Электронный журнал "Спамтест" No. 456 в этом номере: Новости Спам в январе 2013 Новости Citadel приглашает на авиарейс Участники швейцарского интернет-проекта Abuse.ch обнаружили англоязычную спам-рассылку, нацеленную на распространение банковского троянца Citadel под видом копии авиабилета на рейс Delta Airlines. По свидетельству экспертов, поддельное подтверждение брони снабжено ссылкой на вредоносный ресурс и, в отличие от прежних аналогов, рассылается не с ботнета, а через скомпрометированные почтовые серверы, общим числом около 30. Такие источники трудно блокировать с помощью черных списков DNSBL, большинство которых фиксируют исключительно IP-адреса спамботов и индивидуальных спамеров. Гиперссылка, указанная спамерами для распечатки «авиабилета до Вашингтона», ведет на взломанный сайт, размещенный на одном из аргентинских поддоменов. При ее активации на машину жертвы загружается zip-архив с вредоносным файлом в формате .scr. Содержимым последнего является Citadel – активно развивающаяся модификация ZeuS. В отличие от других бинарников, фиксируемых Abuse.ch в спаме, данный вариант использует упаковщика, снабженного защитой от запуска на виртуальной машине. По завершении инсталляции зловред пытается соединиться со своими командными серверами. Как оказалось, все они сосредоточены в одной подсети некоего питерского хостинг-провайдера Aztec ltd. Согласно последним результатам мониторинга Abuse.ch, его владения – райский приют для Citadel: помимо C&C, здесь размещены также серверы, с которых этот банковский грабитель скачивает веб-инжекты. Анализ варианта, раздаваемого через Delta-спам, показал, что его мишенями являются 3 ведущих канадских банка: BMO (Bank of Montreal), RBC Royal Bank и CIBC (Canadian Imperial Bank of Commerce). Источник: www.abuse.ch Доступ к банковским сервисам по-троянски Barracuda Networks предупреждает об агрессивной вредоносной рассылке, адресованной клиентам Bank of America. Поддельные уведомления распространяются от имени администрации веб-портала CashPro, недавно запущенного банком. Этот ресурс ориентирован на корпоративных клиентов и предлагает целый набор дополнительных финансовых услуг: доступ к глобальному казначейству, управление долгами и денежными операциями, инвестирование, проведение торговых сделок, обмен валют и т.п. Злоумышленники сообщают «дорогому клиенту», что в обеспечение доступа к CashPro ему выдан новый цифровой сертификат. Чтобы его установить, получатель письма должен открыть zip-вложение и выполнить простейшие действия, якобы указанные в заархивированном документе. На самом деле в аттаче скрывается троянская программа, которая, по свидетельству экспертов, пока не детектируется большинством популярных антивирусов (по состоянию на 13 февраля). Данный троянец ворует сохраненные пароли и перехватывает ввод с клавиатуры, отсылая похищенные данные на один из многочисленных командных серверов. С него же зловред получает актуальные обновления. Источник: Barracuda Networks Symantec: в январе активность спамеров спала По данным Symantec, в минувшем месяце уровень спама в почтовой корреспонденции снизился на 6,5 процентных пунктов и составил лишь 64,1%. Многие спам-рассылки, в том числе фишинговые и вредоносные, были приурочены к празднованию Дня всех влюбленных – эта сезонная спам-кампания актуальна и по сей день. Больше прочих от почтового мусора страдали жители Саудовской Аравии (82,7% входящей почты), а в разделении по областям хозяйственной деятельности – некоммерческие организации (65,5%), службы гостеприимства (65,4%), учебные (65,2%) заведения и предприятия химико-фармацевтической промышленности (65,1%). В январский Тор 5 стран-источников спама вошли США (11,6% общего объема), Индия (7,0%), Бразилия (6,2%), Китай (5,0%) и Россия (4,7%). Подавляющее большинство спам-писем (71,65%) были посвящены рекламе порноресурсов и сайтов знакомств, хотя их доля с предыдущего месяца заметно уменьшилась. Эксперты отметили возросшие объемы фармаспама (14,87% против 9,04% в декабре), рекламы реплик элитных товаров (7,29% против 4,49%) и казино-спама (3,50% против 0,04%). Количество фишинговых сообщений уменьшилось на 0,068 пункта и составило 0,197% почтовой коррепонденции (1 письмо на 508,6). Наиболее высокие уровни фишинга наблюдались в ЮАР (1 письмо на 114,3), а также в сельскохозяйственном производстве (1 на 106,3) и госсекторе (1 на 146,8). Основная масса фишинговых писем исходила с территории США (36,9%), Великобритании (33,6%), Германии (10,6%) и Норвегии (9,3%). Вредоносная составляющая почтового трафика в январе сократилась на 0,11 процентных пункта – до 0,25% (1 письмо на 400). Согласно статистике Symantec, это самый низкий показатель за последние 3 года. По мнению экспертов, причиной может быть или тривиальный тайм-аут на период зимних каникул, или продолжение тенденции к отходу от почтового сервиса как посредника для доставки зловредов. Наиболее высокие показатели по вредоносному трафику зафиксированы в Венгрии (1 письмо на 104,3), ЮАР (1 на 110,1), а также в госсекторе (1 на 98,9). Основными источниками вредоносных посланий в январе являлись британские (48,6%) и американские (38,7%) компьютеры. 33,5% зловредных сообщений, заблокированных почтовыми антивирусами Symantec, были снабжены ссылками – на 6,3 пункта больше, чем в декабре. Среди локальных инфекций, обнаруженных защитными решениями Symantec в минувшем месяце, заметно увеличилось присутствие вируса Sality и червя Ramnit. На долю всех вариантов Sality в этот период пришлось 8,3% детектов, Ramnit – 17,9%. Источник: Symantec В Великобритании осужден очередной фишер Уроженец Нигерии, разорявший британские онлайн-счета, получил 2,5 года. Это третий приговор к лишению свободы, вынесенный по делу о масштабном фишинге на территории Великобритании. Согласно обвинительному акту, Кристофен Иноквере (Christopher Inokwere), как и его подельники, получал доступ к банковским счетам с помощью фишинговых рассылок. Фальшивые сообщения были снабжены ссылками на страницы-ловушки, запрашивающие персональные идентификаторы к банковскому аккаунту. Собранные таким образом данные злоумышленники использовали для снятия денежных средств со счетов своих жертв. В числе прочих, на удочку фишеров попались сотни британских студентов, использующих государственные кредиты. Им рассылались фишинговые сообщения с просьбой срочно обновить регистрационные данные к именному аккаунту. Общий ущерб от реализации данной фишинговой схемы оценивается в 1,6 млн. фунтов стерлингов (около 2,45 млн. долларов). Расследование по данному делу было начато в августе 2011 г. Двое соотечественников и подельников Иноквере были осуждены ранее, один все еще ожидает решения своей участи. В минувшем месяце лондонская полиция арестовала еще троих подозреваемых, которые пока отпущены под залог. Источник: Yahoo! News Спам в январе 2013 Татьяна Щербакова, Дарья Гудкова Январь в цифрах Доля спама в почтовом трафике в январе уменьшилась на 7,7% и составила 58,3%. Доля фишинговых писем в почтовом потоке по сравнению с декабрем уменьшилась вдвое и составила 0,003%. Вредоносные вложения содержались в 3% писем — это на 0,15% меньше, чем в прошлом месяце. Главные события месяца Праздники В январе интернет наводнили многочисленные рассылки, эксплуатирующие тему предстоящих праздников. Хотя в России день святого Валентина достаточно популярен, все же большинство рассылок на русском языке были посвящены более традиционным праздникам — 23 февраля и 8 марта. Традиционно спамеры рассылали предложения о покупке цветов и различных «мужских» сувениров. Возросло количество писем с туристическими и развлекательными предложениями в честь предстоящих праздников. В преддверии дня святого Валентина в спаме на английском языке были зарегистрированы ставшие уже традиционными для предпраздничных периодов рассылки «цветочных» партнерок. Подарки с индивидуальной символикой и надписями, в последнее время активно предлагаемые в спам-рассылках, в январе были приурочены ко дню всех влюбленных. Даже в рассылках с привычными предложениями кредитов, рекламой таблеток для похудения и реплик элитных товаров спамеры ставили «праздничные» темы писем в поле Subject. From