Электронный журнал "Спамтест" No. 439 в этом номере: Новости Спам в сентябре 2012 г. Новости Скайперов атакуют фишеры и Dorkbot Обнаружены новые спам-рассылки, ориентированные на пользователей Skype. Одна из них проводится по каналам электронной почты и нацелена на сбор регистрационных данных в Skype. Другая, более масштабная, раздает зловредов через ссылки в текстовых сообщениях, распространяемых по Skype. Письма фишеров замаскированы под извещение Skype и используют логотип этой службы. Получателя уведомляют, что замена пароля якобы прошла успешно, а если “что-то выглядит не так”, можно восстановить прежний, перейдя по ссылке. Последняя ведет на поддельную страницу регистрации в Skype, запрашивающую логин и пароль. Вредоносное сообщение, распространяемое по Skype, вопрошает: “is this your new profile pic?” (“Это что - новая картинка к твоему профилю?”). Русскоязычные пользователи могут также получить сообщение вида “ey eto vasha novaya kartina profil’?ваш_ник” При активации сопровождающей его ссылки на компьютер пользователя загружается новый вариант червя из семейства Dorkbot, оно же NgrBot. Этот зловред подгружает модуль-блокировщик, который шифрует файлы и требует 200 долл. в качестве выкупа. Анализ компонентов нового Dorkbot, проводимый Trend Micro, показал, что у червя появился еще один модуль, который позволяет осуществлять накрутку кликов (click fraud). По словам экспертов, семейство Dorkbot известно с 2011 года и ранее занималось исключительно кражей персональных идентификаторов. Источник: hoax-slayer.com Источник: v3.co.uk Источник: virusblokada.blog.tut.by ’Пангея-5’. Итоги Очередной этап борьбы с неконтролируемым сбытом медикаментов в интернете, проводимой в рамках трансграничной операции “Пангея”, завершился с рекордными результатами. Закрыто 18 тыс. сайтов, связанных с теневой ”фармой”, произведено 79 арестов, изъято 3,75 млн. потенциально опасных препаратов на общую сумму 10,5 млн. долл. Число стран-участниц тоже увеличилось - до 100 против 81 в прошлом году. Национальные рейды ghjdjlbkbcm в течение недели, с 25 сентября по 2 октября. Под удар попали все звенья подпольного фармбизнеса: торговые точки, платежные системы, изготовители, поставщики и, конечно, “партнерки”, продвигающие контрафактные лекарства и доморощенные снадобья через спам-рассылки. В совместной операции приняли участие правоохранительные органы, работники таможни и служб меднадзора. Координацию всех действий в рамках “Пангея-5” осуществлял Интерпол при поддержке Всемирной таможенной организации, Постоянного форума по международной преступности в области фармацевтики (Permanent Forum on International Pharmaceutical Crime, PFIPC), специализированной рабочей группы глав европейских агентств по лекарственным средствам (Heads of Medicines Agencies Working Group of Enforcement Officers, HMA WGEO), Института фармацевтической безопасности (Pharmaceutical Security Institute) и Европола. В международной акции принял также участие недавно учрежденный Центр безопасных интернет-аптек (Center for Safe Internet Pharmacies, CSIP), объединивший 12 ведущих интернет-провайдеров и е-коммерсантов, таких как American Express, eNom, GoDaddy, Google, MasterCard, Microsoft, PayPal, Visa, и Yahoo. На базе CSIP уже создан веб-сайт safemedsonline.org, публикующий списки нелицензированных интернет-аптек. Операция «Пангея» была запущена 5 лет назад. Каждую осень ее участники получают новые материалы, анализ которых позволяет ограничить деятельность ОПГ, занимающихся изготовлением и сбытом непатентованных фармацевтических препаратов. Тем не менее, инициаторы этих масштабных кампаний признают, что подобные мероприятия - лишь частичное решение проблемы. Не менее важно, чтобы рядовые пользователи осознали риски, связанные с покупкой лекарств на черном рынке. Эти товары зачастую неэффективны, некачественны и могут нанести непоправимый