Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w III kwartale 2013 r.

Tagi:

Kwartał w liczbach

  • Odsetek spamu w łącznym ruchu pocztowym zmniejszył się o 2,4% w stosunku do drugiego kwartału 2013 r. i wynosił 68,3%.
  • Odsetek wiadomości phishingowych zwiększył się trzykrotnie i wynosił 0,0071%.
  • Szkodliwe załączniki zostały wykryte w 3,9% wszystkich e-maili – o 1,6 proc. więcej niż w II kwartale 2013 r.

Powrót do podstaw

W III kwartale 2013 r. spamerzy promujący środki na zwiększenie potencji okazali się szczególnie kreatywni, łącząc socjotechnikę ze sztuczkami pozwalającymi obejść filtry spamowe.

W jednej masowej wysyłce zastosowali następującą metodę: w temacie e-maila zawarli ciąg symboli mających przypominać słowo „Viagra”, natomiast treść wiadomości ograniczała się do jednego odsyłacza do strony farmaceutycznej.

spamreport_q3_2013__pic01_auto.png

Takie minimalistyczne podejście pomaga obejść filtrowanie zawartości. Nie można znaleźć żadnych słów kluczowych, ponieważ wyraz „Viagra”, mimo że jest czytelny dla człowieka, nie może zostać odczytany przez filtr. Ponieważ każdy e-mail zawierał różny „kod” dla Viagry, nie wystarczyło dodać nowe słowo kluczowe do bazy danych. UTF-8 zawiera symbole z wszystkich języków – łącznie z tymi bardzo rzadkimi, a większość języków posiada własne unikatowe litery, modyfikatory i symbole, nawet jeśli opiera się na znajomym alfabecie łacińskim. W efekcie, istnieje ponad 100 symboli, które można odczytać jako literę „a”. Nic dziwnego zatem, że istnieją setki milionów różnych potencjalnych kombinacji zapisu słowa „Viagra”.       

Kolejna masowa wysyłka pochodząca rzekomo z popularnego serwisu e-mail lub portali społecznościowych zachęcała odbiorców do zarejestrowania się, przeczytania nowej wiadomości lub odpowiedzi na komunikat informujący o tym, że nie udało się dostarczyć wysyłki. W rzeczywistości, po kliknięciu odsyłacza użytkownicy trafiali na zainfekowaną stronę internetową, z której byli przekierowywani do sklepu internetowego sprzedającego środki na zwiększenie potencji. 

spamreport_q3_2013__pic02_auto.png

Autorzy tej masowej wysyłki imitowali powiadomienia od różnych firm, w tym Apple, Yahoo, Google, Amazon, eBay, Twitter, Instagram, Skype itd. Spamerzy nie włożyli wiele wysiłku w spreparowanie tych wiadomości: fałszywe e-maile wysłane w imieniu różnych firm zostały zaprojektowane przy użyciu tego samego szablonu; zmieniona została jedynie nazwa firmy.

Co ciekawe, podejście to (fałszywe powiadomienie, odsyłacz do zainfekowanej strony oraz przekierowanie na stronę docelową) jest często stosowane przez spamerów rozprzestrzeniających szkodliwy kod. Tego rodzaju spam jest rozprzestrzeniany za pośrednictwem programów partnerskich, w których spamer zarabia na każdym użytkowniku, który kliknie odsyłacz, a tym samym zainfekuje swój komputer. Warunki reklamowania wysyłek są takie same, z tą jedynie różnicą, że spamerzy zarabiają prowizję na pigułkach sprzedawanych za pośrednictwem rozprzestrzenianych odsyłaczy. To oznacza, że osoby atakujące stosują te same taktyki dla różnych programów partnerskich. W III kwartale odnotowaliśmy przypadki wykorzystania tej samej masowej wysyłki dla dwóch różnych programów partnerskich: odsyłacze w e-mailach prowadziły do różnych zasobów w zależności od regionu lub pory dnia. Na przykład, użytkownicy z państw, w których medykamenty są dostępne tylko na receptę, byli przekierowywani na stronę Viagry, podczas gdy wszyscy inni odbiorcy – na oszukańczy lub szkodliwy zasób. 

