Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w kwietniu 2013 r.

Tagi:

Spis treści

Kwiecień w liczbach

  • Odsetek spamu w ruchu e-mail zwiększył się o 2,1 punktu procentowego w stosunku do marca i wynosił średnio 72,2%.   
  • Odsetek wiadomości phishingowych zmniejszył się trzykrotnie w porównaniu z marcem, do 0,002%.
  • W kwietniu szkodliwe pliki zostały znalezione w 2,4% wszystkich e-maili, co stanowi spadek o  1,6 punktu procentowego.

Spam na świeczniku

W kwietniu liczba niechcianych wiadomości e-mail zwiększyła się nieznacznie - o 2,1 punktu procentowego. Zmniejszył się natomiast poziom spamu „świątecznego”, mimo że spamerzy nadal aktywnie wykorzystywali temat Świąt Wielkanocy w celu rozprzestrzeniania oszukańczych e-maili i wiadomości zawierających reklamy towarów i usług. Ponadto, w celu przyciągnięcia uwagi użytkowników spamerzy wykorzystywali nazwiska światowych przywódców politycznych oraz tragiczne wydarzenia w Stanach Zjednoczonych.     

Wydarzenia w Stanach Zjednoczonych a szkodliwy spam

Jak zwykle, uwadze spamerów nie umknęły najgorętsze newsy miesiąca. W kwietniu oszuści wykorzystali podwójne wybuchy bombowe podczas Maratonu Bostońskiego oraz eksplozję w zakładach chemicznych w Teksasie.    

W ciągu kilku dni od wybuchów zarejestrowaliśmy w ruchu spamowym kilka masowych wysyłek zawierających szkodliwe pliki lub odsyłacze.

Wiadomości e-mail imitowały masowe wysyłki z popularnych serwisów informacyjnych (CNN i BBC) i zawierały prowokujący nagłówek oraz odsyłacz do rzekomego artykułu na temat tragicznych zdarzeń. Po kliknięciu odsyłacza użytkownik był przekierowywany na oszukańczą stronę, która wykorzystywała zestaw exploitów Blackhole 2 w celu przeprowadzania ataków na system. Jeżeli ataki powiodły się, na komputer użytkownika pobierany był Backdoor.Win32.Papras.ppk. Celem tego szkodliwego oprogramowania spyware jest kradzież informacji z zabezpieczonych połączeń za pośrednictwem przeglądarki (HTTPS), plików cookie, zrzutów ekranu i danych dotyczących komputera (zainstalowanych programów, konfiguracji systemu operacyjnego), a następnie przekazywanie ich cyberprzestępcom.     

aprel2013_spamreport2013_pic01.png

Podobna szkodliwa masowa wysyłka została zarejestrowana w pierwszym kwartale 2013 roku. W marcu oszuści wykorzystali bardzo podobnie zaprojektowane e-maile w celu rozprzestrzeniania wiadomości o nowym papieżu.       

Za pomocą innej wysyłki rozprzestrzeniano odsyłacze do stron internetowych zawierających w adresie takie słowa jak Texas, Boston i rzekomo najświeższe informacje. Odsyłacz przekierowywał użytkowników do strony internetowej zawierającej różne pobrane z serwisu YouTube filmiki dotyczące wybuchów bombowych. Strona ta zawierała również exploita, który pobierał szkodliwy program wykrywany przez Kaspersky Lab na komputerach użytkowników jako Trojan-PSW.Win32.Tepfer. Celem tego trojana była kradzież danych dotyczących konta użytkownika (loginów i haseł) z zainfekowanych komputerów.   

aprel2013_spamreport2013_pic02_auto.png

 

Oszustwa

W kwietniu „nigeryjscy” oszuści nadal wykorzystywali w swoich e-mailach nazwiska sławnych przywódców politycznych – tym razem Baraka Obamy i syna Muammara Kadafiego. Przykładem może być e-mail wysłany rzekomo w imieniu pracownika Białego Domu, informujący, że prezydent Stanów Zjednoczonych rozdaje 100 sztabek złota potrzebującym na całym świecie i odbiorca tej wiadomości jest jednym z wybranych. Z kolei niemieckojęzyczny „list nigeryjski” napisany w imieniu asystenta syna byłego prezydenta Libii Muammara Kadafiego to tradycyjna prośba o pomoc w uratowaniu i zainwestowaniu jego legendarnych milionów.            

aprel2013_spamreport2013_pic03_auto.png

Jest to dobrze znany rodzaj oszustwa: kiedy ofiara wkręci się już w korespondencję, oszuści proszą ją o stosunkowo niewielką kwotę na pokrycie wydatków związanych z usługami pośrednika lub sporządzeniem dokumentów. Spamerzy wierzą, że znaczna różnica pomiędzy wysokością żądanej kwoty a obiecywanej nagrody sprawi, że potencjalna ofiara straci głowę i prześle pieniądze.   

