Электронный журнал "Спамтест" No. 512 В этом номере: Новости Спам в марте 2014 года Новости APWG: китайский фишинг по-прежнему на подъеме Во второй половине 2013 года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала свыше 115,5 тыс. уникальных фишинговых сайтов – почти на 60% больше, чем в предыдущем полугодии. Количество доменов, используемых для фишинга, увеличилось в полтора раза, превысив 82 тысячи. Рост показателей эксперты объясняют высокой активностью китайских фишеров, так как большинство новых ловушек были обнаружены на территории Китая и имитировали популярные местные сервисы. В июле-декабре фишеры предпочитали размещать свои страницы на взломанных или скомпрометированных ресурсах, однако число зарегистрированных ими доменов, по данным активистов, возросло более чем в 2 раза и составило около 23 тысяч. Это самый высокий показатель за всю историю наблюдений APWG, которая ведет статистику по фишингу с 2007 года. На долю китайских фишеров в минувшем полугодии пришлось 85% целевых регистраций, в основном, в TLD-зонах .COM и .TK (Токелау). Излюбленными мишенями китайских фишеров являются крупнейшая торговая площадка Taobao (аналог eBay), Промышленный и коммерческий банк Китая (ICBC), ведущие телеканалы страны и инвестиционный холдинг Tencent. В целом фишинговые сайты были обнаружены в 210 TLD-доменах, около половины (46%) – в обширной зоне .COM. Тем не менее, по концентрации сайтов-ловушек (в пересчете на 10 тыс. зарегистрированных имен) .COM сильно уступает многим региональным доменам, среди которых лидируют .NP (Непал), .PW (ранее Палау, ныне открытая регистрация) и .TH (Таиланд). Мишени фишеров отличались большим разнообразием, в совокупности эксперты насчитали около 680 атакованных организаций. Это чуть меньше, чем в предыдущем полугодии, однако половину более свежего списка составили новички. Его по-прежнему возглавляют PayPal и Taobao.com (21% и 16,7% фиш-сайтов соответственно); 32,9% имитаций пришлось на банки, 26,2% – на сервисы электронной коммерции, 17,5% на платежные системы и службы денежных переводов, 16,8% на соцсети и электронную почту. В заключение – хорошая новость: среднее время жизни сайтов-ловушек начало сокращаться. В первой половине 2013 года оно составило более 44,5 часов, во второй – 28 часов 43 минуты. APWG также отметила, что в июле-декабре половина фиш-сайтов были обнаружены и заблокированы в течение 8 часов. Источник: APWG Cloudmark: коротко о спаме в I квартале В январе-марте Cloudmark зафиксировала рост числа спам-рассылок, использующих горячие новости в качестве приманки. Особенной активностью отличались спамеры, атакующие фанатов британского футбола и конного спорта. В периоды футбольных матчей и бегов, открывающих конно-спортивный сезон в Великобритании, в этой стране регулярно наблюдались всплески почтового и мобильного спама, рекламирующего услуги казино и букмекеров. Так, 19 января, в день встречи футбольных клубов Челси и Манчестер Юнайтед, на долю такой SMS-рекламы пришлось более 16% общего потока текстовых сообщений на территории Соединенного Королевства. По свидетельству Cloudmark, объемы «спортивного» спама в отчетный период превысили даже мусорный поток, эксплуатирующий печальные события на Украине. Тем не менее, Украина продолжает числиться в ведущей дюжине стран-экспортеров спама и по-прежнему входит в ТОР 10 по количеству IP, рекомендуемых Cloudmark к блокировке. По данным компании, эта страна является одним из основных источников мусорных сообщений на собственной территории, однако часть украинского спама предназначена для зарубежных пользователей. Больше прочих от почтового мусора украинского происхождения страдают американцы. В Японию из Украины поступает, как правило, спам-реклама порно и букмекерских услуг. Распространители зловредов, лишившись такого мощного инструмента, как Blackhole, возвращаются к методам социальной инженерии. В марте на территории США Cloudmark