Перейти к содержанию

Спам в апреле 2010 года


Рекомендуемые сообщения

Спам в апреле 2010 года

 

Особенности месяца

 

* Доля спама в почтовом трафике по сравнению с мартом практически не изменилась и составила в среднем 83%.

* Ссылки на фишинговые сайты находились в 0,02% всех электронных писем, что на 0,01% меньше, чем в марте.

* Вредоносные файлы содержались в 1,24% электронных сообщений, что на 0,74% больше, чем в прошлом месяце. В спаме активно распространяются фальшивые антивирусы.

* Тематика «Отдых и путешествия» занимает первую строчку рейтинга популярных в спаме тем, что связано с приближением сезона отпусков.

* Для обхода спам-фильтров злоумышленники используют разнообразные картинки и случайные куски текста из литературных произведений, экономических и политических статей.

 

Доля спама в почтовом трафике

 

Доля спама в почтовом трафике апреля 2010 года в среднем составила 83%. Самый низкий показатель месяца был зафиксирован 20 апреля — 79,2%; больше всего спама было получено пользователями 18 числа — 89,8%.

ef96d0a64b94.png

Доля спама в апреле 2010 года

 

Страны — источники спама

8b6dbff31d81.png

Страны — источники спама

 

США пока остались на первой позиции среди стран — источников спама, хотя с территории этой страны было распространено на 2,4% меньше спама, чем в прошлом месяце. Возможно, в мае ситуация изменится, поскольку Индия догоняет США — в апреле из этой страны было распространено лишь на 0,6% меньше спама, чем с территории Соединенных Штатов. Вьетнам «наступает на пятки» лидерам. В апреле доля распространенного из этой страны спама выросла почти в 2,5 раза и составила 11,6% — это лишь на 0,7% меньше, чем количество спама, разосланного с территории США.

 

Россия едва не покинула пятерку лидирующих стран, с ее территории было распространено на 2,74% меньше спама, чем в прошлом месяце. С третьего места эту страну сместил уже упомянутый выше Вьетнам, а четвертую строчку неожиданно заняла Италия, находившаяся в прошлом месяце на 14-й позиции.

 

Заметны перемены и в плотности потоков из Румынии (+1%) и Германии (-1%). Кроме того, в нашем рейтинге снова появилась Саудовская Аравия, распространившая 2,2% всего мирового спама и оказавшаяся на 13-м месте.

 

С территории Украины было распространено на 2,7% меньше спама, чем в прошлом месяце, что обусловило перемещение этой страны ближе к концу двадцатки.

 

Фишинг

 

Ссылки на фишинговые сайты находились в 0,02% всех электронных писем, что на 0,01% меньше, чем в марте.

 

Список организаций, наиболее часто подвергавшихся фишинговым атакам, почти не изменился. Среди атакуемых фишерами организаций первые места снова заняли PayPal (54,6%, +9,2%) и eBay (11,5%, -3,9%). HSBC (9,6%, +2,1%) и Facebook (8,7%, +1 %), как это уже бывало, поменялись местами и занимают теперь третью и четвертую строчки рейтинга соответственно.

120234051ab2.png

Организации, подвергнувшиеся фишинговым атакам в апреле 2010 года

 

Среди зафиксированных нами фишинговых рассылок интересно отметить атаку на пользователей PayPal. Спамеры прибегли к классическому приему — в письме сообщалось, что аккаунт пользователя заблокирован, а для того, чтобы его разблокировать, необходимо пройти по ссылке (на страницу, где, разумеется, потребуется ввести логин и пароль).

 

3f5e5f362da0.jpg

 

Обратите внимание: ссылка, указанная в письме, довольно ловко подделана под ссылку на сайт PayPal. Однако на снимке четко видно, на какой адрес на самом деле переправляется пользователь.

 

FaceBook, как и раньше, в фокусе внимания фишеров. Письма, направленные на выманивание регистрационных данных пользователей этой социальной сети, весьма лаконичны:

 

3dd14d57607d.jpg

 

Злоумышленники даже не спрятали фишинговую ссылку. Такая небрежность говорит, о том, что спамеры рассчитывают на невнимательность пользователей. Признаться, они имеют на то основания, — к сожалению, пользователи часто попадаются на уловки киберпреступников даже в тех случаях, когда подлог плохо организован и лежит на поверхности.

