Spam w trzecim kwartale 2010 r.

Trzeci kwartał 2010 roku rozpoczął się od kilku dobrych wiadomości dla branży antywirusowej.

Spam w trzecim kwartale 2010 r.
Źródło zdjęć: © Kaspersky Lab

19.11.2010 | aktual.: 19.11.2010 13:16

Trzeci kwartał 2010 roku rozpoczął się od kilku dobrych wiadomości dla branży antywirusowej. W sierpniu współpraca firmy LastLine z jednostką do zadań specjalnych doprowadziła do zlikwidowania ponad 20 centrów kontroli wykorzystywanych przez botnet Pushdo / Cutwail, który był odpowiedzialny za około 10% globalnego spamu. Botnet ten stanowił zagrożenie nie tylko ze względu na ogromną ilość spamu rozsyłanego za jego pomocą, ale również jego związek z rozprzestrzenianiem szczególnie szkodliwych programów, takich jak Zbot (ZeuS) czy TDSS.

Po likwidacji centrów kontroli botnetu ogromna liczba botów przestała rozsyłać spam, ponieważ nie były już kontrolowane przez spamerów. Błędem byłoby jednak oczekiwanie, że tak już pozostanie. Jak już przekonaliśmy się na przykładzie likwidacji McColo i Lethic, botnet można przywrócić w ciągu miesiąca –. w tym czasie można przyłączyć zainfekowane komputery do nowych centrów kontroli. Ilość spamu w końcu wraca do poprzedniego poziomu.

Obraz
© (fot. Jupiter Images)

We wrześniu pojawiła się informacja o zamknięciu programu partnerskiego SpamIt. Program ten był odpowiedzialny za ogromne ilości spamu farmaceutycznego. Na jego stronie internetowej (Spamit.biz i Spamit.com) mogliśmy przeczytać, że powodem tego kroku była „długa lista negatywnych zdarzeń, jakie miały miejsce w ciągu ostatniego roku, oraz wzrost zainteresowania działalnością tego programu partnerskiego”. Rzeczywiście, SpamIt otrzymał w tym roku kilka ciosów. Jeden z nich pochodził od firmy Mastercard, która odmówiła wykonywania transakcji związanych z dokonywaniem płatności za lekarstwa za pośrednictwem programu SpamIt. Jednak zamknięcie jednego programu partnerskiego –. nawet największego – spowoduje tylko tymczasowy spadek liczby reklam Viagry w naszych skrzynkach pocztowych; spamerzy nie zrezygnują z tak lukratywnego interesu. O wiele prawdopodobniejsze jest to,
że organizatorzy SpamIt zaczną po prostu prowadzić nowy program, który przez pewien czas będzie znajdował się na radarze twórców rozwiązań antyspamowych oraz organów ścigania.

Jednak oprócz dobrej wiadomości mamy też złą. Spam staje się coraz większym zagrożeniem, ponieważ często zawiera różne szkodliwe załączniki i odsyłacze do zainfekowanych stron internetowych. Dlatego po raz kolejny przestrzegamy użytkowników: nie otwierajcie załączników ani nie klikajcie odsyłaczy w wiadomościach spamowych.

Spam według kategorii

Wykres poniżej pokazuje odsetek spamu w ruchu pocztowym w poszczególnych miesiącach w trzecim kwartale 201. roku. Jak widać, we wrześniu ilość spamu przychodzącego na skrzynki pocztowe użytkowników zmniejszyła się w porównaniu z sierpniem o 1,5%. Spadek ten był bezpośrednim wynikiem likwidacji centrów kontroli botnetu Pushdo / Cutwail.

Obraz
© Miesięczny odsetek spamu w trzecim kwartale 201. roku (fot. Kaspersky Lab)

Najniższa ilość spamu w trzecim kwartale 201. roku wynosiła 76,9% i została odnotowana 15 września, największa natomiast - 90,1% (25 i 31 lipca). Średni odsetek spamu w ruchu pocztowym w trzecim kwartale wynosił 82,3%.

Źródła spamu

Źródła spamu według regionu

Obraz
© Rozkład źródeł spamu w trzecim kwartale 201. roku (fot. Kaspersky Lab)

Największym źródłem spamu nadal jest Azja.

