Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin. Spam i phishing w 2016 roku

Tagi:

Rok w liczbach

Według Kaspersky Lab, w 2016 roku:

  • Odsetek spamu w ruchu e-mail wynosił 58,31%, co stanowi wzrost o 3,03 punktu procentowego w stosunku do 2015 roku.
  • 62,16% wiadomości spamowych miało rozmiar nie większy niż 2 KB.
  • 12,08% spamu wysłano ze Stanów Zjednoczonych.
  • Najpopularniejszą rodziną rozprzestrzenianą za pośrednictwem poczty elektronicznej był Trojan.Win32.Bayrob  
  • Moduł ochrony przed szkodliwym oprogramowaniem w poczcie e-mail był najczęściej uruchamiany w Niemczech (14,13%)
  • Odnotowano 154 957 897 przypadków uruchomienia systemu antyphishingowego.
  • Łączny odsetek unikatowych użytkowników zaatakowanych przez phisherów wynosił 15,29%  
  • Brazylia odnotowała najwyższą liczbę ataków phishingowych stanowiącą 27,61% łącznej liczby takich ataków na świecie.
  • Celem 47,48% incydentów, które uruchomiły komponent heurystyczny w systemie antyphishingowym, byli klienci różnych organizacji finansowych.

Wydarzenia na skalę światową w spamie

W 2016 roku jako temat spamu wykorzystywano największe wydarzenia sportowe: Mistrzostwa Europy w Piłce Nożnej, Olimpiadę w Brazylii oraz przyszłe Mistrzostwa Świata w Piłce Nożnej w 2018 o 2022 roku. Spamerzy wysyłali najczęściej fałszywe powiadomienia o wygranej na loterii związane z jednym z tych wydarzeń. Treść fałszywych wiadomości nie była szczególnie oryginalna: loteria została rzekomo zorganizowana przez oficjalną organizację, a adres odbiorcy wylosowano spośród milionów innych adresów. Aby otrzymać wygraną, odbiorca musiał odpowiedzieć na e-mail i podać kilka informacji osobowych.  

W przypadku e-maili o tematyce sportowej, dalsze szczegóły często zamieszczane były w załącznikach DOC, PDF lub JPEG, które zawierały również elementy graficzne, takie jak oficjalne godła, logo wydarzenia czy sponsora. Wiadomości wyświetlające tekst spamowy bezpośrednio w treści e-maila były nieliczne. Aby urozmaicić nieco wysyłane wiadomości, spamerzy uciekali się do starej sztuczki: zmieniali tekst, adresy e-mail do kontaktu zwrotnego, adresy nadawcy, nazwy załączników, rozmiar itd. Jednocześnie, na przestrzeni kilku miesięcy wielokrotnie trafialiśmy w naszych pułapkach spamowych na e-maile z tym samym załącznikiem.

ksb_spam_2016_en_1_auto.png

W czwartym kwartale 2016 roku spamerzy skierowali swoją uwagę na przyszłe zawody w ramach Mistrzostw Świata, które odbędą się w 2018 i 2022 roku. Ruch spamowy często zawierał oszukańcze powiadomienia o wygranych na loterii związane z tym wydarzeniem.  

ksb_spam_2016_en_2_auto.png

Temat piłki nożnej wykorzystywano również w spamie zawierającym szkodliwe oprogramowanie. W szczególności, cyberprzestępcy wysyłali fałszywe powiadomienia ze skanami, które zostały pobrane ze strony internetowej publikującej informacje na temat gier komputerowych oraz świata piłki nożnej, najwidoczniej próbując wzbudzić w ten sposób zainteresowanie odbiorców. Załączone archiwum ZIP zawierało downloadera JavaScript wykrywanego przez Kaspersky Lab jako Trojan-Downloader.Script.Generic. Szkodnik ten, z kolei, pobierał inne szkodliwe oprogramowanie na komputer ofiary.  

ksb_spam_2016_en_3_auto.png

Wysyłki spamowe żerowały również na temacie terroryzmu, który w ostatnich latach nadal stanowił istotny problem globalny. W imieniu pracowników organizacji państwowych oraz osób indywidualnych wysyłano liczne tzw. listy nigeryjskie. Mimo różnic w szczegółach przedstawianych historii cel nadawców był taki sam – przyciągnąć uwagę odbiorcy obietnicą sporych pieniędzy i wciągnąć go w konwersację. W 2016 roku nadal były popularne listy nigeryjskie dotyczące napiętej sytuacji w Syrii, aktywnie wykorzystywane w celu zwabienia użytkowników. 

ksb_spam_2016_en_4_auto.png

Szkodliwy spam wykorzystujący temat terroryzmu był mniej rozpowszechniony. Wykorzystywano go w celu kradzieży informacji osobistych, przeprowadzania ataków DDoS oraz instalowania dodatkowego szkodliwego oprogramowania na komputerach ofiar.  

ksb_spam_2016_en_5_auto.png

Oferty mailowe z chińskich fabryk

W ruchu e-mail w 2016 r. często identyfikowaliśmy wiadomości pochodzące z chińskich fabryk, które reklamowały produkowane w nich produkty. Tacy spamerzy oferowali zarówno gotowe produkty jak i części zapasowe dla wielu różnych sfer. 

Tekst typowej wiadomości spamowej rozpoczynał się od bezimiennej formuły powitalnej, po której umieszczano imię i nazwisko menedżera fabryki. W e-mailu często prezentowano zasługi firmy, jej osiągnięcia oraz rodzaje posiadanych certyfikatów. Oferowane przez firmę produkty były wymieniane w treści wiadomości lub wysyłane na prośbę odbiorcy. Dla większej jasności, niektóre z e-maili zawierały również zdjęcia oferowanych produktów. Pod koniec wiadomości zamieszczano dane kontaktowe (numer telefonu oraz faksu, adres e-mail, różne komunikatory). Niekiedy dane kontaktowe były podawane w załączonym do wiadomości obrazie.

ksb_spam_2016_en_6_auto.png

Autorami e-maili byli przedstawiciele producentów, jednak adresy nadawców zostały zarejestrowane w darmowych serwisach e-mail oraz nazwach domen firm. Niekiedy wiadomości zawierały stronę internetową firmy, jeśli istniała.