зафиксировала рассылку вредоносных писем, призванных вызвать шок у получателя и заставить его активировать ссылку. Поддельное сообщение, написанное от имени реального бюро ритуальных услуг, выражало соболезнования по поводу кончины некоего близкого друга и предлагало скачать персональное приглашение, пройдя по указанной ссылке. По свидетельству Cloudmark, имя вредоносного файла, загружаемого на машину жертвы, меняется в зависимости от ее географического местоположения (определяемого по IP-адресу). Похожая вредоносная рассылка была проведена на территории Великобритании, однако британцев пытались запугать возможностью их собственной скорой смерти – от рака, предлагая взглянуть на результаты анализа крови, якобы заказанные получателем. Источник: Cloudmark Новые сюрпризы «грязной дюжины» Компания Sophos опубликовала географические рейтинги по спам-рассылкам по итогам 1 квартала текущего года. Наибольшее количество мусорных сообщений по-прежнему распространяется с американских компьютеров (16,4%). На второе место в этом непочетном списке неожиданно поднялась Испания (5,0%), которая в конце прошлого года находилась за пределами «грязной дюжины». Третью строчку вновь заняла Россия (4,4%), слегка опережая Италию и Китай (4,3 и 4,1% соответственно). Заметно ухудшили свои результаты Германия, Япония, Франция и Аргентина – новобранцы списка «спампионов». Германия, правда, два квартала подряд занимала в нем последние строчки, а к концу 2013 года и вовсе покинула «грязную дюжину». Новый рейтинг стран-источников спама замыкают Украина и Индия, заметно улучшившие свои статусы. Распределение мест вполне логично и радикально изменяется, если учитывать общую численность населения в каждой стране. Лидеры по «валовому» спам-потоку, обладающие обширным компьютерным парком, начинают выпадать за пределы «подушного» рейтинга, уступая непочетные строчки небольшим странам, репутацию которых способна испортить одна мощная спам-рассылка. Так, в январе-марте в оба списка попали лишь новички Испания и Аргентина. Новый рейтинг по исходящему спаму в пересчете на душу населения вновь возглавила Беларусь, хотя Sophos отметила, что эта страна стремительно улучшает свои результаты. Если во 2-м квартале прошлого года ее показатель в 27,1 раза превышал уровень США, то ныне – всего лишь в 4,5 раза. На второе место в «подушном» списке поднялся Уругвай (3,5 против США), за ним в нисходящем порядке следуют Израиль, Люксембург и Болгария. Израиль, согласно статистике Sophos, движется в этом рейтинге ввысь большими скачками. В третьем квартале 2013 года он занимал 12 строку, в четвертом – 7-ю, а в конце минувшего марта достиг непочетного пьедестала с показателем 3,2 против уровня США. При этом вклад этой небольшой страны в глобальный спам-трафик незначителен и ныне составляет лишь 0,9% (29 место в «валовом» списке Sophos). Помимо Болгарии, Испании и Аргентины, в дюжину лидеров по «подушному» спаму вошли еще 2 новичка – Макао и Румыния. За пределы непочетного списка выбыли Кувейт, Казахстан, Украина, Перу и Исландия. США, принятые Sophos за точку отсчета, оказались на 27-й позиции. Источник: Sophos Приемные дети как «нигерийская» приманка Symantec обнаружила достаточно редкий вариант «нигерийской» схемы, ориентированный на тех, кто мечтает усыновить или удочерить ребенка. Вовлекая корреспондента в переписку, мошенники весьма убедительно имитируют бурную деятельность по подбору приемных родителей для «младенца», хотя на самом деле преследуют единственную цель – выманить у жертвы деньги, якобы для покрытия неких правовых и административных расходов. По свидетельству экспертов, данное «нигерийское» сообщение написано от имени семейного адвоката и, как большинство спам-писем, не содержит персонального обращения. Как оказалось, попавший на ловушки Symantec образец был отослан с взломанного венгерского ящика транзитом через Италию. Примечательно, что адрес, указанный в теле