Bądź na bieżąco! Kanały RSS

Raporty

Spam w II kwartale 2013 r.

Kwartał w liczbach
Metody i sztuczki spamerów
Statystyki
Szkodliwe załączniki w poczcie e-mail
Phishing
Zakończenie

Kwartał w liczbach

Odsetek spamu w całkowitym ruchu pocztowym zwiększył się o 4,2% w stosunku do pierwszego kwartału 2013 r. i wynosił 70,7%.
Odsetek wiadomości phishingowych w całkowitym ruchu pocztowym zmniejszył się o 0,0016% i wynosił 0,0024%.
Szkodliwe załączniki zostały wykryte w 2,3% wszystkich e-maili - o 1% mniej niż w I kwartale 2013 r.

Metody i sztuczki spamerów

Różne rodzaje spamu generują różne wysokości przychodów dla spamerów. Typowa wysyłka reklamowa przeznaczona dla małych firm przyniesie określoną kwotę pieniędzy, ale już inne stawki będą płacone za reklamy Viagry, za które spamer otrzymuje prowizję od każdego klienta, który kliknął zawarty w e-mailu odsyłacz i dokonał zakupu. Jednak największe zyski generuje szkodliwy spam. Zainfekowany komputer jest warty znacznie więcej niż zakup Viagry. Spamerzy kładą szczególny nacisk na to, aby mieć pewność, że szkodliwy program przedostanie się do komputera; być może dlatego szkodliwy spam często wykorzystuje różne taktyki oraz socjotechnikę.

Szkodliwe e-maile atakujące użytkowników korporacyjnych

W minionym kwartale wiele e-maili zawierających szkodliwe załączniki było adresowanych do użytkowników korporacyjnych.

Wszystkie te rodzaje wiadomości były zamaskowane jako auto-odpowiedzi, tj. powiadomienia o niedostarczeniu wiadomości lub powiadomienia o nadejściu e-maila, faksu lub skanu.

Wiadomości te nie wykorzystują żadnych określonych metod socjotechnicznych - gróźb czy prób kuszenia użytkowników na ogromne kwoty pieniędzy, jakie mogliby otrzymać, gdyby otworzyli załącznik. Dzięki temu e-maile te wydają się mniej podejrzane. Szkodliwi użytkownicy spodziewają się, że pracownicy korporacji nie wczytają się uważnie w szczegóły, założą, że e-mail jest legalny i otworzą załącznik - uruchamiając tym samym szkodliwy program.

Poniższy e-mail pochodzi rzekomo z serwera pocztowego i ma przypominać powiadomienie o niedostarczeniu wysłanej wiadomości.

Wiadomość została rzekomo wygenerowana przez usługę MAILER-DAEMON domeny pocztowej odbiorcy i wygląda jak standardowe powiadomienie tego typu. W razie jakichkolwiek pytań odbiorcy sugeruje się napisanie e-maila na adres postmaster@<userdomain>. Tymczasem załącznik zawiera plik wykonywalny (jego nazwy różnią się: instruction.exe, mail.scr oraz inne) wykrywany przez Kaspersky Lab jako Email-Worm.Win32.Mydoom.m.

Wiele innych szkodliwych e-maili stanowiło fałszywe automatyczne powiadomienia o nadejściu nowego skanu lub faksu.

Naturalnie, załączniki do tych e-maili zawierały również różne szkodliwe programy. Co istotne, wiele z tych fałszywych powiadomień miało przypominać powiadomienia z urządzenia HP lub usługi JConnect - dość popularnego programu w środowisku biznesowym. E-maile były wysyłane na adresy korporacyjne, a nie na darmowe adresy e-mail. Pracownik firmy będzie miał większe zaufanie do e-maila, jeśli firma, dla której pracuje, korzysta ze sprzętu tej marki lub usługi tego dostawcy.

Inną wyrafinowaną sztuczką spamerów jest wzmianka o bezpieczeństwie danych. Jeden z e-maili, jaki Kaspersky Lab wykrył w zeszłym kwartale, imitował wiadomość z Citigroup i informował odbiorców, że czeka na nich zaszyfrowana wiadomość.

Jednak załączniki w rzeczywistości nie zawierały wiadomości - a trojana sklasyfikowanego przez Kaspersky Lab jako Trojan-PSW.Win23.Tepfer.nblo.

