Электронный журнал "Спамтест" No. 442 в этом номере: Новости Спам в третьем квартале   Новости Россияне будут бороться с фишингом всем миром CERT-GIB, российский центр быстрого реагирования на компьютерные инциденты, созданный на базе Group-IB, объявил о запуске краудсорсинг-проекта Antiphishing.ru в помощь борцам с фишингом и зловредами в Сети. Главной задачей нового ресурса является оперативный сбор и обработка информации о подозрительных сайтах, при этом предполагается, что сигналить о нарушениях будут сами пользователи. Проверка подозрительного URL или IP-адреса средствами Antiphishing.ru осуществляется следующим образом. Пользователь загружает адрес или группу адресов через веб-интерфейс, система поводит автоматизированный сбор дополнительной информации и подвергает ее тщательной обработке. По итогам анализа выносится решение о дальнейшей судьбе соответствующих ресурсов. Предполагается также, что все данные об абьюзах и их инициаторах, собранные через антифишинговый сайт, будут передаваться в правоохранительные органы, чтобы злоумышленники не ушли от ответа. Авторы нового проекта надеются, что принцип краудсорсинга, положенный в его основу, позволит значительно увеличить объемы оперативной информации и, как следствие, повысить эффективность работы CERT. В реализации Antiphishing.ru приняли участие такие компании, как Яндекс, Web of Trust и Mail.Ru Group. Новая инициатива осуществлена при поддержке Координационного центра доменов RU/РФ. Источник: group-ib.ru Commtouch о спаме в III квартале 2012 По данным Commtouch, уровень спама в почтовой корреспонденции в июле-сентябре опустился на 2 процентных пункта и составил 74%, что эквивалентно 87 млрд. мусорных сообщений в сутки. В июле были отключены все командные серверы ботнета Grum, крупнейшего игрока на спам-арене. В итоге дневная норма почтового мусора сразу снизилась до 51 млрд. писем, активность глобальной зомби-армии тоже упала. К сожалению, этот эффект оказался кратковременным. Количество фармаспама в общем объеме мусорной почты уменьшилось почти на 10 процентных пунктов – до 31,5%, однако эта категория по-прежнему лидирует в тематическом рейтинге от Commtouch. Второе место по итогам III квартала заняла реклама биостимуляторов для мужчин (25,8%), доля которой выросла на 10%. Совокупный вклад рекламы порноресурсов и сайтов знакомств в спам-трафик также увеличился – до 11,6%. Потоки реплика-спама сократились до 6,4%, рекламы средств для похудания и фишинговых посланий остались примерно на том же уровне (7,9 и 3,8% соответственно). Дневная норма спам-писем с вредоносными вложениями в среднем составила 1,9 млрд. На долю “нигерийских” писем в минувшем квартале пришлось 4,7%, чуть больше, чем в предыдущем. Активность мошенников этого профиля подстегнуло знаменательное событие – Олимпийские игры. “Нигерийцы” предлагали пользователям поучаствовать в мифических лотереях, купить товары с олимпийской символикой, наняться на работу и, как всегда, выманивали деньги в оплату непонятных “административных расходов”. Список доменов в адресах отправителя, подделываемых спамерами, вновь возглавил gmail.com, на долю которого в отчетный период пришлось 23%. Второе место уверенно занял домен yahoo.com (14%), способный составить конкуренцию лидеру в совокупности со своим японским сервисом yahoo.co.jp (суммарно 24%). Рейтинг стран по количеству зомби-компьютеров, распространяющих спам, по-прежнему возглавляет Индия. Ее вклад в глобальное число заражений этого рода в настоящее время составляет 20,85%. Россия занимает в этом непочетном списке 5-ю строчку (4,54%) – после Вьетнама, Китая и Бразилии. Источник: commtouch.com Lethic жив и здравствует Компания Fortinet разгадала секрет жизнестойкости Lethic, основного поставщика спама в современном интернете. Одноименный ботнет, специализирующийся на рассылке нелегитимной рекламы фармпрепаратов и часов престижных марок, впервые был замечен и подвергнут анализу в конце 2009 г. Несмотря на попытку оперативно пресечь деятельность Lethic силами интернет-провайдеров, зловред быстро обжил Западную Европу и Россию и уже 2,5 года неизменно участвует в рейтингах наиболее активных спамботов. По