Ameryka Łacińska, która w klasyfikacji największych źródeł spamu w drugim kwartale była druga, spadła na piąte miejsce, a odsetek wiadomości spamowych pochodzących z tego regionu zmniejszył się z 16,3. do 10,7%.

Udział Europy Zachodniej w globalnej dystrybucji spamu zwiększył się z 16,2% w drugim kwartale do 23,1%. Zwiększony odsetek spamu pochodzącego z Europy Zachodniej w połączeniu ze spamem z Europy Wschodniej i Rosji oznacza, że łączna ilość spamu z całej Europy znacznie wzrosła. W sumie, we wrześniu ilość spamu pochodzącego z Europy wynosiła 40,7%, co pozwoliło temu regionowi na strącenie Azji z pierwszej pozycji (31,7%).

Obraz
© Spam pochodzący z Europy i Azji - odsetek niechcianych wiadomości w poszczególnych miesiącach trzeciego kwartału 201. roku (fot. Kaspersky Lab)

Wzrost produkcji spamu w Europie może mieć związek z coraz większą ilością masowych wysyłek zawierających szkodliwe oprogramowanie – trend ten zaobserwowaliśmy już w sierpniu. Celem takich wysyłek było między innymi przyłączenie komputerów użytkowników do botnetu. Wiadomość e-mail przypominała powiadomienie z oficjalnego zasobu online, takiego jak bank, sklep internetowy czy portal społecznościowy. Cyberprzestępcy wybrali zasoby, które są bardzo popularne wśród europejskich użytkowników Internetowych, dlatego ryzyko infekcji było najwyższe. Spowodowało to wzrost ilości spamu wysyłanego z Europy we wrześniu. Źródła spamu według krajów

Obraz
© Rozkład źródeł spamu według państw (fot. Kaspersky Lab)

Wątpliwą palmę pierwszeństwa pod względem ilości rozsyłanego spamu otrzymały Stany Zjednoczone. Drugie i trzecie miejsce, podobnie jak w drugim kwartale, zajęły odpowiednio Indie i Wietnam.

Warto zauważyć, że czwarte miejsce zajęła Wielka Brytania – po raz pierwszy od czasu, gdy Kaspersky Lab zaczął monitorować największe źródła spamu. Wcześniej Wielka Brytania nigdy nie zaklasyfikowała się do pierwszej dziesiątki państw produkujących najwięcej spamu.

Typy załączników w wiadomościach spamowych

Obraz
© Odsetek wiadomości spamowych zawierających czysty tekst oraz załączniki HTML (fot. Kaspersky Lab)

W trzecim kwartale większość wiadomości spamowych zawierało kombinację czystego tekstu oraz kodu HTML. Nieco mniej niechcianych e-maili zawierało również niesformatowany tekst, a jeszcze mniej jedynie HTML.

JPEG był najczęściej wykorzystywanym formatem załączników graficznych. Przyczyniły się do tego głównie wiadomości promujące usługi spamerskie, w których obrazy były tworzone przy użyciu kilku różnych obrazów JPEG ułożonych obok siebie.

W trzecim kwartale 201. roku nastąpił znaczny wzrost liczby wiadomości spamowych zawierających załączniki spakowane przy użyciu programu pakującego ZIP oraz podobnych. Tego rodzaju wiadomości zwykle stanowią niecałe 0,5% całkowitej ilości spamu, jednak w trzecim kwartale ich odsetek wzrósł do 2,6%. Wzrost ten można wyjaśnić masową wysyłką szkodliwych programów.

Spam graficzny

Zmniejsza się ilość spamu graficznego. W pierwszym kwartale tego roku odsetek tego rodzaju spamu wynosił 11,7%, w drugim natomiast zmniejszył się do 10,3%. Z kolei w trzecim kwartale ilość spamu graficznego ponownie spadła, tym razem do 8,4%.

Technologia stosowana do tworzenia załączników graficznych jest obecnie wykorzystywana przez osoby rozprzestrzeniające szkodliwe oprogramowanie. Przykładem może być poniższy e-mail, który zawiera szkodliwy załącznik (Trojan.Win32.Oficla), a na obrazie widać zarówno logo eFax jak i tekst: „Do wiadomości e-mail został załączony faks!”.

