solar Charger ― популярной программой-шуткой, которая якобы подзаряжает мобильное устройство, если его повернуть экраном к солнцу. Авторы Sumzand позаимствовали у Solar Charger и картинки, которые воспроизводятся пользователю при установке и запуске приложения. Содержимое спам-писем, продвигающих Sumzand под разными именами, неизменно, за исключением самого имени и URL, с которого предлагается скачать рекламируемый продукт. Адреса отправителя более разнообразны, но все привязаны к одному и тому же хорошо известному домену. Страницы, открываемые по спамерским ссылкам для загрузки многоликого Sumzand, весьма схожи и размещены на множестве сайтов. Иконки, устанавливаемые на рабочий стол после инсталляции, отличаются большим разнообразием, а в коде зловреда меняется лишь URL, на который ему надлежит отсылать свою добычу. Эксперты также отмечают, что, увлекшись дизайном, авторы Sumzand, похоже, не уделили должного внимания его защите: разноименные приложения без проблем опознаются антивирусами как вредоносные. Источник: symantec.com Спам в августе 2012 года "Лаборатория Касперского" Август в цифрах Главные темы спама Политический спам Статистический обзор Фишинг Заключение Август в цифрах Доля спама в почтовом трафике по сравнению с июлем уменьшилась на 1,6% и составила в среднем 70,2%. Доля фишинговых писем в почтовом потоке по сравнению с июлем осталась неизменной и составила 0,01%. В августе вредоносные файлы содержались в 3,9% всех электронных сообщений. Главные темы спама Конец лета — самый опасный период Летом в спам-бизнесе затишье: заказчики спама менее активны, так как многим из них невыгодно тратить средства на рекламу своих товаров и услуг в сезон отпусков. Как следствие спам в летний период значительно криминализируется, доля рекламы нелегальных товаров, распространяемых через партнерские программы, в нем растет, равно как и доля мошеннических сообщений и писем, содержащих вредоносный код. Одновременно спамеры усиленно рекламируют свои услуги и услуги других представителей киберпреступного бизнеса. В августе криминальная спам-активность достигает своего пика. Рост доли вредоносных вложений Доля вредоносных вложений в почте заметно увеличилась еще в июле, — тогда такие сообщения составили 4,5% от всего почтового трафика. В августе этот показатель снизился, но ненамного — до 3,9%. Для распространения вредоносных вложений злоумышленники использовали большой набор уловок. Обычно из всех трюков выделялись 2-3 наиболее активно используемые распространителями зловредов, в последний же месяц лета такие популярные трюки были весьма многочисленны. Из новинок в спамерском арсенале отметим прием, который раньше использовали исключительно фишеры: спамеры угрожают пользователю блокированием банковской карточки, чтобы заставить его скачать вложение, в котором якобы указаны подробности. К недавним «находкам» спамеров относится рассылка поддельных уведомлений о бронировании гостиницы. Этот прием появился в июне и использовался в течение всех летних месяцев. Отметим, что в августе в почтовом трафике практически не было поддельных электронных билетов на рейсы различных авиакомпаний. Использовались и такие приманки, которые были рассчитаны на тревожное любопытство пользователя. К ним относятся короткие письма такого рода: «Ваша транзакция прошла успешно. Подробности во вложении», «Во вложении вы найдете отсканированный счет–фактуру». На самом же деле во вложениях находились зловреды. Не остались без внимания и старые приемчики, такие как электронные открытки, сообщения о не доставленной крупной почтовой компанией посылке или поддельные письма от Google о получении резюме от соискателя. При таком обилии приемов запутались и сами злоумышленники: на рисунке выше (правый нижний угол) можно заметить, что в письме, имитирующем сообщение о недоставке посылки компанией DHL, в поле From указан Booking.com, а в сообщении якобы от Bank of America (слева) в адресе отправителя указан Fedex. Такие конфузы часто встречались в спам-потоках августа. Использование легальных сервисов Злоумышленники уже давно используют легальные сервисы для проведения мошеннических рассылок. Но размещая свои материалы на легальных площадках, спамеры не могут не знать, что группы по разбору инцидентов реагируют быстро, после чего подозрительный контент удаляется. С другой стороны, у легальных бесплатных сервисов множество достоинств: они доступны и бесплатны абсолютно для всех, в том числе для спамеров; используя ссылки на легальные ресурсы, проще обойти антиспам защиту, а пользователь меньше колеблется, проходя по ссылке, если она ведет на знакомую ему площадку. В августе мы вновь отмечали фишинговые сообщения, основной спамерский контент которых находился на сервисе google.docs. Появилась и новинка в этом сегменте мошеннических писем: нигерийские спамеры стали рассылать свои сообщения с использованием Yahoo-календаря. Такого рода письма не просто содержат ссылку на легальный сервис, но и отправлены с его помощью, в результате технические заголовки спамерского сообщения совершенно легальны. Надо отметить, что с технической точки зрения такой прием мало отличается от рассылки сообщений с открытых почтовых сервисов, таких как mail.google.com или mail.ru. Реклама киберпреступников Помимо саморекламы спамеров, в спам-потоках августа встречались сообщения, рекламирующие услуги и других представителей киберкриминального бизнеса. Особо отметим рассылку с предложением заработать на обналичивании копий банковских карточек. Мошенники прибегают к услугам третьих лиц, чтобы снять в банкомате наличность по поддельным картам. Заработок, предлагаемый в спаме, часто именно в этом и заключается, но, как правило, открыто об этом в спам-письме не говорится. Часто встречались письма с предложениями купить базы адресов различных регионов: от европейских стран до Ирана. Предложения купить базы адресов для рассылки спама на территории тех государств, где спам редко используется, уже появлялись в потоках мусорной почты во время кризиса 