свидетельству Fortinet, сам троянец достаточно примитивен и не способен обеспечивать высокую производительность. Он использует зараженную машину как слегка доработанный почтовый релей, перенаправляя информацию, полученную с C&C, на публичный mail-сервер. Адрес центра управления жестко прописан в коде бота и меняется с появлением новых вариантов. Lethic общается со своим контроллером, используя TCP-протокол; IP-адрес целевого почтовика или имя хоста, как и номер порта, сообщаются боту в виде команды. Данная схема не очень эффективна, так как трафик, создаваемый C&C сервером, сравним с потоками, исходящими с каждого бота. Чтобы обеспечить бесперебойную работу всей инфраструктуры, ботоводам пришлось разбить ее на множество мелких бот-сетей. Такая организация, а также частая смена C&C адресов помогают Lethic выживать в условиях комплексной борьбы со спамом и ботнетами. Для сокращения популяции данного зловреда Microsoft внесла соответствующие сигнатуры в базу MSRT – средства удаления вредоносных программ, обновляемого через штатный апдейтер Windows. В настоящее время у Lethic мало конкурентов; в октябре он, по данным Trustwave, уверенно возглавлял список лидеров по спам-рассылкам, опережая действующие модификации Cutwail. К концу месяца на его долю приходилось 41% почтового мусора, на долю двух версий Cutwail – лишь 27%. Источник: blog.fortiguard.com Спам как средство маркетинга в Австралии не прокатит Транспортная компания-дискаунтер Tiger Airways, работающая в Азиатско-тихоокеанском регионе, оштрафована на 110 тыс. долл. (114 долл. США) за нарушение австралийского закона о спаме. Расследование, проведенное правительственным контролером ACMA (Australian Communications and Media Authority) по жалобам пользователей, подтвердило, что авиакомпания распространяла свою рекламу на территории Австралии, игнорируя отказы, заявленные через кнопку “unsubscribe”. Местный закон о спаме запрещает проводить коммерческие рассылки без функциональной опции отказа от подписки. Рекламная спам-кампания продолжалась даже после того, как Tiger Airways получила от ACMA несколько предупреждений. Теперь правонарушителю придется уплатить штраф и заняться приведением в соответствие маркетинговой политики и механизмов обратной связи с подписчиками. В 2011-12 финансовом году количество жалоб на спам, поданных в австралийский надзорный орган, в 6 раз превысило прежний показатель. За этот период ACMA сделал 4,2 тыс. замечаний, 7 официальных предупреждений, а в 3 случаях передал дело в суд. Источник: blog.fortiguard.com Источник: computerworld.com.au Троянская бронь Trend Micro обнаружила поддельные уведомления немецкой службы бронирования отелей, нацеленные на распространение троянских программ. Зловредные спам-сообщения написаны от имени веб-службы hotel.de и оформлены как подтверждение брони на одноместный номер в 5-звездочном комплексе Brenner’s Park-Hotel & Spa. Фальшивка выглядит очень убедительно, однако эксперты справедливо заметили, что спамеры явно не в ладах с географией: в качестве местоположения отеля они указали Австрию, хотя в действительности Brenner’s Park находится в центре Баден-Бадена, т.е. в Германии. Полгода назад аналогичные письма распространялись на английском языке, используя имя booking.com. Вредоносный zip-файл, прикрепленный к спамерскому письму, Trend Micro опознала как модульный Windows-бот Andromeda, он же Gamarue. Данный зловред подключается к C&C серверу, используя 6 fast-flux доменов, включая российские и польские. Он способен загружать и запускать на исполнение дополнительные файлы, использует механизмы анти-VM защиты и работает на 32- и 64-битной платформах. Из 6 доменов, обнаруженных в списке Andromeda, попавшего на радары Trend Micro, 5 оказались неактивными. Шестой, привязанный к зоне .pl, экспертам удалось нейтрализовать с помощью местной CERT, группы быстрого реагирования на компьютерные инциденты. Взломанный сайт, с которого зловред пытался загрузить плагины, принадлежит австралийской организации, работающей в сфере здравоохранения. Trend Micro удалось также определить географический разброс жертв данной спам-кампании. Наибольшее количество заражений