W wielu państwach małe i średnie firmy wykorzystywały w pewnym okresie spam, aby promować swoje produkty. Jednak użytkownicy zaczęli postrzegać ten rodzaj reklamy jako niepożądany, państwa wprowadziły ustawy antyspamowe i, co ważniejsze, pojawiły się nowe, bardziej ukierunkowane, wygodniejsze i mniej inwazyjne platformy reklamowe, wśród których znaczące miejsce zajmowały portale społecznościowe. Możemy się tylko domyślać, dlaczego trend ten nie przyjął się wśród chińskich firm (mimo że Chiny wprowadziły własną ustawę antyspamową, która jest jedną z najbardziej restrykcyjnych na świecie). W rzeczywistości portale społecznościowe w Chinach mają charakter głównie wewnętrzny, a globalni giganci, tacy jak Facebook, nie mają tam wstępu. W efekcie, chińscy przedsiębiorcy mają do dyspozycji o wiele mniej środków prawnych umożliwiających wejście na rynek międzynarodowy.      

Rok ransomware w spamie

W 2016 roku odnotowaliśmy ogromną ilość szkodliwego spamu. W poprzednich latach szkodliwe załączniki zawierały najczęściej program o nazwie Fraud.gen. Ma on formę strony HTML, a jego celem jest kradzież danych dotyczących kart kredytowych ofiary. W 2016 roku absolutnymi liderami w zakresie spamu były trojany downloadery, które pobierają ransomware na komputer ofiary. Największą popularnością cieszyły się masowe wysyłki spamowe wysyłane w celu infekowania komputerów użytkowników szkodnikiem szyfrującym Locky. Jednak inne oprogramowanie ransomware, takie jak Petya, Cryal czy Shade, również było szeroko rozpowszechnione.       

Liczba szkodliwych programów zaczęła się zwiększać w grudniu 2015 roku, odnotowując wzrost falowy na przestrzeni całego roku. Gwałtowne spadki wynikały głównie z tego, że cyberprzestępcy tymczasowo wyłączyli botnet Necurs, odpowiedzialny za większość spamu rozprzestrzeniającego Locky’ego. Gdy botnet został ponownie uruchomiony, cyberprzestępcy zmienili szablony wiadomości spamowych.  

ksb_spam_2016_en_7_auto.png

Ilość szkodliwych wiadomości e-mail w spamie, 2016 r.

W 2016 roku system antyphishingowy został uruchomiony 239 979 660 razy na komputerach użytkowników produktów firmy Kaspersky Lab – czterokrotnie więcej niż w poprzednim roku.

Tak powszechne wykorzystywanie oprogramowania ransomware może wynikać z dostępności tego rodzaju szkodników na czarnym rynku. Obecnie cyberprzestępcy mogą nie tylko wynająć botnet w celu wysyłania spamu, ale również wykorzystywać tzw. ransomware jako usługa. To oznacza, że osoba atakująca nie musi być hakerem w tradycyjnym znaczeniu tego słowa, a nawet nie musi potrafić kodować.   

Szkodliwe wiadomości spamowe często imitowały korespondencję prywatną, namawiając odbiorców pod różnym pretekstem do przejrzenia załączonych dokumentów. Cyberprzestępcy wysyłali również fałszywe rachunki lub powiadomienia, a nawet komunikaty ze sprzętu biurowego z załączonymi rzekomo zeskanowanymi dokumentami. 

ksb_spam_2016_en_8_auto.png

Oba powyższe przykłady zawierają załącznik w formie szkodliwego pliku o rozszerzeniu .wsf, wykrywanego przez Kaspersky Lab jako Trojan-Downloader.JS.Agent.myd. Szkodliwy plik jest napisany w JavaScript i pobiera na maszynę ofiary modyfikację oprogramowania szyfrującego Locky.    

 

ksb_spam_2016_en_9.png

Powyższy zrzut ekranu pokazuje załącznik zawierający szkodliwy plik o rozszerzeniu .jse, wykrywany przez Kaspersky Lab jako Trojan-Downloader.JS.Cryptoload.auk. Jest to kolejny szkodliwy plik napisany w JavaScript, który pobiera na maszynę ofiary modyfikację programu szyfrującego Locky.  

Ogólnie wykorzystywano szeroki wachlarz szkodliwych załączników. Były to zazwyczaj archiwa zawierające programy napisane w Java oraz JavaScript (pliki JS, JAR, WSF, WRN oraz inne), ale również dokumenty biurowe zawierające macro (DOC, DOCX, XLS, RTF) jak również klasyczne pliki wykonywalne (EXE). Niekiedy stosowano rzadkie formaty archiwum, takie jak CAB.   

Po uruchomieniu programy ransomware szyfrowały dane na komputerze użytkownika i żądały okupu (zwykle w bitcoinach za pośrednictwem sieci Tor). Więcej szczegółów na temat tych programów można znaleźć w naszym raporcie Kaspersky Security Bulletin 2016. Rewolucja oprogramowania ransomware.

Sztuczki spamerów

Dodawanie “szumu” do tekstu

Aby każdy e-mail był unikatowy, spamerzy umieszczają w swoich wiadomościach losowe ciągi znaków, które są niewidoczne dla użytkownika. Nie jest to żadna nowość, ale spamerzy wciąż stosują ten trik, doskonaląc swoje metody. Poniżej opisujemy najpopularniejsze sztuczki w 2016 roku stosowane przez spamerów w celu dodania „szumu”. Wszystkie zaprezentowane niżej przykłady pochodzą z rzeczywistych wiadomości spamowych.