 

Конечно, целью фишинговых атак были не только компании, представленные в нашем рейтинге. Например, наблюдалась довольно крупная фишинговая атака на банк Alliance & Leicester.

 

5ffba044c852.jpg

 

Уловка, использовавшаяся при этой атаке, также стала уже классической: в письме сообщалось, что были зафиксированы многочисленные ошибочные попытки войти в систему с клиентского ID пользователя. Чтобы доказать, что адресат действительно является владельцем аккаунта, ему необходимо пройти верификацию. Разумеется, попавшийся на удочку пользователь будет «проходить верификацию» вовсе не на сайте банка, а на подложном фишинговом сайте, с которого его регистрационные данные уйдут прямо в руки к злоумышленникам.

 

Вредоносные программы в почте

 

Вредоносные файлы содержались в 1,24% электронных сообщений, что на 0,74% больше, чем в прошлом месяце.

 

6d8ce39204b1.png

 

Уже не первый месяц среди наиболее часто встречавшихся в почте вредоносных программ лидирует Trojan-Spy.HTML.Fraud.gen. Основная его функция — сбор личных и регистрационных данных пользователя. Как и прежде, более 45% случаев детектирования этого троянца приходится на Объединенное Королевство. Еще 11% из общего числа писем, зараженных Trojan-Spy.HTML.Fraud.gen, было распространено на территории США.

 

Интересно, что семь зловредов из топовой десятки апреля так или иначе связаны с поддельными антивирусами. Так, Trojan.Win32.Small.acdp, Trojan.Win32.Sasfis.akzx, Trojan-Downloader.Win32.Agent.dkld, Trojan-Dropper.Win32.Agent.bveu, Trojan.Win32.Sasfis.albj загружают или инсталлируют на компьютер пользователя другие вредоносные программы, которые, в свою очередь, загружают поддельный антивирус. Упаковщик Trojan.Win32.Pakes.Katusha.j, занявший четвертую строчку рейтинга, используется обычно для упаковки FraudTools. А его собрат, Trojan.Win32.Pakes.Katusha.l, — для упаковки Fraudload.

 

Расположившийся на 8-й строчке рейтинга Trojan-Dropper.Win32.Agent.agq — это ничто иное, как порно-дроппер. При запуске зловред открывает картинки с порнографическим содержанием и инсталлирует на зараженный компьютер другие вредоносные программы.

 

Кроме того, нами были зафиксированы и рассылки, в которых распространялись поддельные антивирусы в «чистом» виде. Так, зловред Trojan.Win32.FakeAV.jo, занявший 24-е место в рейтинге, распространялся под видом настоящего антивируса, якобы рекомендованного компанией Microsoft для лечения нашумевшего Conficker’a (Kido). Забавно, что в заголовке письма conficker превратился в совсем уже страшного и неизвестного зверя conflicker’a.

 

71cf239c35a3.jpg

 

В целом, почти 60% случаев распространения вредоносов, принадлежащих к семейству Trojan.Win32.FakeAV, приходятся на европейские страны: преимущественно Германию, Нидерланды, Францию и Объединенное Королевство, а также на США и Японию. Это объясняется главным образом тем, что пользователи в развитых странах больше заинтересованы в безопасности компьютера, чем в развивающихся странах, и в этих регионах мошенникам проще убедить пользователя скачать поддельный антивирус.

 

К лаконичным письмам, озаглавленным «Женщина мой мечты» и снабженным текстом «Я люблю держать тебя в моих руках» спамеры прикрепляли архив с именем «setup.zip». В архиве таился файл setup.exe, который на деле оказался еще одним отпрыском семейства FakeAV — Trojan.Win32.FakeAV.jw.

 

14606cfadf4b.jpg

 

Обычно в таких рассылках исполняемый файл имеет название в духе «My Fotos.gif», что позволяет скрыть истинное расширение файла и как-то соотнести его с текстом письма. Непонятно, что имел в виду спамер, сочетавший романтический текст и ничем не замаскированное имя исполняемого файла. Должен ли пользователь думать, что сейчас на его компьютер установится программа, позволяющая держать в руках девушку своей мечты? Возможно, спамеры решили, что пользователи и так знают, что должно быть прикреплено к такому письму, и сами будут кликать на архив, ожидая увидеть фотографии красивой женщины.