W innej masowej wysyłce spamowej wykorzystano metody socjotechniki (fałszywe powiadomienia z popularnego zasobu) oraz zaciemnianie odsyłaczy.

spamreport_q3_2013__pic03_auto.png

Wiadomości e-mail podszywały się pod powiadomienia z serwisu Google Message Center. Ich treść zawierała odsyłacz do domeny Google. W rzeczywistości, spamerzy wykorzystali jedynie usługę Tłumacz Google w celu zamaskowania własnych stron internetowych: wysłali żądanie przetłumaczenia adresów strony internetowej. Tak naprawdę oszuści nie potrzebowali tłumaczenia, ponieważ strony były pierwotnie w języku angielskim i zostały przetłumaczone na język angielski.  

Spamerzy zastosowali jeszcze inną sztuczkę: niektóre znaki w odsyłaczu (różne w każdym e-mailu) zostały zastąpione odpowiednikiem w systemie szestnastkowym w ASCII. Przeglądarka bez trudu rozpoznała zaciemniony odsyłacz i otworzyła odpowiednią stronę, jednak dla filtrów spamowych każdy odsyłacz wyglądał unikatowo.

Wiadomości a szkodliwe oprogramowanie

III kwartał 2013 roku obfitował w wydarzenia, które wzbudzały powszechne zainteresowanie, takie jak narodziny królewskiego potomka w Wielkiej Brytanii, polowanie FBI na Edwarda Snowdena czy wypadek kolejowy w Hiszpanii. Wszystkie te newsy zostały wykorzystane przez oszustów do dystrybucji szkodliwego oprogramowania. 

spamreport_q3_2013__pic04.png
spamreport_q3_2013__pic05_auto.png

Szkodliwe wiadomości e-mail zarejestrowane przez Kaspersky Lab w III kwartale 2013 r. przyjmowały różne formy, w większości jednak imitowały masowe wysyłki informacyjne. W rzeczywistości, zawarte we wszystkich e-mailach odsyłacze prowadziły do zhakowanych stron, które przekierowywały użytkowników na stronę zawierającą jeden z najpopularniejszych zestawów exploitów - Blackhole. Po tym jak użytkownicy wejdą na stronę internetową, Blackhole zaczyna szukać luk w zabezpieczeniach oprogramowania. Jeżeli znajdzie jakieś, pobiera kilka szkodliwych programów, w tym trojana spyware, którego celem jest kradzież danych osobistych z maszyn ofiar.

W październiku aresztowano w Rosji autora pakietu Blackhole, działającego pod pseudonimem Paunch. Przyszłość tego zestawu eksploitów nie jest jasna. Albo zarządzanie zestawem Blackhole przejmie ktoś inny, albo spamerzy zaczną wykorzystywać inne zestawy. W obu przypadkach, prawdopodobnie zmniejszy się liczba tego rodzaju szkodliwych wysyłek „informacyjnych”.  

Dane statystyczne

Odsetek spamu w ruchu e-mail

Odsetek spamu w całkowitym ruchu e-mail w trzecim kwartale tego roku wynosił 68,3% - o 2,4 punktu procentowego mniej w porównaniu z poprzednim kwartałem.

spamreport_q3_2013__pic06.png

 

Odsetek spamu w ruchu e-mail w III kwartale 2013

Jednak spadek ten nie może być postrzegany jako początek trendu; odsetek niechcianych wiadomości w trzecim kwartale był tylko o 0,3 punktu procentowego niższy niż średnie współczynniki dla okresu od stycznia do czerwca.  

 

Źródła spamu według państwa

spamreport_q3_2013__pic07_auto.png

 

Rozkład źródeł spamu według państwa w III kwartale 2013

W III kwartale trzy największe źródła spamu pozostały niezmienione: Chiny (-0,9 punktu procentowego), Stany Zjednoczone (+1,2 punktu procentowego) i Korea Południowa (+2,1 punktu procentowego). Łączny udział tych trzech państw stanowił 55% globalnego ruchu spamowego.

Podobnie jak w poprzednim kwartale, na czwartym miejscu w rankingu znalazł się Tajwan (+0,1 punktu procentowego).