Małe litery i/lub biały tekst.

ksb_spam_2016_en_10.png

Najprostsza i najstarsza sztuczka: tekst może być napisany białą czcionką (ffffff szesnastkowy kod napisany na biało).

ksb_spam_2016_en_11_auto.png

W tym przykładzie losowy ciąg liter napisanych bardzo małą czcionką w białym kolorze został umieszczony między słowami w standardowym rozmiarze w zdaniu “You have received a £500”.

Tekst nie jest wyświetlany.

ksb_spam_2016_en_12.png

Poprzez zastosowanie stylu atrybutu style = "display: none;" tekst w wiadomości e-mail nie jest wyświetlany. W standardowych sytuacjach znacznik ten jest stosowany np. w wersjach roboczych. Jeśli chodzi o spamu, tego rodzaju znaczniki, zawierające losowy tekst, umieszcza się w wiadomościach w dużych ilościach i jeśli przetwarzanie takich znaczników nie zostało ustawione w filtrze antyspamowym, tekst wiadomości praktycznie znika.

Taki sam efekt można uzyskać, umieszczając losowy ciąg napisany czcionką zero:

ksb_spam_2016_en_13_auto.pngUmieszczenie tekstu poza zakresem ekranu.

Innym sposobem ukrycia przed użytkownikiem tekstu-śmieci jest napisanie go standardową czcionką, a następnie umieszczenie w obszarze wiadomości e-mail znajdującym się poza ramką ekranu:

ksb_spam_2016_en_14_auto.png

Stosownie znaczników, które domyślnie nie są widoczne dla użytkowników.

Niekiedy losowy tekst jest umieszczany w znacznikach, które nie są przeznaczone do wyświetlania tekstu użytkownikowi. Zwykle wykorzystuje się w tym przypadku znaczniki komentarza, jednak nie tylko:

ksb_spam_2016_en_15.png

Treść znacznika <noscript> jest wyświetlana jedynie na komputerach zawierających nieobsługiwane lub wyłączone skrypty, dlatego większość użytkowników ich nie zobaczy.

 

Stosowanie znaczników w celu dodania szumu

Zamiast stosowania losowych ciągów znaków, które są niewidoczne dla użytkownika, niekiedy tekst jest zaciemniany przy użyciu znaczników, które nie mają żadnej wartości i nie mogą być interpretowane:

ksb_spam_2016_en_16_auto.png

Niektóre wiadomości spamowe mogą zawierać setki tego rodzaju znaczników.

Niekiedy losowy ciąg zostaje umieszczony wewnątrz znacznika jako jego atrybut zamiast między określonymi znacznikami:

ksb_spam_2016_en_17_auto.png

Atrybut ten, naturalnie, nie będzie interpretowany i nie będzie wyświetlany w wiadomości e-mail, którą zobaczy użytkownik.

Maskowanie odsyłaczy

Istnieje wiele sposobów zmiany tekstu w wiadomości e-mail, jednak sytuacja wygląda inaczej w przypadku adresów URL w spamie. Pojedyncza masowa wysyłka może zawierać wiele adresów URL (nawet tysiące), ale występują tu pewne ograniczenia, ponieważ spamerzy muszą zapłacić za zakup każdej domeny. Jednak osoby atakujące opracowały różne techniki, za pomocą których każdy odsyłacz wydaje się unikatowy, a jednocześnie zostaje poprawnie otwarty po kliknięciu.  

Zaciemnianie domen przy użyciu zakresu UTF:

W zeszłorocznym raporcie opisywaliśmy kilka sztuczek spamerów obejmujących różne sposoby wyrażania nazw domen i adresów IP. Trend zapisywania nazw domen przy użyciu symboli z różnych zakresów UTF i przy pomocy różnych systemów numerycznych dla adresów IP utrzymał się w 2016 roku.

Szczególną popularnością wśród spamerów cieszyły się matematyczne symbole alfanumeryczne. Na przykład:

ksb_spam_2016_en_18.png

Domena zapisana przy użyciu skryptu z wykorzystaniem symboli matematycznych, pogrubienia

ksb_spam_2016_en_19.png

Domena zapisana przy użyciu matematyki, małej litery o stałej szerokości

Zakres ten jest przeznaczony dla określonych wzorów matematycznych i nie może być stosowany w czystym tekście lub odnośnikach.

Mieszanie kodowania

Powyższa sztuczka została urozmaicona poprzez mieszanie kodowania: spamerzy użyli alfabetu łacińskiego w systemie Unicode w celu zapisania niektórych znaków domeny, podczas gdy reszta jest zapisana przy użyciu znaków ze specjalnych zakresów zakodowanych w postaci adresu URL. 

ksb_spam_2016_en_20.png

Domena z powyższego przykładu zostaje najpierw zmieniona na:

ksb_spam_2016_en_21.png

a następnie na server119.bullten.org.

serwisy skracania adresów URL z dodanym szumem

Oprócz różnych sposobów zapisu strony spamowej  spamerzy od czasu do czasu stosują inną sztuczkę, aby uniknąć bezpośredniego podania strony w wiadomości e-mail. Polega ona na wykorzystywaniu serwisów skracania dresów URL oraz przekierowywań. W 2016 roku spamerzy stosowali również szereg innych metod umożliwiających dodanie szumu do każdego adresu URL.