 

Говоря о распространении фальшивых антивирусов через почту, нельзя не упомянуть TOP 3 зловредов, распространенных на территории России.

 

1	   Trojan.Win32.FakeAV.iq	   12,70%
2 	Trojan.Win32.FakeAV.ko 	5,54%
3 	Trojan.Win32.Pakes.Katusha.l 	3,69%

 

Два самых распространенных в России зловреда принадлежат к семейству FakeAV. На третьей строчке расположился уже упомянутый выше упаковщик, часто используемый для упаковки FraudLoad. Популярность у злоумышленников фальшивых антивирусов обусловлена не только тем, что пользователи в нашей стране стали более ответственно подходить к защите своих компьютеров. В России многие покупке лицензионного ПО предпочитают использование бесплатных программ. В случае с поддельным антивирусом это может влететь в копеечку.

 

Рейтинг стран, в которых вредоносный код чаще других распространялся через почту, выглядит следующим образом:

 

92d026b6e391.png

 

Как видим, лидирующие позиции занимают развитые страны. Это связано в том числе с тем, что злоумышленники имеют куда больше возможностей поживиться в тех случаях, когда они организуют атаки на пользователей в странах, где почти у каждого есть кредитная карточка, аккаунт в системе онлайн-банкинга или в платежных системах.

 

Тематический состав спама

 

70378710adcb.png

Распределение тематик спама в Рунете в апреле 2010

 

Пятерка лидирующих спам-тематик апреля:

 

1. Отдых и путешествия — 21,1% (+2,5%)

2. Образование — 19,6% (+1,4%)

3. Медикаменты; товары/услуги для здоровья — 13,7% (+1,2%)

4. Компьютерное мошенничество — 7,8% (+0,3%)

5. Реплики элитных товаров — 7,0% (+1,9%)

 

По сравнению с предыдущим месяцем в пятерке больших изменений не наблюдается. На первом месте по-прежнему категория «Отдых и путешествия». Это связано с рекламой различных вариантов отдыха в майские праздничные дни и с приближением летних каникул.

 

Так, в одной из полученных нами рассылок родителям предлагалось отправить свое чадо в летний спортивно-творческий лагерь. Сейчас, конечно, самое горячее время для покупки путевок в лагеря. Однако любящим родителям не стоит спешить пользоваться информацией, полученной в такого рода рекламе. Напомним, что сама по себе рассылка незапрошенной корреспонденции незаконна, и тот, кто рекламирует себя в спаме, вряд ли заслуживает доверия.

 

b2d8d769ed65.jpg

 

Количество писем тематик «Образование», «Медикаменты; товары/услуги для здоровья» и «Компьютерное мошенничество» практически не изменилось по сравнению с мартом.

 

Занимавшая пятую строчку категория «Компьютеры и интернет» уступила место рекламе реплик элитных товаров. Доля последней увеличилась на 1,9%. Заказчики такой рекламы стараются использовать праздничные даты, предлагая свой товар в качестве «лучшего подарка». В данном случае всплеск их активности, видимо, связан с приближением Дня матери, который довольно широко празднуется в Западных странах.

 

935e169e2caf.jpg

 

Среди писем, относимых нами к категории «Компьютеры и интернет», нам встретилась рассылка с примечательной картинкой:

 

0b537423f907.jpg

 

Признаться, письмо приводит в некоторое недоумение, так как картинка имеет очень отдаленную связь с его содержанием. Возможно, нас хотели насмешить и тем привлечь внимание к рекламе? Эффект, пожалуй, прямо противоположный. Создается ощущение, что компания, предлагающая услуги по размещению контекстной рекламы в поисковиках, заранее извиняется за то, что фирму, обратившуюся к ним за услугами, в Яндексе так никто и не найдет. Обращайтесь лучше к тете Паше.