Obraz
© Przykład e-maila z graficznym załącznikiem (fot. Kaspersky Lab)

Phishing

PayPal nadal utrzymuje się na prowadzeniu wśród organizacji najczęściej atakowanych przez phisherów. Na drugim miejscu ponownie znajduje się internetowa firma aukcyjna, eBay, a tuż za nią uplasował się Facebook i HSBC, które zamieniły się miejscami w stosunku do poprzedniego kwartału.

Obraz
© 1. najczęściej atakowanych przez phisherów organizacji w trzecim kwartale 2010 roku (fot. Kaspersky Lab)

Jedną z największych zmian w pierwszej dziesiątce najpopularniejszych celów phisherów było pojawienie się w czołówce gry World of Warcraft. Kaspersky Lab monitoruje ataki phishingowe na graczy WoW od roku, jednak po raz pierwszy odnotowano tak dużą liczbę incydentów.

Google spadł z piątego miejsca na siódme. Odsetek ataków na użytkowników usług Google zmniejszył się o prawie 1 punkt procentowy. Jednak konta na Google nadal przyciągają uwagę cyberprzestępców, którzy wykazują szczególne zainteresowanie usługą poczty e-mail (gmail.com), kontami reklamowymi w sieci Google AdWords oraz systemem płatności elektronicznych, Checkout. Ta ostatnia usługa cieszy się największą popularnością wśród tak zwanych “carderów”. Carderzy to oszuści, którzy przeprowadzają transakcje przy użyciu kart bankowych lub numerów kart bankowych należących do innych osób. Ponieważ Checkout opiera się na dostarczaniu przez użytkowników szczegółów dotyczących ich kart bankowych, usługa ta jest szczególnie atrakcyjna dla cyberprzestępców. Nieostrożni użytkownicy, którzy wysyłają dane dotyczące swojego konta Google Checkout w odpowiedzi na e-mail phishingowy ryzykują, że ktoś włamie się na ich konto i stracą pieniądze.

Poniżej przykład dość nietypowej wiadomości phishingowej skierowanej do użytkowników usług Google.

Obraz
© (fot. Kaspersky Lab)

Tym, co wyróżnia ten e-mail phishingowy, jest brak tradycyjnej groźby zamknięcia konta oraz prośby o podanie hasła lub loginu użytkownika. Wiadomość stanowi kopię oficjalnego powiadomienia od firmy Google – z jednym wyjątkiem: zawarty w e-mailu odsyłacz nie prowadzi do oficjalnej strony firmy Google, ale do strony phishingowej zarejestrowanej w greckiej domenie, na której użytkownik jest proszony o wprowadzenie loginu oraz hasła.

Szkodliwe załączniki do wiadomości e-mail

Odsetek wiadomości e-mail zawierających szkodliwe załączniki zwiększył się ponad dwukrotnie w trzecim kwartale tego roku i wynosił 4,6%. Dla porównania, w drugim kwartale wynosił 1,87%. Wzrost ten miał miejsce głównie w sierpniu i we wrześniu.

W sierpniu odsetek szkodliwych załączników w poczcie elektronicznej przekroczył 6,3%. Spamerzy najwyraźniej nie czekali, aż ich klienci wrócą z letnich wakacji, i zainteresowali się programami partnerskimi –. łącznie z takimi, które są wykorzystywane do rozprzestrzeniania szkodliwego oprogramowania.

Na początku września aktywność szkodliwych użytkowników zaczęła spadać. Jednak w drugiej połowie miesiąca Kaspersky Lab zauważył nowe masowe wysyłki zawierające szkodliwe oprogramowanie. Pod koniec miesiąca 4,33. całego ruchu pocztowego zawierało szkodliwe załączniki.

Na podstawie dostępnych danych mogliśmy stwierdzić, że wzrost szkodliwego ruchu pocztowego miał związek z informacją o zamknięciu znanego programu partnerskiego SpamIt, który specjalizował się w spamie farmaceutycznym. Niektórzy spamerzy biorący udział w tym programie najwyraźniej przeszli do programów partnerskich wysyłających wiadomości zawierające szkodliwy kod.

Poniższy wykres ilustruje spadek i wzrost ilości spamu zawierającego szkodliwy kod w trzecim kwartale 201. roku. Z siedmiu wzrostów aktywności tylko jeden miał miejsce w lipcu, pozostałe odnotowaliśmy w sierpniu i we wrześniu.