Umieszczali znaki, ukośniki oraz kropki pomiędzy serwisem skracania adresów URL a rzeczywistym identyfikatorem odsyłacza (istotna część została pogrubiona; reszta stanowi szum):

ksb_spam_2016_en_22_auto.png

Czasami można tam znaleźć znaczniki komentarzy:

ksb_spam_2016_en_23.png

Aby jeszcze bardziej zmylić filtry, w części stanowiącej szum umieszczane są nazwy różnych, zwykle dobrze znanych stron:

ksb_spam_2016_en_24_auto.png

Wszystkie te części zostaną pominięte w momencie kliknięcia odsyłacza.

Jeszcze innym sposobem zaciemnienia odsyłacza jest dodanie na końcu nieistniejących parametrów:

ksb_spam_2016_en_25.png

Wszystko, co znajduje się za znakiem zapytania w odsyłaczu tak naprawdę nie wchodzi w skład adresu URL – znaki te stanowią w rzeczywistości parametry. Parametry mogą zawierać różne informacje: np. odsyłacz, który trzeba kliknąć w celu zrezygnowania z subskrypcji, często zawiera adres e-mail, który należy podać w formularzu rezygnacji. Jednak, serwisy skracania adresów URL, podobnie jak wiele innych stron, nie wymagają ani nie przyjmują żadnych parametrów, dlatego ta część adresu URL jest po prostu pomijana podczas procesu przekierowywania. Wykorzystują to spamerzy, umieszczając tam losowe ciągi parametrów. W tym konkretnym przypadku, na koniec parametrów dodawane jest rozszerzenie .pdf. Takie działanie ma na celu zmylenie nie tyle filtrów co użytkownika, który prawdopodobnie będzie myślał, że odsyłacz prowadzi do pliku PDF. 

Prefiksy

Oprócz parametrów, które można umieścić na końcu odsyłacza, elementy szumu można również dodać na początek. Do takich elementów należą symbole, które zostają zignorowane przez interpretera odsyłaczy podczas przekierowywania, na przykład:    

ksb_spam_2016_en_26_auto.png

 (w tym przykładzie, nie licząc szumu na początku odsyłacza oraz nieistniejących parametrów na końcu, sam odsyłacz stanowi adres IP napisany częściowo przy użyciu kodowania ósemkowego, a częściowo szesnastkowego.)

Najpowszechniejszą techniką dodawania szumu na początek odsyłacza jest wykorzystywanie symbolu @. Umieszczony przed domeną, symbol ten może służyć do identyfikacji użytkownika w domenie (obecnie nie jest to już stosowane). W przypadku stron, które nie wymagają identyfikacji, wszystko, co poprzedza znak @, zostanie po prostu zignorowane przez przeglądarkę. 

Symbol ten jest przydatny dla spamerów, ponieważ pozwala im nie tylko dodawać szum do odsyłacza, ale również sprawić, aby użytkownikom wydawał się on godny zaufania, poprzez wskazanie dobrze znanej strony przed symbolem @. 

ksb_spam_2016_en_27.png

Zamaskowane przekierowania

Spamerzy od dawna wykorzystują przekierowania w celu ukrywania głównej domeny. Dość szczegółowo pisaliśmy o tym już wcześniej. W 2016 roku wykorzystywane metody przekierowywania nie były tak zróżnicowane, ale odsyłacze z przekierowaniami również były zaciemniane. Wykorzystywane metody były takie same jak te stosowane w przypadku serwisów skracania adresów URL: symbol @, parametry i dodatkowe znaki. 

Cyberprzestępcy często stosowali kilka technik jednocześnie – ukrywając i zaciemniając oryginalny odsyłacz:

ksb_spam_2016_en_28_auto.png

W przykładzie pokazanym poniżej nazwa strony służącej odwróceniu uwagi użytkownika została umieszczona przed symbolem @, po którym znajduje się przekierowanie do serwisu skracającego adresy URL i dopiero z tej części użytkownik przejdzie na stronę spamera.

ksb_spam_2016_en_29_auto.png

Statystyki

Odsetek spamu w ruchu e-mail

W 2016 roku odsetek spamu w ruchu e-mail wynosił 58,31%, co stanowi wzrost o 3,03 punktu procentowego w porównaniu z poprzednim rokiem. 

ksb_spam_2016_en_30_auto.png

Odsetek spamu w ruchu e-mail, 2016 rok

Najmniejszy odsetek – 54,61% - zarejestrowano w lutym 2016 roku. Następnie udział spamu stale zwiększał się, osiągając największy poziom pod koniec roku – 61,66% w listopadzie. 

Co ciekawe, ostatni roczny wzrost odsetka spamu w ruchu e-mail miał miejsce osiem lat temu. Od tego czasu odsetek niechcianych wiadomości nieustannie zmniejszał się: z rekordowego poziomu 85,2% w 2009 roku do 55,28% w 2015 roku. Według nas wynikało to z tego, że legalne małe i średnie firmy zaczęły stopniowo rezygnować ze stosowania spamu, skłaniając się zamiast tego ku legalnym platformom reklamowym.      

ksb_spam_2016_en_31_auto.png

Odsetek spamu w globalnym ruchu e-mail, 2009-2016

Wygląda na to, że ta tendencja spadkowa została zahamowana, ponieważ wszyscy, którzy chcieli lub mogli zrezygnować z korzystania z usług spamerów, w większości już to zrobili. Ten niewielki wzrost wynika z gwałtownego zwiększenia się ilości spamu zawierającego szkodliwe załączniki. 

Źródła spamu według państwa

ksb_spam_2016_en_32_auto.png

Źródła spamu według państwa, 2016 r.

W 2016 roku ranking trzech największych źródeł spamu odnotował kilka zmian: Indie wspięły się na trzecie miejsce (10,15%) dzięki znacznemu wzrostowi ilości rozprzestrzenianego spamu (+7,19 punktu procentowego). Powodem tak gwałtownego wzrostu mogło być organizowania botnetów w regionie. Wietnam (10,32%) zwiększył swój udział o 4,19 punktu procentowego i awansował w rankingu na drugie miejsce. Stany Zjednoczone (12,08%) pozostały wyraźnym liderem mimo odnotowanego spadku o 3,08 punktu procentowego.       

