Электронный журнал "Спамтест" No. 464 В этом номере: Новости Спам в марте 2013 Новости Абоненты МТС получат спам-фильтр Крупнейший российский телеоператор МТС планирует до конца апреля запустить бесплатный сервис SMS Pro, позволяющий абонентам блокировать нежелательные SMS-сообщения. Данная услуга будет доступна на всех тарифных планах, кроме "Классный", "Коннект", "Онлайнер", "МТС iPad" и их производных. Фильтр заработает для SMS, отправленных с номеров любых операторов Москвы и Центрального федерального округа. Кроме того, абоненты смогут блокировать текстовые сообщения с коротких номеров (до 7 цифр), от отправителей, использующих буквенные обозначения источников отправки (например, MAGAZIN), а также сервисные SMS самого оператора. Новая услуга, очевидно, вводится в связи с грядущим обновлением российского законодательства. Как мы уже писали, Минкомсвязь России подготовила ряд поправок в закон "О связи", предложив предоставить операторам право фильтровать SMS-сообщения. Источник: «Российская газета» Лаборатория AV-TEST о вредоносном спаме Эксперты немецкой компании AV-TEST проанализировали около 550 тыс. спамовых писем, осевших на ловушках лаборатории за полтора года. Как оказалось, 2,5% от общего количества сообщений содержат вредоносное вложение. Подавляющее большинство спам-сообщений, обнаруженных AV-TEST в период с августа 2011 по февраль 2013 гг., рекламировали контрафактные товары, в том числе медицинские препараты. Около 30 тыс. нелегитимных писем были снабжены вложением, содержимое которого более чем в трети случаев эксперты определили как вредоносное. Вредоносными оказались практически все разосланные в спаме исполняемые файлы, включая EXE, COM, SCR, BAT и PIF. Также опасными были признаны порядка 97% zip- и 80% html-вложений. Спам-сообщения со ссылками на зараженные сайты составили около 1% URL-спама, однако эксперты отметили, что этот тип вредоносных писем стало труднее различать в общей массе почтового мусора. Согласно статистике AV-TEST, большинство нелегитимных писем с вложениями распространяются с американских компьютеров, однако вредоносными при этом являются лишь 15% вложенных файлов. Наиболее опасным был признан спам индийского и вьетнамского происхождения – его вложения оказались вредоносными в 78% и 77% случаев соответственно. Высокие показатели демонстрируют также Украина и Южная Корея (более 50%), умеренно высокие – Россия (чуть ниже 50%). Почти все подвергнутые анализу спам-письма распространялись автоматизированными средствами, что вполне предсказуемо. В выходные дни поток мусорной почты сокращался на 20-25% – видимо, из-за отключения спамботов, осевших на офисных ПК. Источник: AV-TEST В арсенале спамеров прибавление? Исследователи из университета Алабамы в Бирмингеме наблюдают масштабные спам-рассылки, отличающиеся большим разнообразием заголовков и URL. Большая часть этих рассылок привязана к взломанным ресурсам, американцы насчитали уже свыше 23 тыс. IP-адресов отправителя и не исключают появление нового ботнета. При всем многообразии используемых спамерами заголовков университетским исследователям удалось выделить несколько основных тем: трудоустройство, рецепты снижения веса, новости СМИ, светские сплетни. В некоторых случаях заголовок содержал лишь одно слово с префиксом Re: или Fwd:. Наблюдатели отметили также высокую ротацию целевых страниц, на которые спам-сообщения направляют получателей. Например, ссылка, ассоциированная с рекламой надомной работы, на следующий день могла уже работать как редирект, перенаправляя пользователя на сайт доморощенных диетологов. Посетитель, привлеченный перспективой получить непыльную и хорошо оплачиваемую работу, и не думал улучшать фигуру, однако при попытке покинуть неинтересный ему ресурс обнаруживал, что это не так-то просто. Бесчисленные всплывающие сообщения просили посетителя подтвердить, что он действительно хочет уйти с рекламной страницы, сулили баснословные скидки и просили нажать ту или иную кнопку, чтобы выразить свою волю. За 36 часов исследователи насчитали около 3,85 тыс. уникальных ссылок, разосланных 1,2 млн. раз в спам-письмах под четырьмя разными заголовками. Источник: Gary Warner blog Великобритания борется с фишингом Лондонская полиция