Obraz
© Odsetek spamu ze szkodliwymi załącznikami w trzecim kwartale 201. roku (fot. Kaspersky Lab)

Szczytowa wartość na wykresie została odnotowana 2. września – w tym dniu wysłano ponad 4,5% wszystkich rozprzestrzenionych w tym kwartale wiadomości e-mail zawierających szkodliwe załączniki.

Taki wzrost zwykle zbiega się w czasie z wypuszczeniem przez twórców wirusów nowego wariantu popularnego szkodliwego programu. Celem masowych wysyłek jest rozprzestrzenienie możliwie jak największej liczby kopii nowego wariantu w możliwie najkrótszym czasie, zanim producenci rozwiązań antywirusowych dodadzą do swoich baz odpowiednią sygnaturę. 2. września prawie 90% wszystkich szkodliwych programów otrzymanych przez użytkowników za pośrednictwem poczty elektronicznej zostało zidentyfikowanych przez Kaspersky Lab przy pomocy metod proaktywnych, tj. wykorzystywanych do wykrywania nowych szkodliwych programów oraz nowych wariantów istniejących zagrożeń, które nie zostały jeszcze dodane do antywirusowych baz danych.

Głównymi winowajcami wzrostu szkodliwej aktywności 3. 9 i 19 sierpnia były fałszywe programy antywirusowe. Trojan-Downloader.Win32.FraudLoad.xexa, wraz z kilkoma wariantami Trojan-Dropper.Win32.Zbot (ZeuS), odpowiadał za 66% reakcji programów do ochrony poczty 5 sierpnia. Co ciekawe, programy do ochrony poczty wykrywały w większości nowe warianty Zbot. W okresie dwóch i pół tygodnia, od 2 do 20 sierpnia, 36,5% wszystkich szkodliwych programów wykrytych w trzecim kwartale tego roku znajdowało się w poczcie elektronicznej.

Czytelnicy być może pamiętają, że Zbot jest trojanem stworzonym w celu kradzieży poufnych danych użytkownika i pobierania innych szkodliwych programów na komputery ofiar. Uzyskiwane w ten sposób informacje są następnie sprzedawane na czarnym rynku. Jeden z najnowszych wariantów trojana Trojan-Dropper.Win32.Zbot pojawił się na szóstym miejscu rankingu 1. najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej w trzecim kwartale i był najczęściej wykrywany w sierpniu.

Obraz
© 1. najpopularniejszych szkodliwych programów wykrywanych w poczcie e-mail (fot. Kaspersky Lab)

Pierwsze miejsce w rankingu Top 20 dla trzeciego kwartału przypadło programowi Trojan-Spy.HTML.Fraud.gen, który regularnie gości w tym zestawieniu. Czytelnicy być może przypominają sobie tego Trojana – program ten wykorzystuje technologię spoofingu i wygląda jak strony HTML. Po kliknięciu odsyłacza zawartego w wiadomości e-mail użytkownik zostaje przekierowany na fałszywą stronę banku lub systemu płatności elektronicznych, na której jest proszony o podanie swoich danych logowania. Wprowadzane dane są następnie przesyłane cyberprzestępcom. Technologię tę odróżnia od tradycyjnych technik phishingowych to, że wiersz adresu w przeglądarce nie pokazuje prawdziwego adresu, na który użytkownik zostanie przekierowany, ale fałszywy, który do złudzenia przypomina adres oficjalnej strony. Technologia ta pozwala oszukać nawet
najostrożniejszych użytkowników. Na drugim i czwartym miejscu uplasowały się odpowiednio Trojan-Downloader.Win32.FraudLoad.hbf, który pod koniec września wykazał się dużą aktywnością, i wspominany wcześniej Trojan-Downloader.Win32.FraudLoad.xexa. Programy z rodziny Trojan-Downloader.Win32.FraudLoad infekują komputery fałszywym oprogramowaniem antywirusowym, którego celem jest wyłudzanie pieniędzy od ofiar.

Piąte miejsce zajął Packed.Win32.Katusha.o. Szkodliwi użytkownicy często wybierają ten program do pakowania Zbota, jak również wielu różnych fałszywych programów antywirusowych.