ущерб здоровью. Источник: interpol.int В Рунете появился новый SMS flooder Болгарский блогер и исследователь Данчо Данчев обнаружил в интернете русскоязычную рекламу нового инструмента для проведения flood-атак по SMS-каналам. Приложение выполнено по типу конструктора (DIY, do-it-yourself - “сделай сам”) и использует общедоступные российские службы отправки текстовых сообщений. Судя по рекламному описанию, данный продукт способен атаковать большое число абонентских номеров и поддерживает 23 публичных SMS-сервиса, размещенных преимущественно в российском секторе интернета. Эти сервисы не требуют регистрации и не лимитируют количество исходящих сообщений. Управлять таким SMS flooder’ом можно c помощью ICQ-бота. Оплату продавцы просят производить через WebMoney в долларовом эквиваленте. Данчев отмечает, что находки такого рода - не редкость. Приложения-конструкторы, способные зафлудить любой телефонный номер, пользуются большим спросом на черном рынке, этот сегмент растет быстрыми темпами и все больше профессионализируется. Исследователь полагает, что подобные продукты и сервисы стали множиться в связи с освоением банками такой меры безопасности, как рассылка SMS-уведомлений о движении средств на клиентских счетах. Направив SMS flood на номер жертвы, мошенники получают дополнительный шанс беспрепятственно выкачать деньги с ее счета: сообщение банка о несанкционированной транзакции просто потеряется в потоке текстового мусора. Источник: blog.webroot.com Websense: целевые атаки намного опаснее, чем простой спам С конца сентября Websense наблюдает всплеск целевых спам-рассылок, призванных внедрить ZeuS в корпоративные сети. По свидетельству экспертов, эти письма, распространяемые малым тиражом, выглядят вполне легитимно и используют темы, ставшие неотъемлемой частью корпоративного обихода: заказ на поставку, расценки, сроки поставок. Все они снабжены вложением, которое содержит руткит-версию ZeuS. Вложенный файл имеет формат rar или zip, реже exe. При загрузке зловред для отвода глаз воспроизводит некий pdf-документ. Данный вариант ZeuS плохо детектится, и Websense обнаружила его, когда стала анализировать письма, попавшие в карантин на ее облачном сервисе Cloud Email Security. После загрузки троянец пытается связаться с центрами управления, которые, как определили эксперты, хостятся в сетях Google, VeriSign, Akamai, Adobe, а также в Индии, Чехии и Голландии. Источник: community.websense.com MS о спаме в I полугодии 2012 В январе-июне аутсорсинговые сервисы Microsoft Exchange Online Protection (бывш. Forefront Online Protection for Exchange, FOPE) заблокировали [pdf] несколько меньше спама, чем в предыдущем полугодии. Уровень спама в корпоративной почте по-прежнему низок и составляет около 75%. Половина нелегитимных посланий, отсеянных защитными фильтрами MS, рекламировали медицинские препараты, 12,1% - прочие товары. “Нигерийские” письма составили 9,1% спама, что на 1,6 пункта меньше, чем во 2-й половине прошлого года. На долю фишерских посланий пришлось 3,7% мусорного трафика, вредоносных писем и предложений финансовой помощи - по 4,9%. В январе спамеры предприняли короткую, но масштабную рекламную акцию в поддержку игорного бизнеса. В этом месяце доля казино-спама составила 7,0%, а к июню снизилась до 4,1%. В феврале был зафиксирован аналогичный всплеск графического спама, доля которого на протяжении всего полугодия не превышала 3,1%. Вклад фишинговых писем в общий спам-трафик колебался от 3,1 до 3,9%, однако в июне возрос до 5,4%. Масштабных рассылок, инициированных фишерами, в отчетный период не обнаружено. Месячная норма поддельных сайтов, как и попыток их посещения в минувшем полугодии практически не изменялась, хотя в мае был отмечен кратковременный рост числа активных ловушек. Срок жизни большинства фишинговых сайтов составляет несколько дней, однако они быстро заменяются новыми, посему