Udział Chin (4,66%) zmniejszył się o 1,46 punktu procentowego, jednak państwo to pozostało na czwartym miejscu. Tuż za nim znalazły się dwa państwa z Ameryki Łacińskiej – Meksyk (4,40%) oraz Brazylia (4,01%). Rosja (3,53%), która uplasowała się w pierwszej trójce w 2015 roku, znalazła się na siódmym miejscu, odnotowując spadek udziału w rozprzestrzenianym spamie o 2,62 punktu procentowego.  

Ósme i dziewiąte miejsca zajęły odpowiednio Francja (3,39%, +0,22 punktu procentowego) oraz Niemcy (3,21%, -1,03 punktu procentowego). Listę Top10 zamknęła Turcja, której udział wynosił 2,29% - o 0,34 punktu procentowego więcej niż w 2015 roku.    

 

Rozmiar wiadomości spamowych

W 2016 roku zmniejszył się odsetek bardzo krótkich wiadomości spamowych (o rozmiarze poniżej 2 KB), wynosząc średnio 62,16%. Jest to o 16,97 punktu procentowego mniej w porównaniu z poprzednim rokiem. Udział wiadomości e-mail o rozmiarze 2-5 KB również zmniejszył się - do 4,70%.     

ksb_spam_2016_en_33_auto.png

Rozmiar wiadomości spamowych w 2016 roku

Z kolei znaczący wzrost odnotował odsetek większych wiadomości: 5-10 KB (6,15%), 10-20 KB (14,47%) oraz 20-50 KB (10,08%). To oznacza, że w 2016 roku miała miejsce tendencja w kierunku mniejszej liczby bardzo krótkich wiadomości spamowych przy jednoczesnej większej liczbie e-maili średniego rozmiaru - 5-50 KB. Było to spowodowane gwałtownym wzrostem odsetka spamu zawierającego szkodliwe załączniki.   

 

Szkodliwe załączniki w poczcie e-mail

Rodziny szkodliwego oprogramowania

ksb_spam_2016_en_34_auto.png

TOP 10 rodzin szkodliwego oprogramowania, 2016 rok

W 2016 roku Trojan-Downloader.JS.Agent stanowił najbardziej rozpowszechnioną rodzinę szkodliwego oprogramowania. Typowy przedstawiciel tej rodziny to zaciemniony skrypt Javy wykorzystujący technologię ADODB.Stream w celu pobierania i uruchamiania plików DLL, EXE i PDF.  

Drugie miejsce zajmowała rodzina Trojan-Downloader.VBS.Agent. Należą do niej skrypty VBS wykorzystujące technologię ADODB.Stream w celu pobierania archiwów ZIP i uruchamiania wypakowanego z nich oprogramowania.    

Na trzecim miejscu znalazł się Trojan-Downloader.MSWord.Agent. Szkodniki te są plikami DOC z osadzonym macro napisanym w Visual Basic for Applications (VBA), które uruchamia się w momencie otwarcia dokumentu. Macro pobiera inny szkodliwy plik ze szkodliwej strony i uruchamia go na komputerze użytkownika.  

Trojan-Downloader.JS.Cryptoload to czwarta rodzina szkodliwego oprogramowania, której przedstawiciele stanowią zaciemniony JavaScript, który pobiera i uruchamia programy szyfrujące.

Pierwszą piątkę zamknął Trojan.Win32.Bayrob. Programy z tej rodziny potrafią pobierać i uruchamiać dodatkowe moduły z serwera kontroli jak również pełnić funkcję serwera proxy. Są wykorzystywane do rozsyłania spamu i kradzieży danych osobistych.  

Na szóstym miejscu uplasowała się rodzina Trojan-PSW.Win32.Fareit. Celem tych szkodników jest kradzież danych, takich jak dane uwierzytelniające dostęp do klientów FTP zainstalowanych na zainfekowanym komputerze, dane umożliwiające logowanie do pamięci w chmurze, pliki ciasteczek w przeglądarkach, hasła do kont e-mail. Trojany Fareit przesyłają zebrane informacje na szkodliwy serwer. Niektórzy członkowie tej rodziny potrafią pobierać i uruchamiać inne szkodliwe oprogramowania.  

Znajdujący się na siódmej pozycji przedstawiciele rodziny Trojan-Downloader.JS.SLoad to skrypty JS, które pobierają i uruchamiają na komputerze ofiary inne szkodliwe oprogramowanie, w większości szyfrujące. 

Ósme miejsce zajęła rodzina Trojan.Java.Agent. Należące do niej szkodliwe programy są napisane w Javie i posiadają rozszerzenie JAR. Aplikacje te wykorzystują luki w zabezpieczeniach Sun Java Runtime i potrafią usuwać, blokować, modyfikować lub kopiować dane, jak również pobierać i uruchamiać inne szkodliwe oprogramowanie.      

Na dziewiątym miejscu znalazł się Backdoor.Win32.Androm. Szkodnik ten należy do rodziny uniwersalnych botów modułowych Andromeda/Gamarue. Główne funkcje tych botów obejmują możliwość pobierania, przechowywania i uruchamiania szkodliwego pliku wykonywalnego, pobieranie i uruchamianie szkodliwej biblioteki DLL (bez zapisywania na dysku) oraz aktualizowanie i usuwanie siebie. Funkcjonalność bota jest rozszerzana przy pomocy wtyczek, które mogą być pobrane w dowolnym momencie.  