Wiadomości te nie wyglądają nietypowo ani podejrzanie, zwłaszcza dla przemęczonych, wykonujących wiele zadań jednocześnie pracowników firmy. Tylko rozszerzenie załącznika .exe może wzbudzić podejrzenia odbiorcy i skłonić do ostrożności.

Należy pamiętać, że szkodliwe oprogramowanie atakujące użytkowników korporacyjnych jest rozprzestrzeniane przy użyciu różnych taktyk. Pracownicy firmy muszą pamiętać, że szkodliwy kod może zostać zaszyty w dokumentach biurowych i należy zachować ostrożność podczas otwierania załączników do e-maili.

E-maile z popularnych zasobów

Wcześniej pisaliśmy o e-mailach imitujących powiadomienia z portali społecznościowych, sklepów oraz e-maile lotnicze itd. Nadal krąży wiele takich wiadomości. Czytelników być może zainteresuje również fakt, że Walmart znajduje się obecnie na liście sklepów, pod które podszywają się spamerzy w swoich fałszywych powiadomieniach.

Takie fałszywe e-maile informują odbiorców o rzekomym niedawnym zakupie dokonanym w tym sklepie. Zawarte w nich odsyłacze prowadzą na zhakowane strony internetowe, które przekierowują ich na szkodliwą stronę, w której zaszyto exploity.

Szkodliwe eKartki

Wcześniej elektroniczne kartki ze szkodliwymi załącznikami były wysyłane przez szkodliwych użytkowników z okazji każdego ważniejszego święta - ostatnio jednak widok szkodliwych kartek elektronicznych zdarzał się rzadko. W minionym kwartale Kaspersky Lab znów wykrywał tego rodzaju szkodliwe wysyłki, tym razem wykorzystujące znany amerykański serwis służący do wysyłania kartek elektronicznych Hallmark.

Załącznik ten został wykryty przez Kaspersky Lab jako Trojan.Win32.Buzus.liez.

Losowy tekst

Oprócz szkodliwych e-kartek w minionym kwartale Kaspersky Lab zidentyfikował również inną dawno zapomnianą taktykę. W I kwartale 2013 r. jedną ze sztuczek wykorzystywanych przez spamerów był "biały tekst", który zasadniczo stanowi losowy tekst dodawany na końcu e-maila, gdzie kolor tekstu jest taki sam jak tło. W analizowanym kwartale spamerzy zastosowali mniej więcej tę samą sztuczkę; dodali losowy tekst, tym razem jednak nie starali się nawet uczynić go "niewidzialnym", ale po prostu oddzielili go od głównego tekstu dużą liczbą pustych wierszy. Wszystkie teksty pochodziły z różnych historii opisywanych w mediach. Na przykład, e-mail mógł rozpoczynać się od zdjęcia reklamującego określone towary i usługi, jeżeli jednak odbiorca zjechał na sam dół, znajdował napisany małą czcionką fragment newsa na temat Hugo Chaveza, Maratonu Bostońskiego czy wojny w Korei.

Statystyki

Odsetek spamu

Odsetek spamu w całym ruchu pocztowym w drugim kwartale tego roku wynosił 70,7%, czyli był o 4,2% wyższy niż w pierwszym kwartale. Jednak wzrost ten nie musi oznaczać początku trendu; odsetek w pierwszym kwartale stanowił wyjątek od reguły - najniższy odsetek spamu, wynoszący 58,3%, został odnotowany w styczniu, natomiast we wszystkich pozostałych miesiącach poziom niechcianych wiadomości oscylował wokół 70%.

Odsetek spamu w ruchu pocztowym, pierwsza połowa 2013 r.

Te niewielkie zmiany odsetka spamu w ruchu pocztowym wskazują na pewną stabilizację po gwałtownych wzrostach i spadkach w ostatnich latach.

Źródła spamu

Rozkład źródeł spamu według państwa, II kwartał 2013 r.

Lista państw stanowiących największe źródła spamu nie zmieniła się, mimo że ich udział w spamie zmienił się nieznacznie: Chiny odnotowały spadek o 1,2%, Stany Zjednoczone o 0,9%, a Korea Południowa o 3%.

Ilość spamu wysyłanego z Tajwanu i Wietnamu zwiększyła się nieznacznie (odpowiednio o 1,6% i 1,1%) i państwa te znalazły się na 4 i 5 miejscu.