письма для контакта, привязан совсем к другому почтовому сервису. Заинтересовавшись легендой, исследователи вступили с аферистами в переписку и за 2 месяца получили массу информации о фиктивной роженице и порядке усыновления/удочерения в ее стране. Им также выслали поддельную форму и фотографии новорожденной. Когда мошенники, наконец, решили поднять вопрос о деньгах, они попросили прислать в два приема суммарно 2,5 тыс. долларов в оплату расходов на «подготовку судебного приказа и оформление документов». Для пущего правдоподобия перспективной жертве рекомендовали воспользоваться специализированной службой банковских переводов. Каково же было удивление экспертов, когда они обнаружили, что указанные «нигерийцами» имя и адрес получателя платежей – подлинные! По данному адресу размещен офис практикующего в США адвоката по семейным спорам, занимающегося также оформлением соглашений об усыновлении. По данным Symantec, с мошеннической схемой этот юрист никак не связан. Злоумышленники, видимо, отыскали его информацию в Сети и использовали реальный персонаж на тот случай, если их жертва захочет проверить подлинность получателя своих капиталов. Источник: Symantec Спам в марте 2014 года Татьяна Щербакова, эксперт «Лаборатории Касперского» Мария Вергелис, эксперт «Лаборатории Касперского» Особенности месяца В марте спамеры рассылали не только традиционный рекламный праздничный спам, но и пытались выманивать у пользователей социальных сетей персональную информацию с помощью сообщений на праздничную тематику. Среди наиболее активно распространяемой спам-рекламы в марте можно выделить предложения различной продукции для автолюбителей, недвижимости в Крыму, лингвистических услуг, а также услуг по улучшению офисной телефонной связи. Многие из таких рассылок встречались не только в Рунете, но и в иноязычном сегменте интернета. Спам для автовладельцев С каждым годом количество автолюбителей неуклонно растет, следовательно, растет и спрос на товары и услуги по обслуживанию автомобилей. В марте автошколы предлагали обучение потенциальным водителям, а компании, специализирующиеся на страховании, диагностике и охране авто, пытались привлечь новых клиентов заманчивыми предложениями и обещанием экономии внушительных сумм денег. Для рекламы спамеры использовали как графические рисунки с контактными данными, так и текстовое описание со ссылкой на соответствующий сайт. Крымская недвижимость В спам-трафике Рунета предложения продажи или сдачи в аренду недвижимости встречаются достаточно часто. Для привлечения внимания получателя в рассылках, рекламирующих недвижимость, обычно упоминается, что предложение выгодное, а количество объектов ограничено. В марте мы зафиксировали несколько рассылок с предложением покупки недвижимости в Крыму, спрос на которую резко вырос в свете последних событий. Но не стоит забывать, что и такие предложения могут оказаться мошенническими. Праздники в спаме В начале марта в спаме Рунета мы продолжили фиксировать предложения, приуроченные к женскому празднику. Помимо традиционной рекламы цветов, в качестве подарка представителям прекрасной половины человечества спамеры предлагали не только украшения и меховые шубы, но и фейерверки. В спаме, посвященном празднованию Пасхи, рекламировались сладкие подарки и сувениры, оформленные в традиционной пасхальной тематике. Отметим, что количество спама, приуроченного к Пасхе, в марте было невелико, однако в апреле мы ожидаем увеличение количества спама данной тематики, оформленного с использованием пасхальной символики. Лингвистический спам В марте в русскоязычном спаме активно предлагались всевозможные методы изучения иностранных языков. В целом, такие рассылки можно свести к трем основным видам: Предложения «выучить онлайн любой язык» через Skype, выбрав программу обучения (например, бизнес-курс, школьный уровень, подготовка к специализированным экзаменам и т.