Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 501

В этом номере:


Новости

Abuse.ch будет отслеживать активность Feodo

С конца декабря эксперты наблюдают масштабную спам-кампанию, нацеленную на засев Windows-зловреда Feodo, он же Cridex и Bugat. Многие из этих спам-сообщений написаны на немецком языке и имитируют уведомления от известных банков и телеоператоров.

Предупреждения о спаме с вредоносными ссылками уже опубликовали Cisco, G Data, Deutsche Telekom. По свидетельству исследователей, поддельные письма распространяются с взломанных почтовых аккаунтов; 88,4% адресованы немецкоязычным пользователям и написаны от имени Volksbank, Deutsche Telekom, Vodafon D2 или NTTCable. Спамеры сообщают получателю о некой задолженности у телеоператора или о проведении транзакции по личному счету в банке (как вариант: о новых мерах безопасности банка). Для получения дополнительной информации пользователю предлагается посмотреть документ, указанный ссылкой.

При активации этой ссылки на машину пользователя загружается ZIP-архив, содержащий исполняемый файл, замаскированный под PDF-документ. К 13 января G Data обнаружила более 1,1 тыс. новых сайтов, загружающих Feodo в рамках текущей спам-кампании.

Feodo/Cridex известен уже более двух лет; он умеет регистрировать ввод данных с клавиатуры, проводить MitB-атаки при заходе жертвы в систему онлайн-банкинга и загружать других зловредов. Случаи распространения Feodo через спам нередки.

Рост активности Feodo привлек внимание участников швейцарского security-проекта Abuse.ch, которые решили запустить еще один статистический раздел на своем веб-сайте. Feodo Tracker устроен так же, как и действующие трекеры для ZeuS, SpyEye и Palevo: он дает представление о текущих масштабах угрозы и распространяет черные списки, помогающие системным и сетевым администраторам блокировать C&C-трафик и выявлять зараженные компьютеры в локальных сетях.

По свидетельству Abuse.ch, одна из версий Feodo (А) подключается к центру управления по HTTP через сеть взломанных серверов, используемых как прокси. Вторая (В) устанавливает прямое соединение на порту 80; большинство ее C&C-доменов привязаны к TLD-зоне .ru и зарегистрированы через REG.RU. Злоумышленники арендуют также NS-серверы этого регистратора. На 21 января в базе Feodo Tracker числилось 47 C&C-серверов этого зловреда; 5 из них были активны.

Источник: Abuse.ch

Вредоносный спам с бытовых приборов

Proofpoint обнаружила вредоносную рассылку, проводимую при участии домашних смарт-устройств. ИБ-эксперты давно прогнозируют кибератаки на базе Internet of Things (Интернета вещей, IoT), однако до сих пор эта возможность рассматривалась как гипотеза и лишь теперь получила практическое подтверждение.

С 23 декабря по 6 января исследователи зафиксировали свыше 750 тыс. вредоносных сообщений, более четверти которых распространялись с роутеров, мультимедийных центров, телевизоров и даже холодильников. По свидетельству Proofpoint, зловредный спам вбрасывался в интернет трижды в сутки, по 100 тыс. сообщений за раз. В данной спам-кампании было задействовано порядка 450 тыс. IP-адресов; более 100 тысяч таких источников составляли IoT-устройства. С каждого IP-адреса совокупно отправлялось не более 10 нелегитимных писем – по всей видимости, для обхода защитных решений, блокирующих спам по местонахождению источника.

Эксперты отмечают, что инфицировать подключенную к интернету бытовую технику намного проще, чем ПК, смартфоны и планшеты: владельцу гаджета обычно даже в голову не приходит проверить правильность его конфигурации, заменить дефолтный пароль или побеспокоиться о защите от спама и вирусов. Более того, у пользователей таких смарт-устройств пока нет реальной возможности обнаружить и устранить заражение.

Proofpoint сочла обнаруженную IoT-атаку первым пробным камнем и уверена, что на этом злоумышленники не остановятся. Незащищенные интеллектуальные устройства составляют благодатную почву для абьюзов, которые будут множиться с ростом популяции этих гаджетов. Согласно прогнозу IDC, в 2020 году число подключаемых к Сети бытовых приборов превысит 200 миллиардов.

