Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 460

в этом номере:


Новости

ФССП: мы не звали вас в суд

Федеральная служба судебных приставов (ФССП) России предупреждает о мошеннической рассылке, использующей ее имя и поддельный адрес отправителя.

Неизвестные злоумышленники от имени ФССП извещают получателя, что в отношении него якобы начато судебное расследование. В письме также приведена ссылка, по которой «ответчику» предлагается проверить информацию о начале судебного процесса.

ФССП заявляет, что не имеет никакого отношения к данной спам-рассылке. Электронный адрес info@fssprus.ru, указанный ее авторами в качестве обратного, не входит в список служебных адресов этого органа исполнительной власти. Во избежание возможного заражения получателям поддельного спам-письма не рекомендуется активировать ссылку, указанную мошенниками.

Источник: ФССП

Спам в зеленых одеждах

День св. Патрика, как и прочие сезонные праздники, неизменно вызывает оживление на спам-арене. Накануне 17 марта Symantec наблюдала всплеск англоязычных спам-рассылок, посвященных заветной дате, которую поклонники ирландской культуры обычно отмечают, одеваясь в зеленое.

Основная масса этого почтового мусора рекламировала распродажи в автомобильных интернет-салонах. По свидетельству экспертов, сии с виду безобидные спам-кампании были нацелены на сбор персональных данных, включая физические и электронные адреса покупателей, а также реквизиты платежных счетов.

Помимо этого, спамеры вполне ожидаемо использовали мартовский праздник для продвижения контрафактных медикаментов и распространения вредоносных программ. В последнем случае злоумышленники использовали в качестве приманки имя популярного онлайн-сервиса, специализирующегося на пересылке файлов большого размера. Они извещали получателя, что на его адрес якобы пришел большой pdf-файл с именем «Patrick[произвольные цифры]», который можно скачать по указанной в письме ссылке. На самом же деле при ее активации пользователь перенаправлялся на сайт с эксплойтами.

Источник: Symantec

«Плохие соседи» подскажут источник новой атаки

Голландский университет Твенте выложил в открытый доступ докторскую диссертацию, посвященную обоснованию концепции «bad neighborhood» («плохое соседство»), которая определяет вероятность обнаружения новых источников вредоносной активности в подсетях с плохой репутацией. Это понятие, как утверждает автор, было введено в оборот пару лет назад для улучшения качества фильтрации спама, но до сей поры никто не проверил его состоятельность на живом материале из интернета.

За основу исследования были взяты данные об источниках спама и фишинговых атак, собранные голландскими и бразильскими «академиками» (автор работы – выходец из Бразилии), специалистом по управлению сетями Quarantainenet, а также публичные черные списки и базы, в частности, CBL и Phishtank. Диссертант трактует bad neighborhood как блок IP-адресов, ряд которых проявляет вредоносную активность на протяжении определенного периода времени. Поскольку таких подсетей между атакующим и мишенью может быть множество, за источник вредоносной активности в данном случае принято последнее звено в цепочке посредников – по сути, уязвимая сеть с хостами, используемыми киберкриминалом.

Проведенное исследование подтвердило реальность феномена bad neighborhood, который, по словам автора, наблюдается на разных уровнях: блоков адресов, интернет-провайдеров, стран и регионов. Как оказалось, «плохие соседи» ведут себя более неосмотрительно, чем одиночки: почти половина последних атакуют конкретную мишень лишь единожды, тогда как до 90% «групповых» нападений чревато рецидивами. Исследование также показало, что почти половина IP-адресов, распространяющих спам, сосредоточены в 20 AS-сетях из 42,2 тыс. изученных, – в основном, азиатских. Фишеры предпочитают использовать американский веб-хостинг, реже – европейский. Чемпионом по концентрации источников спама в индивидуальном зачете стал скромный AS-провайдер из Нигерии (AS37340): в спам-рассылках использовались 62,55% его IP-адресов общим числом 5632. Третье место в этом непочетном рейтинге занял Мегафон (AS31208) с показателем 43,77%.