д.). Для связи указывался телефонный номер, часто зашумленный. Имя отправителя при этом представляло собой бессвязный набор букв. Ни названия центра/школы, предоставляющего данные услуги, ни хотя бы имени преподавателя в письме не указывалось. Реклама некого «эффективного способа изучения английского языка с минимальными затратами времени и максимальным результатом». Авторы таких сообщений обещали получателям раскрыть секрет уникальной методики самостоятельного обучения английскому языку. Помимо рекламного текста в письмах содержались постоянно меняющиеся короткие ссылки, ведущие на недавно созданный сайт с рекламой обучающего сборника на DVD с формой для онлайн-заказа. Сообщения от конкретных центров иностранных языков с предложениями изучать один из предложенных в списке иностранных языков. Для заинтересовавшихся получателей имелся телефонный номер для связи с обучающим центром,. Для обхода антиспам-фильтров тексты сообщений зачастую зашумлялись смесью латиницы и кириллицы. Телефония В марте спамеры активно рассылали также рекламу различных способов сокращения затрат на телефонию. Большая часть таких рассылок была ориентирована на крупные компании. Получателям сообщений предлагалось, например, улучшить качество стационарной офисной связи, подключить городские телефоны с определенными кодами, совершать безлимитные международные звонки из любого города по самым низким тарифам. Авторы некоторых рассылок дополнительно предлагали улучшить сигнал мобильной связи и мобильного интернета в квартире или на даче с помощью ретрансляторов сотовой связи эконом-класса. Получателям предлагалось отправить заявку, ответив на письмо, либо позвонить по указанному в некоторых случаях телефонному номеру. Статистика Доля спама в почтовом трафике В марте спам составил 63,5% почтового трафика. Наибольший показатель уровня спама наблюдался в первую неделю марта (67,3%), затем доля спама в почте постепенно уменьшалась. Географическое распределение источников спама По итогам марта рейтинг стран - источников спама, распространяемого по всему миру, выглядит следующим образом. Первое место в этом рейтинге принадлежит Китаю, на долю которого пришлось 24,6% разосланного спама, что на 1,7% больше показателя прошлого месяца. Далее следуют США: доля спама, разосланного из этой страны, составила 17% (на 2% меньше, чем в феврале). Замыкает тройку Южная Корея, откуда было разослано 13,6% мирового спама — на 0,8% больше по сравнению с прошлым месяцем. В целом на три первые страны рейтинга по-прежнему приходится более половины всего мирового спама. На 4-й позиции расположилась Россия (6,5%), доля спама, разосланного из страны, незначительное уменьшилась - на 0,5%. Не изменилось положение в списке следующих стран: Тайвань (6%), Индия (3,7%), Вьетнам (3,5%), Украина (2%). Их показатели также претерпели лишь незначительные изменения. Япония (1,9%), чей показатель за месяц вырос лишь на 0,15%, переместилась с 10-го на 9-е место. Замыкает первую десятку по итогам марта Румыния (1,8%). Стоит также отметить небольшое увеличение спамерской активности на территории Великобритании (1%), которая по сравнению с прошлым месяцем переместилась на 8 позиций вверх. Лидером по количеству спама, разосланного пользователям Рунета, в марте остается Россия (17,3%), её показатель сократился на 2,5%. Второе место занимает Тайвань (13,2%): за месяц доля спама, разосланного из этой страны, увеличилась на 1,7%. На третьем месте по-прежнему Индия с показателем 11%. На 4-й позиции, как и в феврале, расположился Вьетнам, откуда пользователям Рунета было разослано 9,2% спама, что почти на 1% больше, чем в феврале. Далее следуют Румыния (4,8%) и Украина (4%), чьи показатели практически не изменились по сравнению с итогами прошлого месяца. Увеличение доли исходящего спама наблюдалось в Южной Корее, которая в рейтинге переместилась с 13-го на 9-е место. Показатель страны увеличился почти на 1% и достиг 2,6%. Замыкает десятку по