Источник: Proofpoint

Оператор наказан за распространение сторонней спам-рекламы

Апелляционный суд оставил в силе решение Арбитражного суда Тверской области, признавшего справедливым штраф, наложенный местной антимонопольной службой на ОАО «Вымпелком». Оператору сотовой связи придется выплатить 100 тыс. рублей за соучастие в распространении заказной рекламы без согласия абонентов, то есть в противоречие требованиям ФЗ «О рекламе».

Ранее тверское УФАС признало ненадлежащей SMS-рекламу услуг микрофинансирования, докучавшую абонентам «Билайн» с завидной периодичностью. Проведенное антимонопольщиками расследование позволило выявить всю цепочку соучастников данного правонарушения. Как оказалось, некая финансовая организация заказала индивидуальному предпринимателю рассылку порядка 9 млн. рекламных SMS, которые тот и распространял по сетям «Билайн» в нескольких российских регионах. УФАС постановило, что распространителями непрошеной рекламы в данном случае являлись не только заказчик и непосредственный исполнитель, но также ответственный за доставку оператор.

Все нарушители были привлечены к административной ответственности. Предпринимателю, неоднократно уличенному в рассылке спама, был назначен штраф в размере 20 тыс. рублей, его клиенту и «Вымпелкому» – в размере 100 тыс. рублей. Несогласный с таким решением оператор обратился в арбитраж, а проиграв дело, подал апелляцию.

«Следует отметить, что это первое подобное дело в стране, когда оператор сотовой связи был привлечен к ответственности за распространение не собственной рекламы или рекламы своих партнеров (контент-провайдеров), а за участие в распространении рекламы третьих лиц, – отметил руководитель тверского УФАС Владимир Фомин. – Нашему управлению удалось раскрыть всю цепочку лиц, виновных в распространении ненадлежащей рекламы, и отстоять свою позицию в суде». По словам Фомина, в настоящее время в производстве тверского УФАС находится более 40 дел по признакам нарушения федерального законодательства о рекламе.

Источник: УФАС по Тверской области

Неизвестный зловред украл ключи к немецким ящикам

На одном из хакерских репозиториев обнаружены 16 млн. идентификаторов (логинов и паролей) к почтовым аккаунтам жителей Германии. По свидетельству федерального управления по информационной безопасности страны (Bundesamt für Sicherheit in der Informationstechnik, BSI), эта база была обнаружена экспертами при изучении неназванного ботнета, судьба которого тоже пока не известна.

BSI опубликовало на своем сайте соответствующее предупреждение и с помощью Deutsche Telekom запустило специальный ресурс, на котором можно проверить сохранность своих регистрационных данных. Если эти ключи присутствуют в списке украденных, из владельцу высылается соответствующее уведомление на любой указанный адрес. В ответ будут также включены необходимые инструкции.

Пострадавшим рекомендуется незамедлительно сменить пароль, проверить компьютер на предмет заражения и никогда не использовать одни и те же идентификаторы на разных сайтах.

Источник: V3.co.uk

Symantec: в декабре объемы спама увеличились

Согласно статистике Symantec, в минувшем месяце уровень спама в почтовой корреспонденции возрос на 1,8 процентных пункта и составил 64%. Наиболее высокие показатели были вновь зафиксированы в Шри-Ланке (75,2%), а также в сфере образования (65,9%).

Рейтинг стран-источников нелегитимных писем возглавили Испания и США, вклад которых в глобальный спам-трафик оказался одинаковым и составил 7,6%. По данным Symantec, на долю десяти стран-лидеров по спам-рассылкам в декабре совокупно пришлось 50% почтового мусора. В тематическом составе спама преобладала реклама порноресурсов и сайтов знакомств (76,3% нелегитимных писем). На долю рекламы медикаментов и предложений трудоустройства пришлось по 9,2% спама.

Статистика по размерам непрошеных писем и используемым спамерами TLD-доменам представлена в отчете компании по состоянию на ноябрь. Три четверти спам-сообщений в этом месяце почти равномерно разделились на короткие (до 5 КБ) и длинные (свыше 10 КБ). В URL-спаме преобладал домен .com, доля которого увеличилась до 36,7%. Второе место занял .info (26,1% ссылок), за ним следовали .us и .biz (10,1 и 9,6% соответственно).