обнаружено в Германии (30,19%) и Австралии (25,54%). В значительной мере пострадали Сингапур (11,18%) и Италия (8,71%), в меньшей степени – Франция, Тайвань (по 2,03%), Индия и Турция (по 1,89%). Источник: blog.trendmicro.com Британские киберкопы поймали фишеров В Лондоне по подозрению в кибермошенничестве и отмывании денег задержаны нигериец и 2 румына. Аресты произведены в рамках совместной операции 2-х ключевых спецслужб Великобритании – Центрального полицейского подразделения по борьбе с электронными преступлениями (PCeU) и агентства по борьбе с организованной преступностью (SOCA). Согласно данным расследования, криминальное трио разместило в интернете свыше 2 тыс. фишинговых страниц, имитирующих ресурсы разных банков. Персональные идентификаторы, оставляемые посетителями на этих страницах, злоумышленники использовали для вывода денег с их счетов. У задержанных изъята компьютерная техника, которую теперь изучают специалисты. Пока ее владельцы ожидают допросов, полиция проводит обыски в других районах Лондона и в центральных графствах Великобритании. Источник: content.met.police.uk Спам в третьем квартале 2012 "Лаборатория Касперского" Цифры квартала Особенности периода: политика и религия в спаме Новые рекламные площадки: плюсы и минусы Уменьшение доли спама «Серые зоны» рассылок Вредоносные подделки под сообщения купонных сервисов Вредоносные рассылки: разнообразие Статистика Вредоносные вложения в почте Распределение срабатываний почтового антивируса по странам ТОP 10 вредоносных программ, распространенных в почте Размер спамовых писем Распределение источников спама по странам и регионам Фишинг Заключение и прогнозы Цифры квартала Доля спама в третьем квартале уменьшилась на 2,8% и составила 71,5%. Доля писем с вредоносными вложениями увеличилась на 0,9% и составила 3,9%. 27% фишинговых атак приходится на социальные сети. 26,7% всего спама было отправлено из США. Особенности периода: политика и религия в спаме Самой популярной личностью в спаме третьего квартала 2012 вновь стал американский президент Барак Обама. Его имя упоминалось в письмах на самые разные темы: от банальной рекламы «часов как у президента» до разоблачения президентской администрации и призываов к американским гражданам бороться с политикой действующего президента (как правило, в таких призывах содержались также просьбы пожертвовать деньги на эту борьбу). Были замечены также мошеннические и вредоносные рассылки, использующие имя президента США. К концу сентября количество англоязычных рассылок, призывающих американских граждан сменить политиче ский курс страны, увеличилось. Видимо, сказалось начало предвыборной гонки: выборы президента США пройдут 6 ноября 2012 г. В сообщениях встречалась и критика деятельности Барака Обамы, и призывы голосовать за другого кандидата — Митта Ромни. Стоит отметить, что в США под юрисдикцию закона против спама (CAN-SPAM Act 2003) подпадают только коммерческие рассылки (рекламного характера), политические же массовые письма законодательно спамом не считаются. Мошенники также использовали популярность Барака Обамы в своих целях. Причем в мошеннических письмах можно было увидеть не только имя президента США, но и имя его жены, Мишель Обамы. Рассылая письма от имени первой леди, нигерийские мошенники пытались втереться в доверие к пользователям: в письме «Мишель Обама» обещает миллионы долларов тем, кто пришлет «ей» свои адреса, номера телефонов и 240 долларов. В этом квартале кроме политического спама мы наблюдали и религиозный. Именно в спаме распространялись ссылки на размещенный на сайте YouTube ролик со скандально известным фильмом «Невинность мусульман». Интересно, что обычно злоумышленники просто эксплуатируют интерес пользователя к горячим темам и ссылки в подобных письмах ведут на вредоносные ресурсы, и однако в данном случае ссылки в письмах действительно вели на ролик на YouTube, никакие вредоносные программы c помощью этой рассылки не распространялись. Тем не менее некоторые злоумышленники все-таки воспользовались скандалом вокруг фильма в своих целях, разослав вредоносные письма в стиле горячих новостей. Ссылки в письмах вели на взломанный сайт с