Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin. Ewolucja spamu 2010


  • Daria Gudkowa, ekspert z Kaspersky Lab
  • Maria Namiestnikowa, ekspert z Kaspersky Lab
  • Elena Bondarenko, ekspert z Kaspersky Lab

Kaspersky Lab analizuje średnio 1,5 miliona wiadomości spamowych dziennie. Badany materiał obejmuje rozmaite wysyłki wiadomości e-mail, dostarczane przez naszych klientów i partnerów, jak również wiadomości spamowe przechwycone przez specjalne “pułapki”. Cały ruch spamowy jest klasyfikowany przez automatyczny system, a pewna jego część zostaje poddana ręcznej analizie. Unikatowy system opracowany przez Kaspersky Lab umożliwia analizowanie dystrybucji spamu oraz klasyfikowanie go według udziału w ruchu pocztowym i kategorii.


Zwalczanie spamu oraz rozkład szkodliwego oprogramowania w 2010 roku

Rok 2010 można uznać za “rewolucyjny” pod względem walki ze spamem: w całym tym okresie organizowane były kampanie antyspamowe. Po raz pierwszy organy ścigania na całym świecie odnotowały spore osiągnięcia w walce z różnymi rodzajami cyberprzestępczości, łącznie z dystrybucją spamu.

W zeszłym roku zamknięto centra kontroli takich botnetów jak Waledac, Pushdo / Cutwail, Lethic oraz Bredolab, wszczęto postępowanie sądowe przeciwko znanym cyberprzestępcom oraz zmuszono do zakończenia działalności organizatorów programu partnerskiego SpamIt. Wymienione wydarzenia spowodowały zmiany w dystrybucji spamu według źródła i kategorii. Przykładem może być znaczący spadek ilości spamu pochodzącego ze Stanów Zjednoczonych odnotowany pod koniec roku oraz wzrost liczby wiadomości spamowych z Europy Wschodniej. Po raz pierwszy od momentu, gdy zaczęliśmy monitorować sytuację, odnotowaliśmy stały spadek ilości spamu w ruchu pocztowym. Jednak w tym przypadku istnieją dwie strony medalu – niestety spam stał się znacznie bardziej niebezpieczny.

Już wcześniej pisaliśmy o kryminalizacji spamu: małe i średnie przedsiębiorstwa stopniowo odchodzą od tej nielegalnej metody reklamowania swoich produktów i usług, pozostawiając ją głównie oszustom oraz dystrybutorom fałszywych i nielegalnych produktów. W 2010 roku spam stał się platformą dla licznych ataków wykorzystujących szkodliwe oprogramowanie – w ciągu roku liczba szkodliwych załączników w ruchu pocztowym wzrosła niemal trzykrotnie.

Szkodliwe oprogramowanie w ruchu pocztowym

W 2010 roku szkodliwe załączniki znajdowały się w 2,2 proc. e-maili. Dla porównania, w 2009 roku odsetek ten wynosił 0,85 proc. W szczytowym okresie, który miał miejsce w sierpniu, odsetek wiadomości e-mail ze szkodliwymi załącznikami wynosił zaledwie 6,29 proc. całego ruchu pocztowego. Niewykluczone, że to właśnie te przeprowadzone w tym okresie ataki na dużą skalę zwróciły uwagę organów ścigania na problem spamu.

Najskuteczniejszą metodą spamerów było wykorzystywanie masowych wysyłek e-mail rozprzestrzeniających szkodliwe oprogramowanie. Były to w większości wiarygodne imitacje oficjalnych powiadomień pochodzących z popularnych zasobów internetowych, takich jak portale społecznościowe, sklepy internetowe, banki itd. Aby wywieść w pole użytkowników, oszuści wykorzystywali socjotechnikę: kliknięcie odsyłaczy zawartych w fałszywych wiadomościach przekierowywało użytkowników na stronę reklamującą Viagrę i jednocześnie – na stronę zainfekowaną szkodliwym oprogramowaniem.