China with spam Китай давно удерживает лидирующие позиции в списке стран — источников распространения спама. Спамовые письма из Китая с предложениями о бизнес-сотрудничестве заполонили интернет. Компании из Поднебесной продают игрушки, кепки с фонариками, компьютерную технику, предоставляют транспортные услуги. Характерной чертой таких писем является приветствие без личного обращения к адресату. В январе мы получили подобное письмо из Китая, пришедшее на адрес «Лаборатории Касперского», с предложением о продаже компьютерной техники. Отправитель ссылается на страничку официального сайта компании, посвященную антивирусному продукту для системы Android. В письме приводятся все контактные данные отправителя. Это письмо выглядит как хороший шаблон, отправитель только меняет адресата и ссылку на страницу официального сайта получателя. Географическое распределение источников спама Страны — источники спама в мире По итогам января среди стран — источников спама, распространяемого по всему миру, по-прежнему лидируют Китай (28,8%) и США (19,3%). Доля спама, рассылаемого из Китая, уменьшилась на 5,4%, тогда как процент спама, распространяемого из США, увеличился на 3,7%. В целом из этих двух стран в январе было разослано 48,1% мирового спама. В лидирующую тройку неожиданно вошла Южная Корея (6,8%, +4,1%), Индия (3,9%) спустилась на 5-е место (-1,7%). Россия (4,9%) в рейтинге поднялась на одну строчку вверх (+1,8%) и по итогам января заняла четвертое место. Германия, занимавшая в декабре 7-ю строчку, в январе опустилась сразу на 17-е место с показателем 0,9%, хотя процент спама, распространенного из этой страны, изменился не столь значительно (-1,5%). Регионы — источники спама Среди регионов лидером по распространению спама остается Азия (50,9%). В первую тройку, как и в декабре, вошли Северная Америка и Западная Европа. Страны — источники спама в Рунете В Рунете произошли существенные изменения. Лидером в январе стала Россия, ее показатель увеличился на 5,9% и составил 13,5%. Почти на столько же процентных пунктов уменьшился вклад в спам-потоки Индии (9,3%, -5,8%), которая в результате спустилась на 4-е место. Доля спама, попавшего в Рунет из США (10,6%), увеличилась почти втрое (+7%), в результате эта страна поднялась с 8-го на 2-е место, потеснив с него Вьетнам (9,6%, -4,4%). Доля спама из Германии в Рунете, как и в мире, значительно уменьшилась (-5,6%), теперь страна занимает 14-ю строчку, выбыв из пятерки лидеров. Вредоносные вложения в почте Вредоносные программы, распространявшиеся в почте Хотя доля спама в почтовом трафике в январе уменьшилась, количество рассылок с вредоносными вложениями остается весьма высоким. В январе вредоносные вложения содержались в 3% писем — это на 0,15% меньше, чем в прошлом месяце. Среди зловредов, чаще всего распространяемых в почте, в январе на место лидера вернулся Trojan-Spy.HTML.Fraud.gen. Напомним, в прошлом году эта вредоносная программа долго держалась на первой строчке TOP 10, но в сентябре она резко сдала позиции и даже не вошла в первую десятку. Этот троянец занимается похищением данных онлайн-банкинга, которые киберпреступники используют для кражи денег с пользовательских счетов. В TOP 10 есть еще две вредоносные программы, нацеленные на кражу пользовательских паролей. Они относятся к семейству Tepfer и находятся на девятом и десятом местах чарта. Второе и третье места заняли почтовые черви. Mydoom просто распространяет себя по контактам пользователей и предназначен для сбора почтовых адресов, тогда как Bagle помимо этого может подгружать на компьютер пользователя другие вредоносные программы. 