Oszuści „nigeryjscy” próbowali zwrócić uwagę użytkowników nie tylko obietnicą „łatwych pieniędzy”, ale również poprzez wysyłanie pozdrowień wielkanocnych (o tym święcie wspominano w nagłówku e-maila oraz na początku wiadomości). 

Temat wielkanocny wykorzystywały również tradycyjne fałszywe powiadomienia o wygranych na loterii rozprzestrzeniane w wiadomościach ze słowem „Wielkanoc” zawartym w temacie. Jedna z takich wiadomości zawierała odsyłacz do legalnej strony istniejącej firmy, która w rzeczywistości nie miała nic wspólnego z „loterią” zorganizowaną przez oszustów. 

Spam świąteczny

Chociaż katolicy obchodzili już Wielkanoc, w kwietniu spamerzy nadal aktywnie wykorzystywali ten temat, oferując podrabiane towary i kredyty. Na przykład, jedna masowa wysyłka oferowała odbiorcom specjalny kod „wielkanocny”, który uprawniał ich do zakupu podróbek zegarków znanych projektantów z 50% zniżką.      

aprel2013_spamreport2013_pic04_auto.png

W kwietniu ponownie zarejestrowaliśmy masowe wysyłki wykorzystujące Dzień Matki. Tak jak poprzednio, reklamowały kwiaty i podrabiane towary znanych projektantów.

aprel2013_spamreport2013_pic05_auto.png

Z kolei inna wysyłka oferowała cygara w związku z nadchodzącym Dniem Ojca obchodzonym w Stanach Zjednoczonych.

aprel2013_spamreport2013_pic06_auto.png

 

Rozkład geograficzny źródeł spamu

W kwietniu nie nastąpiły żadne zmiany wśród 3 wiodących źródeł niechcianych wiadomości na świecie. Chiny (23,9%) utrzymały pierwsze miejsce mimo 2 proc. spadku udziału w spamie. Ilość spamu wysyłanego ze Stanów Zjednoczonych zmniejszyła się nieznacznie  (16,8%), przez co państwo to pozostało na 2 miejscu. Łącznie te dwa państwa wygenerowały 41% globalnego spamu.      

 

aprel2013_spamreport2013_pic07_auto.png

Źródła spamu na świecie według państwa, kwiecień 2013

W kwietniu na trzecim miejscu znalazła się Korea Południowa (9,8%), która odnotowała wzrost o 1,5 punktu procentowego. W pierwszej piątce utrzymał się Tajwan (5,5%). Indie, które w marcu zajmowały 5 miejsce, straciły 0,5 punktu procentowego i spadły na 9 miejsce w rankingu (z 2,9% udziałem w całym rozprzestrzenionym spamie). Rosja (3,3%) zwiększyła swój wkład o 1 punkt procentowy i „awansowała” z 10 miejsca w marcu na 7. Niemcy odnotowały spadek o 1 punkt procentowy i przesunęły się w dół z 8 miejsca na 12. Włochy straciły 2,1 punktu procentowego i spadły z 6 pozycji na 14.         

 

aprel2013_spamreport2013_pic08_auto.png

Źródła spamu w Europie według państwa, kwiecień 2013

W kwietniu główne źródło spamu wysyłanego do użytkowników europejskich stanowiła Korea Południowa (43,4%): jej udział zwiększył się o 6,6 punktu procentowego. Z kolei udział Chin znacząco zmniejszył się i wynosił 3,7%, przez co państwo to spadło z 2 miejsca na 5.

Stany Zjednoczone utrzymały się w pierwszej trójce, mimo że ich udział w spamie zmniejszył się o 3,4 punktu procentowego. Wietnam (5,2%) awansował z 5 miejsca na 3. Jednocześnie udział Włoch zmniejszył się trzykrotnie i państwo to spadło z 4 miejsca na 11 (1,9% spamu wysyłanego do użytkowników europejskich). 

aprel2013_spamreport2013_pic09_auto.png

Źródła spamu według regionu, kwiecień 2013

Azja (55,7%) pozostała czołowym źródłem spamu według regionu. Podobnie jak w marcu, w pierwszej trójce znalazła się również Ameryka Północna (17,6%) i Europa Wschodnia (13,6%).    