задержала двух молодых людей, подозреваемых в краже банковских реквизитов посредством фишинга. Аресты произведены в рамках совместной спецоперации, проводимой лондонскими киберполицейскими и британской спецслужбой SOCA с целью пресечения организованной кражи и сбыта финансовой информации в интернете. В данном случае было установлено, что злоумышленники получали ключи к онлайн-счетам с помощью фишинговых рассылок. Ранее были задержаны еще два предполагаемых участника группы фишеров, деятельность которой привлекла внимание британских блюстителей правопорядка. Источник: V3.co.uk Заказ вертолета может навредить вашему компьютеру Эксперты компании Webroot наблюдают массовую рассылку вредоносных сообщений, имитирующих подтверждение заказа на воздушно-транспортные услуги. Десятки тысяч спам-писем пытаются убедить получателей, что в любое время «с пятницы по четверг» они могут совершить прогулку на вертолете, которую якобы заказали ранее. Любителям воздушных путешествий «напоминают» расценки и просят ознакомиться с копией накладной, открыв приложенный к письму файл, причем непременно в Internet Explorer. Вложенный файл опознан половиной антивирусов из списка Virus Total как вредоносный. Вердикты, правда, разделились, большинство детектит данного зловреда как Win32/Cridex или как Trojan.Win32.Bublik. Webroot зафиксировала 6 C&C IP-адресов, с которыми связывается вредоносная программа: 4 – в сетях крупнейшего французского интернет-провайдера OVH, 1 в США и 1 в Болгарии. Последний экспертам уже знаком по другим вредоносным рассылкам. Источник: Webroot Mail.ru защитит смартфон от опасных ссылок Российская компания Mail.ru Group объявила о расширении партнерства с международной системой оценки репутации сайтов WOT (Web of Trust). Отныне пользователи мобильной версии почты Mail.ru наравне с остальными клиентами этой почтовой службы будут получать предупреждение о возможной угрозе в момент перехода по присланной в письме подозрительной ссылке. Рейтинг WOT составляется по принципу краудсорсинга, при активном участии интернет-добровольцев. Ссылки, которые пытаются активировать подписчики WOT, автоматически проверяются по общей базе. Если ссылка ведет на мошеннический/фишинговый сайт или содержит опасный контент, пользователю выводится соответствующее предупреждение. В настоящее время база WOT насчитывает свыше 41 млн. сайтов, в ее пополнении принимают участие 73 млн. пользователей интернета. По данным Mail.ru, за последний год число пользователей ее мобильной почты выросло в несколько раз. Провайдер надеется, что запуск репутационных оценок для этой быстро растущей аудитории позволит снизить риски и защитить ее от угроз, неподвластных почтовому антивирусу. Mail.ru сотрудничает с WOT уже несколько лет; базу WOT используют также некоторые крупные социальные сети и веб-порталы. Источник: Mail.ru Итальянские фишеры ценят Шекспира Компания Sophos предупреждает о фишинговой рассылке, нацеленной на кражу идентификаторов к счетам клиентов популярного итальянского платежного сервиса PostePay. Предоплаченные пополняемые карты PostePay распространяются крупнейшей почтовой службой Италии Poste Italiane, с их помощью миллионы итальянцев расплачиваются в интернет-магазинах. Вредоносные сообщения на итальянском языке написаны от имени информационной службы PostePay и «в последний раз» просят клиента активировать некую новую систему. Поддельное спам-письмо снабжено безобидным на первый взгляд вложением Cliente.html. При запуске этого файла в браузере открывается оригинальный сайт Poste Italiane, на который злоумышленники внедрили iframe. В поле фрейма загружается страница, размещенная на стороннем британском сайте, которая запрашивает у пользователя регистрационные данные к онлайн-сервису Poste Italiane. Примечательно, что для обхода почтовых антивирусов инициаторы спам-рассылки добавили в html-файл скрытый элемент – текст знаменитого монолога Гамлета. Пользователю он не виден, но его присутствие в коде изменяет хэш-сумму, по которой защитные решения могут опознать файл как вредоносный. Источник: Sophos Спам в марте 2013 года Дарья Гудкова, эксперт «Лаборатории Касперского» Татьяна Щербакова, эксперт «Лаборатории Касперского» Март в цифрах Доля спама в