Za nim uplasowała się Rosja (+1,3 punktu procentowego), której udział wzrósł ponad 1,5 razy.

Co ciekawe, wzrost udziału Rosji zbiegł się w czasie ze spadkiem poziomu spamu pochodzącego z innych byłych republik radzieckich – Białorusi (-0,9 punktów procentowych), Ukrainy (-0,9 punktu procentowego), Kazachstanu (-1,5 punktu procentowego) – podczas gdy w II kwartale 2013 r. państwa te „wyprodukowały” o wiele więcej spamu niż Rosja.

spamreport_q3_2013__pic08_auto.png

 

Zmiany w odsetkach spamu pochodzącego z Białorusi, Ukrainy i Kazachstanu w III kwartale 2013.

Nie musi to jednak oznaczać, że spamerzy organizują nowe botnety: takie fluktuacje mogą być spowodowane np. przechodzeniem z jednego botnetu na inny podczas rozprzestrzeniania wysyłek na dużą skalę.

Źródła spamu według regionu

spamreport_q3_2013__pic09_auto.png

 

Rozkład źródeł spamu według regionu w III kwartale 2013

W III kwartale ranking największych źródeł spamu według regionu nie odnotował żadnych poważnych zmian w stosunku do pierwszych dwóch kwartałów 2013 r. Udział poszczególnych regionów pozostał prawie taki sam.

Numerem jeden wśród regionalnych źródeł spamu pozostała Azja (+0,2 punktu procentowego). Na drugim miejscu uplasowała się Ameryka Północna (+1,9 punktu procentowego) oraz Europa Zachodnia (-0,2 punktu procentowego).

Udział pozostałych regionów nie zmienił się znacząco.

Nie zawsze istnieje korelacja między miejscem wysyłania a produkowania spamu. Np. spora część spamu afrykańskiego trafia do Rosji; z kolei niechciane wiadomości pochodzące z Korei Południowej są często wysyłane do Europy, podczas gdy spam z Europy Zachodniej rozkłada się równomiernie na całym świecie.  

 

Rozmiar wiadomości spamowych

spamreport_q3_2013__pic10.png

 

Rozmiar wiadomości spamowych: III kwartał 2013 r.

Jak wynika z wykresu, odsetek niewielkich wiadomości spamowych o rozmiarze poniżej 1 KB zwiększa się z kwartału na kwartał. W większości takich e-maili nie ma prawie żadnego tekstu. Zawierają tylko odsyłacz, który zwykle prowadzi na stronę przekierowującą lub do serwisu skracania linków, dzięki czemu każdy e-mail jest unikatowy. Wiadomości te stanowią problem dla filtrów spamowych i dzięki niewielkiemu rozmiarowi można je wysłać szybko i w masowych ilościach.      

Szkodliwe załączniki w e-mailach

Udział szkodliwych załączników w trzecim kwartale był o 1,6 punktu procentowego wyższy niż w drugim kwartale i wynosił 3,9% całego ruchu pocztowego. 

spamreport_q3_2013__pic11_auto.png

 

10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail w III kwartale 2013 r.

Trojan-Spy.HTML.Fraud.gen znalazł się na pierwszym miejscu rankingu najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w trzecim kwartale tego roku. Szkodnik ten ma przypominać stronę HTML wykorzystywaną jako formularz rejestracyjny dla serwisów bankowości online. Jest wykorzystywany przez phisherów do kradzieży informacji finansowych.  

Podobnie jak w poprzednim kwartale, na drugim miejscu uplasował się Email-Worm.Win32.Bagle.gt. Ten robak pocztowy, w przeciwieństwie do innych, potrafi wysyłać własne kopie do kontaktów zawartych w książce adresowej użytkownika jak również otrzymywać zdalne polecenia instalacji innego szkodliwego oprogramowania. 