 

Szkodliwe załączniki w wiadomościach e-mail

W kwietniu szkodliwe załączniki zostały wykryte w 2,4% wiadomości e-mail, co stanowi spadek o 1,6 punktu procentowego w stosunku do marca.  

aprel2013_spamreport2013_pic10_auto.png

Top 10 szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail, kwiecień 2013

W kwietniu Trojan-Spy.html.Fraud.gen pozostał najbardziej rozpowszechnionym szkodliwym programem. Szkodnik ten występuje w postaci stron HTML, które imitują formularze rejestracyjne znanych banków lub systemów e-płatności i są wykorzystywane przez phisherów w celu kradzieży danych uwierzytelniających do systemów bankowości online.

Na drugim miejscu znalazł się Email-Worm.Win32.Bagle.gt. Funkcjonalność tego robaka pocztowego polega na samodzielnym rozprzestrzenianiu się na adresy zawarte w książce adresowej ofiary, co jest typowym działaniem dla tego rodzaju szkodliwego oprogramowania. Szkodnik ten potrafi również kontaktować się z centrum kontroli i pobierać inne szkodliwe programy na komputer użytkownika.   

Na trzecim miejscu znalazł się Backdoor.Win32.Androm.pta. Ta rodzina backdoorów pozwala szkodliwym użytkownikom ukradkiem kontrolować zainfekowany komputer, np. w celu pobrania i uruchomienia innych szkodliwych plików, które następnie wysyłają dane z zainfekowanego komputera itd. Ponadto, wiele komputerów zainfekowanych przez backdoory stało się częścią botnetu. W 2013 roku przedstawiciele rodziny Backdoor.Win32.Androm często pojawiały się w pierwszej dziesiątce – powodem tego były najprawdopodobniej próby stworzenia nowych botnetów.           

Na czwartym miejscu znajduje się Trojan-PSW.Win32.Tepfer.hjva, stworzony w celu kradzieży haseł do kont użytkowników. 

Piątą, ósmą i dziewiąta pozycję w rankingu zajmują szkodliwe programy z rodziny Trojan.win32.Bublik.aknd. Szkodniki te przechwytują hasła użytkowników do FTP, dane uwierzytelniające korzystanie z serwisów poczty e-mail oraz certyfikaty z zainfekowanych komputerów. Trojan ten potrafi przeszukiwać formularze w przeglądarkach Mozilla Firefox i Google Chrome w poszukiwaniu zapisanych loginów i haseł, a następnie przesyłać znalezione dane oszustom.    

aprel2013_spamreport2013_pic11_auto.png

Rozkład wykryć szkodliwego oprogramowania w poczcie e-mail według państwa, kwiecień 2013

Stany Zjednoczone (12,4%) i Niemcy (10,7%) utrzymały prowadzenie w rankingu państw najczęściej atakowanych przez szkodniki krążące w wiadomościach e-mail. W kwietniu dołączyła do nich Wielka Brytania (6,8%), która uplasowała się na trzecim miejscu. Pozostałe państwa z pierwszej dziesiątki zachowały swoje pozycje z marca.    

W kwietniu spamerzy aktywnie wykorzystywali nazwę międzynarodowej firmy logistycznej DHL w celu rozprzestrzeniania fałszywych powiadomień zawierających szkodliwe załączniki. Odnotowaliśmy kilka takich masowych wysyłek w języku angielskim i holenderskim.

Treść angielskojęzycznej masowej wysyłki informowała, że kurier DHL nie mógł dostarczyć paczki, którą należy teraz odebrać w siedzibie firmy. W tym celu użytkownik musiał wydrukować dane dotyczące paczki zawarte w załączonym archiwum. Oszuści zwykle próbują wywierać naciski na użytkownika, grożąc naliczaniem dodatkowych opłat za przechowywanie paczki, w przypadku gdyby nie została natychmiast odebrana. Wysokość kary i ostateczny termin odebrania paczki różnią się w zależności od e-maila.          

Załączone archiwum DHL.REPORT.ID680.zip zawierało plik DHL.REPORT.F3B5DJ7.exe (liczby różniły się w zależności od e-maila, ale w każdym przypadku nazwa pliku wykonywalnego była taka sama). Naturalnie, plik nie zawierał żadnych informacji na temat nieistniejącej paczki. W rzeczywistości był to trojan z rodziny ZBot (ZeuS), a konkretnie Trojan-Spy.Win32.Zbot.krhu.   

aprel2013_spamreport2013_pic12_auto.png

ZeuS był aktywnie wykorzystywany przez spamerów nie tylko w celu kradzieży informacji osobistych użytkowników oraz haseł do systemów e-płatności i systemów bakowych, ale również w celu tworzenia botnetów. Dzięki prostej konfiguracji i łatwości użycia ZeuS stał się jednym z najbardziej niebezpiecznych i rozpowszechnionych przykładów oprogramowania spyware.     