 

Спамерские методы и трюки

 

Распространители виагры продолжают попытки усовершенствовать способы обхода спам-фильтров. В прошлом месяце они использовали меняющуюся шаблонную картинку, сопровождавшуюся большим фрагментом текста. В апреле спамеры разнообразили набор картинок, использующихся для одной и той же рассылке. Теперь это изображения счастливых пар, девушек, гейш, а также (почему-то) столовых приборов. Все это, разумеется, — вкупе с рекламируемыми таблетками.

 

2bdfb901ab55.jpg

 

Мусорный текст в письмах апрельских рассылок также использовался. На снимке слева текст напечатан на белом фоне и ширина строчек случайна. На двух правых скриншотах текст под картинкой напечатан на сером фоне и занимает всю его ширину. Сами тексты являются либо кусками литературных произведений, либо перепечаткой экономических или политических статей, а порой — просто набором слов, не несущим никакого смысла.

 

Самые интересные трюки российские спамеры по-прежнему приберегают для саморекламы. Отметим, что доля ее уже несколько месяцев не поднимается выше отметки 5%. Пользователи получают рассылки со старыми трюками в новом воплощении. Так, в апреле вновь появились письма счастья со «встроенной» в них рекламой спамерских услуг.

 

86d76b09b1cb.jpg

 

Год назад мы писали в нашем блоге о таких письмах. Масштаб картинки в них таков, что спамерский контакт не всегда заметен сразу. Иногда он остается за нижним краем окошка, и невнимательный пользователь — любитель писем счастья — вполне может начать рассылать «бабуль» направо и налево, внося таким образом свой вклад в распространение спам-рассылки.

 

Заключение

 

В целом, ситуация по-прежнему стабильна. Процент спама в почте практически не изменился. В апреле в рейтинге стран — источников спама Индия и Вьетнам подобрались как никогда близко к лидеру. Если количество спама, рассылаемого из этих стран, продолжит увеличиваться, они, вероятно, смогут потеснить США с первой позиции в рейтинге.

 

Количество фишинговых писем, как мы и предполагали, осталось на очень низком уровне. Количество же вредоносных программ в почте, вопреки прогнозам, вернулось к февральскому уровню. С начала 2010 года оно меняется волнообразно: то снижается до показателя 0,6 - 0,7%, то снова поднимается до 1,2%. Впрочем, такие колебания нельзя рассматривать как значительные. Интересно, однако, отметить два момента. Первый: основной целью для распространителей зловредов в апреле стали пользователи развитых стран. Второй: поддельные антивирусы нынче активно распространяются именно при помощи спама.

 

Ничего принципиально нового для обхода спам-фильтров спамеры не придумали, они лишь несколько разнообразили старые приемы.

 

Источник

Изменено пользователем Black Angel
Ссылка на комментарий
Поделиться на другие сайты

А всё удивляюсь, что это у меня спама почти не стало? А у нас, оказывается, страна побеждённого спама! :D