Wykres poniżej pokazuje współczynniki wykrywania szkodliwego oprogramowania w poczcie e-mail w trzecim kwartale tego roku według państw:

Obraz
© Współczynniki wykrywania szkodliwego oprogramowania w poczcie elektronicznej dla różnych państw (fot. Kaspersky Lab)

Siedem spośród dziesięciu państw w rankingu to rozwinięte kraje Europy, Azji i obu Ameryk. W trzecim kwartale 2010 roku prowadzenie przejęły Stany Zjednoczone (ponad 11% wszystkich szkodliwych programów wykrytych w poczcie e-mail).

Sztuczki i techniki spamerów

W trzecim kwartale spamerzy często rozprzestrzeniali e-maile, które przypominały oficjalne powiadomienia z różnych zasobów internetowych; trik ten stosowano również w wysyłkach zawierających szkodliwe oprogramowanie.

Najbardziej zróżnicowane były wysyłki spamowe zawierające odsyłacze do stron internetowych zainfekowanych kodem JavaScript z rodziny Trojan-Downloader.JS.Pegel. Kod ten przekierowuje użytkowników do serwisu spamerów, który pobiera na komputery użytkowników program Bredolab. Następnie Bredolab pobiera wiele różnych trojanów, łącznie z przedstawicielami rodziny Zbot. W międzyczasie użytkownik jest przekierowywany na stronę reklamującą różne lekarstwa.

Spam imitował powiadomienia pochodzące z tak wielu różnych legalnych zasobów, że trudno byłoby znaleźć użytkownika Internetu, który nie posiada konta na przynajmniej jednym z nich. Wiadomości spamowe podszywały się pod powiadomienia z Twittera, Facebooka, WindowsLive’a oraz MySpace’a, jak również wielu popularnych sklepów internetowych, takich jak BestBuy oraz Zappa, serwisów oferujące hosting zdjęć, dużych banków oraz systemów płatności elektronicznej.

Obraz
© Wiadomość spamowa przypominająca e-mail od Macy’s (fot. Kaspersky Lab)

Fałszywe powiadomienia cechowała bardzo wysoka jakość:

Obraz
© Wiadomość spamowa imitująca powiadomienie z Twittera (fot. Kaspersky Lab)

Oprócz ogólnego wyglądu e-maila spamerzy skopiowali również techniczne aspekty nagłówka:

Obraz
© Dane dotyczące nagłówka typowej wiadomości spamowej (fot. Kaspersky Lab)

Ponieważ użytkownicy zwykle nie widzą takich nagłówków, można przypuszczać, że dane te zostały skopiowane w celu obejścia filtrów spamowych. W każdym przypadku użyto tej samej metody rozprzestrzeniania infekcji. To sugeruje, że wiadomości te zostały wysłane przez tę samą grupę osób wykorzystujących ten sam silnik. Świadczy o tym również fakt, że niektóre nagłówki e-maili zostały pomylone:

Obraz
© Przykład wiadomości spamowej z niewłaściwym nagłówkiem (fot. Kaspersky Lab)

Podobne przypadki pomylenia nagłówków zauważyliśmy również w wiadomościach spamowych wysłanych z tego samego silnika, reklamujących lekarstwa oraz podrabiane towary luksusowe.

Pod koniec września Kaspersky Lab zauważył kolejny wzrost ilości szkodliwego spamu imitującego powiadomienia z popularnych zasobów internetowych. Tym razem cyberprzestępcy wzięli na celownik LinkedIn, popularny portal społecznościowy zrzeszający ludzi z tych samych branż. Odsyłacze w fałszywych powiadomieniach posiadały takie nagłówki, jak “LinkedInUpdate”, “LinkedIn new Messages”. czy “LinkedIn Alert”. Prowadziły do zhakowanych stron internetowych lub automatycznie generowanych domen w strefie .info. Gdy użytkownik kliknął odsyłacz, został przekierowany do serwera kontrolowanego przez cyberprzestępców, po czym na jego komputer został pobrany trojan z rodziny Zbot.