Источник: BBC

Источник: http://doc.utwente.nl/ (PDF)

Symantec о февральском спаме

По оценке Symantec, в минувшем месяце уровень спама в почтовом трафике повысился на 1,8 процентных пункта и составил 65,9%.

Наиболее распространенной темой спам-сообщений по-прежнему остается реклама порноресурсов и сайтов знакомств, которой стало еще больше (78,13% почтового мусора). Фармаспам сохранил второе место в тематическом рейтинге, его показатель практически не изменился (14,20%). Доля категории «трудоустройство» увеличилась в 7 раз (3,75%), рекламы реплик элитных товаров – в такой же мере сократилась (1,06%).

Половина URL, обнаруженных в спам-письмах, были привязаны к TLD-зоне .com, доля которой несколько уменьшилась за счет других доменных зон, в частности, российской. Вклад домена .ru в URL-спам в феврале составил 13,14%, что на 0,8 пункта больше, чем в предыдущем месяце. Основную массу нелегитимных писем (57,73%) составляли лаконичные послания размером до 5 КБ.

Активность фишеров тоже повысилась: в отчетный период фишинговым являлось каждое письмо из 466,3, что эквивалентно 0,214% почтовой корреспонденции. Это на 0,016 пункта больше, чем в январе. Общее количество фишинговых сайтов увеличилось на 19%, подделок, созданных автоматизированными средствами, – на 33%. Последние составили почти половину (47,3%) сайтов-ловушек, обнаруженных экспертами. Число неанглоязычных имитаций уменьшилось на 56%, среди них преобладали ресурсы, оформленные на португальском, французском и немецком языках. Главным хостером фишинговых сайтов остаются США, на долю которых в январе пришлось 52,7% подделок (этот показатель Symantec публикует по итогам предыдущего месяца). Основными мишенями фишеров в феврале являлись финансовые институты (70,8% атак) и информационные сервисы (22,0%).

Количество вредоносных сообщений, блокируемых почтовыми антивирусами компании, напротив, заметно уменьшилось – на 0,11 пункта. На их долю в феврале пришлось 0,25% почтовых посланий, что эквивалентно 1 письму на 406.2. 23,0% вредоносных сообщений представляли собой URL-спам, что на 10,5 пункта меньше, чем в январе.

Лидерами по локальным заражениям остаются Ramnit и Sality. На долю первого в феврале пришлось 17,4% детектов, второго – 8,2%.

Источник: Symantec (PDF)

Spamhaus вновь под DDoS-атакой

В минувший уикенд веб-сайт и почтовые серверы Spamhaus были недоступны из-за DDoS-атаки, и подписчики вынуждены были прибегнуть к альтернативным способам обновления черных списков, составляемых британскими антиспамерами.

Вскоре после начала атаки на сайте Pastebin появилось заявление, обвиняющее Spamhaus в терроризме, вымогательстве, нарушении приватности и фальсификации источников спама. По свидетельству активистов, автором этого враждебного выпада является американец Эндрю Стивенс (Andrew Jacob Stephens), занесенный в базу Spamhaus ROKSO – список наиболее агрессивных спамеров. DDoS-атаку, по данным Spamhaus, провели российские или европейские хакеры. С понедельника атакованные ресурсы некоммерческой организации работают в нормальном режиме.

Следует отметить, что такие инциденты для Spamhaus, как и для прочих борцов за чистоту интернета, – не редкость. DDoS-атаки, инициированные криминальными элементами, лишний раз подтверждают эффективность проектов, создаваемых для ограничения противозаконной деятельности в интернете.

Источник: Softpedia

Источник: Word to the Wise


Спам в феврале 2013

Татьяна Щербакова
Дарья Гудкова

Февраль в цифрах

  • Доля спама в почтовом трафике в феврале увеличилась на 12,8% и составила 71,1%.
  • Доля фишинговых писем в почтовом потоке по сравнению с январем не изменилась и составила 0,003%.
  • Вредоносные вложения содержались в 2,8% всех электронных сообщений, что на 0,2% ниже показателя прошлого месяца.