дальнейшей переадресацией на вредоносный ресурс pillsearnings.nl. На этот же ресурс вела и ссылка в другой части той же рассылки использующей имя американского президента и тему выборов. Новые рекламные площадки: плюсы и минусы Уменьшение доли спама В прошлом квартале мы уже отмечали, что реклама мигрирует из спама на другие площадки: баннеры, социальные сети, контекстную рекламу, купонные сервисы. В третьем квартале эта тенденция сохранилась, и доля спама в почтовом трафике сократилась еще на 2,8%. На графике заметно характерное для лета уменьшение доли спама и небольшой рост этого показателя в сентябре. Осенью такой рост наблюдается почти каждый год: заканчиваются отпуска, люди больше времени проводят в интернете, и рекламодатели пытаются дать больше рекламы, в том числе в спаме. И все же отчетливо видна общая тенденция к уменьшению доли спама. «Серые зоны» рассылок В последнее время в Сети появилось много разнообразных купонных (скидочных) сервисов — интернет-проектов, которые предоставляют пользователям так называемые коллективные скидки. Такие сервисы пользуются спросом во всем мире и оттягивают рекламодателей из спама. С одной стороны, это положительный процесс. С другой — не все такие сервисы рассылают собственную рекламу корректно с точки зрения закона. В результате возникают так называемые «серые зоны» рассылок. Некоторые купонные сервисы рассылают спам, чтобы раскручивать себя и привлекать новых клиентов, для чего часть рассылок идет и подписчикам, и по гораздо более широкой базе адресов. А ведь если получатель не подписывался на рассылку, она является спамом, даже если помимо прямой рекламы товара она содержит новости, статьи по теме и любую другую релевантную информацию. Более того, любой человек может подать в суд на такого рассыльщика. В России существует Статья 18 ФЗ «О Рекламе», в которой, в частности, говорится: «Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено». Практически во всех странах существуют аналогичные статьи, а иногда даже специальные законы о спаме. То есть любой человек может подать в суд на нечестного рекламодателя, приславшего ему спам. И если в случае классического спама, где отправитель анонимен, найти и привлечь к ответственности нарушителя закона действительно сложно, то в случае с подобными «серыми зонами» найти ответчика гораздо проще. Вредоносные подделки под сообщения купонных сервисов Возрастающую популярность новых легальных рекламных площадок спамеры используют в своих целях. В первую очередь, рассылая вредоносные письма, подделанные под различные официальные уведомления. Все больше становится вредоносного спама — подделок под уведомления купонных сервисов. Мы уже поднимали тему использования купонов в спаме в отчете за второй квартал 2012 г. Вернуться к купонному спаму нас заставило появление в спам-потоках вредоносных рассылок — подделок под сообщения от крупнейшего купонного сервиса Groupon. Мы ожидали появления такого спама, поскольку купоны очень популярны у пользователей, а купонные сервисы пользуются их доверием. Письма от купонных сервисов — идеальная маскировка для рассылки зловредов. Первая зафиксированная нами подобная рассылка прошла в июле. Тогда к сообщению, имитирующему уведомление о новой акции крупнейшего купонного сервиса, был приложен zip-архив, содержащий исполняемый файл Gift coupon.exe. На деле файл был вредоносной программой Trojan.Win32.Yakes.aigd. Все ссылки в письмах с вредоносными вложениями вели на сайт Groupon, на котором никаких опасных объектов не было. Очевидно, это был трюк, использованный злоумышленниками, чтобы вызвать доверие пользователя. Совсем иная ситуация с вредоносными сообщениями, зафиксированными нами в сентябре. В новой рассылке якобы от Groupon не было вложений, однако все ссылки через несколько переадресаций вели на вредоносный ресурс с эксплойтами. Как мы уже отмечали выше, появление вредоносного спама, использующего тему купонов, было вполне ожидаемо, поскольку такие сервисы пользуются большой популярностью. В связи с этим хотелось бы предупредить пользователей: во-первых, купонные сервисы никогда не вкладывают файлы-вложения в свои письма, особенно в виде zip-архивов