их популяция из месяца в месяц остается практически неизменной. Главной мишенью фишеров по-прежнему являются финансовые организации. В конце февраля эксперты зафиксировали кратковременную, но мощную фишинговую кампанию, ориентированную на пользователей социальных сетей. В итоговой статистике MS по фишинговым сайтам за март-апрель эта мишень занимает ведущую позицию. Наибольшее число попыток перехода на страницы, имитирующие социальные сервисы, было заблокировано в апреле. В минувшем полугодии Microsoft изменила методику подсчета общего числа хостов в регионах, посему география ‘горячих точек’ фишерской активности несколько изменилась. Глобальный показатель концентрации ловушек, созданных фишерами, в 1-м квартале составил 1,6 на 1000 хостов, во 2-м - 1,8 на 1000. Эксперты отметили, что фишеры далеко не всегда размещают свои подделки в странах с большим числом зарегистрированных хостов. Например, США, мировой лидер по количеству интернет-ресурсов, их привлекают меньше, чем Румыния или Россия (2,9, 3,8 и 3,4 фиш-сайта на 1000 соответственно). В Китае, который занимает 2 место по общему числу хостов, концентрация сайтов-ловушек значительно меньше - 0,6 на 1000. Источник: download.microsoft.com [pdf] Спам в сентябре 2012 г. Мария Наместникова, "Лаборатория Касперского" Сентябрь в цифрах Главные темы спама Мошенничество в спаме Праздник к нам приходит? Горячие темы Статистический обзор Страны — источники спама Вредоносные вложения в почте Фишинг Заключение Сентябрь в цифрах Доля спама в почтовом трафике по сравнению с августом увеличилась на 2,3% и составила в среднем 72,5%. Доля фишинговых писем в почтовом потоке по сравнению с августом увеличилась втрое и составила 0,03%. В сентябре вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца. Главные темы спама Мошенничество в спаме В спаме, по сравнению с августом, стало меньше вредоносных и мошеннических рассылок. Однако наблюдались мошеннические рассылки, в которых использовались новые приемы социальной инженерии. Нефтегазовое мошенничество Среди традиционных мошеннических писем, сообщающих о выигрыше в лотерее, были зафиксированы сообщения, использующие имя крупнейшей в России газодобывающей компании — Газпрома. Нехитрый текст сообщения гласил, что пользователь выиграл 920 000$ и, чтобы получить деньги, должен позвонить по указанному телефону. Напомним, что при лотерейном мошенничестве злоумышленники обычно запрашивают комиссию за перевод выигрыша, которого, конечно, не существует. Отметим также, что сообщение было составлено на английском языке. Газпром — не единственная российская компания «засветившаяся» в мошенническом спаме в сентябре. Лукойл также показался мошенникам хорошей наживкой для пользователей. Типичные спамерские сообщения, предлагающие дистанционную работу и приличный доход, уверяли, что согласившийся пользователь будет работать не просто на «некую крупную компанию», но на Лукойл. Очевидно, этот трюк был призван повысить степень доверия пользователя к рассылке. На деле, разумеется, упоминание крупной российской нефтяной компании — только прикрытие. Такие рассылки призваны включить пользователей в незаконные схемы отмывания денег, зачастую, даже без их ведома. «Работой» оказывается процессинг денег с указанных «работодателями» счетов на счет пользователя и далее на счета третьих лиц. Пользователю этот процесс выдается, например, за работу интернет-магазина, на деле же это процессинг денег с краденых или компрометированных пластиковых карточек. Интересно, что в поле отправителя письма в обоих случаях указан домен mail.com, что наводит на мысль о едином источнике обеих рассылок. Напрашивается также вывод, что спамер — выходец из бывшего СССР, поскольку в своих англоязычных посланиях он использовал названия российских компаний. Подчеркнем, что спамеры могут прикрываться в своих посланиях абсолютно любыми известными брендами или