Ranking Top 10 zamyka rodzina Worm.Win32.WBVB. Należą do niej pliki wykonywalne napisane w języku Visual Basic 6, które nie są klasyfikowane jako zaufane przez system KSN.   

 

Państwa będące celem szkodliwych wysyłek spamowych

ksb_spam_2016_en_35n_auto.png

Rozkład werdyktów wykrycia szkodliwego oprogramowania w poczcie e-mail według państwa, 2016 r.

W 2016 roku Niemcy (14,13%) utrzymały się na pierwszym miejscu mimo odnotowanego spadku o 4,93 punktu procentowego. Drugie i trzecie miejsce zajęły państwa z regionu Azja Pacyfik – Japonia (7,59%) oraz Chiny (7,32%) – oba znajdowały się poza rankingiem Top 10 w 2015 roku.     

Rosja (5,6%), która w zeszłorocznym rankingu zajmowała trzecie miejsce, w 2016 roku znalazła się na czwartej pozycji, po tym jak odsetek szkodliwych programów, które zostały wykryte w poczcie e-mail w tym kraju, zmniejszył się o 0,7 punktu procentowego. Za Rosją uplasowały się Włochy  (5,44%), Wielka Brytania (5,17%) oraz Brazylia (4,99%), które wypadły z pierwszej trójki.   

Stany Zjednoczone zajęły ósmą pozycję: odsetek szkodliwego oprogramowania wykrytego w poczcie e-mail w tym państwie wynosił 4,03% - o 0,89 punktu procentowego mniej niż w poprzednim roku.  

Pierwszą dziesiątkę zamknęła Austria (2,35%), która odnotowała wzrost o 0,93 punktu procentowego. 

Phishing

W 2016 roku system antyphishingowy został uruchomiony 154 957 897 razy na komputerach użytkowników produktów firmy Kaspersky Lab. To o 6 562 451 razy więcej niż w 2015 roku. Łącznie, 15,29% naszych użytkowników stanowiło cel phisherów.       

Gorące tematy roku

Phisherzy – co było do przewidzenia – nie mogli przepuścić najważniejszego wydarzenia roku – Olimpiady w Brazylii. Scamerzy atakowali zarówno organizatorów Igrzysk Olimpijskich jak i zwykłych internautów, którzy otrzymywali fałszywe powiadomienia o wygranych na loterii, rzekomo zorganizowanej przez rząd brazylijski i Komitet Olimpijski.

Wybory prezydenckie w Stanach Zjednoczonych również były postrzegane jako doskonałe wydarzenie medialne przez phisherów. Temat ten był wykorzystywany do zmylenia użytkowników Internetu nie tylko w Stanach Zjednoczonych, ale również w innych państwach.

Innym interesującym tematem, który stanowił przedmiot specjalnego badania, były wyprzedaże świąteczne. Scamerzy wykorzystali gorący okres zakupowy przed świętami, tworząc fałszywe strony internetowe systemów płatniczych oraz sklepów internetowych i wabiąc potencjalne ofiary dużymi rabatami.

ksb_spam_2016_en_36_auto.png

Fałszywa strona sklepu internetowego

 

Ponadto, okres świąteczny sam w sobie często stanowi doskonałą przykrywkę dla oszustów. Mogą oni na przykład poprosić użytkowników, aby uaktualnili informacje dotyczące swojego konta przed Nowym Rokiem.

ksb_spam_2016_en_37_auto.png

Strona phishingowa wykorzystująca temat noworoczny w nazwie subdomeny

 

Metody dystrybucji treści phishingowych

W 2016 roku cyberprzestępczy wykorzystywali wszelkie dostępne środki, aby dotrzeć do użytkowników i skłonić ich do przekazania im poufnych informacji lub pieniędzy: portale społecznościowe, reklamy wyskakujące, banery, wiadomości tekstowe.

Spośród najciekawszych metod należy wymienić oszustwa obejmujące serwisy handlu używanymi przedmiotami. Cyberprzestępcy zbierali numery telefonów z zamieszczonych tam ogłoszeniach, a następnie wysyłali na nie wiadomości tekstowe, oferując coś w zamian za dodatkową opłatą. Wiadomość zawierała odsyłacz prowadzący rzekomo do zdjęcia wystawianego przedmiotu, który w rzeczywistości przekierowywał ofiarę na stronę phishingową.     

ksb_spam_2016_en_38.png

Oszuści często wykorzystują portale społecznościowe, nie tylko do przesyłania wiadomości prywatnych. W 2016 roku wielu użytkowników Facebooka na świecie było zachęcanych do zainstalowania szkodliwego rozszerzenia dla swojej przeglądarki po tym, jak zostali dodani do postu zawierającego odsyłacz pishingowy, który rzekomo prowadził do prowokacyjnego filmiku. 

ksb_spam_2016_en_39_auto.png

W Europie najbardziej rozpowszechnionym szkodliwym rozszerzeniem było ‘xic. graphics’. Szybko zostało ono usunięte ze sklepu internetowego, ale według dostępnych informacji whois, ponad 50 innych domen zostało zarejestrowanych w imieniu właścicieli domeny hostującej fałszywą stronę. Domeny te były prawdopodobnie wykorzystywane do podobnych celów. 