итогам марта Сербия с показателем 2,2%. Мы зафиксировали небольшое снижение доли спама из Казахстана, откуда пользователям Рунета было разослано 1,4% спама – на 0,3% меньше, чем в прошлом месяце. Рейтинг марта пополнили Великобритания (1%) и Китай (0,9%). Среди регионов лидером по распространению спама в марте осталась Азия (58%) – по сравнению с прошлым месяцем её доля увеличилась на 4%. Далее, как и прежде, следуют Северная Америка (17%) и Восточная Европа (15%). Показатели этих регионов сократились на 2,6% и 1,4% соответственно. Доля спама по остальным регионам практически не изменилась. Вредоносные вложения в почте В марте TOP 10 вредоносных программ, распространяемых по электронной почте, выглядел следующим образом. Лидирующую позицию в рейтинге распространённых вредоносных программ, рассылаемых по почте, вновь занял Trojan-Spy.HTML.Fraud.gen. Напомним, что троянцы семейства Fraud.gen представляют собой поддельные HTML-страницы и рассылаются по электронной почте под видом важного сообщения от крупных коммерческих банков, интернет-магазинов, компаний-разработчиков ПО и т.д. Вторую и десятую строки занимают представители также хорошо знакомого нам семейства сетевых червей Aspxor. Этот сетевой червь автоматически заражает сайты, скачивает и запускает другое ПО, собирает ценную информацию на компьютере, такую как сохраненные пароли, данные для доступа к почтовым и FTP-аккаунтам. Далее следует Email-Worm.Win32.Bagle.gt. Этот почтовый червь рассылает себя по всем адресам электронной почты, найденным на зараженном компьютере. Также червь может загружать файлы из интернета без ведома пользователя. Для рассылки зараженных сообщений Email-Worm.Win32.Bagle.gt использует собственную SMTP-библиотеку. На четвёртой и девятой строках расположились Trojan-Spy.Win32.Zbot.saps и Trojan-Spy.Win32.Zbot.sapp. Zbot – троянец, специализирующийся на краже конфиденциальной информации. Зловред Zbot.saps, помимо своего основного функционала, также устанавливает на зараженную машину руткит Rootkit.Win32.Necurs (или Rootkit.Win64.Necurs), который при успешной установке мешает работе различных антивирусов и прочих защитных решений компьютера. На шестой позиции расположился представитель семейства Bublik. Это обычный троянец-загрузчик, который закачивает вредоносные файлы на компьютер пользователя с их последующим запуском. Шестое и седьмое места занимают Backdoor.Win32.Androm.dpqs и Backdoor.Win32.Androm.dqpi. Зловреды семейства Andromeda – бэкдоры, позволяющие злоумышленникам незаметно управлять зараженным компьютером. Часто зараженные такими программами компьютеры становятся частью ботнета. В рейтинге стран по количеству срабатываний почтового антивируса лидирующую позицию по-прежнему удерживают США (-1,02%), Великобритания и Германия занимают второе и третье места соответственно. Россия переместилась с 12-го на 16-е место, снизилась при этом и доля срабатывания почтового антивируса (-0,82%). Также заметно уменьшилась доля срабатывания почтового антивируса в Австралии (-0,75%), которая по итогам марта поднялась с 7-го на 10-е место. Доля срабатываний почтового антивируса в других странах существенных изменений в марте не претерпела. Особенности вредоносного спама. В марте немало вредоносных вложений рассылалось от имени различных известных финансовых организаций, деятельность которых связана с налоговыми сборами. Такие сообщения приходили под видом платежных извещений от налогового органа, требований об уплате налога или уведомлений о незаявленных доходах налогоплательщика. Часто в письмах дополнительно указывались такие данные, как, например, ID налогоплательщика, вид налога (в приведенном ниже примере – налог на прибыль), номер документа для ссылки или же сообщалось, что поданная ранее получателем налоговая декларация была поддельной. Чтобы узнать подробности, получателю предлагалось открыть приложенный отчет, а нередко заполнить приложенную форму