Nasz ranking dla III kwartału zawiera dwa robaki z rodziny Mydoom, które zajmują 3 i 4 miejsca. Celem tych szkodliwych programów jest przechwytywanie adresów e-mail z książek adresowych użytkowników. Ta metoda zbierania adresów oznacza, że twój adres e-mail może wpaść w ręce oszustów, nawet jeśli nie jest publicznie dostępny. Rodzina Mydoom istnieje już od bardzo dawna, nadal jednak skutecznie działa na komputerach, na których nie uaktualniono oprogramowania. Email-Worm.Win32.Mydoom.m może wysyłać do wyszukiwarek ukryte żądania wyszukiwania. Porównuje adresy stron wyświetlonych na pierwszej stronie wyników wyszukiwania z adresami, które pobrał z serwerów oszustów. Jeżeli znajdzie identyczne adresy, otworzy odsyłacz na stronie wyszukiwarki, zwiększając pozycję wyników wyszukiwania dla określonych stron.      

Przedstawiciele rodziny ZeuS/Zbot zajęli 5, 6, 7 i 9 miejsce. Celem tych szkodliwych programów jest kradzież znajdujących się na komputerach poufnych informacji – zazwyczaj szczegółów dotyczących karty bankowej.

Trojan.Win32.Llac.dleq zakończył kwartał na 8 miejscu. Głównym zadaniem tego programu jest szpiegowanie użytkownika: trojan gromadzi informacje dotyczące zainstalowanego na komputerze oprogramowania (w większości dotyczące programów antywirusowych i zapór sieciowych), samego komputera (procesora, systemu operacyjnego, dysków), przechwytuje obrazy kamery internetowej oraz uderzenia klawiszy (keylogger) jak również zbiera poufne dane z różnych aplikacji.   

Na 10 miejscu znalazł się Trojan.Win32.Bublik.beyb. Podstawową funkcjonalnością tego szkodnika jest ukradkowe pobieranie i instalowanie na komputerach ofiar nowych wersji szkodliwych programów. Występuje w postaci pliku .EXE z ikonką dokumentu PDF Adobe.

Rozkład szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w III kwartale 2013 r. wygląda następująco:

 spamreport_q3_2013__pic12_auto.png

10 rodzin szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail w III kwartale 2013 r.  

W III kwartale 2013 r. prowadzenie przejęła rodzina ZeuS/Zbot. Za nią uplasowała się rodzina Tepfer, mimo że żadna z jej modyfikacji nie znalazła się w pierwszej 10. Ten rodzaj trojana został stworzony w celu kradzieży haseł do kont użytkowników. Na trzecim miejscu znajduje się rodzina trojanów Fraud, w której prowadzi Trojan-Spy.HTML.Fraud.gen.   

Na czwartym miejscu uplasowała się rodzina Bublik. Z kolei piąte miejsce zajęła rodzina Androm, która pobiera i uruchamia na komputerach ofiar szkodliwe pliki. 

Lista państw najczęściej atakowanych przez szkodliwe wiadomości e-mail odnotowała pewne zmiany od drugiego kwartału tego roku.

spamreport_q3_2013__pic13_auto.png

 

Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa w III kwartale 2013 r.

W rankingu nadal prowadzą Stany Zjednoczone (-0,2 punktu procentowego). Niemcy awansowały z 3 miejsca na 2, podczas gdy Rosja spadła na 9 miejsce (-8,6 punktu procentowego), zbliżając się do swojej tradycyjnej pozycji. Pierwszą trójkę zamknęła Wielka Brytania, która odnotowała wzrost o 2,8 punktu procentowego. 

W III kwartale 2013 r. trafiliśmy na jedną bardzo interesującą masową wysyłkę – oszuści imitowali odpowiedź z działu pomocy technicznej dużej firmy antywirusowej.

spamreport_q3_2013__pic14.png

 

E-mail informował użytkownika, że plik, który rzekomo został wysłany do analizy, okazał się szkodliwym oprogramowaniem. Inżynier pomocy technicznej podał również, jaki był werdykt (w naszym przykładzie mydoom.j), i zasugerował wyleczenie komputera przy użyciu załączonej sygnatury. Jednak gdy użytkownicy (którzy prawdopodobnie nawet nie wysłali żadnych próbek) otworzyli załącznik, znaleźli tam szkodliwy program wykrywany przez Kaspersky Anti-Virus jako Email-Worm.Win32.NetSky.q.  