aprel2013_spamreport2013_pic13_auto.png

Powyższy e-mail, napisany w języku holenderskim, informował użytkownika, że załączony plik zawiera rachunek za usługi firmy kurierskiej DHL. W rzeczywistości archiwum „Uw recentste DHL factuur.zip” zawierało plik „Uw recentste DHL factuur.pdf.exe” wykrywany przez technologie heurystyczne firmy Kaspersky Lab jako Trojan.Win32.Generic.  

aprel2013_spamreport2013_pic14_auto.png

Fałszywe powiadomienia ze sklepów internetowych są również popularne wśród oszustów, którzy rozprzestrzeniają szkodliwe pliki. W kwietniu odnotowaliśmy masową wysyłkę zawierającą fałszywe powiadomienia wysyłane w imieniu popularnego niemieckiego sklepu internetowego OTTO. Co ciekawe, w polu „Od” znajdował się nadawca, który na pierwszy rzut oka nie wzbudzał podejrzeń - otto-newsletter. Jest to popularna sztuczka stosowana w celu oszukania użytkownika.    

Użytkownik otrzymuje podziękowania za złożenie zamówienia w sklepie OTTO, nie jest jednak w żaden sposób zachęcany do otwarcia załączonego archiwum „Besstellung_bei_OTTO.zip”, który Kaspersky Lab wykrywa jako rodzinę trojanów Trojan.Win32.Bublik. Oszuści najwidoczniej liczyli na ciekawość użytkownika. Szkodnik ten jest wykorzystywany przez oszustów w celu przechwytywania loginów, haseł i innych poufnych informacji zapisanych na zainfekowanych komputerach. W kwietniu jeden przedstawiciel tej rodziny zajął 5 miejsce w rankingu szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty e-mail.

Phishing

Odsetek wiadomości phishingowych zmniejszył się trzykrotnie w porównaniu z marcem do 0,002%.

aprel2013_spamreport2013_pic15_auto.png

Rozkład Top 100 organizacji najczęściej atakowanych przez phisherów według kategorii*

* Ranking ten opiera się na danych pochodzących z technologii antyphishingowej firmy Kaspersky Lab aktywowanej za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.   

W kwietniu wśród 5 organizacji najczęściej atakowanych przez phisherów nie nastąpiły żadne poważniejsze zmiany. Portale społecznościowe nadal stanowiły najatrakcyjniejszy cel ataków phishingowych: ich udział wzrósł o 1 punkt procentowy i wynosił średnio 35,5%. W pierwszej trójce znalazły się również organizacje finansowe i e-płatności (17%)  oraz wyszukiwarki (15,3%), które zajęły odpowiednio 2 i 3 miejsce.     

Producenci IT pozostali na 4 miejscu (9,1%). Tuż za nimi uplasowali się dostawcy usług telefonicznych i internetowych (8,7%).  

Zakończenie

Tak jak spodziewaliśmy się, w kwietniu zmniejszyła się ilość spamu świątecznego. Zarejestrowaliśmy masowe wysyłki wykorzystujące temat święta Wielkanocy obchodzonego w Prawosławiu. Spamerzy wykorzystali ten temat nie tylko do reklamowania towarów i usług, ale również oszukiwania użytkowników. Oszukańcze masowe wysyłki zawierające nazwiska popularnych przywódców politycznych były również dość rozpowszechnione w kwietniowych wysyłkach spamowych.  

Spamerzy rzadko ignorują tragiczne wydarzenia i kwiecień 2013 roku nie był wyjątkiem. Po zamachach bombowych w Bostonie internet zalały szkodliwe masowe wysyłki wykorzystujące to zdarzenie. Ogólnie, całkowita ilość spamu w kwietniu zwiększyła się bardzo nieznacznie.

W kwietniu większość światowego spamu pochodziła z Chin i Stanów Zjednoczonych. Korea Południowa pozostała niepokonanym liderem pod względem dystrybucji spamu do użytkowników europejskich. Łącznie ze Stanami Zjednoczonymi (2 miejsce) wygenerowała połowę europejskiego spamu. Na trzecim miejscu w rankingu znalazł się Wietnam.

Ilość wiadomości phishingowych zmniejszyła się trzykrotnie, nie nastąpiły jednak żadne poważniejsze zmiany na liście 5 organizacji najczęściej atakowanych przez phisherów. Podobnie jak w marcu na szczycie rankingu znalazły się portale społecznościowe i spodziewamy się, że serwisy te utrzymają się na tej pozycji w maju. W następnym miesiącu wzrost odnotuje najprawdopodobniej kategoria Gry online: w okresie letnich wakacji uczniowie i studenci są zazwyczaj bardziej aktywni, ponieważ korzystają z różnych serwisów społecznościowych i rozrywkowych.