Interesująca jest również sytuacja niektórych byłych republik radzieckich. W trzech z nich - na Ukrainie, w Kazachstanie i na Białorusi - odsetek wychodzącego spamu zwiększył się w drugim kwartale i państwa te uplasowały się na 6, 7 i 8 miejscu na liście 20 największych źródeł spamu, spychając Rosję na koniec rankingu. Trzeba również podkreślić, że te trzy państwa nie tylko jednocześnie odnotowały wzrost ilości spamu wychodzącego, ale również ich dynamika tendencji zwyżkowych była bardzo podobna i osiągnęła punkt szczytowy w maju.

Zmiany w odsetku spamu pochodzącego z Białorusi, Ukrainy i Kazachstanu w ciągu pierwszych sześciu miesięcy 2013 r.

To mogłoby wskazywać na pojawienie się nowych botnetów w tych państwach lub infekcję serwisów hostingowych, z których wysłany jest spam.

Gdy przyjrzymy się źródłom spamu według regionu, a nie według państwa, rozkład geograficzny przedstawia się zupełnie inaczej. W Europie wiele spamu pochodzi z Korei Południowej (47,9%), a odsetek spamu wysyłanego z Korei do innych regionów jest dość niski. Z Chin większość niechcianych wiadomości jest rozprzestrzenianych do regionu Azja-Pacyfik (64%) oraz Stanów Zjednoczonych (21,2%), podczas gdy Europa i Rosja nie odnotowuje prawie żadnego spamu z Chin. Większość niechcianych wiadomości ze Stanów Zjednoczonych ląduje w Stanach Zjednoczonych (51,6%), natomiast w Rosji spam przychodzi z Tajwanu (12,2%), Wietnamu (9,4%) oraz Ukrainy (9%).

Źródła spamu według regionu

Rozkład źródeł spamu według regionu w II kwartale 2013 r.

Jeżeli chodzi o największe źródła spamu według regionu, w rankingu nie odnotowano żadnych większych zmian w porównaniu z pierwszym kwartałem, mimo że udział określonych regionów wcale nie zmienił się. Azja zwiększyła swój odsetek o 4,5% i pozostaje największym regionalnym źródłem spamu. Odsetek Europy Wschodniej wzrósł o 2,6%, głównie ze względu na większą aktywność na Ukrainie i Białorusi.

Odsetek spamu pochodzącego z Europy Zachodniej był o 3,7% niższy, podobnie jak odsetek spamu pochodzącego z Ameryki Południowej (-2,4%), który odnotował nowy rekordowo niski poziom. Czytelnicy być może pamiętają, że zaledwie dwa lata temu Ameryka Południowa uplasowała się na drugim miejscu pod względem ilości spamu wysyłanego z tego regionu. Inne regiony, które odnotowały zmiany, to Bliski Wschód (-0,2%), Afryka (-0,6%) oraz Australia i Oceania (-0,04%).

Rozmiar wiadomości spamowych

Rozmiar wiadomości spamowych: II kwartał 2013 r.

Większość wiadomości spamowych nadal ma bardzo mały rozmiar, poniżej 1 KB. Liczba takich niewielkich wiadomości zwiększyła się w stosunku do pierwszego kwartału o 4,8% i wynosiła 73,8% wszystkich niechcianych wiadomości. Co ciekawe, nastąpił również niewielki wzrost (+0,94%) odsetka e-maili o rozmiarze pomiędzy 50 a 100 KB. Rozmiar ten najczęściej posiadają wiadomości z załącznikami, również szkodliwymi.

Szkodliwe załączniki w poczcie e-mail

Odsetek szkodliwych załączników w drugim kwartale był niższy niż w pierwszym o 1% i wynosił 2,3% całego ruchu pocztowego.

10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail w II kwartale 2013 r.

Najpopularniejszy szkodliwy program rozprzestrzeniany za pośrednictwem poczty elektronicznej w drugim kwartale tego roku był taki sam jak w pierwszym kwartale: Trojan-Spy.HTML.Fraud.gen. Czytelnicy być może pamiętają, że szkodnik ten przypominał stronę html wykorzystywaną jako formularz rejestracyjny do serwisów bankowości online. Phisherzy wykorzystują go do kradzieży informacji finansowych użytkowników.