Интересная статистика, спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Max132
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • KL FC Bot
      От KL FC Bot
      На момент написания этого материала Павлу Дурову предъявлено обвинение во Франции, но он еще не предстал перед судом. Юридические перспективы дела очень неочевидны, но интересом и паникой вокруг Telegram уже пользуются жулики, а по соцсетям ходят сомнительные советы о том, что делать с приложением и перепиской в нем. Пользователям Telegram нужно сохранять спокойствие и действовать, основываясь на своей специфике использования мессенджера и доступной фактической информации. Вот что можно порекомендовать уже сегодня.
      Конфиденциальность переписки и «ключи от Telegram»
      Если очень коротко, то большую часть переписки в Telegram нельзя считать конфиденциальной, и так было всегда. Если вы вели в Telegram конфиденциальную переписку без использования секретных чатов, считайте ее давно скомпрометированной, а также переместите дальнейшие приватные коммуникации в другой мессенджер, например, следуя этим рекомендациям.
      Многие новостные каналы предполагают, что основная претензия к Дурову и Telegram — отказ сотрудничать с властями Франции и предоставить им «ключи от Telegram». Якобы у Дурова есть какие-то криптографические ключи, без которых невозможно читать переписку пользователей, а при наличии этих ключей — станет возможно. На практике мало кто знает, как устроена серверная часть Telegram, но из доступной информации известно, что основная часть переписки хранится на серверах в минимально зашифрованном виде, то есть ключи для расшифровки хранятся в той же инфраструктуре Telegram. Создатели заявляют, что чаты хранятся в одной стране, а ключи их расшифровки — в другой, но насколько серьезно это препятствие на практике, учитывая, что все серверы постоянно коммуницируют друг с другом, — не очевидно. Эта мера поможет против конфискации серверов одной страной, но и только. Стандартное для других мессенджеров (WhatsApp, Signal, даже Viber) сквозное шифрование называется в Telegram «секретным чатом», его довольно трудно найти в глубинах интерфейса, и оно доступно только для ручной активации в индивидуальной переписке.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В рамках регулярного исследования ландшафта угроз для России и СНГ наши эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Мы, в свою очередь, тщательно изучили наиболее часто используемые атакующими техники и оперативно доработали или добавили в нашу SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года мы дополнили и расширили логику для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых  злоумышленниками.
      Как злоумышленники отключают или модифицируют локальный межсетевой экран
      Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.
      Распространены два способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows. Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:
      netsh firewall add allowedprogram netsh firewall set opmode mode=disable netsh advfirewall set currentprofile state off netsh advfirewall set allprofiles state off
      Пример ветки реестра и значения, добавленного атакующими, разрешающего входящий UDP трафик для приложения C:\Users\<user>\AppData\Local\Temp\server.exe:
      HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}
      Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\
      Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}
      Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc. Чаще всего они осуществляют ее с помощью утилиты net:
      net stop mpssvc Как наше SIEM-решение выявляет T1562.004
      Делается это с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:
      остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений; отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода (конфигурирование или отключение межсетевого экрана через netsh.exe); изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений (изменение правил через реестр Windows); отключения злоумышленником локального межсетевого экрана через реестр; манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правила с непосредственно детектирующей логикой. Также мы доработали 20 старых правил путем исправления или корректировки условий.
       
      View the full article
    • Nikolay1
      От Nikolay1
      Доброго времени суток дамы и господа.
      Вопрос у меня по одному продукту Who Calls.
      Уже неоднократно я замечаю что не всегда блокируются спам звонки.
      Возможно, я что-то не так настроил (сильно сомневаюсь) но всё же надеюсь что мне тут помогут.
      Итак, сегодня мне поступил звонок (pic1) после непродолжительной беседы было понятно что это спам, да и при дальнейшем анализе этого номера через приложение Who calls  это подтвердилось (pic4).
      Настройка приложения крайне проста- блокировать все спам звонки.
      Само приложение оплачено на год- premium.
      Идентификация разрешена только Who Calls.
       
      Вопрос, почему данный номер мне прозвонился? Ведь в базе Who Calls он зарегистрирован как спам.




    • KL FC Bot
      От KL FC Bot
      Число ежегодно обнаруживаемых уязвимостей в ПО неуклонно растет и уже приближается к круглой цифре 30 000. Но команде ИБ важно выявить именно те уязвимости, которыми злоумышленники реально пользуются. Изменения в топе «самых популярных» уязвимостей серьезно влияют на приоритеты установки обновлений или принятия компенсирующих мер. Поэтому мы регулярно отслеживаем эту динамику, и вот какие выводы можно сделать из отчета об эксплойтах и уязвимостях за I квартал 2024 года.
      Растет критичность и доступность уязвимостей
      Благодаря bug bounty и автоматизации, масштабы охоты за уязвимостями значительно выросли. Это приводит к тому, что уязвимости обнаруживаются чаще, а там, где исследователям удалось найти интересную поверхность атаки, следом за первой выявленной уязвимостью нередко обнаруживаются целые серии других, как мы это видели недавно с решениями Ivanti. 2023 год стал рекордным за 5 лет по числу найденных критических уязвимостей. Одновременно растет и доступность уязвимостей широкому кругу атакующих и защитников — для более чем 12% обнаруженных уязвимостей оперативно появился публично доступный код, демонстрирующий возможность эксплуатации (proof of concept, PoC). В первом квартале 2024 года доля критических уязвимостей также остается высокой.
       
      Посмотреть статью полностью
×
×
  • Создать...