почтовом трафике в марте снизилась на 1% и составила 70,1% Доля фишинговых писем в почтовом потоке по сравнению с февралем увеличилась вдвое и составила 0,006% Вредоносные вложения содержались в 4% всех электронных сообщений, что на 1,2% выше показателя прошлого месяца Особенности месяца В марте количество спамерских писем, эксплуатирующих тему праздников, пошло на спад. Однако в спам-трафике Рунета мы все еще фиксировали рассылки, посвященные Масленице и Международному женскому дню (8 марта). Праздничный спам В приуроченном к Масленице спаме традиционно рассылались предложения совершить праздничный тур или тематическую экскурсию. Кроме того, нами была зафиксирована рассылка с предложением услуг по созданию сайтов, оформленная в теме этого праздника. В марте количество спам-сообщений, использующих тему Международного женского дня, сократилось, однако в начале месяца мы зафиксировали несколько рассылок с традиционной для этого праздника рекламой цветочных букетов и именных сувениров. Кроме того, мы обнаружили несколько англоязычных спам-рассылок, приуроченных к празднованию Пасхи. В России в этом году Пасха приходится на 5 мая, и мы ожидаем, что русскоязычный «пасхальный» спам появится в апреле. «Нигерийцы» и события в Венесуэле Одним из главных политических событий марта стала смерть президента Венесуэлы. Уго Чавес 14 лет бессменно руководил страной и был весьма одиозной политической фигурой. Шумиха вокруг его смерти не утихает. Уже в начале марта нами были зарегистрированы так называемые «нигерийские письма» на английском и немецком языках, эксплуатирующие интерес пользователей к событиям в Венесуэле. Одно из мошеннических писем было разослано от имени начальника морского порта Венесуэлы, который якобы просил помочь ему сохранить деньги, полученные от продажи дизельного топлива Южному Судану. При этом в первом же письме мошенники не обещают адресату конкретную сумму за помощь, их цель на начальном этапе – заинтересовать получателя и заставить его ответить на письмо. И только в ходе дальнейшей переписки ему предлагается денежное вознаграждение. В другой рассылке распространялось письмо якобы от начальника службы безопасности и по совместительству близкого друга Уго Чавеса. Как всегда, «нигерийские» мошенники не ограничивают полет своей фантазии: «друг» имеет доступ к деньгам, которые покойный президент хранил на банковском счету своей тайной возлюбленной, и теперь готов предложить получателю письма 25% от общей суммы за помощь в выводе средств. В обоих случаях главной целью мошенников было вовлечь пользователя в переписку, чтобы ввести его в заблуждение и выманить у него деньги, например под предлогом оплаты каких-либо услуг, способствующих получению им мифических миллионов. Географическое распределение источников спама Страны — источники спама в мире По итогам марта 2013 года среди стран — источников спама, распространяемого по всему миру, на первое место вновь вышел Китай (25,8%). Доля спама, рассылаемого из США, незначительно увеличилась (17,3%), и теперь страна занимает второе место в общем зачете. В целом из этих двух стран в марте было разослано около 43% мирового спама. Третье место, как и в феврале, занимает Южная Корея (9,8%), доля которой в марте уменьшилась на 3,8%. Сохранили свои места в первой пятерке Тайвань (5%) и Индия (3,4%). А вот Россия (2,4%) потеряла почти 1% и передвинулась в рейтинге с 7-го на 10-е место. Германия (2,7%), занимавшая ранее 10-ю строчку, по итогам марта прибавила около 1% и заняла 8-е место. Страны — источники спама в Рунете Ситуация со спам-потоками в Рунете по итогам марта выглядит следующим образом. Индия потеряла лидирующую позицию и заняла второе место в рейтинге стран – источников спама. Ее показатель уменьшился почти вдвое и составил 9,1%. На освободившееся 1-е место с 3-ей позиции поднялся Тайвань – его результат 10,7%, что на 1,6% больше по сравнению с февралем. На третье место вышел Вьетнам (8,1%), несмотря на то что его показатель снизился на 0,3%. Доля спама из Германии (7,9%) в Рунете увеличилась на 2,3%, и в результате страна заняла 4-е место в рейтинге. Вклад США в спам-потоки Рунета увеличился на 3%, и страна поднялась с 7-го на 5-е место с показателем 5,9%. На 6-е место