Na drugim miejscu utrzymał się Email-Worm.Win32.Bagle.gt. Ten robak pocztowy, w przeciwieństwie do innych, potrafi wysyłać swoje kopie do kontaktów z książki adresowej użytkownika, a także otrzymywać zdalne polecenia instalacji innego szkodliwego oprogramowania.

Na trzeciej pozycji znalazła się jedna z modyfikacji niesławnego programu szpiegującego z rodziny ZeuS/Zbot - Trojan-Spy.Win32.Zbot.lbda. Celem tego szkodnika jest kradzież różnych rodzajów poufnych informacji użytkowników komputerów, w tym danych dotyczących karty kredytowej.

Na czwartym miejscu uplasował się Trojan-PSW.Win32.Tepfer.hjva. Celem tego szkodliwego programu jest kradzież haseł do kont użytkowników.

Niżej na liście znajduje się kilka innych robaków pocztowych oraz dwie inne modyfikacje trojana ZeuS/Zbot. Kolejny szkodliwy program znajdujący się w pierwszej dziesiątce to Backdoor.Win32.Androm.pta. Tego rodzaju szkodliwe programy pozwalają szkodliwym użytkownikom kontrolować zainfekowane komputery w sposób niezauważalny dla użytkowników. Potrafią na przykład pobierać i uruchamiać inne szkodliwe pliki, wysyłać różne dane z komputera użytkownika i wykonywać inne działania. Co więcej, zainfekowane nimi komputery często są zintegrowane z botnetem.

Należy zauważyć, że niektóre szkodliwe programy posiadają wiele modyfikacji, chociaż wykonywane przez nie działania nie różnią się znacznie od siebie nawzajem. Z tego względu Kaspersky Lab opublikował również wykresy ilustrujące najbardziej rozpowszechnione rodziny szkodliwego oprogramowania, dające jaśniejszy obraz rozkładu szkodliwych załączników rozprzestrzenianych za pośrednictwem poczty e-mail.

10 najpopularniejszych rodzin szkodliwego oprogramowania rozprzestrzenianych za pośrednictwem poczty e-mail w II kwartale 2013 r.

Ponad 40% szkodliwych programów wysyłanych za pośrednictwem poczty e-mail ma na celu kradzież informacji osobistych, łącznie z danymi finansowymi.

Lista państw najczęściej atakowanych przez szkodliwe wiadomości e-mail odnotowała kilka zmian w stosunku do pierwszych trzech miesięcy roku.

Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa w II kwartale 2013 r.

Na pierwszym miejscu nadal znajdują się Stany Zjednoczone mimo niewielkiego spadku swojego udziału (-1,2%). Jednocześnie Rosja awansowała z 7 miejsca na 2 (+8,3%) pod względem odsetka wykryć szkodliwego oprogramowania w poczcie e-mail, który zwiększył się kilkakrotnie. Wzrost ten miał miejsce w czerwcu, kiedy w państwie tym odsetek wykryć szkodliwego oprogramowania w poczcie wynosił 29,3%. Najczęściej wykrywane rodziny szkodliwego oprogramowania w Rosji to Net-Worm.Win32.Kolab i Trojan-GameThief.Win32.Magania. Kolab to rodzina szkodliwych programów pełniących funkcję backdoora, które uniemożliwiają działanie programów antywirusowych i otrzymują zdalne polecenia od szkodliwych użytkowników. Celem programów z rodziny Magania była kradzież nazw użytkowników i haseł do gry online Maple Story, ale potrafią one również działać jak robaki (i są rozprzestrzeniane za pośrednictwem nośników USB).

Na skutek gwałtownego wzrostu odsetka Rosji Niemcy spadły z drugiego miejsca na trzecie (-1,9%). Indie i Australia utrzymały te same pozycje co w pierwszym kwartale, chociaż ich udziały były nieco niższe (odpowiednio -0,9% i 1,1%). Odsetek wykryć szkodliwego oprogramowania w poczcie w innych państwach odnotował bardzo niewielkie zmiany.

Phishing

Odsetek wiadomości phishingowych w całkowitym ruchu pocztowym w drugim kwartale tego roku zmniejszył się o 0,0016% i wynosił 0,0024%.

Rozkład 100 organizacji najczęściej atakowanych przez phisherów* według kategorii - II kwartał 2013 r.