Концентрация фишинговых сообщений в электронной почте в декабре увеличилась до 1 письма на 1053, тогда как в предыдущем месяце этот показатель составлял 1 на 1311. Наиболее высокие уровни фишинга наблюдались в Великобритании (1 письмо на 530), а в разделении по сферам хозяйственной деятельности – в госсекторе (1 на 173). Основными источниками фишинговых рассылок, согласно Symantec, являлись Австралия, Новая Зеландия и США (35,9; 29,3 и 18,8% фиш-писем соответственно).

Большинство сайтов-ловушек фишеров, обнаруженных в минувшем месяце, имитировали ресурсы финансовых организаций (61,6%) или информационные веб-сервисы (33,8%). Около половины (48,6%) поддельных сайтов были созданы автоматизированными средствами.

Процент писем с вредоносными вложениями тоже возрос; такие сообщения попадались с частотой 1 на 164 – против 1 на 253 в ноябре. Чаще прочих от зараженного спама страдали жители Соединенного Королевства (1 письмо на 65), а также представители госсектора (1 на 33) и сферы образования (1 на 76). Основная масса вредоносных писем распространялась с территории Великобритании (60,7%), Шри-Ланки (14,0%) и США (13,8%).

Источник: Symantec

Спамбот выпускает дымовую завесу

Эксперты SonicWALL (ныне собственность Dell) обнаружили необычный спамбот, который генерирует большое количество HTTP POST и GET запросов, чтобы скрыть свои истинные намерения и сбить с толку возможных преследователей.

«Похоже, он старается скрыть значимые, несущие фактическую нагрузку коммуникации в массе безвредных запросов, которые не содержат ничего примечательного, – комментирует Эд Майлз (Ed Miles), старший вирусный аналитик SonicWALL. – Он прячется в собственном трафике».

Спамбот, который SonicWALL именует Wigon.PH_44, раздается с взломанных сайтов, работающих на платформе WordPress. На настоящий момент обнаружено 200 таких ресурсов с суммарным количеством обращений 15 тыс., преимущественно с территории США. Способ компрометации WordPress-сайтов пока не установлен.

Wigon может работать под разными версиями Windows, включая 64-битную ХР и Windows 8. Его функционал не ограничивается рассылкой спама: исследователи также обнаружили компонент для кражи данных из почтовых программ и FTP-приложений, таких как CuteFTP, FTP Commander, FTP Navigator, FileZilla и проч. После инсталляции зловред подключается к C&C-серверу и получает команду на рассылку в спаме других зловредов.

Исследуя новый спамбот, Майлз и его коллега Дипен Десаи (Deepen Desai) отметили его сходство с Cutwail, но пока не готовы счесть Wigon новым вариантом хорошо известной угрозы. «Мы заметили, что зловред получает шаблоны для [спам-]писем через HTTP-запрос, но они пересылаются в зашифрованном виде, – говорит Десаи. – Такую же особенность в числе прочих мы когда-то наблюдали у Cutwail. Однако утверждать, что это Cutwail, мне кажется преждевременным, хотя проявленное им поведение говорит в пользу сходства».

С арестом автора Blackhole и сокращением использования этого эксплойт-пака поток вредоносного спама с ботнетов, включая Cutwail, несколько снизился. Полагавшиеся на Blackhole злоумышленники теперь вынуждены искать альтернативные способы доставки приносящих доход программ, в первую очередь банкеров и шифрующих файлы блокеров.

Источник: Softpedia


Записки спам-аналитиков

Миллиарды покойного политика

Мария Рубинштейн,
эксперт «Лаборатории Касперского»

12 января скончался бывший премьер-министр Израиля Ариэль Шарон. Как обычно, интернет-мошенники воспользовались печальным событием в своих целях. Имя покойного политика немедленно взяли в оборот "нигерийцы": теперь вам могут предложить его деньги, без сомнения, исчисляющиеся в весьма внушительных цифрах.

В письме нам предлагают 1,8 миллиарда долларов, которые автор обнаружил в банке в Брюсселе: за ними-де никто не является, так помогите, пожалуйста, сохранить эти деньги.