Особенности месяца

В феврале нами был зафиксирован рост количества спамерских писем, эксплуатирующих тему праздников. Спамеры активно рассылали предложения ко дню святого Валентина (14 февраля) и дню защитника отечества (23 февраля), не забыли и о 8 марта и масленице, которая в этом году пришлась на середину марта. Не осталось без внимания спамеров и падение метеорита в Челябинске.

«Праздничный» спам

В «праздничном» спаме, приуроченном к женскому и мужскому праздникам, традиционно рассылалась реклама цветов и реплик элитных товаров, предлагались услуги по оформлению праздничных мероприятий. Кроме того, нами была замечена реклама услуг по нанесению надписей и логотипов на живые цветы или USB-флешки.

В прошедшем месяце в почтовом трафике Рунета появились многочисленные рассылки, посвященные масленице и дню святого Валентина. Популярность Дня всех влюбленных в России растет, и спамеры используют этот праздник для рекламы подарков и услуг по организации романтического вечера.

Тематика спам-сообщений, посвященных масленице, отличается постоянством: из года в год спамеры предлагают праздничные туры и тематические экскурсии. Этот год не стал исключением: мы зарегистрировали несколько рассылок с предложением поучаствовать в масленичных гуляниях и проводах зимы.

В англоязычном секторе интернета в феврале были весьма активны рассылки от «цветочных» партнерок.

Отметим, что наши прогнозы о появлении в спам-трафике февраля «валентинок» с вредоносными вложениями не оправдались. В прошедшем месяце массовых рассылок вредоносных «валентинок» мы не зарегистрировали.

Be my spam Valentine

Спамеры прибегают к различным уловкам для привлечения внимания пользователя. В феврале тема дня святого Валентина использовалась даже в тех случаях, когда в спаме не рекламировались подарки/услуги к празднику. Например, нам часто встречалась спам-корреспонденция с предложением найти свою «валентинку», вынесенным в тему письма, и рекламой различных служб знакомств. В таких письмах рассылался не только графический спам, содержащий фотографии «одиноких сердец» и поле для поиска партнера, но и обычные текстовые сообщения с рассказом о предполагаемой «второй половинке» и ссылкой на сайт знакомств. А иногда при переходе по указанной в письме ссылке на сайт знакомств открывалась страница совершенно другого содержания – еще одна уловка спамеров, используемая для навязывания различных товаров и услуг.

Пасха на западе в этом году празднуется 31 марта. И поэтому уже в феврале в англоязычном спаме пасхальная тема использовалась для привлечения внимания пользователей. В начале месяца нами было обнаружено несколько рассылок с рекламой реплик элитных товаров, причем в теме письма в той или иной форме упоминалась Пасха.

Стоит отметить, что такие спамерские сообщения пока фиксируются только на английском языке. Но мы ожидаем, что уже в марте появится русскоязычный «пасхальный» спам.

Метеорит в Челябинске

Когда в феврале в окрестностях Челябинска взорвался метеорит, снятые очевидцами кадры катастрофы обошли весь мир и привлекли внимание миллионов людей. Естественно, это уникальное событие не осталось без внимания спамеров. Например, нами была обнаружена любопытная спам-рассылка приглашений на семинар по тайм-менеджменту. Судя по всему, по замыслу авторов приглашений упоминание о метеорите должно было заинтриговать получателей, а заодно внушить им мысль о скоротечности жизни и, как следствие, о необходимости разумного управления своим рабочим и свободным временем.

Географическое распределение источников спама

По итогам февраля 2013 года среди стран — источников спама, распространяемого по всему миру, на первое место вышли США (16,9%). Доля спама, рассылаемого из Китая, снизилась вдвое, до 14,4%, и теперь страна занимает второе место в общем зачете. В целом из этих двух стран в феврале было разослано около 31,3% мирового спама.