4-е, 5-е и 7-е места занимают вредоносные программы семейства Andromeda. Их цель — закачать на компьютер пользователя другие вредоносные программы, после чего оригинальный файл удаляется. Куда направлялись письма с вредоносными вложениями В целом существенных изменений в распределении вредоносных рассылок по странам не наблюдается. На первом месте по-прежнему США. Это неудивительно, ведь США лидирует и по количеству интернет-пользователей. К тому же многие вредоносные программы нацелены на кражу паролей от онлайн-банкинга, который в США весьма развит и популярен. Продолжаются рассылки вредоносных писем, подделанных под уведомления различных сервисов. В январе под удар спамеров вновь попал популярный сервис по бронированию авиабилетов Lufthansa.com. В фальшивом письме, якобы пришедшем с адреса online@booking-lufthansa.com, содержался вредоносный zip-архив с файлом Flugscheindetails.PDF.exe, детектируемый «Лабораторией Касперского» как Trojan-Downloader.Win32.Andromeda.ply. Отметим, что в январе троянец занял 12-е место в топе вредоносных программ, распространяемых в почте. Поддельными сообщениями сервисов злоумышленники не ограничиваются. Так, одно из вредоносных писем содержало якобы подписанный перечень заказанных товаров, а на самом деле это был вредоносный zip-архив с файлом January Order.scr. «Лаборатория Каперского» детектирует этот файл как Trojan-Spy.Win32.Zbot.hviq. Фишинг Доля фишинговых писем в почтовом потоке снизилась вдвое и составила 0,003%. За прошедший месяц произошли существенные изменения в лидирующей пятерке категорий организаций, атакованных фишерами. Социальные сети сохранили лидирующую позицию по количеству фишинговых атак, при этом их показатель вырос на 9,71% и составил 39,62%. Доля фишинговых атак на поисковики (+3,6%) и IT-вендоров (+1,2%) также увеличилась. Поисковики занимают по итогам января вторую строчку рейтинга. Существенно уменьшилась доля атак на онлайн-магазины и интернет-аукционы (-5,8%), финансовые и платежные организации (-7%). Фишеры продолжают использовать подделки под рассылки от популярных сервисов, которые, видимо, оказались достаточно эффективными. Осенью мы писали о поддельных сообщениях от booking.com с вредоносными вложениями. В январе была зафиксирована новая волна фишинговых рассылок от имени известного сайта по бронированию отелей. На этот раз фишеры пытались выманить у пользователей данные кредитной карты. В письме сообщалось, что введенные данные карты были отклонены. Если пользователь не введет правильные данные, то, согласно условиям резервирования, указанным на сайте, будет снята комиссия за отмену бронирования или предоплата. Фишеры прибегают к старому, но действенному способу, запугивая своих потенциальных жертв. Казалось бы, постоянные клиенты сайта booking.com сразу должны понять, что это блеф, однако в отношении многих из них этот способ оказывается эффективным. Внимательный пользователь мог обратить внимание на то, что адрес отправителя этого письма никак не связан с названием компании, от имени которой было послано сообщение. Банковский фишинг по-прежнему очень распространен в интернете. Традиционное сообщение о превышении количества попыток входа в аккаунт и необходимости установки дополнительной защиты активно используется спамерами для направления пользователей на фишинговые страницы и кражи номеров и паролей кредитных карт клиентов. Вот одно из таких писем: В данном письме, в отличие от приведенного выше письма от имени booking.com, в поле From копируется реальный адрес банка <Informationen@postbank.de>, что может помочь злоумышленникам ввести получателя письма в заблуждение. Заключение В январе общая доля спама, как и прогнозировалось, уменьшилась, что объясняется новогодним затишьем в первые дни января. Уже в середине месяца появились рассылки, эксплуатирующие предстоящие праздники 8 марта, 23 февраля и день святого Валентина. Эти рассылки не так многочисленны, как предновогодние, но не уступают по разнообразию предлагаемых товаров и услуг. Ежегодные спамерские «валентинки» — письма с вредоносными вложениями, замаскированные под открытки к празднику, — в январе в спам-трафике отсутствовали: традиционно пик рассылок вредоносных «валентинок» приходится на начало февраля. Сохраняется тенденция к снижению в спам-потоках количества фишинговых и вредоносных писем, однако популярность сервисов по бронированию билетов и отелей по-прежнему активно используется злоумышленниками для кражи информации о платежных картах получателей. Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012