именами ради того, чтобы добиться большего отклика на свои рассылки. Упоминание крупной компании в спамерском послании не делает сообщение безопасным. Мишель Обама vs. Асма Асад Подтверждением того, что спамеры могут прикрываться абсолютно любыми знаменитыми личностями в своих мошеннических сообщениях, служит сообщение, написанное от имени жены действующего американского президента — Мишель Обамы, которая пишет пользователю о том, что он получит выплату от фонда Белого Дома. Это типичное лотерейное сообщение привлекло наше внимание не только тем, что «автор» его — Мишель Обама. Интересно наблюдать, как спамеры учитывают общественное мнение о тех или иных известных личностях. Так, начиная с апреля, мы фиксируем в спам-потоках сообщения «от Асмы Асад» — жены Башара Асада — сирийского лидера. Однако в отличие от сообщения, подписанного «Мишель Обамой», письма «от первой леди Сирии» сообщают не о получении выплаты от фонда, а о баснословных средствах, которые необходимо вывести за границу. Спамеры понимают, что с точки зрения пользователя, было бы странно предполагать, что член семьи американского президента попытается вывести за границу какие-то подозрительные деньги, а вот выплаты от фонда, опекаемого первой леди США, никого не удивят. С женой же сирийского президента обратная картина — пользователь скорее почувствует подвох, если увидит в своем почтовом ящике сообщение о благотворительности из Сирии, чем о попытке вывести за границу краденое. Само сообщение не может не поразить воображение полем «от». Отправителем письма значится World Wide Web Owner. Это забавно, так как равнозначно ситуации, в которой пользователь получает письмо от некоего мифического владельца интернета, ведь World Wide Web — это WWW. Идем дальше и видим, что доменная зона, в которой расположен почтовый ящик владельца интернета — .ru. Как следует из письма, этот самый сферический владелец всея интернета пишет от имени Мишель Обамы. Почтовый ящик самой «Мишель», указанный в поле «Отправитель» совсем уж замечателен: начать с того, что начинается он буквенным сочетанием “missnadia”, что раскладывается на Miss Nadia. Трудно представить, что Мишель Обама взяла себе для электронного почтового ящика такой странный псевдоним. Непросто также объяснить, почему этот почтовый ящик заведен на китайском yahoo. Ну и совершенно немыслимо, чтобы первая леди США отправляла с такого почтового ящика официальные письма о распределении своего фонда. Быстрокредиты Опасность новой волны кризиса породила множество мошеннических фирм, предлагающих быстрые кредиты всем желающим. Рекламу таких «благодетелей» можно увидеть во всех российских городах на рекламных щитах или объявлениях, расклеенных на остановках и столбах. Все эти кредиты выдаются под несправедливо большой процент, а компании, их выдающие, и права-то на такую деятельность не имеют. Весьма часто такие «конторки» являются заказчиками спамерских рассылок. Обычно их рассылки не блещут оригинальностью и по содержанию похожи на те же, расклеенные у метро, объявления: «Получите кредит без согласования! Быстро! Просто! Телефон:…» В сентябре, однако, мы получили необычную рассылку такого рода. Письма были написаны якобы от имени управляющего одного из московских банков. Автор письма сообщает, что работает последний день и в честь такого дела готов одобрить кредит каждому, кто немедленно подаст заявку. В повторном сообщении сказано, что банк не справился с огромным количеством поступивших накануне запросов, однако те, кто успел в день Х отправить свою заявку и не получил ответа, все равно получат вожделенный кредит. Отметим, что банк, чье имя использовалось в рассылке, оперативно разместил на своем официальном сайте предупреждение о том, что его именем пользуются мошенники. Купонная история продолжается Как мы и ожидали, тема купонов становится все популярнее у злоумышленников. В сентябре