Схема старая, а имена время от времени подставляются новые; стоит появиться новости об уходе из жизни очередного известного человека, мошенники хватаются за его имя, чтобы вызвать больше доверия у своих жертв. Ведь миллионы Ариэля Шарона уж точно существуют, в отличие от каких-то сомнительных кладов, найденных какими-то сомнительными солдатами.

Примеры спамовых писем смотрите на сайте Securelist.com/ru.


Спам в декабре 2013 года

Татьяна Щербакова,
эксперт «Лаборатории Касперского»

Мария Вергелис,
эксперт «Лаборатории Касперского»

Особенности месяца

В декабре спамеры традиционно пытались привлечь потенциальных клиентов самыми разнообразными и нестандартными предложениями подарков и зимнего отдыха, активно используя при этом тематику предстоящих праздников.Не были забыты и сезонные товары и услуги. Очередным поводом для рассылки мошеннических писем в прошлом месяце стала новость о смерти Нельсона Манделы.

Еще одной темой, которую в декабре активно эксплуатировали спамеры, стал финансовый кризис. На фоне новостей о возможных последствиях кризиса спамеры старались выставить рекламируемые ими услуги в самом выгодном свете, а также привлечь потенциальных клиентов за счет представления «спасительных антикризисных мер», известных лишь авторам данных рассылок.

Новогодний спам

В декабре, когда  миллионы людей заняты поиском и покупкой подарков для своих родных и друзей, резко возрастает спрос на тематические товары и услуги. Для привлечения новых клиентов и повышения продаж некоторые компании и частные лица прибегают к помощи спам-рассылок.

В декабре мы продолжили фиксировать туристический спам, содержащий предложения отпраздновать Новый Год за границей. Не обошлось и без рекламы услуг по организации корпоративных новогодних вечеринок, причем в этом году спама данной тематики стало заметно больше. Потенциальным клиентам спамеры предлагали не только традиционные празднования с участием популярных артистов, но и различные экстремальные развлечения.

Не забыли спамеры и про неотъемлемые атрибуты празднования Нового Года – в спам-трафике нам часто встречались предложения по продаже фейерверков и гирлянд. Реклама услуг по декоративному оформлению воздушными шарами в декабре также была приурочена к Новому Году.

Мы также обнаружили и другие новогодние предложения спамеров, среди них доставка новогодней елки, курьерские услуги, реклама картин с фотографиями в качестве подарка и т.д.

Многочисленные новогодние спам-рассылки были адресованы родителям и их детям. В таких сообщениях спамеры предлагали билеты на ежегодные новогодние елки, услуги Деда Мороза, а также карнавальные костюмы.

Как мы и прогнозировали, в декабре увеличилось количество праздничного графического спама, чаще всего для оформления писем использовалось изображение Деда Мороза. Не обошлось и без популярной у спамеров уловки - в темах декабрьских писем для привлечения внимания получателей упоминались названия праздников.

«Нигейриский» адвокат Нельсона Манделы

В начале декабря на 96-м году жизни умер 8-й Президент ЮАР Нельсон Мандела. Это трагическое событие мошенники не оставили без внимания, и в середине месяца мы зафиксировали первую «нигерийскую» спам-рассылку. В письме, написанном от имени личного адвоката покойного президента, мошенники использовали стандартные уловки для обмана получателя: просили помочь вложить миллионы долларов,  сулили щедрое вознаграждение и приводили ссылки на известные новостные издания. Все подробности сотрудничества жертве обещали сообщить после ответа на полученное письмо. В качестве обратной связи использовался адрес электронной почты, зарегистрированный на бесплатном сервисе.

Зимние товары

Зимой спамеры рассылают не только праздничный спам, не забывают они и о рекламе сезонных товаров и услуг. С наступлением холодов в наши антиспам-фильтры начали попадать рассылки с рекламой различной обогревающей бытовой техники и обуви с утеплением или подогревом. Предложения по чистке и вывозу снега также ежегодно фиксируются нами в спам-трафике.