Третье место, как и в январе, занимает Южная Корея (13,7%), доля которой в феврале увеличилась на 6,9%. Россия (3,3%) потеряла 1,6% и опустилась в рейтинге с 4-го на 7-е место. В пятерку лидеров также вошел Тайвань (5,1%), по сравнению с январем его показатель увеличился более чем втрое. Германия (2,1%), занимавшая ранее 17-ю строчку, по итогам февраля прибавила 1,2% и замыкает лидирующую десятку.

В потоках Рунета произошли существенные изменения. В феврале Индия вернула себе позицию лидера среди стран – источников спама в Рунете, ее показатель увеличился почти вдвое и составил около 18%. На второе место неожиданно вышла Италия (13%), по сравнению с январем ее показатель увеличился более чем в 5 раз. В тройку лидеров вошел также Тайвань (9,1%), прибавивший в феврале 7,1%.

Лидер января, Россия (5,4%), потеряла более 8% и опустилась на 6-ю строчку. Вклад США в спам-потоки Рунета уменьшился на 7,6%, и страна сместилась со 2-го на 7-е место с показателем 3%. Предыдущий бронзовый призер, Вьетнам, потерял 1,2% и опустился на одну строчку вниз с результатом 8,4%.

Доля спама из Германии (5,6%) в Рунете увеличилась на 4,7%, и в результате страна вошла в пятерку лидеров. А вот Китай, наоборот, существенно сдал позиции. Доля распространяемого из Китая спама уменьшилась на 6,9%, и теперь страна занимает 14-ю строчку рейтинга с показателем 1,4%.

Среди регионов лидером по распространению спама остается Азия (50,4%). В первую тройку, как и в январе, вошли Северная Америка и Восточная Европа.

Вредоносные вложения в почте

Доля писем с вредоносными вложениями в мировом почтовом трафике продолжает уменьшаться. По сравнению с январем она понизилась на 0,2% пункта и составила 2,8% почтового трафика.

Наиболее популярной вредоносной программой, распространяемой по электронной почте, остается Trojan-Spy.html.Fraud.gen (11%), однако доля этой программы снизилась по сравнению с январем на 2,2% пункта. На втором месте находится Trojan-Banker.HTML.Agent.p (7,8%). Оба этих зловреда выполнены в виде html-страниц, копирующих регистрационные формы онлайн-банкингов или других интернет-сервисов. С их помощью злоумышленники пытаются украсть у пользователей логины и пароли к системам онлайн-банкинга.

Интересно, что на третье место вышел Backdoor.Win32.Androm.phh. Программы типа backdoor позволяют злоумышленнику незаметно управлять зараженным компьютером, например загружать на компьютер другие вредоносные файлы и запускать их, отправлять различную информацию с компьютера пользователя и многое другое. Кроме того, нередко зараженные такими программами компьютеры становятся частью ботнета.

Всего в феврале мы обнаружили 85 различных модификаций программы Backdoor.Win32.Androm. Их суммарная доля составляет 12% от всех рассылаемых по электронной почте вредоносных программ. Интересно, что в большинстве случаев бэкдор распространялся в поддельных письмах, присланных якобы Booking.com, DHL, British Airways и других. Ранее подобным образом распространялись троянские программы семейства ZeuS/Zbot.

На четвертом месте нашего рейтинга находится Trojan-Downloader.HTML.Iframe.ahh. Назначение подобных программ – без ведома пользователя открывать в браузере веб-страницы, осуществляющие загрузку вредоносных программ или перенаправляющие пользователя на сайты партнерок.

На первое место среди стран, куда направляются письма с вредоносными вложениями, потеснив извечного лидера нашего рейтинга – США, — неожиданно вышла Италия. Показатель этой страны вырос на 9,4% и достиг 14,4%. Отметим, что именно в Италии нами было зафиксировано подавляющее большинство атак с использованием Trojan-Banker.HTML.Agent.p, занявшего в феврале второе место в TOP-10 вредоносных программ.

В остальном в списке атакуемых стран практически нет изменений.