Sztuczki phisherów: usługi czyszczenia odsyłaczy

W IV kwartale 2016 roku scamerzy wykazywali tendencję do wykorzystywania usług czyszczenia odnośników. Ofierze wysyłano e-mail w imieniu znanej firmy zawierający odsyłacz, którego parametry zawierały adres ofiary. 

ksb_spam_2016_en_40_auto.png

Po kliknięciu adresu URL użytkownik przenoszony był na stronę, która wyświetlała komunikat o błędzie 302, a następnie przekierowywany do adresu serwisu czyszczenia odnośników, który z kolei przekierowywał go na legalną stronę banku.   

http://nullrefer.com/?https://www.cartalis.it/cartalis/prepagata/index.jsp

W ten sposób użytkownik nie wie, że dostał wiadomość phishingową, natomiast bank nie dostaje domeny phishingowej w swoich odnośnikach. Jednocześnie, phisherzy dostają potwierdzenie, że użytkownik kliknął odsyłacz, co oznacza, że w przyszłości będą mogli wysłać mu więcej wiadomości phishingowych, na przykład w celu kradzieży danych dotyczących karty kredytowej. W ten sposób osoby atakujące „czyszczą” swoje bazy danych z niewykorzystanych adresów e-mail oraz czujnych użytkowników. Ponadto identyfikują klientów banku, którego nazwa została wykorzystana w wiadomościach e-mail, dzięki czemu ich masowe wysyłki mogę być bardziej ukierunkowane.  

Rozkład geograficzny ataków

Top 10 państw na podstawie odsetka zaatakowanych użytkowników

Brazylia posiadała największy udział użytkowników będących celem ataków phishingowych (27,61%), co stanowi wzrost o 5,98 punktu procentowego w stosunku do poprzedniego roku. 

ksb_spam_2016_en_41_auto.png

Odsetek użytkowników, na których komputerach został uruchomiony system antyphishingowy, w stosunku do łącznej liczby użytkowników produktów firmy Kaspersky Lab w danym państwie w 2016 roku  

W Brazylii obserwujemy wiele ataków na użytkowników banków i sklepów internetowych, dlatego nie jest dla nas zaskoczeniem, że państwo to często prowadzi w rankingu państw z najwyższym odsetkiem użytkowników będących celem ataków phishingowych.

Phisherzy często umieszczają fałszywe strony na serwerach organów rządowych w Brazylii. Jest to jedna z metod stosowanych po to, aby phisingowe adresy URL nie trafiły na czarną listę. Zwiększa ona również wiarygodność w oczach ofiary. W 2016 roku zarejestrowaliśmy 1 043 takich ataków.  

 

ksb_spam_2016_en_42_auto.png

Fałszywa strona w domenie gov.br

 

Top 10 państw według odsetka zaatakowanych użytkowników

 

Brazylia

27,61

Chiny

22,84

Australia

20,07

Japonia

19,16

Algieria

17,82

Rosja

17,16

Wielka Brytania

16,64

Kanada

16,03

Zjednoczone Emiraty Arabskie

15,54

Arabia Saudyjska

15,39

 

Na drugim miejscu w rankingu znalazły się Chiny (22,84%). Państwo to nie zakwalifikowało się do pierwszej dziesiątki w 2015 roku, ale zwiększyło swój udział o 5,87 punktu procentowego w 2016 roku. Na trzecim miejscu uplasowała się Australia (20,07%) - w zeszłym roku na siódmym miejscu - odnotowując wzrost o 2,39 punktu procentowego. Oprócz Arabii Saudyjskiej (+ 4,9 punktu procentowego), udziały pozostałych państw z pierwszej dziesiątki (Top10) nie odnotowały prawie żadnych zmian.    

 

Rozkład ataków według państwa

Rosja (16,12%, +1,68 punktu procentowego) znalazła się na szczycie rankingu państw, w których system antyphishingowy był najczęściej uruchamiany.

ksb_spam_2016_en_43n_auto.png

Rozkład wykryć przez komponent systemu antyphishingowego według państwa, 2016 rok

Podobnie jak w 2015 roku, Brazylia (8,77%) uplasowała się na drugim miejscu za Rosją, mimo że odnotowała nieznaczny wzrost. Stany Zjednoczone zwiększyły swój udział o 0,5 punktu procentowego (8,01%), co wystarczyło, aby zepchnąć Indie (6,01%) na czwarte miejsce. W pierwszej piątce znalazły się również Chiny (7,86%).    

Atakowne organizacje

Statystyki dotyczące organizacji wykorzystywanych w atakach phishingowych opierają się na uruchomieniu komponentu heurystycznego w systemie antyphishingowym. Komponent heurystyczny jest aktywowany, kiedy użytkownik próbuje kliknąć odsyłacz do strony phishingowej, a w bazie danych Kaspersky Lab nie ma informacji o takiej stronie.  

Atakowane organizacje według kategorii

W drugiej połowie 2016 roku znacząco wzrósł odsetek ataków phishingowych na klientów instytucji finansowych (44,16% w pierwszym kwartale w porównaniu z 48,14% w czwartym kwartale). Monitorowaliśmy ten wzrost na przestrzeni ostatnich kilku lat: w 2014 roku średni odsetek dla całego roku wynosił 28,74%; w 2015 roku – 34,33%; natomiast w 2016 roku – 47,47%.    

W 2016 roku zaobserwowaliśmy znaczny wzrost odsetka ataków phishingowych na organizacje należące do kategorii „Banki” (25,76%, + 8,31 punktu procentowego). Na szczególną uwagę zasługuje wzrost odsetka atakowanych organizacji z kategorii „Sklepy internetowe” (10,17%, +1,09 punktu procentowego) oraz „Systemy płatnicze” (11,55%, +3,75 punktu procentowego).    

 ksb_spam_2016_en_44_auto.png

Rozkład organizacji będących celem ataków phishingowych według kategorii, 2016 rok

Jednocześnie, zmniejszył się udział głównych kategorii. Na przykład, kategoria „Globalne portale internetowe” (24,10%) straciła 7,77 punktu procentowego, podczas gdy udział kategorii „Portale społecznościowe” (10,91%) zmniejszył się o 5,49 punktu procentowego.  

Ogólnie, priorytety phisherów nie zmieniły się na przestrzeni lat. W atakach wykorzystywane są głównie nazwy popularnych marek, które mają licznych nabywców i mogą przynieść maksymalne zyski finansowe. 