Pod koniec 2010 roku stało się jasne, że dystrybutorzy szkodliwego spamu zmienili wektor swoich ataków – ich celem stali się użytkownicy z krajów rozwijających się. Przyczyną tego zwrotu mogła być aktywna kampania antybotnetowa prowadzona w Stanach Zjednoczonych i niektórych państwach Europy Zachodniej. Celem ataków przeprowadzanych za pośrednictwem botnetów stali się użytkownicy z krajów, w których organy ścigania angażują się w zwalczanie cyberprzestępczości w niewielkim stopniu lub w ogóle.

Zamknięcia botnetów: główne fakty i daty

Na początku stycznia 2010 roku zamknięto botnet Lethic. Niestety miało to niewielki wpływ na ilość krążącego spamu.

Pod koniec lutego zamknięto 277 domen należących do botnetu Waledac. W rezultacie, ilości spamu w ruchu pocztowym spadła w pierwszej połowie marca o 3,1 proc. Jednak już pod koniec odsetek niechcianych wiadomości wrócił do zwykłego poziomu.

W sierpniu zamknięto około 20 centrów kontroli botnetu Pushdo/Cutwail, który według niektórych szacunków odpowiadał za10 proc. całkowitej ilości spamu. W efekcie, we wrześniu ilość spamu spadła o 1,5 proc. w porównaniu z sierpniem.

Ostatnim i najdotkliwszym ciosem dla biznesu spamowego było zamknięcie 143 centrów kontroli botnetu Bredolab, które miało miejsce 25 października. Według duńskiej policji, przed likwidacją botnet ten – wykorzystywany zarówno do dystrybucji spamu farmaceutycznego jak i szkodliwego oprogramowania - liczył prawie 30 milionów komputerów zlokalizowanych na całym świecie. Rozprzestrzeniany spam miał dwie funkcje: był wykorzystywany do reklamowania medykamentów oraz jako narzędzie infekowania komputerów.

Zamknięcie centrów kontroli botnetu Bredolab w poważnym stopniu przyczyniło się do zmniejszenia ilości spamu w ruchu pocztowym. Bezpośrednio po tym zdarzeniu liczba wiadomości spamowych spadła o około 8-9 proc., po czym ponownie wzrosła. Ogólnie w październiku poziom spamu utrzymywał się na niskim poziomie i wynosił średnio 77,4 proc., co stanowi spadek o 3,6 proc. w porównaniu z wrześniem. Spadek ilości szkodliwego spamu w ruchu pocztowym oraz spory spadek ilości spamu dystrybuowanego ze Stanów Zjednoczonych, z 15,5 proc. w sierpniu do 1,6 proc. w październiku, to również efekty udanej kampanii przeciwko botnetowi Bredolab.

Kampania ta została przeprowadzona przy udziale Computer Emergency Readiness Team (CERT), oddziału do zadań specjalnych duńskiej policji, różnych ekspertów ds. bezpieczeństwa IT oraz dostawców usług sieciowych, w których wykryto serwery botnetu Bredolab. Następnego dnia na międzynarodowym lotnisku w Erywaniu aresztowano jednego z właścicieli tej sieci zombie. Użytkownicy komputerów zombie, których udało się zidentyfikować, zostali powiadomieni o infekcji i otrzymali instrukcje dotyczące przewrócenia systemu.

Oprócz swojej głównej “aktywności” Bredolab pobierał na komputery ofiar boty spamowe, takie jak Rustock (Backdoor.Win32.HareBot) oraz Pushdo (Backdoor.Win32.NewRest.aq). Z kolei botnet spamowy Pushdo był wykorzystywany jako główny dystrybutor programu Backdoor.Win32.Bredolab.

Spam i prawo

Aresztowanie właściciela botnetu Bredolab to nie jedyny przykład działań w ramach kampanii antyspamowej w 2010 roku.

Pod koniec września aresztowano również członków grupy dystrybuującej ZeuSa - najczęściej rozprzestrzenianego szkodliwego programu za pośrednictwem spamu. Po tych aresztowaniach spadła liczba maszyn zainfekowanych tym szkodnikiem.