Одним из наиболее популярных инструментов злоумышленников, распространяющих вредоносные программы в почте, по-прежнему являются письма-подделки под официальные уведомления от различных финансовых институтов. Например, злоумышленники прибегают к хорошо известной легенде о якобы случившемся взломе банковского счета пользователя, в результате чего все деньги были заморожены, а счет заблокирован. Для получения информации о происшествии пользователю предлагают открыть прикрепленный к письму файл.

В одном из таких фальшивых писем, обнаруженных нами в феврале, содержался zip-архив с файлом FraudReport_acoountid_43753985724.exe. Этот вредоносный файл определяется «Лабораторией Касперского» как Backdoor.Win32.Androm.phf и является одной из модификаций бэкдора Backdoor.Win32.Androm, о котором мы писали выше.

Среди компаний, имена которых используют злоумышленники, одной из наиболее популярных является поисковая система Google. В феврале нами была зафиксирована рассылка вредоносных писем от имени Google, в которых сообщалось, что компания рассматривает присланное пользователем резюме и сопоставляет его со списком открытых вакансий. Во избежание возможных недоразумений пользователю рекомендовалось открыть приложенный к письму файл и проверить правильность оформления резюме. В письмо был вложен zip-архив с файлом Document.chm.exe. При попытке открыть «резюме» троянец, детектируемый «Лабораторией Касперского» как Trojan-Dropper.Win32.Typic.bea, пытался установить на компьютер вредоносное ПО для кражи паролей и других конфиденциальных данных.

Чтобы убедить получателя в легитимности письма злоумышленники подставляли в поле From кажущийся правдоподобным адрес (resume-thanks@google.com) и украшали письмо логотипом компании.

Фишинг

Доля фишинговых писем в почтовом потоке не изменилась по сравнению с январем и составила 0,003%.

За прошедший месяц в первой тройке рейтинга категорий организаций, атакованных фишерами, не произошло значительных изменений. Социальные сети сохранили лидирующую позицию по количеству фишинговых атак, их показатель незначительно вырос (+0,8%) и составил 38,8%. В первую тройку также входят поисковики (16,9%) и финансовые и платежные организации (12,3%), которые занимают вторую и третью строчку соответственно.

Заключение

В феврале доля спама в почтовом трафике выросла на 12,8% и достигла 71,1%. Отметим, что этот показатель выше, чем средняя доля спама в третьем квартале 2012 года (65,6%).

Среди стран — источников спама с начала 2013 года идет перераспределение источников спама. За первые два месяца доля спама, рассылаемого из Китая по всему миру, уменьшилась на 19,9% процентных пункта. В то же время доля Южной Кореи увеличилась на 11,1%. Еще больше эти изменения заметны по спаму, нацеленному на европейские страны: доля спама, рассылаемого в Европу из Китая, снизилась с 58,2% в декабре до 14,4% в феврале, тогда как доля Южной Кореи увеличилась с 5% до 51%. Очевидно, это связано с тем, что некая группа спамеров поменяла используемые для рассылок ботнеты.

В рейтинге зловредов, рассылаемых в почте, лидировали вложенные в письма фишинговые HTML-странички. Персональные данные, которые пользователи вводят в формы на таких страницах-подделках, попадают к злоумышленникам. Одна из таких фишинговых страниц, детектируемая как Trojan-Banker.HTML.Agent.p, активно рассылалась, причем преимущественно в Италию. В результате в феврале Trojan-Banker.HTML.Agent.p занял второе место в рейтинге вредоносных вложений, а Италия оказалась на первом месте среди стран – мишеней вредоносных рассылок.

Вопреки ожиданиям, в этом году не было зарегистрировано массовых рассылок «валентинок» с вредоносными вложениями, зато день всех влюбленных активно использовался спамерами для рекламы товаров и услуг. В этом месяце в почте появились также сообщения, эксплуатирующие тему таких весенних праздников, как масленица и Пасха. Вероятно, в марте «праздничного» спама в почте станет меньше.

Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное