Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport o spamie: wrzesień 2010

Tagi:

Maria Namiestnikowa
Ekspert z Kaspersky Lab

spam_report.png

Wrzesień w liczbach

  • Ilość spamu w ruchu pocztowym zmniejszyła się o 1,5 punktów procentowych w porównaniu z sierpniem i wynosiła średnio 81,1%.
  • 59,8% ataków phishingowych było skierowanych na system PayPal. Do pierwszej piątki najpopularniejszych celów ataków phishingowych powrócił Facebook, którego udział w liczbie ataków wynosił 3,8%.
  • Szkodliwe pliki zostały wykryte w 4,33% wszystkich wiadomości e-mail, co stanowi spadek o 1,96 punktów procentowych w porównaniu z poprzednim miesiącem.

Spam w centrum zainteresowania

Coraz mniej Viagry

Najważniejszym wydarzeniem miesiąca była informacja z połowy września o likwidacji programu partnerskiego Spamlt, która miała nastąpić 1 października. Programy takie jak Spamlt skupiają tysiące partnerów, z których każdy nazywa siebie “webmasterem”, pracujących dzień i noc, aby napędzić jak największy ruch w sklepach internetowych swoich partnerów. Sklepy te sprzedają podrabiane zegarki, oprogramowanie antywirusowe, pigułki, a nawet fałszywą miłość, a webmasterzy zarabiają tysiące dolarów dziennie w postaci prowizji. Likwidacja programu Spamlt bez wątpienia spowoduje poważne zmiany w naszym rankingu kategorii spamu: Spamlt jest, lub raczej był, programem partnerskim wykorzystywanym do dystrybucji spamu farmaceutycznego, dlatego jego likwidacja z pewnością wpłynie na liczbę reklam Viagry, które trafiają do naszych skrzynek pocztowych.

Jednak na początku września nastąpił znaczny wzrost ilości spamu promującego produkty farmaceutyczne. Być może wynikało to z tego, że partnerzy, którzy wiedzieli o likwidacji programu Spamlt, próbowali wyciągnąć jak największy zysk ze spamu farmaceutycznego, póki było to jeszcze możliwe. Pierwsza oznaka spadku w tej kategorii spamu pojawiła się około 20-26 września, gdy jego udział zmniejszył się o jedną czwartą – z 65% do 48%. Spamerzy przerzucili się na rozprzestrzenianie szkodliwego oprogramowania, w rezultacie liczba wiadomości zawierających szkodliwy kod znacznie wzrosła w tym okresie.

 enlarge.gif
Zmiany w ilości spamu rozprzestrzenianego za pośrednictwem programów partnerskim we wrześniu 2010 r.

We wrześniu zwiększył się również udział spamu rozprzestrzenianego za pośrednictwem innych programów partnerskich: wzrosła ilość masowych wysyłek reklamujących podrabiane towary znanych projektantów, tanie oprogramowanie oraz strony pornograficzne (wzrost tej ostatniej kategorii był znaczny w porównaniu z poprzednim miesiącem), co sugeruje, że spamerzy, którzy wcześniej byli partnerami w programie Spamlt, próbowali znaleźć alternatywne źródła dochodów.

Chociaż Spamlt był głównym źródłem spamu z kategorii medycznej, jego likwidacja nie oznacza, że reklamy Viagry znikną z naszych skrzynek e-mail. Po pierwsze, w Internecie nadal działa inny program partnerki o nazwie Glavmed, a likwidacja jednej platformy nie gwarantuje, że za miesiąc lub dwa jej twórcy nie stworzą następnej.

Co łączy LinkedIn i ZeuSa?

We wrześniu użytkownicy portalu społecznościowego LinkedIn padli ofiarą jednego z największych ataków spamowych. Pod koniec miesiąca rozsyłane były wiadomości zawierające odsyłacz do szkodliwego programu o nazwie ZeuS, na którym skupiła się uwaga wielu firm antywirusowych. Największe nasilenie ataku miało miejsce 25, 27 i 29 września – jednak wiadomości spamowe zostały również odnotowane 28 i 30 września.

Wiadomości miały następujące załączniki: „LinkedIn Update” (Aktualizacja LinkedIn), „LinkedIn Messages” (Wiadomości na LinkedIn) oraz „LinkedIn Alert” (Ostrzeżenie od LinkedIn). Ich treść informowała użytkowników o dwóch nieprzeczytanych wiadomościach, które można otworzyć klikając odsyłacz. Jak łatwo można się domyślić, kliknięcie odsyłacza powodowało zainfekowanie komputera użytkownika jednym z wariantów programu Trojan-Spy.Win32.Zbot (ZeuS). Odsyłacz do “prywatnych wiadomości” prowadził albo do automatycznie wygenerowanych domen drugiego poziomu, np. w strefie .info, albo do zhakowanych domen w strefie .com (w drugim przypadku odsyłacze kończyły się sekwencją znaków 1.html).

 enlarge.gif
Przykłady fałszywych powiadomień z portalu LinkedIn zawierających odsyłacz do strony zainfekowanej przez Zbota

Prawie wszystkie domeny zarejestrowane w strefie .info i wykorzystywane w tym ataku są obecnie darmowe i dostępne w sprzedaży.