W październiku organy ścigania zainteresowały się programami partnerskimi wyspecjalizowanymi w rozsyłaniu spamu farmaceutycznego. W pierwszym dniu miesiąca został zamknięty Spamlt, jeden z największych na świecie programów partnerskich oferujących medykamenty. Z kolei pod koniec miesiąca władze moskiewskie wszczęły dochodzenie przeciwko dyrektorowi generalnemu Despmedia, Igorowi Gusewowi. Postawiono mu zarzuty sprzedaży podrabianych produktów farmaceutycznych, łącznie z Vagrą, w Stanach Zjednoczonych, Kanadzie oraz innych państwach. Medykament był reklamowany poprzez wiadomości spamowe rozsyłane za pośrednictwem programu partnerskiego Glavmed.com i, według niektórych ekspertów, Spamlt stanowił część Glavmed.com. W Rosji nie obowiązuje żadna ustawa regulująca dystrybucję spamu, nie przyjęto nawet prawnej definicji spamu. Dlatego sprawa przeciwko Igorowi Gusewowi została wszczęta na podstawie artykułu 171, klauzuli 2 Kodeksu karnego Federacji Rosyjskiej (nielegalna działalność w połączeniu z generowaniem dochodów na szczególnie dużą skalę). Z danych uzyskanych przez organy dochodzeniowe wynika, że obroty Glavmed.com na przestrzeni ostatnich trzech i pół roku mogły sięgać nawet 120 milionów dolarów.

Na początku grudnia w Los Angeles aresztowano Olega Nikolajenkę. Meżczyzna został oskarżony o dystrybucję spamu za pośrednictwem centrów kontroli botnetu Mega-D, które zostały zamknięte w listopadzie 2009 roku. Przed organami ścigania wsypał go Australijczyk Lance Atkinson, jeden ze współautorów Affkinga (programu partnerskiego oferującego fałszywe zegarki Rolex oraz podrabiane medykamenty), skazany w grudniu zeszłego roku. Powszechnie sądzi się, że po zamknięciu centrów kontroli botnetu Mega-D oraz programu Affking Nikolajenko nadal rozprzestrzeniał spam jako aktywny uczestnik programu partnerskiego Spamlt. Jednak on sam zaprzecza, że robił coś złego.

Zachęcona licznymi aresztowaniami w związku z rozprzestrzenianiem spamu, rosyjska Duma, czyli niższa izba rosyjskiego parlamentu, wraz z Rosyjskim Stowarzyszeniem ds. Komunikacji Elektronicznej wprowadziła zmiany do Federalnej ustawy o ochronie danych, w której między innymi podano definicję spamu oraz uznano dystrybucję spamu jako przestępstwo. To nie pierwszy raz, gdy taka inicjatywa została przedłożona Dumie. Już w 2004 roku szykowano plany zmiany odpowiedniej ustawy oraz ustanowienia odpowiedzialności karnej za wysyłanie niechcianych wiadomości e-mail. Mamy nadzieję, że tym razem sprawa zostanie doprowadzona do końca. Jak dotąd nie podano ani daty wprowadzenia w życie zmienionej ustawy, ani wersji końcowej tych inicjatyw. Przedstawiciele stowarzyszenia twierdzą, że obecnie nie pracują nad żadnymi konkretnymi poprawkami do ustaw, ale rozwijają dodatki do kodeksu postępowania dotyczącego aktywności zawodowej w Internecie.

Dynamika rozwoju spamu

Wszystkie wymienione wyżej wydarzenia – zamknięcie centrów kontroli botnetu, zlikwidowanie programu partnerskiego Spamlt oraz wszczęcie postępowania karnego przeciwko spamerom – wpłynęły na strukturę i charakterystykę spamu w ruchu pocztowym: spadła liczba niechcianych wiadomości e-mail oraz zmieniła się lista najpopularniejszych źródeł spamu.

Spam w ruchu pocztowym


Spam w ruchu pocztowym

Jak widać na wykresie, ilość spamu w ruchu pocztowym stopniowo zmniejszała się w 2010 r. Dotyczy to szczególnie miesięcy jesiennych, czyli okresu, w którym zamknięto centra kontroli botnetów Pushdo/Cutwail oraz Bredolab, przestał istnieć program partnerski Spamlt oraz wszczęto postępowanie karne przeciwko kilku spamerom.