Антикризисный спам

Экономическая ситуация во многих странах сейчас нестабильна, и слово «кризис» нередко можно встретить в аналитических статьях СМИ. Именно на данной тематике пытались спекулировать в прошлом месяце авторы различных спам-рассылок. Содержимое незапрошенных писем прямо или косвенно связывалось с уже прогрессирующим или грядущим кризисом, а их авторы продвигали свои услуги как единственно возможное средство избежать или преодолеть финансовый кризис.

Аналогичным образом спамеры привлекали внимание к услугам создания сайтов, поиска потенциальных клиентов и продвижения товаров в Сети с помощью массовых рассылок. Цены за услуги тоже предлагались «кризисные», то есть со скидкой. Для оформления заказа нужно было позвонить по указанному в письме телефону. Мы также зафиксировали немало приглашений на семинары, посвященные оптимизации расходов предприятий в период кризиса. Зарегистрироваться на семинар традиционно можно было по указанной в письме ссылке или позвонив по телефону.

Визы и путешествия

Для тех, кто не успел заранее спланировать и организовать свой зимний отдых, спамеры рассылали предложения по получению виз в любые страны в кратчайшие сроки без присутствия самого получателя на собеседовании в посольстве. Включая даже те страны, куда получить визу не так легко, и где процесс оформления связан с предоставлением множества документов и прохождением многочисленных проверок (например, США или Великобритания). Но сложности не смущали авторов писем, в полученных нами сообщениях они предлагали решить все вопросы за определенную сумму денег. Как правило, в таких письмах указывался телефон для связи или адрес агентства, занимающегося оказанием данных услуг.

Географическое распределение источников спама

Доля спама в почтовом трафике

Наибольшая доля спама была зафиксирована в начале второй половины месяца, когда в связи с предстоящими праздниками активность  спамеров достигла своего пика. К концу месяца мы уже наблюдали снижение активности, и в результате в декабре доля спама составила в среднем 73,3% почтового трафика.

Страны – источники спама

В конце года в объеме мирового спама и его географическом распределении сохранилась устойчивая ситуация. Не претерпели каких-либо значительных изменений не только список стран – источников спама, но и доля незапрошенной почты, разосланной из этих стран. По итогам декабря 2013 года на первом месте по-прежнему находится Китай (23,1%). Второе место занимают США (19%). Третья позиция принадлежит Южной Кореей (13,9%). В целом в прошлом месяце из этих трех стран было разослано 56% мирового спама.

На четвертом месте, как и в ноябре, расположилась Тайвань (6,5%). За ней следует Россия, доля разосланного из этой страны спама составила 5,4%. Замыкает десятку Румыния (1,6%).

В два раза уменьшилась доля спама, разосланного из Канады (0,8%), за счет чего страна потеряла четыре пункта и переместилась на 14-ю позицию.

Напротив, небольшое увеличение доли спама наблюдалось в Испании (0,7%) и Израиле (0,7%), которые в декабре пополнили наш список.

По итогам декабря некоторые перестановки произошли в первой тройке стран – источников спама в Рунете. Лидером среди остается Россия (15,9%). Далее следует Тайвань (12,7%), чей показатель за месяц  увеличился на 1%. На третью позицию снова вышла Индия (11%), доля спама из этой страны увеличилась на 0,8%.

Вьетнам, замыкавший тройку лидеров в прошлом месяце, в декабре расположился на 4-м месте с показателем 10,5%. На 5-й позиции по-прежнему находится Украина (5%), хотя доля разосланного из этой страны спама сократилась на 1%. Также на 1% уменьшился показатель Казахстана (2%), в этом месяце страна замыкает десятку, потеряв два пункта.

С одинаковыми показателями в 1% наш список в декабре пополнили Испания и Турция.

В остальном, список стран – источников спама в Рунете не претерпел значительных изменений.

Среди регионов лидером по распространению спама по-прежнему является Азия (56,6%), по сравнению с прошлым месяцем её показатель сократился на 2%. Далее с незначительным приростом в 0,3% следует Северная Америка (19,9%). Замыкает первую тройку Восточная Европа (13,7%). Далее в списке следуют регионы Западная Европа (4,4%) и Латинская Америка (2,5%). Доля спама по региону Ближний Восток составляет 2,4%.

Вредоносные вложения в почте

В декабре TOP 10 вредоносных программ, распространяемых по почте, выглядел следующим образом.