Prawo a spam

We wrześniu miał miejsce tylko jeden wart wzmianki incydent związany z prawem. Dotyczył on ZeuSa.

Szum medialny wywołało aresztowanie kilkudziesięciu obywateli Europy Wschodniej przez amerykańskie i brytyjskie organy ścigania. Oskarżono ich o wykorzystanie ZeuSa do kradzieży około 70 milionów dolarów w ciągu minionych osiemnastu miesięcy. Większość aresztowanych było tak zwanymi mułami biorącymi udział w praniu rudnych pieniędzy. Przestępcy zgarnęli pieniądze przy użyciu fałszywych kart kredytowych stworzonych na podstawie danych uzyskanych przy pomocy ZeuSa, który był rozprzestrzeniany za pośrednictwem poczty elektronicznej.

Wygląda na to, że aresztowania te spowodowały, że inni członkowie gangu przestępczego postanowili nie rzucać się w oczy, przynajmniej w Stanach Zjednoczonych i Wielkiej Brytanii, ponieważ w dniu aresztowania, 30 września, programy antywirusowe do ochrony poczty elektronicznej wykryły znacznie mniej ataków przeprowadzonych przy użyciu Zbota (ZeuS) na terytorium tych państw.


Trojan-Spy.Win32.Zbot we wrześniu. Stany Zjednoczone i Wielka Brytania

Więcej na temat stref domen

W poprzedniej sekcji dotyczącej LinkedIn i ZeuSa wspomniałam o automatycznej rejestracji nazw domen.

Ponieważ pod koniec grudnia 2009 roku Chiny zaostrzyły przepisy dotyczące rejestracji domen, liczba stron spamerskich w strefie domen .cn znacznie spadła. Jednak spamerzy rozpoczęli poszukiwanie innych obszarów w Internecie, gdzie mogliby umieszczać swoje treści. Spowodowało to masowe przenoszenie stron reklamujących Viagrę, fałszywe zegarki Rolex oraz pigułki na zwiększenie męskiej potencji do rosyjskiej strefy domen. W okresie od stycznia do lutego 2010 roku liczba wysyłek spamowych na stronach w strefie domen .ru zaczęła wzrastać. We wrześniu prawie każda masowa wysyłka reklamująca Viagrę zawierała odsyłacz do strony znajdującej się w rosyjskiej strefie domen.

 enlarge.gif
E-maile zawierające odsyłacze do rosyjskiej strefy domen

Podsumowanie statystyk

Spam w ruchu pocztowym

Ilość spamu wykrytego w ruchu pocztowym zmniejszyła się o 1,5 punktów procentowych i we wrześniu 2010 roku wynosiła średnio 81,1%. Najmniejsza ilość (76,9%) została odnotowana 15 września, największa (87,4%) natomiast 12 września.


Spam w ruchu pocztowym we wrześniu 2010 roku

Źródła spamu

We wrześniu ranking 20 najpopularniejszych źródeł spamu wyglądał następująco:

 enlarge.gif
Źródła spamu we wrześniu 2010 roku

We wrześniu ilość spamu pochodzącego z wielu państw była bardzo podobna. To oznaczało, że Indie stanowiły największe źródło spamu, mimo że współczynnik wiadomości spamowych rozsyłanych z tego państwa nieznacznie spadł. W podobnej sytuacji znalazła się Wielka Brytania, która w rankingu uplasowała się na piątym miejscu, mimo że liczba rozsyłanych z tego państwa niechcianych wiadomości e-mail zwiększyła się tylko o 0,2 punkty procentowe.

Ilość spamu rozprzestrzenianego z Brazylii wzrosła o 3,1 punkty procentowe.

Kanada, Chiny, Hong Kong oraz Korea Północna wypadły z rankingu 20 największych spamerów. We wrześniu z każdego z tych państw rozprzestrzeniono mniej niż 1,5% wszystkich wiadomości spamowych.

We wrześniu wzrosła ilość spamu pochodzącego z Europy: udział Francji zwiększył się o 2,3 punktów procentowych; Grecji – o 2 punkty procentowe; Irlandii – o 1,3 punkty procentowe; Holandii – o 1 punkt procentowy; Portugalii – o 1,5 punktu procentowego; Polski – o 1,3 punku procentowego, natomiast Niemiec – o 0,8 punktu procentowego. W rezultacie, Europa była najbardziej dotkniętym przez spam regionem na świecie – udział spamu pochodzącego z Europy wynosił 42%.