опустилась Италия (5,6%), которая в феврале занимала вторую строчку рейтинга, ее показатель уменьшился более чем вдвое. Россия (4,7%) в марте потеряла около 1% и спустилась на 8-ю строчку. Регионы — источники спама Среди регионов лидером по распространению спама остается Азия (54,1%). В первую тройку, как и в феврале, вошли Северная Америка (17,8%) и Восточная Европа (10,2%). За ними с небольшим отрывом следует Западная Европа (9,4%). Вредоносные вложения в спаме В марте 2013 года доля писем с вредоносными вложениями составила 4% от мирового почтового трафика. Это на 1,2% пункта больше, чем в прошлом месяце. На первом месте по-прежнему находится вредоносная программа Trojan-Spy.html.Fraud.gen (6,9%), однако ее доля по сравнению с прошлым месяцем уменьшилась на 4,1% пункта. Напомним, что этот троянец представляет собой html-страничку, имитирующую регистрационную форму сервиса онлайн-банкинга. Если пользователь вводит свои данные в предложенные поля и нажимает на кнопку отправления, его личная информация попадает к мошенникам. На второе место вышел Trojan.win32.Bublik.aknd. Эта вредоносная программа собирает с зараженного компьютера пользователя пароли от FTP, данные для авторизации на почтовых сервисах, сертификаты. Кроме того, она может просматривать формы в браузерах Mozilla Firefox и Google Chrome в поисках сохраненных логинов и паролей. Найденные данные программа отправляет злоумышленникам. На третьем месте находится вредоносная программа Email-Worm.Win32.Bagle.gt. Почтовые черви часто попадают в TOP-10, так как их основной функционал – рассылать свои копии по контактам в адресной книге пользователя. Черви семейства Bagle могут связываться с командным центром и устанавливать на зараженный компьютер другие вредоносные программы. Помимо прочего, в первую десятку в этом месяце вошли вредоносные программы семейства Trojan-Ransom, вымогающие у пользователей деньги за доступ к операционной системе или программам (обычно требуется отправить платное SMS). Обнаруженные нами модификации троянской программы Trojan-Ransom.Win32.Blocker блокируют работу операционной системы и вешают на Рабочем столе баннер с условиями разблокировки. Мы хотим напомнить читателям, что не следует идти на поводу у киберпреступников и платить злоумышленникам деньги. Чтобы разблокировать компьютер, воспользуйтесь нашим бесплатным сервисом: sms.kaspersky.ru. Распределение срабатываний почтового антивируса по странам Внезапно поднявшаяся в феврале на 1-е место Италия (6,6%) вновь уступила лидирующую позицию США (13,6%). Интересно, что в марте пользователи из США получали, помимо ворующих пароли Trojan-Spy.html.Fraud.gen и Trojan.win32.Bublik.aknd, множество других нацеленных на пароли троянцев семейства Trojan-PSW.Win32.Tepfer. На 2-м месте по-прежнему Германия (11,1%), за месяц ее доля практически не изменилась. А вот на 3-е место с 5-го поднялась Австралия (7%) – ее доля увеличилась на 1,3%. В целом распределение срабатываний по странам поменялось незначительно. После некоторого затишья злоумышленники, распространяющие вредоносные программы по электронной почте, возобновили рассылку писем – подделок под уведомление о бронировании отелей и авиабилетов. В частности, в марте нами была зарегистрирована новая рассылка подделок под уведомление о бронировании номера в Atlantic Hotel. В письме, написанном от лица менеджера отеля, злоумышленники благодарили получателя за бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013 года. Предполагается, что заинтригованный получатель письма откроет приложенный к письму архив, якобы содержащий подтверждение бронирования номера, и запустит исполняемый файл AtlanticHotel Booking Confirmation.doc.exe. В результате произойдет заражение компьютера вредоносной программой, детектируемой «Лабораторией Касперского» как Trojan-Ransom.Win32.Blocker.awbi. Данный троянец широко используется для вымогания денежных средств или финансовой информации. Также мошенники рассылали письма с вредоносными вложениями под видом уведомления о бронировании авиабилетов. Так, мы обнаружили письма-подделки, рассылаемые от имени онлайн-сервиса Delta.com. В письме злоумышленники благодарили за выбор сервиса бронирования авиабилетов и сообщали, что требования к багажу и порядок регистрации могут различаться в зависимости от аэропорта и авиаперевозчика, поэтому получатель должен открыть приложенный к письму электронный билет и внимательно прочитать его. На самом деле во вложении находился исполняемый файл eTicket and Receipt.pdf.exe, детектируемый «Лабораторией Касперского» как Backdoor.Win32.ZAccess.bmdt.