Неизменным осталось положение зловреда Trojan-Spy.HTML.Fraud.gen, который на протяжении многих месяцев упорно не покидает первое место. Напомним, что представитель семейства троянцев Fraud.gen представляет собой поддельную HTML-страницу и рассылается по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, софтверных компаний и т.д.

На втором, четвёртом и шестом местах соответственно расположились Trojan-PSW.Win32.Tepfer.stlj, Trojan-PSW.Win32.Tepfer.swrz и Trojan-PSW.Win32.Tepfer.sugm - программы-шпионы, которые крадут cookie и пароли браузеров, пароли от FTP-клиентов, почтовых программ и отсылают их злоумышленникам.

Третью позицию занимает Trojan.Win32.Inject.gxgh. Этот зловред незаметно устанавливает на компьютер жертвы вредоносное расширение для браузеров Google Chrome и Mozilla Firefox. Расширение перехватывает поисковые запросы к большому числу поисковых сервисов, отсылает строку запроса на сервер злоумышленника, а затем подменяет поисковую выдачу, т.е. демонстрирует пользователю не реальные, а подложные, сфабрикованные злоумышленниками результаты поиска.

На пятой позиции расположился уже хорошо знакомый нам Email-Worm.Win32.Bagle.gt - почтовый червь, который рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также червь имеет функционал загрузки файлов из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку.

Восьмое и десятое места в списке самых распространённых почтовых зловредов в декабре заняли Net-Worm.Win32.Aspxor.apo и Net-Worm.Win32.Aspxor.app соответственно. Asprox - рассылающий спам сетевой червь. Он может автоматически заражать сайты, скачивать и запускать другое ПО, собирать ценную информацию на компьютере, такую как сохраненные пароли, данные для доступа к почтовым и FTP-аккаунтам.

На девятой строке в декабре расположился Trojan-Spy.Win32.Zbot.qvpu. Семейство Zbot/Zeus - это троянцы, разработанные для атаки на сервера и пользовательские компьютеры, перехвата данных. Хотя троян способен выполнять различные вредоносные действия, чаще всего используется для воровства банковской информации. Так же он может устанавливать CryptoLocker – вредоносную программу, требующую деньги за расшифровку данных пользователя.

В рейтинге стран по количеству срабатываний почтового антивируса начиная с ноября на первом месте держится Великобритания (14%). В декабре ее показатель увеличился на 1,7%. Доля срабатываний в США (13,2%) также выросла на 3,1%, благодаря чему страна переместилась на вторую позицию. В результате на третьей строчке оказалась Германия, ее показатель снизился на 1%.

Доля срабатываний почтового антивируса на территории России уменьшилась до 1,7%. Доля срабатываний почтового антивируса в других странах существенных изменений в декабре не претерпела.

Особенности вредоносного спама

Все чаще мошенники, рассылающие вредоносные сообщения используют в качестве имен отправителей названия известных компаний, продающих электронику или ПО. Расчет злоумышленников прост: получив уведомление от компании, клиентом которой пользователь зачастую является на самом деле, он непременно заинтересуется и с высокой долей вероятности откроет  архив с вредоносной программой.

В прошлом месяце мы зафиксировали немало сообщений, рассылаемых от имени известного производителя телекоммуникационного оборудования, бытовой техники, аудио- и видеоустройств – компании Samsung, а также от имени американского разработчика программного обеспечения – Adobe Systems Inc.

От имени Samsung злоумышленники рассылали письма, якобы написанные одним из менеджеров компании. В письме «менеджер» сообщал, что ему необходимо организовать срочные поставки какой-либо продукции, и после долгих поисков посредника выбор пал именно на получателя письма и его компанию. С заказом на поставку необходимых товаров предлагалось ознакомиться, открыв приложенный файл. Также указывался необходимый срок поставки, в пределах которого должны быть улажены все формальности, касающиеся документов и оплаты. В письме имелась автоподпись менеджера со всеми необходимыми контактными данными. На самом деле файл в приложенном архиве являлся зловредом, детектируемым «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot.qzpl. Это шпионский троян из семейства Zbot/Zeus, предназначенный для похищения конфиденциальной информации пользователя.