Przez ostatnie kilka lat nigdy nie zaobserwowaliśmy, aby ilość spamu w ruchu pocztowym pozostawała na tak niskim poziomie przez tak długi okres. Przypomina to sytuację, jaka miała miejsce w 2008 roku, gdy zamknięto serwis McColo, który utrzymywał centra kontroli kilku botnetów. Bezpośrednio po jego zamknięciu ilość spamu pozostawała na niskim poziomie przez cały miesiąc, stanowiąc około 73,7 proc. całego ruchu pocztowego. Możemy tylko zgadywać, jak długo okres spokoju potrwa tym razem. Jednak z doświadczenia wiemy, że tak niski poziom spamu prawdopodobnie nie utrzyma się do następnego roku. Autorzy wirusów potrafią tworzyć nowe botnety i z pewnością to zrobią. Tyle że tym razem zlokalizują je w krajach, w których prawo nie jest tak restrykcyjne. Pośrednio świadczy o tym fakt, że większość listopadowego spamu była wysyłana do Rosji, Indii oraz Wietnamu (odpowiednio 8,6 proc., 6,8 proc. oraz 6,5 proc. ogółu spamu), natomiast znacznie spadła ilość szkodliwych wiadomości spamowych otrzymywanych przez użytkowników ze Stanów Zjednoczonych oraz państw Europy Zachodniej.

Średni odsetek spamu wykrywanego w ruchu pocztowym w 2010 roku wynosił 82,2 proc. Najniższy poziom spamu (70,1 proc.) został odnotowany 28 października, najwyższy natomiast (90,8 proc.) 21 lutego.

Źródła spamu

 new
Źródła spamu w 2010 r.

W 2010 roku najwięcej spamu pochodziło ze Stanów Zjednoczonych (11,3 proc.). Na drugim i trzecim miejscu znalazły się odpowiednio Indie (8,3 proc.) oraz Rosja (6,0 proc.). Podobnie jak w 2009 roku ranking 20 największych spamerów zawierał wiele państw azjatyckich oraz wschodnioeuropejskich, podczas gdy państwa z Europy Zachodniej stanowiły mniejszość.

Ilość spamu dystrybuowanego z państw stanowiących liderów rankingu zmieniała się w ciągu roku, co doskonale odzwierciedlają zmiany wśród pięciu największych spamerów.

 new
Zmiany w zestawieniu 5 największych źródeł spamu

Przez pierwsze osiem miesięcy roku Stany Zjednoczone pozostawały spameren numer 1. We wrześniu, po zamknięciu centrów kontroli botnetów Pushdo/Cutwail oraz Bredolab, ilość spamu pochodzącego ze Stanów Zjednoczonych gwałtownie spadła i już w październiku państwo to dystrybuowało mniej niechcianych wiadomości niż pozostałe kraje z pierwszej piątki razem wzięte. Co więcej odsetek spamu ze Stanów Zjednoczonych utrzymał się na niezwykle niskim poziomie aż do końca roku i wynosił zaledwie kilka procent zamiast zwyczajowych 15-20, a w listopadzie i grudniu państwo to całkowicie zniknęło z grona pięciu największych spamerów. W październiku zaczęliśmy obserwować zmiany w poziomie dystrybuowanego spamu, które wpłynęły na rozkład pozostałych 5 największych źródeł spamu. Możemy się tylko domyślać, że spamerzy próbowali ustanowić nowe botnety w krajach, w których prawodawstwo dotyczące cyberprzestępczości jest mniej rygorystycznie egzekwowane niż w Stanach Zjednoczonych czy Europie Zachodniej.

Źródła spamu według regionu

 new
Źródła spamu według regionu

W 2010 roku największymi dystrybutorami spamu okazały się państwa azjatyckie. O tym trendzie pisaliśmy już w zeszłym roku. W 2010 roku ponad połowa spamu (55,9 proc.) pochodziła z Azji i państw Europy Wschodniej, łącznie z Rosją. Ogólnie jednak pod względem dystrybucji spamu rok 2010 nie różnił się wiele od poprzedniego.