Szkodliwe oprogramowanie w ruchu pocztowym

Szkodliwe załączniki były najczęściej wykrywane w wiadomościach otrzymywanych w Stanach Zjednoczonych (12%), a następnie Wielkiej Brytanii, Japonii i Hiszpanii.

 enlarge.gif
Państwa, w których programy antywirusowe do ochrony poczty najczęściej wykrywały szkodliwe oprogramowanie we wrześniu 2010 roku

Zainfekowane pliki zostały wykryte w 4,3% wszystkich wiadomości e-mail, co stanowi spadek o 2% w porównaniu z poprzednim miesiącem. Mimo tego spadku odsetek zainfekowanych załączników w ruchu pocztowym pozostaje wysoki.

 enlarge.gif
Lista 10 szkodliwych programów najczęściej rozprzestrzenianych w ruchu pocztowym we wrześniu 2010 roku

Pierwsze miejsce na liście 10 najpopularniejszych szkodliwych programów we wrześniu zajął Trojan-Downloader.Win32.FraudLoad.hbf, który był szczególnie aktywny pod koniec miesiąca. Program ten pobiera fałszywe oprogramowanie antywirusowe, które zostało stworzone w celu wyłudzania pieniędzy od użytkowników zaatakowanych komputerów. We wrześniu udział trojana Trojan-Downloader.Win32.FraudLoad.hbf wynosił średnio 12% wszystkich szkodników wykrytych w ruchu pocztowym.

Na drugim i trzecim miejscu rankingu znalazły się trojany skryptowe: Trojan-Downloader.JS.Iframe.bez oraz Trojan-Clicker.HTML.Iframe.abn. Oba szkodliwe obiekty są stronami html stworzonymi w języku Javascript. Jednak ich funkcjonalność różni się: Trojan-Downloader.JS.Iframe.bez pobiera z Internetu inne szkodliwe programy oraz programy reklamowe lub ich aktualizacje i uruchamia je bez wiedzy użytkownika, podczas gdy Trojan-Clicker.HTML.Iframe.abn otwiera strony internetowe w przeglądarce, podbijając wielkość ruchu na stronie (użytkownik nie jest świadomy tej aktywności). Trojan-Clicker.HTML.Iframe nie stanowi oczywistego zagrożenia dla systemu, ale generuje ruch pocztowy, pozwalając przestępcom zarobić pieniądze na nieautoryzowanym wykorzystaniu komputera użytkownika. Ponadto, strona otwierana przez trojana może być zainfekowana innym, groźniejszym szkodliwym oprogramowaniem.

Czwarte miejsce zajmuje weteran rankingu 10 najczęściej rozprzestrzenianych szkodliwych programów - Trojan-Spy.HTML.Fraud.gen, który wykorzystuje technologię podszywania się i występuje w postaci strony HTML. Szkodnik ten jest rozprzestrzeniany w wiadomościach phishingowych zawierających odsyłacz do fałszywej strony znanego banku lub systemu płatności elektronicznych, na których użytkownik jest proszony o wprowadzenie loginu i hasła.

Druga połowa naszego rankingu jest zdominowana przez rodzinę Oficla. Programy z tej rodziny pobierają z Internetu inne szkodliwe programy i programy adware lub aktualizacje do nich i uruchamiają je na komputerze ofiary.

Phishing

 enlarge.gif
10 organizacji najczęściej atakowanych przez phisherów we wrześniu 2010 roku

We wrześniu system PayPal po raz kolejny spotkał wątpliwy zaszczyt bycia najpopularniejszym celem ataków phishingowych. Udział ataków na ten system zwiększył się o 3 procent w porównaniu z poprzednim miesiącem.

Pierwsza czwórka najpopularniejszych celów ataków phishingowych nie zmieniła się w porównaniu z sierpniem. Jednak udział ataków na bank HSBC zmniejszył się, więcej ataków odnotowaliśmy natomiast na osoby grające w World of Warcraft. Te dwa cele ataków phishingowych dzieli tylko 0,6 punktów procentowych, trudno jednak stwierdzić, kiedy lub czy w ogóle WoW zastąpi HSBC na trzecim miejscu. We wrześniu podwoiła się liczba ataków na Facebooka, który w sierpniu wypadł z pierwszej piątki. W rezultacie portal ten prawdopodobnie zastąpi HSBC na trzecim miejscu.

Wnioski

Zmniejszenie ilości spamu reklamującego Viagrę to niezwykle pożądany wynik zlikwidowania programu partnerskiego Spamlt. Istnieją jednak niewielkie szanse, że nastąpi spadek ilości spamu zawierającego szkodliwe załączniki, ponieważ zaraz po Viagrze jest to jeden z najbardziej dochodowych obszarów dla osób uczestniczących w programach partnerskich. Likwidacja tego głównego źródła spamu farmaceutycznego oraz fakt, że stworzenie nowej platformy będzie wymagało dużo czasu, spowodują, że wielu cyberprzestępców będzie chciało utrzymać swoje dochody na tym samym poziomie, przechodząc na zdecydowanie groźniejsze dla użytkownika rozprzestrzenianie szkodliwych programów.

Źródło:
Kaspersky Lab