2008-2009 годов. Можно говорить о том, что такие предложения косвенно свидетельствуют об экономических трудностях в сфере спам-бизнеса. Политический спам В то время как в Соединенных Штатах президент Барак Обама стал самой упоминаемой в спаме личностью, в России, напротив, в политическом спаме настало затишье. После активного распространения политических спам-рассылок во время крупных протестных акций с конца 2011 года до весны 2012 нынешнее молчание спамеров приятно удивляет. Несмотря на то что политическая жизнь России насыщена событиями, в спаме они не нашли отражения. Единственное событие, которому в августе была посвящена спамерская рассылка, — выборы в Координационный совет протестного движения. Одно из политических объединений, чьи кандидаты баллотируются в Совет, разослало подробнейший манифест, содержащий информацию о том, за каких кандидатов и по какой причине должны проголосовать пользователи. В остальном же имена политиков и политические события упоминались исключительно в традиционных рекламных спамерских рассылках. Так, для привлечения внимания имя действующего президента России было упомянуто в теме сообщения с рекламой реплик элитных часов. Интересно, что практически такая же рассылка распространялась и на английском языке с призывом купить «часы как у Обамы». Статистический обзор Страны — источники спама В рейтинге стран — источников спама в русскоязычном сегменте интернета, представленном ниже, остались неизменными два лидера. На первом месте — Индия (+7,1%), на втором — Вьетнам (-0,15%). Германия, располагавшаяся по итогам июля на третьем месте, спустилась сразу на пять строчек вниз (-2,7%). В результате Корея и Китай (по -0,3%), занимавшие в июле четвертое и пятое места соответственно, поднялись на более высокие позиции. Замкнула пятерку лидеров Индонезия, с территории которой было разослано 3,8% спама, что на 0,5% меньше, чем в прошлом месяце. Итак, пятерку лидеров среди стран — источников спама в Рунете составляют исключительно азиатские страны. Вклад других стран в спам в русскоязычном сегменте интернета по сравнению с июлем изменился незначительно — в пределах 1%. Позиция России в рейтинге осталась прежней, хотя доля спама, полученного пользователями Рунета с ее территории, уменьшилась на 0,8%. Казахстан сместился с десятого места на девятое, хотя показатель этой страны практически не изменился. В мировом масштабе лидерство среди стран — источников спама вернулось к Китаю (31,5%). Второе место занимают США (15,7%), а на третьем остается Индия (12,4%). Вредоносные вложения в почте В августе вредоносные файлы содержались в 3,9% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца. Распределение срабатываний почтового антивируса по странам В рейтинге стран по срабатыванию почтового антивируса уже восьмой месяц подряд лидируют США. Однако в августе доля срабатываний Kaspersky Mail Antivirus на территории этой страны уменьшилась почти на 3%. Доля срабатываний нашего почтового антивируса на территории Германии практически не изменилась по сравнению с прошлым месяцем, и эта страна вновь занимает вторую строчку рейтинга. Отметим значительный рост доли срабатываний почтового антивируса на территории Австралии (+2,8%) и Вьетнама (+2,4%). Эти страны заняли четвертую и пятую строчки рейтинга соответственно, опередив Великобританию, показатель которой практически не изменился по сравнению с июлем. Изменения долей остальных стран рейтинга не превышают 1,5%. ТОP 10 вредоносных программ, распространенных в почте По итогам августа доля детектирований почтовым антивирусом традиционного лидера нашего рейтинга Trojan-Spy.HTML.Fraud.gen увеличилась более чем в полтора раза. Иными словами, среди детектируемых нами вредоносных программ по итогам августа в почте стало в полтора раза больше сообщений с вложенными фишинговыми html-страницами, имитирующими регистрационные формы финансовых организаций или каких-либо онлайн-сервисов. На втором месте в рейтинге почтовый червь Email-Worm.Win32.Bagle.gt, снабженный помимо стандартного функционала почтовых червей (сбор электронных адресов на зараженном компьютере и рассылка по ним самого себя) возможностью обращаться в интернет и загружать на компьютер пользователя другие вредоносные программы. Его более простые «братья», ограниченные стандартным функционалом, — Mydoom.m и Mydoom.l — занимают четвертую и десятую строчки соответственно. Появившиеся в рейтинге в июне программы семейства Androm по итогам августа буквально наводнили ТОР 10 самых детектируемых в почте вредоносных программ: пять из представленных выше зловредов относятся именно к этому семейству. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы. Фишинг Доля фишинговых писем в почтовом потоке по сравнению с июлем осталась неизменной и составила 0,01%. Рейтинг категорий атакованных фишерами организаций не изменился по сравнению с прошлым месяцем. Все чаще атакуются социальные сети (+1%), снова начало расти число атак на финансовые организации (+1,5%). Доля фишинговых атак на интернет-магазины уменьшилась более чем на 1,5%. Заключение В августе, как мы и предполагали ранее, спам был сильно криминализирован. Сентябрь в этом отношении обещает быть более спокойным. Восстановление бизнес-активности приведет к уменьшению числа партнерских, в том числе и вредоносных, рассылок. Незначительные изменения в распределении долей фишинговых атак по итогам августа объясняются тем, что август является для фишеров переходным месяцем: с одной стороны, под их прицелом остаются школьники и студенты, проводящие во время каникул много времени в Сети, и соответственно, интерес фишеров к социальным сетям все еще высок. С другой стороны, к концу месяца начинает восстанавливаться деловая активность, и в фокусе внимания злоумышленников снова оказываются финансовые организации. Мы прогнозируем, что в сентябре рост процента атак на банковский сектор продолжится, в то время как интерес фишеров к социальным сетям несколько упадет. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012