*Ranking ten opiera się na statystykach wykryć przez komponent antyphishingowy firmy Kaspersky Lab, aktywowany za każdym razem gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten jest zawarty w spamie czy na stronie internetowej.

Ogólny rozkład organizacji stanowiących cel phisherów nie odnotował wielu zmian w stosunku do pierwszego kwartału. Liczba ataków na portale społecznościowe zmniejszyła się o 3,3%, a odsetek ataków na organizacje finansowe wzrósł o 1,2%, dzięki czemu kategoria ta spadła na drugie miejsce w rankingu.

Odsetek ataków na dostawców usług internetowych zwiększył się o 1,8%, a liczba ataków na dostawców usług pocztowych wzrosła o 2%. Czytelnicy być może pamiętają, że kwartalny wzrost liczby ataków phishingowych na serwisy pocztowe ma związek z gwałtownym wzrostem liczby ataków przeprowadzonych w czerwcu, która wynosiła 13,2%. Odsetek ataków na inne organizacje różnił się o mniej niż 1%.

Obecnie phisherzy coraz częściej rezygnują z polegania wyłącznie na czynniku ludzkim i są mniej skłonni czekać, aż użytkownicy podadzą swoje własne dane. Zamiast tego szkodliwi użytkownicy wysyłają obecnie szkodliwe e-maile z zaszytymi trojanami, które kradną nazwy użytkowników i hasła, w tym do kont bankowości online.

Szkodliwe załączniki można znaleźć nie tylko w e-mailach podszywających się pod formularze dla Facebooka i innych popularnych zasobów online - wykrywane są również w e-mailach imitujących oficjalne powiadomienia bankowe.

E-mail ten został sklecony w niedbały sposób - synonimy umieszczone w nawiasach stanowią typowy błąd programów spamowych. Jednak pozostały tekst nie wzbudziłby w użytkownikach szczególnych podejrzeń. Nawet załączony plik nie posiada rozszerzenia .exe czy nawet pliku .exe w archiwum, co większość użytkowników natychmiast uznałoby za podejrzane. Jednak wyglądający niewinnie plik .doc zawiera exploita sklasyfikowanego przez Kaspersky Lab jako Exploit.MSWord.Agent.dj, który wykorzystuje lukę umożliwiająca mu przeniknięcie do systemu bezpieczeństwa komputera i pobranie szkodliwych programów, które kradną osobiste dane użytkowników.

Zakończenie

Od lutego 2013 r. odsetek spamu w ruchu pocztowym nie odnotował niemal żadnej zmiany. Jest to pierwszy okres, w którym zaobserwowaliśmy pewną stabilizację w ruchu spamowym, ponieważ na przestrzeni kilku ostatnich lat miało miejsce wiele dużych wahań pod względem ilości spamu. Spodziewamy się, że odsetek spamu utrzyma się na tym poziomie w przyszłości.

Pewne zmiany odnotowaliśmy w rankingu państw stanowiących największe źródła spamu. Znacznie zwiększył się odsetek niechcianych wiadomości wysyłanych z Ukrainy, Białorusi i Kazachstanu. Wzrost ten wskazuje na nowe botnety lub zainfekowane serwisy hostingowe w tych państwach - ostatnio rejestrujemy coraz więcej spamu wysyłanego z serwisów hostingowych.

Wśród zagrożeń rozprzestrzenianych za pośrednictwem poczty elektronicznej najbardziej rozpowszechnione rodziny to te, które kradną dane w celu uzyskania dostępu do kont użytkowników (nazw użytkownika i haseł), szczególnie do serwisów bankowości online. Znacznie wzrosła również liczba e-maili ze szkodliwymi załącznikami adresowanych do użytkowników w Rosji.

Ostatnio spamerzy zaczęli wysyłać e-maile ze szkodliwymi załącznikami podszywające się pod wysyłane przez serwery automatyczne powiadomienia o niedostarczeniu wiadomości. Inną powszechną sztuczką jest upozorowanie szkodliwych e-maili na powiadomienia ze znanych zasobów online i dodanie odsyłaczy do szkodliwych stron internetowych. Kaspersky Lab zaleca użytkownikom zachowanie ostrożności - nawet mając do czynienia z e-mailmi, które wydają się legalne.

Źródło:

Kaspersky Lab

WirusPC.pl

Zagrożenia

Porady

Polecamy

Sponsorzy