Obraz
© Wiadomość spamowa imitująca powiadomienie z portalu LinkedIn (fot. Kaspersky Lab)

Spam według kategorii

Obraz
© Dystrybucja spamu według kategorii w trzecim kwartale 201. roku (fot. Kaspersky Lab)

Spam reklamujący lekarstwa stracił pozycję lidera w pierwszej połowie 201. roku, jednak w trzecim kwartale odzyskał prowadzenie. Powodem mogło być rozwiązanie programu partnerskiego SpamIt, o którym pisaliśmy wcześniej. Zapowiedzi likwidacji tego programu zaczęły pojawiać się już od października, przedtem jednak spamerzy postanowili zmaksymalizować swoje zyski. We wrześniu spamerzy zaczęli przenosić się do innych programów partnerskich, co tłumaczy spadek ilości spamu farmaceutycznego pod koniec tego miesiąca oraz wzrost liczby szkodliwych programów w ruchu pocztowym.

Obraz
© Odsetek spamu farmaceutycznego w trzecim kwartale 201. roku (fot. Kaspersky Lab)

Odsetek spamu reklamującego podrabiane dobra luksusowe, który zazwyczaj jest wysyłany wraz z reklamami Viagry, zwiększył się z 6,3% do 11%. Ilość spamu z kategorii podróże i turystyka znacznie zmniejszyła się w stosunku do drugiego kwartału –. z 14% do 4%. W czerwcu udział spamu z tej kategorii stanowił 6,4%, jednak w sierpniu i we wrześniu zmniejszył się do niecałych 3%.

Obraz
© Odsetek spamu z kategorii podróże i turystyka w trzecim kwartale 201. roku (fot. Kaspersky Lab)

Zmniejszyła się również ilość spamu z kategorii edukacja. Jest to dość typowe –. gdy rośnie ilość spamu wysyłanego za pośrednictwem programów partnerskich reklamującego lekarstwa i podrabiane towary luksusowe, zmniejsza się jednocześnie odsetek spamu na zamówienie.

Obraz
© Porównanie ilości spamu z różnych kategorii w drugim i trzecim kwartale 201. roku (fot. Kaspersky Lab)

Wnioski

W trzecim kwartale 201. roku, podobnie jak w drugim, zaobserwowaliśmy duży wzrost liczby szkodliwych załączników w spamie. Od pewnego czasu piszemy o stałym wzroście kryminalizacji spamu. Dzisiaj szkodliwe programy stanowią istotny element wysyłek spamowych. W trzecim kwartale szkodliwe wiadomości e-mail wynosiły 4,6% całego ruchu pocztowego – co stanowi najwyższy odsetek od czasu, gdy Kaspersky Lab zaczął monitorować trendy w ruchu pocztowych.

Biznes spamowy oraz tworzenie szkodliwych programów stają się coraz bardziej powiązane ze sobą. Jednocześnie rozwijane są wszechstronne rozwiązania. Twórcy wirusów stosują coraz bardziej złożone metody infekcji. Metody te pozwalają przyłączyć komputer ofiary do botnetu, wysyłać spam oraz pobierać liczne trojany na komputer ofiary w celu kradzieży osobistych informacji i innych cennych danych. Współczesna wiadomość spamowa może zawierać odsyłacz do strony promocyjnej lub do strony zawierającej exploity, które mogą pozostać niezauważone przez użytkownika.

Naturalnie, trendy te są niepokojące –. spam jest nie tylko irytujący, ale również groźny.

Na szczęście, problem ten zwrócił uwagę ustawodawców i organów ścigania. Pod koniec trzeciego kwartału w Wielkiej Brytanii i Stanach Zjednoczonych aresztowano prawie 10. osób podejrzewanych o wykorzystywanie ZeuSa do kradzieży środków z kont online. Trojan ZeuS, wykrywany przez Kaspersky Lab jako przedstawiciel rodziny Zbot, jest najczęściej identyfikowanym programem w szkodliwych załącznikach do wiadomości spamowych. Mamy nadzieję, że będzie to początkiem systematycznej walki ze spamem lub przynajmniej szkodliwym spamem oraz międzynarodowej współpracy w walce z tym zjawiskiem. Tymczasem po raz kolejny przestrzegamy użytkowników, aby nie otwierali wiadomości spamowych oraz ich załączników – jak również nie klikali zawartych w spamie odsyłaczy.

_ Źródło: Kaspersky Lab _

Wybrane dla Ciebie
Komentarze (0)