Przyjrzyjmy się dynamice dystrybucji spamu według regionów:

 new
Dystrybucja spamu według regionu w 2010 roku

Najbardziej znaczące zmiany miały miejsce w czwartym kwartale 2010 roku: ilość spamu rozprzestrzenianego ze Stanów Zjednoczonych gwałtownie spadła, szybko wzrosła natomiast liczba niechcianych wiadomości wysyłanych z Europy Wschodniej. Jak już wspominaliśmy wcześniej, po zamknięciu centrów kontroli kilku botnetów spamerzy zwrócili się w kierunku alternatywnych źródeł spamu.

Ogólnie, ilość spamu pochodzącego z krajów Europy Zachodniej utrzymała się na stałym poziomie, jednak udział poszczególnych krajów różnił się znacznie: niektóre odnotowały wzrost, inne spadek ilości spamu.

 new
Spam pochodzący z krajów Europy Zachodniej

W przeciwieństwie do Europy Zachodniej, niektóre państwa odnotowały niemal identyczną dynamikę dystrybucji spamu:

 new

 new
Korelacja między dystrybucją spamu wśród państw z tego samego regionu

Zjawisko to sugeruje, że różne państwa dystrybuują te same masowe wiadomości e-mail, co może oznaczać, że zainfekowane komputery w tych państwach są częścią tych samych botnetów.

Spam według kategorii

 new
Spam według kategorii w 2010 r.

W 2010 roku najpopularniejsza kategoria spamu rosyjskojęzycznego, “edukacja”, oraz najpopularniejsza kategoria spamu angielskojęzycznego, “lekarstwa oraz towary i usługi związane ze zdrowiem”, szły niemal łeb w łeb: edukacja wyprzedziła swojego rywala tylko o 0,2 punktu procentowego.

Udział spamu z kategorii „usługi spamerów” (-6,1 punktów procentowych) oraz „treści dla dorosłych” (-4,6 punktów procentowych) znacznie zmniejszył się w porównaniu z 2009 rokiem, podczas gdy liczba wiadomości e-mail próbujących oszukać użytkowników w ten czy inny sposób podwoiła się (+3,8 punktów procentowych).

W roku 2010 lista najpopularniejszych kategorii spamu została rozszerzona o dodatkową kategorię – „filmy DVD”. Tworzą ją w większości rosyjskojęzyczne wiadomości e-mail zawierające reklamy filmów i kreskówek na DVD jak również programów edukacyjnych. Tego rodzaju spam nie jest całkowitą nowością – użytkownicy otrzymywali podobne niechciane wiadomości już wcześniej – jednak w 2010 roku ich ilość była tak ogromna, że wymagała wprowadzenia osobnej kategorii. Należy podkreślić, że reklamowane towary są pirackimi kopiami dystrybuowanymi za pośrednictwem programów partnerskich.

Rozkład poszczególnych kategorii spamu zmieniał się kilkakrotnie w ciągu roku. W sierpniu gwałtownie wzrosła ilość spamu z kategorii “lekarstwa oraz towary związane ze zdrowiem”, która dzięki temu znalazła się na wyższej pozycji. Udział tej kategorii był szczególnie znaczny w ruchu pocztowym we wrześniu i październiku – tuż przed zamknięciem programu partnerskiego Spamlt, który specjalizował się w dystrybucji spamu farmaceutycznego. Prawdopodobnie niektórzy spamerzy spodziewali się tego zdarzenia i próbowali zarobić kilka ostatnich groszy, zanim program przestanie istnieć.


Spam z kategorii “Lekarstwa oraz towary związane ze zdrowiem” w 2010 roku

We wrześniu spamerzy, którzy zarabiali na życie, oferując leki, zaczęli rozglądać się za innymi programami. Spowodowało to krótkotrwały wzrost ilości spamu z różnych kategorii, w tym niechcianych wiadomości reklamujących kasyna online oraz strony pornograficzne.