или исполняемых файлов. во-вторых, пользователь, прежде чем перейти по ссылке в письме, всегда может и должен убедиться в том, что письмо, выдаваемое за рассылку известного сервиса, хотя бы имеет соответствующего отправителя в поле from, и все ссылки ведут именно туда, куда заявлено (проверить это можно, наведя курсор на ссылку). Практические советы на эту тему можно прочитать на нашем сайте. Вредоносные рассылки: разнообразие Надо отметить, что в этом квартале мы наблюдали огромное разнообразие вредоносных рассылок. Практически все они маскировались под официальные уведомления: в наших спам-потоках мы встречали поддельные письма от хостингов, банковских систем, социальных сетей, онлайн-магазинов и других сервисов. Интересно, что если в прошлом квартале наибольшей популярностью у злоумышленников пользовались уведомления о приобретении авиабилетов, то в этом чаще встречались поддельные уведомления о бронировании гостиниц. В некоторых случаях злоумышленники объединяли два приема социальной инженерии: чтобы заставить пользователя пройти по ссылке, в поддельных уведомлениях популярного ресурса упоминался некий приз. При таком количестве и качестве подделок с вредоносными ссылками пользователям следует быть еще более внимательными: любое письмо может оказаться опасным! Статистика Вредоносные вложения в почте Хотя в течение всего третьего квартала доля вредоносных вложений в почтовом трафике уменьшалась, по итогам квартала средний процент писем, содержавших вредоносные вложения, увеличился на 0,9 пункта по сравнению с предыдущим кварталом и составил 3,9%. Распределение срабатываний почтового антивируса по странам Самым заметным изменением в рейтинге стран по срабатыванию почтового антивируса по итогам Q3, бесспорно, является выход на первое место Германии (+3,8%). США, лидировавшие в этом рейтинге восемь месяцев подряд, в сентябре неожиданно сместились сразу на восьмую строчку, что повлияло и на итоги квартала. В результате по сравнению с прошлым кварталом доля США уменьшилась на 5,2 пункта, и они заняли вторую строчку, незначительно отстав от лидера. На 1,7 пунктов снизилась доля Великобритании (пятая строка рейтинга), и на 1,6 пунктов — Италии, не вошедшей в ТОР 10. Изменения долей остальных стран рейтинга не превышают 1,5%. Любопытно выглядит динамика рассылки вредоносного кода на территории Вьетнама и Австралии: на протяжении всего квартала показатели этих стран практически совпадали. ТОP 10 вредоносных программ, распространенных в почте Несмотря на то что по итогам сентября доля детектирований почтовым антивирусом традиционного лидера нашего рейтинга Trojan-Spy.HTML.Fraud.gen резко сократилась, по результатам квартала этот зловред занял первую строчку, с большим отрывом обогнав другие программы. Более пятой части всех детектирований почтового антивируса в третьем квартале 2012 года пришлось на эту программу. Напомним, что Trojan-Spy.HTML.Fraud.gen — это вредоносная программа, выполненная в виде html-странички с регистрационной формой финансовой организации или какого-либо онлайн-сервиса. Регистрационные данные, введенные на такой страничке, отправляются злоумышленникам. Использование этого зловреда является одним из приемов фишеров. Почтовые черви Bagle.gt, Mydoom.m и Mydoom.l занимают в рейтинге второе, третье и четвертое места соответственно, поотстал от своих соратников червь Netsky.q — он занимает шестую строчку рейтинга. Напомним, что стандартный функционал почтовых червей заключается в сборе электронных адресов на зараженном компьютере и рассылке по ним самих себя. Bagle.gt — единственный из четырех зловредов, который снабжен дополнительным функционалом: он может обращаться к интернету и загружать на компьютер пользователя другие вредоносные программы. Появившиеся в рейтинге в июне программы семейства Androm сохраняли свои позиции все лето, а в сентябре один из представителей этого семейства — Androm.kv — занял первую строчку рейтинга. По итогам третьего квартала эта модификация оказалась на пятой строчке рейтинга. Еще один представитель этого семейства расположился на последнем месте в рейтинге. Эти зловреды, установившись в систему пользователя, загружают