Сообщения от имени Adobe имитировали подтверждение покупки программного продукта компании и якобы содержали лицензионный ключ для его активации. При проверке оказывалось, что вместо регистрационного кода в приложенном к письму архиве находился червь, детектируемый «Лабораторией Касперского» как Net-Worm.Win32.Aspxor.apo. Это червь из семейства Net-Worm.Win32.Aspxor, используемый злоумышленниками для рассылки спама. Он также может заражать сайты, скачивать и запускать ПО, а  красть данные с компьютера пользователя.

Фишинг

По итогам декабря рейтинг атакованных фишерами организаций не претерпел значительных изменений.

Первую строчку по-прежнему занимают социальные сети (26,9%), чей показатель продолжает уменьшаться (-0,4%.) Показатели почтовых сервисов (19,5%) и поисковых систем (16,6%) увеличились незначительно и по итогам декабря данные категории продолжили удерживать 2-ю и 3-ю строчку соответственно.

Показатель финансовых и платежных организаций (15,8%) уменьшился на 0,3%, и по итогам месяца категория сохранила 4-ю строчку.

Категория «Телефонные и интернет-провайдеры» вновь поменялась местами с категорией «ИТ-вендоры», и в декабре обе категории заняли 5-ю и 6-ю строчку соответственно. При этом показатель ИТ-вендоров (6%) уменьшился, а показатель телефонных и интернет-провайдеров (8,5%), напротив, увеличился на 2,4%.

Показатели онлайн-игр, правительственных организаций и СМИ незначительно уменьшился; в декабре перечисленные категории заняли 8-ю, 9-ю и 10-ю строчки соответственно.

Некоторые банковские организации с незавидным постоянством становятся мишенями фишеров. Так, в декабре, злоумышленники вновь рассылали поддельные официальные уведомления от имени индийского банка ICICI. В письме сообщалось, что защита системы онлайн-банкинга была улучшена и теперь пользователю необходимо авторизоваться в системе и убедиться, что обновление прошло успешно. Далее приводилась пошаговая инструкция, в которой от пользователя требовали открыть HTML-вложение, ввести необходимую информацию и подтвердить ее. Отметим, что в письме было два таких вложения, предназначенные для корпоративных и частных клиентов, однако поля, которые было необходимо заполнить, были идентичны. Далее информация, введенная на фишинговых HTML-страницах, передавалась злоумышленникам, и они получали полный доступ к аккаунту пользователя.

Для убеждения получателя в легитимности письма злоумышленники использовали  адрес отправителя, похожий на официальный, а в тексте письма приводилась подробная инструкция по активации, что редко можно встретить в фишинговых письмах. Также оформление вложенных в письмо фишинговых страниц было похоже на оформление страниц официального сайта банка.

Заключение

Доля спама в мировом почтовом трафике в декабре увеличилась на 0,8% и составила 73,3%. В январе количество спама, предположительно, снизится, так как начало января – время затишья в спаме: в период праздников большое количество ботнетов выключено и пользовательская активность снижается.

Как мы и прогнозировали, количество праздничного спама в декабре достигло своего максимума. При этом в 2013 году новогодний и рождественский спам стал еще более разнообразным, появились новые предложения, возросло количество спама с предложением весело провести корпоративный Новый год. В то же время сохраняется тенденция увеличения графического спама, посвященного зимним праздникам.  

Смерть Нельсона Манделы в декабре стала очередным поводом для рассылки «нигерийских» писем от имени коллег покойного президента и обмана пользователей. Мы ожидаем, что в январе продолжится рассылка мошеннических писем, посвященных данному трагическому событию.

По итогам декабря категория «Социальные сети» продолжает удерживать лидирующую позицию в ТОР 100 атакованных фишерами организаций, ее показатель уменьшился на 0,4%. Далее идут почтовые сервисы и поисковые системы, чьи показатели незначительно выросли. Показатель занимающих 4-ю строчку финансовых организаций наоборот уменьшился и составил 15,8%. В январе в этом списке, скорее всего, не произойдет существенных изменений.

Что касается вредоносных рассылок, то в декабре мошенники использовали для прикрытия не только названия финансовых организаций или социальных сетей, но и имена известных компаний, создающих электронику и программное обеспечение, которыми пользуются по всему миру.

Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2013


В избранное