Co ciekawe, spamerzy popełnili błąd: adres w polu Od był oficjalnym adresem działu pomocy technicznej firmy Symantec, podczas gdy stopka w e-mailu wskazywała na inną firmę antywirusową - F-Secure. 

Phishing

W III kwartale 2013 r. odsetek wiadomości phishingowych zwiększył się trzykrotnie w stosunku do poprzedniego kwartału i wynosił 0,0071%.

spamreport_q3_2013__pic15_auto.png

 

Rozkład 100 organizacji najczęściej atakowanych przez phisherów według kategorii – III kwartał 2013 r.

* Ranking ten opiera się na werdyktach dokonanych przy użyciu komponentu antyphishingowego firmy Kaspersky Lab, aktywowanych za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz znajduje się w wiadomości spamowej czy na stronie internetowej.     

W III kwartale w wiadomościach phishingowych najczęściej imitowane były powiadomienia z portali społecznościowych. Wiadomości wysyłane w imieniu serwisów pocztowych i wyszukiwarek znalazły się na 2 i 3 miejscu. W rzeczywistości, te dwie kategorie trudno rozdzielić, ponieważ wiele dużych firm łączy funkcje wyszukiwarki z pocztą WWW.

Łącznie, te trzy kategorie stanowiły ponad 60% wszystkich ataków w 100 organizacjach najczęściej atakowanych przez phisherów. Liczba ta pokazuje, że zarabianie na phishingu w dużej mierze opiera się na sprzedaży ukradzionych danych uwierzytelniających konta, które z kolei mogą zostać wykorzystane do dystrybucji spamu na adresy z list kontaktowych.

Na 4 miejscu listy celów phishingowych znalazły się organizacje związane z finansami i e-płatnościami oraz banki. Nie znaczy to, że phisherzy są mniej zainteresowani bankami. Bardziej prawdopodobne jest to, że ataki na indywidualne instytucje rzadko przeprowadzane są na tak dużą skalę, żeby mogły zakwalifikować się do rankingu Top 100. 

Wnioski

W III kwartale 2013 r. spamerzy aktywnie wykorzystywali zarówno stare jak i nowe sztuczki w celu obejścia filtrowania jak również socjotechnikę, aby przekonać użytkowników do kliknięcia odpowiednich odsyłaczy. Na przykład, jednym z najbardziej rozpowszechnionych trików w zakresie rozprzestrzeniania szkodliwego oprogramowania jest wykorzystywanie popularnych historii medialnych i tworzenie wiadomości e-mail w postaci newsletterów. Niektóre sztuczki, takie jak fałszywe e-maile wysyłane w imieniu znanego zasobu internetowego, były uważane za szczególnie skuteczne i wykorzystywane w różnych programach partnerskich. Na przykład, odsyłacz w e-mailu imitującym powiadomienie z Facebooka mógł kiedy indziej prowadzić na stronę reklamującą lekarstwa lub zawierającą exploity.

Jednak aresztowanie twórcy zestawu exploitów Blackhole pokazało, że cyberprzestępcy nie pozostają bezkarni, nawet w Rosji posiadającej stosunkowo słabe prawo pozwalające zwalczać cyberprzestępców. Będziemy nadal monitorować rozwój tej sytuacji.

W III kwartale 2013 r. pojawiły się niewielkie zmiany pod względem czołowych źródeł spamu według państwa. Jeszcze mniej zmian zostało odnotowanych na poziomie regionalnym. Wydaje się, że lokalizacja botnetów jest stosunkowo stabilna lub przynajmniej nie występuje aktywna relokacja botnetów.

Mimo niewielkiego spadku w udziale spamu w ruchu pocztowym odsetek szkodliwego spamu wzrósł ponad 1,5 razy w stosunku do poprzedniego kwartału. Celem większości szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem poczty e-mail były loginy użytkowników, hasła i poufne informacje finansowe.  

Jeżeli chodzi o phisherów, najbardziej atrakcyjnym celem były dla nich konta użytkowników na portalach społecznościowych, w systemach e-mail i innych zasobach.