мы фиксировали рассылки, содержащие ссылки на зараженные сайты. Сами сообщения были похожи на легитимную почту Groupon, подкачало только поле «Отправитель», которое не имеет ничего общего с купонным сервисом. Праздник к нам приходит? Новогодние рассылки по традиции начинаются в октябре. Обычно сначала мы фиксируем сообщения на английском, немецком и других европейских языках. Этот год стал исключением из этих правил. Уже в сентябре мы зафиксировали первую рассылку, эксплуатирующую тему новогодних праздников, и эта рассылка была на русском языке. Интересно отметить, что приглашение на московскую новогоднюю елку пришло с киевского электронного адреса. Горячие темы В сентябре много шума наделало видео, размещенное на сервисе Youtube, — «Невинность мусульман». В России это видео стало даже поводом к закрытию Youtube в некоторых областях. Сторонники этого видео старательно распространяли его, в том числе и через спам. Мы ожидали увидеть под видом ссылок на это видео ссылки на зараженные сайты. Как ни странно, наши ожидания не оправдались, в зафиксированных нами рассылках с этим видео не было вредоносного кода или опасных ссылок. Отметим, что все зафиксированные нами сообщения были на английском языке. Статистический обзор Страны — источники спама В рейтинге стран — источников спама в русскоязычном сегменте интернета, представленном ниже, уже третий месяц подряд не изменяется пара лидеров. На первом месте — Индия (-9,4%) на втором — Вьетнам (-2,8%). Самый заметный рост доли спама, распространенного с территории государства, показала Германия, вернувшаяся к июльскому результату как по доле спама, распространенного с ее территории, так и по месту в рейтинге (3-е место и 5,3% спама). Заметно увеличилась доля спама, распространенного в Рунете с территории США (+2,6%) и Испании (+2,3%), в результате эти страны заняли пятую и десятую строчки соответственно. Вклад других стран в спам в русскоязычном сегменте интернета по сравнению с июлем изменился незначительно — в пределах 1%. Россия в рейтинге сместилась на одну строчку вниз, доля спама, полученного пользователями Рунета с ее территории, увеличилась на 0,1%. Казахстан сместился с девятого места на тринадцатое, доля спама, распространенного с территории этой страны, сократилась на 0,7%. В мировом масштабе лидерство среди стран — источников спама осталось у Китая (26,4%). Второе место занимают США (12,5%), Индия остается на третьем (10,1%). Вредоносные вложения в почте В сентябре вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца. Распределение срабатываний почтового антивируса по странам В рейтинге стран по срабатыванию почтового антивируса произошли кардинальные изменения. США, лидировавшие в этом рейтинге восемь месяцев подряд, неожиданно сместились сразу на восьмую строчку. Доля детектирований нашего почтового антивируса, приходящаяся на эту страну, уменьшилась на 6,9%. Одновременно почти на 6% возросла доля срабатываний почтового антивируса на территории Германии. Эта страна с большим отрывом вырвалась вперед по доле срабатываний почтового антивируса. Занимающая второе место в рейтинге Испания отстает от лидера на 6,4%. Надо отметить, что доля Испании в рейтинге увеличилась более чем на 4%. Третье место в рейтинге заняла Россия, доля срабатываний на ее территории также заметно увеличилась (+5,4%). Почти на 2% стала больше доля срабатываний почтового антивируса на территории Индии. В то же время, уменьшилась доля срабатываний MAV на территории Великобритании. Изменения долей остальных стран рейтинга не превышают 1,5%. ТОP 10 вредоносных программ, распространенных в почте По итогам сентября доля детектирований почтовым антивирусом традиционного лидера нашего рейтинга Trojan-Spy.HTML.Fraud.gen резко сократилась. Эта вредоносная программа даже не вошла в ТОР 10. На первом месте в рейтинге расположился зловред Backdoor.Win32.Androm.kv, а на шестом — другая вредоносная программа того же семейства модификации Androm.ib. Напомним, что вредоносные программы этого семейства появились в ТОР 10 самых часто детектируемых нашим почтовым антивирусом программ в июне, и все лето они оставались в числе популярных в почте зловредов. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы, в том числе спам-боты. Почтовые черви Email-Worm.Win32.Bagle.gt, Email-Worm.Mydoom.m и Mydoom.l занимают второе, третье и четвертое места соответственно. Напомним, что стандартный функционал почтовых червей заключается в сборе электронных адресов на зараженном компьютере и рассылке по ним самого себя, Bagle.gt единственный из трех зловредов снабженный дополнительным функционалом — возможностью обращаться в интернет и загружать на компьютер пользователя другие вредоносные программы. Четыре из десяти самых популярных в почте программ относятся к семейству Trojan-Ransom.Win32.PornoAsset — это программы вымогатели, блокирующие операционную систему и требующие заплатить деньги за разблокировку. Заметим, что даже после выплаты «выкупа» система не будет разблокирована, поэтому пользователю не стоит идти на поводу спамеров, а имеет смысл обратиться за помощью к специалистам, которые объяснят, как разблокировать систему. Фишинг Доля фишинговых писем в почтовом потоке по сравнению с августом увеличилась втрое и составила 0,03%. Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете. Вопреки нашим ожиданиям, доля атак на социальные сети в сентябре не уменьшилась. Эта категория организаций все еще занимает первое место по популярности у фишеров, доля атак на нее подросла незначительно — на 0,1%. Доля атак на финансовые организации уменьшилась на 3,6%, что также не соответствует нашим прогнозам. Вероятно, снижение доли атак на банки и финансовые организации связано, в том числе, с усилиями таких организаций по защите своих клиентов и введению дополнительных защитных технологий и технологий авторизации. Заключение В сентябре, как мы и прогнозировали, количество вредоносных и мошеннических рассылок в спаме несколько уменьшилось, так как закончился сезон отпусков, выросла деловая активность, и у спамеров стало больше заказов со стороны малого и среднего бизнеса. Вредоносные файлы содержались в 3,4% всех электронных сообщений, что на 0,5% ниже показателя прошлого месяца. Тем не менее, в спам-потоках наблюдались мошеннические рассылки, в которых использовались новые приемы социальной инженерии. В сентябре мы зафиксировали первую рассылку, посвященную Новому году. Обычно такие рассылки появляются лишь в октябре, но этот год стал исключением. В следующие месяцы доля таких сообщений вырастет, и новогодние и рождественские сообщения станут разнообразнее. В рейтинге стран по срабатыванию почтового антивируса по итогам сентября произошли кардинальные изменения. США, лидировавшие восемь месяцев подряд, неожиданно сдали позиции: доля детектирований нашего почтового антивируса, приходящаяся на эту страну, уменьшилась на 6,9%. Изменения коснулись и рейтинга наиболее часто детектируемых почтовым антивирусом программ: традиционный лидер нашего рейтинга Trojan-Spy.HTML.Fraud.gen резко сдал свои позиции и даже не вошел в ТОР 10. Распределение фишинговых атак по категориям организаций не соответствует нашим прогнозам на сентябрь: доля атак на социальные сети не сократилась, и, вопреки нашим ожиданиям стало меньше атак на финансовые организации. Вероятно, снижение доли атак на банки и финансовые организации связано, в том числе, с усилиями таких организаций по защите своих клиентов и введению дополнительных защитных технологий и технологий авторизации. Тем не менее, снижение интереса фишеров к банковскому сектору может носить лишь временный характер, так как в случае успеха именно такие атаки приносят злоумышленникам наибольший доход. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012