Innym priorytetem są ataki, które mogą prowadzić do zdobycia poufnych informacji, a następnie pieniędzy. Na przykład, niektóre portale z kategorii „Globalne portale internetowe” (Google, Yahoo!, Microsoft (live.com), etc.) wykorzystują to samo konto w celu uzyskiwania dostępu do wielu usług. Zatem, udana kampania phishingowa może zapewnić oszustom dostęp do kilku kont ofiary.    

ksb_spam_2016_en_45_auto.png

Strona phishingowa w ramach ataku na użytkowników Google

3 najczęściej atakowane organizacje

Organizacja       

% wykrytych odsyłaczy phishingowych

Yahoo!

7,84

Facebook

7,13

Microsoft Corporation 

6,98

 

Na pierwszym miejscu rankingu organizacji wykorzystywanych przez oszustów do maskowania swoich ataków znalazł się Yahoo! (7,84%), chociaż odsetek wykryć fałszywych stron z tą marką przy użyciu systemu antyphishingowego znacznie zmniejszył się w 2016 roku – o 6,86 punktu procentowego (w stosunku do 10 punktów procentowych w 2015 r.). Nie ma wątpliwości, że firma aktywnie zwalcza ataki phishingowe, np. poprzez rejestrowanie zaciemnionych domen na własne nazwisko (yshoogames.com, ypyahoo.com.cn, yhoonews.com, yhoooo.com, yayoo.com, yahou.com). Jednak phisherzy często umieszczają swoją zawartość na legalnych stronach (bez wiedzy ich właścicieli) zamiast tworzyć domeny phishingowe.          

ksb_spam_2016_en_46_auto.png

Przykład strony internetowej wykorzystującej markę Yahoo!

Na drugim miejscu pod względem popularności wśród oszustów znalazł się Facebook (7,13%). Na przestrzeni roku jego udział zmniejszył się o 2,38 punktu procentowego.  

W 2016 roku identyfikowaliśmy zarówno klasyczne strony phishingowe imitujące stronę logowania się do Facebooka, jak również różne strony stworzone w celu kradzieży danych. Jednym z powszechnych sposobów zwabiania ofiar jest obiecanie jej dostępu do treści z ograniczeniami wiekowymi po podaniu nazwy użytkownika i hasła, tj. zalogowania się do systemu.

ksb_spam_2016_en_47_auto.png

Aby zwiększyć szanse na udany atak, w masowych kampaniach phishingowych wykorzystywane są nazwy najpopularniejszych marek. Ponieważ często są to międzynarodowe marki, celem osób atakujących są użytkownicy na całym świecie. Naturalnie, wiadomości phishingowe są tworzone w różnych językach. Jedna ze sztuczek phishingowych została opisana w naszym raporcie Spam i phishing w III kwartale 2016 roku. Na podstawie informacji o adresie IP potencjalnej ofiary phisherzy określają państwo, w którym jest ona zlokalizowana. Następnie cyberprzestępcy wyświetlają strony w języku zidentyfikowanego państwa.   

Trzecie miejsce w naszym rankingu Top3 zajął Microsoft (6,98%). Wykorzystując tę markę do ukrywania swoich ataków, oszuści często próbują kraść dane z kont użytkowników na portalu live.com. Zwykle wykorzystują strony imitujące stronę logowania się serwisu e-mail firmy.

 

ksb_spam_2016_en_48_auto.png

Inne metody obejmują np. symulację weryfikacji konta: 

ksb_spam_2016_en_49_auto.png

 

Wnioski i prognozy

Rok 2016 charakteryzował się różnymi zmianami w ruchu spamowymi, z których najistotniejszą był wzrost liczby szkodliwych wysyłek masowych zawierających oprogramowanie ransomware. Tego rodzaju programy są łatwo dostępne na czarnym rynku, a w 2017 roku ilość szkodliwego spamu prawdopodobnie nie zmniejszy się.

W 2016 roku spam stał się niezwykle popularny wśród małych i średnich firm w Chinach. Jedną z możliwych przyczyn jest tzw. wielka chińska zapora sieciowa, która utrudnia chińskim firmom wykorzystywanie legalnych międzynarodowych platform reklamowych. 

Spośród wszystkich technik stosowanych przez spamerów w 2016 roku na uwagę zasługują różne sposoby dodawania szumu do tekstu oraz odsyłaczy z pomocą funkcji HTML. Nie jest to żadną nowością, jednak spamerzy nieustannie wymyślają nowe rodzaje zaciemniania i z pewnością będą to robić również w przyszłości. 

Odsetek spamu w ruchu email wynosił 58,31%, co stanowi wzrost o 3,03 punktu procentowego w stosunku do 2015 r. Był to pierwszy zarejestrowany wzrost od 2009 roku – częściowo na skutek wzrostu ilości szkodliwego spamu.   

Przez kilka lat z rzędu liczba oszukańczych kampanii wymierzonych przeciwko klientom instytucji finansowych odnotowywała wzrost – według nas, trend ten nie zmieni się. Ataki stają się bardziej wszechstronne: oszukańcze strony są dostosowywane do użytkowników i wyświetlają informacje w lokalnych językach jak również inne istotne dane. 

Metody rozprzestrzeniania oszukańczych stron daleko wykroczyły poza obszar poczty elektronicznej. Cyberprzestępcy wykorzystują wszelkie dostępne środki, aby skontaktować się z potencjalnymi ofiarami: wiadomości tekstowe oraz sieci reklamowe lub społecznościowe. Te ostanie nie tylko stanowią dobry kanał komunikacji, ale również przydatny zasób pomagający zgromadzić informacje w celu przeprowadzenia bardziej skutecznego ataku na użytkowników.