документа. Во всех случаях необходимые документы якобы находились во вложенном архиве, но на самом деле вместо них в этом архиве находился вредоносный исполняемый файл. Так, например, в подобных сообщениях мы обнаружили троянцев, детектируемых «Лабораторией Касперского» как Trojan-PSW.Win32.Fareit.aoee и Trojan.Win32.Bublik.buya. Зловреды первого семейства крадут cookies браузеров, пароли от FTP-клиентов и почтовых программ, а затем отсылают эти данные на удаленный сервер злоумышленников. Зловреды второго семейства занимается закачиванием вредоносных файлов на компьютер пользователя с их последующим запуском. Фишинг В рейтинге атакованных фишерами категорий организаций по-прежнему лидируют социальные сети (23,5%), их показатель по итогам марта уменьшился на 3,8%. Вторую строчку занимают почтовые сервисы (16,6%). Показатель поисковиков (14,4%) уменьшился на 2%, как и доля атак на финансовые и платежные организации (-3,5%). При этом поисковики вернулись на третью строчку в рейтинге, сместив финансовые и платежные организации на 4-е место. Доля фишинговых атак на онлайн-магазины увеличилась на 8,9%, в результате категория поднялась на две строчки вверх и по итогам месяца занимает 5-е место в рейтинге. Показатель телефонных и интернет-провайдеров незначительно увеличился, однако категория опустилась на 6-ю строчку. Банки Германии часто становятся мишенью фишеров. В марте мы зарегистрировали очередную мошенническую рассылку, направленную на кражу персональной банковской информации пользователей интернет-банкинга. В письме, разосланном от имени сотрудника банка, сообщалось, что онлайн доступ к учетной записи получателя истекает в ближайшее время. Для продолжения пользования услугой онлайн-банкинга пользователю предлагалось пройти по ссылке, которая на самом деле вела на фишинговую страницу. Там пользователь должен был ввести не только данные, необходимые для входа в систему онлайн-банкинга, но и свои персональную информацию. Поддельная страничка имитировала оформление официального сайта банка. Само фишинговое письмо не содержало элементов оформления (логотип банка, автоподпись и т.д.), которые обычно используются мошенниками для придания письмам легитимного вида. Отметим, что в адресе отправителя доменное имя сервера, указанное после знака @, принадлежало национальному научно-исследовательскому совету Канады, который никак не связан с банковской организацией. Заключение Доля спама в мировом почтовом трафике в марте уменьшилась на 6,4% и составила 63,5%. Общее количество праздничного спама также сократилось по сравнению с предыдущим месяцем. Мы продолжили фиксировать предложения, приуроченные к женскому празднику, с традиционной рекламой цветов, а также предложениями приобрести украшения, меховые шубы и даже фейерверки. В марте в Сети рассылалось огромное количество рекламных предложений по обучению иностранным языкам с использованием всевозможных авторских методик, а также с услугами переводческих агентств. Также немало рассылок содержали информацию о методах оптимизации телефонной связи для крупных и средних компаний. Тройка лидеров среди стран - источников спама, распространяемого по всему миру, выглядела в марте следующим образом: Китай (24,6%), США (17%), Южная Корея (13,6%). Среди регионов лидером по распространению спама остается Азия (58%). Для рассылки сообщений, содержащих вредоносные вложения, злоумышленники прибегли к поддельным уведомлениям не только от известных банков, но и от иных финансовых организаций, чья деятельность, например, связана с начислением и сбором налогов. По итогам марта рейтинг категорий организаций, атакованных фишерами, по-прежнему возглавляют социальные сети. Второе место удерживают почтовые сервисы, на третью позицию поднялись поисковики. Существенно вырос показатель онлайн-магазинов, которые поднялись с седьмой на пятую позицию. Диаграммы и примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013