из интернета другие вредоносные программы, в том числе спам-боты. На седьмом месте расположился зловред Trojan-Ransom.Win32.PornoAsset.aauh — это программа-вымогатель, блокирующая операционную систему и требующая у пользователя заплатить за разблокирование. Такие программы были в числе наиболее заметных в сентябре: четыре программы из TOP 10 за первый осенний месяц были представителями именно этого семейства. Размер спамовых писем В третьем квартале 2012 г., как обычно, в спаме преобладали очень короткие письма (1 КБ и меньше). Как правило, в теле таких писем находится одна короткая фраза и ссылка на сайт, куда, по замыслу спамеров, должен попасть пользователь. В сентябре мы отметили увеличение количества чуть более объемных писем (2-5 КБ). Это связано с тем, что осенью увеличивается количество заказного спама малого и среднего бизнеса: такой спам, как правило, содержит больше информации в теле письма. Партнерский же спам непременно должен содержать ссылку, так как доход спамера зависит от количества пользователей, прошедших по разосланной им ссылке. Распределение источников спама по странам и регионам В третьем квартале существенно выросла доля спам-писем, разосланных из Китая(+6,7%) и США (+15%). Суммарно эти две страны ответственны более чем за половину мирового спама. Доля остальных стран уменьшилась относительно пропорционально. Спам из Китая рассылался в основном в страны APAC и в Западную Европу, спам из США активно распространялся по Американскому континенту и также по странам APAC. Что касается Восточной Европы, то наибольшее количество спама приходило туда из Индии и Вьетнама. Из Индии спам активно рассылался и в Западную Европу, где эта страна заняла второе место в рейтинге стран — источников спама. Что касается регионов — источников спама, то за счет США значительно выросла доля региона Северная Америка (+15%), при этом доля Азии по-прежнему высока: почти половина спама рассылается с компьютеров, находящихся в этом регионе. Западная Европа обогнала Восточную и вышла на четвертое место, приблизившись по показателям к Латинской Америке. Фишинг Рейтинг категорий атакованных фишерами организаций основывается на срабатываниях нашего компонента антифишинга на компьютерах пользователей. Антифишинг детектирует все фишинговые ссылки, по которым пытался пройти пользователь, — будь то ссылка в спамовом письме или в интернете. По итогам квартала в распределении фишинговых атак по категориям лидируют социальные сети, на которые пришлось 26,5% атак, что на 0,6 пункта больше, чем в предыдущем квартале. На втором месте расположились финансовые организации — на них пришлось 22% всех фишинговых атак, что на 1,6 пунктов меньше, чем в прошлом квартале. Интересно отметить, что, несмотря на небольшую долю фишинговых атак на онлайн-игры, на протяжении всего квартала мы регистрировали рассылки, целью которых была кража регистрационных данных пользователей battle.net. Можно предположить, что недавний выход WoW: Mists of Pandaria подогреет интерес фишеров к аккаунтам в играх компании Blizzards. Заключение и прогнозы В третьем квартале 2012 мы наблюдали множество рассылок политической направленности. Очевидно, вплоть до выборов американского президента 6 ноября их количество будет расти. Вероятно, вырастет и количество вредоносных рассылок, эксплуатирующих интерес пользователей к теме выборов. Миграция рекламодателей из спама на другие площадки способствует тому, что спам становится более криминализированным, с бОльшим количеством рекламы запрещенных товаров, мошенничества и вредоносных писем. В течение последнего года мы наблюдаем две параллельные тенденции: снижение доли спама и небольшое увеличение доли вредоносных рассылок. Скорее всего, обе тенденции продолжатся, так как доля спама снижается за счет ухода из спама рекламодателей, предлагающих честные товары и услуги. Что касается стран — источников спама, то значительно возросшая доля США, скорее всего, не продержится на таком высоком уровне и в следующем квартале несколько снизится. Азия же останется регионом, из которого рассылается наибольшее количество спама. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012