Это вредоносное ПО используется злоумышленниками для получения удаленного доступа к компьютеру жертвы с целью кражи персональной информации, включения компьютера в ботнет и т.д. Помимо подделок под уведомление о бронировании номера отеля или авиабилетов в марте для обмана пользователей спамеры использовали имя австралийской телекоммуникационной компании TPG Telecom. В поддельном письме сообщалось, что баланс мобильного телефона получателя был меньше 5 долларов, но компания предоставила кредит, и теперь баланс телефона составляет 20 долларов. А более подробную информацию о состоянии счета получатель письма мог узнать, открыв вложенный файл. Во вложенном zip-архиве содержался файл TGP-Account-Details.doc.exe, детектируемый «Лабораторией Касперского» как троянская программа-шпион Trojan-Spy.Win32.Zbot.jqye. Это одна из разновидностей знаменитого трояца ZeuS, предназначенная для похищения конфиденциальной информации пользователя. Фишинг В марте доля фишинговых писем в глобальном почтовом потоке увеличилась вдвое и составила 0,006%. По итогам марта социальные сети продолжают удерживать лидирующую позицию по количеству фишинговых атак, их показатель уменьшился на 4,3% и составил 34,5%. В первую тройку также вошли финансовые и платежные организации (17,4%) и поисковые системы (14,9%), которые занимают вторую и третью строчку соответственно. Четвертую позицию сохранили ИТ-вендоры (9,9%). Замыкают первую пятерку телефонные и интернет провайдеры (8,9%), ранее занимавшие 7-е место, — их показатель увеличился на 3,5%. В марте нами было получено любопытное фишинговое письмо на китайском языке, якобы отправленное известным китайским сетевым изданием sina.com.cn. В письме фишеры прибегли к популярной легенде о том, что аккаунт пользователя на сайте издания плохо защищен и для обеспечения безопасности получателю письма необходимо перейти по ссылке и обновить данные аккаунта. Кликнув по указанной в письме мошеннической ссылке, жертва попадает на поддельную страницу, где ее просят ввести логин и пароль для доступа к аккаунту. В результате в руки мошенников попадают персональные данные пользователя, а украденный аккаунт в дальнейшем может быть использован для рассылки спама от имени жертвы. Интересно, что в письме мошенники предлагают пользователю написать в службу поддержки или позвонить по указанному телефону в случае возникновения каких-либо сомнений или вопросов. Данный прием используется для убеждения получателя в легитимности письма. Заключение В марте общая доля спама незначительно уменьшилась, а спамеры продолжили эксплуатировать тематику праздников для рекламы различных товаров и услуг. В апреле мы ожидаем уменьшения количества спама, использующего эту тематику, но в то же время весьма вероятно появление русскоязычного «пасхального» спама. Одним из заметных событий марта стало появление «нигерийских писем», использующих интерес пользователей к событиям в Венесуэле. Как и в феврале, большая часть спама распространяется по миру из США и Китая – в марте эти две страны стали источником примерно 43% нежелательных сообщений. В спам-потоках Рунета произошли значительные изменения: вдвое упали показатели Индии и Италии, двух главных источников спама в феврале. Рейтинг рассылаемых по почте вредоносных программ в марте отличался разнообразием: компанию вложенным в письма фишинговым страницам составили бэкдоры, почтовые черви и даже троянцы-вымогатели. Но 1-е место с большим отрывом по-прежнему занимает Trojan-Spy.html.Fraud.gen. Количество фишинговых писем увеличилось вдвое, однако в первой тройке атакованных фишерами организаций существенных изменений не произошло. Как и в прошлом месяце, около трети всех атак были нацелены на пользователей социальных сетей, а в первую тройку мишеней фишеров вошли поисковые системы и финансовые организации. Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013