Zamknięcie botnetów oraz tak istotnego programu partnerskiego, jakim był Spamlt, nie mogło nie wywrzeć wpływu na współczynnik tzw. spamu partnerskiego do spamu tworzonego na zamówienie. Na przykład w sierpniu udział spamu partnerskiego znacznie wzrósł, we wrześniu natomiast zaczął spadać.

 new
Spam “partnerski” oraz “na zamówienie” w 2010 roku

Pod koniec roku udział spamu “partnerskiego” spadł do swojego najniższego poziomu – około 30 proc. ogółu spamu. Możemy się jednak spodziewać, że niedługo ponownie odnotuje wzrost - jak tylko zamknięte botnety znów zaczną działać.

Metody i sztuczki stosowane do rozsyłania spamu

W 2010 roku dystrybutorzy szkodliwego oprogramowania wykorzystywali wiele interesujących taktyk w celu oszukania użytkowników. Aby nakłonić potencjalne ofiary do kliknięcia szkodliwych odsyłaczy, wysyłali wiadomości “udające” powiadomienia ze znanych zasobów, takich jak banki, sklepy internetowe, dostawcy usług oraz portale społecznościowe. Spamerzy preparowali nawet nagłówki w swoich e-mailach: nagłówki te są niewidoczne dla użytkowników, ale mają duże znaczenie dla działania filtra antyspamowego.

Ogólnie rzec biorąc, wiadomości phishingowe mają na celu wystraszenie odbiorców, aby łatwiej można było ich nakłonić do podania swoich loginów i haseł na stronach phishingowych. Dystrybutorzy szkodliwego oprogramowania wysyłają również fałszywe powiadomienia, jednak w tym przypadku nie wykorzystują już czynnika strachu. Część wiadomości zostaje po prostu skopiowana ze standardowych powiadomień wysyłanych użytkownikom/klientom przez legalne zasoby.

 new

 new

 new
Wiadomości spamowe imitujące powiadomienia z legalnych zasobów

Fałszywe powiadomienia, takie jak te zamieszczone wyżej, są bardzo groźne. Zaawansowani użytkownicy prawdopodobnie dostrzegą coś podejrzanego w treści, na przykład to, że banki nigdy nie proszą swoich klientów o wprowadzenie danych uwierzytelniających na stronach, do których prowadzą zawarte w e-mailach odsyłacze. Wiadomości powyżej są dobrymi imitacjami oryginału pod każdym względem z wyjątkiem odsyłaczy, które po kliknięciu “obdarowują” użytkowników zestawem szkodliwych programów.

Pojawiły się również wiadomości wykorzystujące metody socjotechniki. Na przykład, użytkownik dostawał e-mail z informacją o dokonanym przez siebie zakupie oraz odsyłaczem, po kliknięciu którego mógł przejrzeć dane dotyczące transakcji:

 new
Wiadomość spamowa wykorzystująca metody socjotechniki

Wszystkie odsyłacze w tej wiadomości prowadziły do jednej zainfekowanej strony.

W analizowanym okresie odnotowaliśmy również ataki ukierunkowane. Poniżej e-mail wysłany do osoby z adresem firmy Kaspersky Lab:

 new
Ukierunkowana wiadomość spamowa

Jest to fałszywe powiadomienie pochodzące rzekomo od naszego działu pomocy technicznej, w którym użytkownik jest proszony o potwierdzenie prośby o zmianę hasła albo o unieważnienie jej. Adres w polu Od jest prawdziwym adresem działu pomocy technicznej. To oznacza, że autorzy e-maili ręcznie lub za pomocą bota wyszukali rzeczywisty adres działu pomocy technicznej Kaspersky Lab i zamieścili go w polu Od, aby dodać wiarygodności swojej wiadomości. Tak jak w poprzednich przykładach, wszystkie odsyłacze prowadziły do tej samej strony.

Szkodliwe oprogramowanie w ruchu pocztowym

W 2010 roku szkodliwe pliki zostały zidentyfikowane w 2,2 proc. wszystkich wiadomości e-mail, co stanowi wzrost o 2,6 punktów procentowych w stosunku do 2009 roku, w którym szkodliwe pliki zostały wykryte zaledwie w 0,85 proc. całego ruchu pocztowego.

Za duży odsetek szkodliwego spamu odnotowany pod koniec roku odpowiadał w większości wzrost liczby szkodliwych ataków odnotowanych latem i na początku jesieni. Liczba tych ataków osiągnęła punkt krytyczny w sierpniu.


Odsetek wiadomości spamowych ze szkodliwymi załącznikami w 2010 r.

Jak widać na diagramie, udział spamu zawierającego szkodliwe załączniki zaczął zwiększać się w maju, a w czerwcu osiągnął stosunkowo wysoki poziom – średnia dla miesiąca wynosiła 2,7 proc.

Czerwiec 2010 był z pewnością najbardziej interesującym miesiącem pod względem dystrybucji szkodliwego oprogramowania. Internet zalały wiadomości spamowe zawierające załączniki HTML ze szkodliwymi programami, takimi jak Trojan-Downloader.JS.Pegel.g, który zajął 2 miejsce w rankingu 10 najbardziej rozpowszechnionych szkodliwych programów rozprzestrzenianych za pośrednictwem ruchu pocztowego w 2010 roku. Wiadomości te podszywały się pod powiadomienia z różnych legalnych źródeł, łącznie ze sklepami online oraz portalami społecznościowymi. Oszuści stosowali złożony system dystrybucji szkodliwego oprogramowania, łącząc ten rodzaj spamu z przyłączaniem komputerów użytkowników do sieci zombie.

Najwięcej wiadomości e-mail ze szkodliwymi załącznikami odnotowaliśmy w sierpniu i we wrześniu – ich odsetek wynosił odpowiednio 6,29 i 4,33 proc. ogółu spamu. Powodem tego wzrostu było kilka intensywnych ale krótkotrwałych “wstrzyknięć” szkodliwego kodu do ruchu e-mail. W sumie szkodliwy kod wstrzyknięto sześć razy – trzy razy w sierpniu i trzy razy we wrześniu. W momencie pisania tego artykułu oszuści aktywnie zaczęli wysyłać nowe warianty różnych szkodliwych programów, łącznie z niesławnym Zbotem.

Jedną z konsekwencji sierpniowych i wrześniowych ataków szkodliwego oprogramowania był gwałtowny wzrost liczby wiadomości e-mail z załącznikami skompresowanymi przy pomocy ZIP-a. Odsetek tego rodzaju spamu zwykle nie przekracza 0,5 proc. Jednak w trzecim kwartale 2010 roku wynosił aż 2,6 proc. Z kolei w czwartym kwartale 2010 roku liczba wiadomości e-mail z załącznikami skompresowanymi przy pomocy ZIP-a spadła już do zwykłego poziomu wynoszącego około 0,3 proc. Po raz kolejny przypominamy użytkownikom o złotej regule dotyczącej portali społecznościowych – nigdy nie otwieraj archiwów w podejrzanych e-mailach.

Poniżej przedstawiamy 10 najczęściej rozprzestrzenianych szkodliwych programów dystrybuowanych za pośrednictwem ruchu pocztowego w 2010 r.:

 new
10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem ruchu pocztowego w 2010 r.

W rankingu prowadzi Trojan-Spy.HTML.Fraud.gen, którego głównym celem jest gromadzenie informacji osobistych i danych uwierzytelniających użytkownika.

Na drugim miejscu znalazł się Trojan-Downloader.JS.Pegel.g, który prowadził w czerwcowym rankingu. Programy z tej rodziny to strony HTML zawierające JavaScript. Po otwarciu zainfekowanej strony w przeglądarce trojan próbuje odszyfrować i wykonać swój kod. Jednocześnie użytkownik jest przekierowywany na zainfekowaną exploitami stronę internetową, z której na jego komputer mogą zostać pobrane szkodliwe programy za pośrednictwem luk w zabezpieczeniach przeglądarki.

Czwarte i piąte miejsca w rankingu należały do rodziny Krap. Krap.an i Krap.x są wykorzystywane głównie do kompresowania Zbota, FraudTools oraz Iksmasa, natomiast Trojan.win32.pakes.Katusha.o – program pakujący, który zajmuje 9 miejsce w rankingu - może zawierać fałszywe oprogramowanie antywirusowe lub Zbota.

Ponad 15 proc. wszystkich obiektów wykrytych przez moduł Ochrona poczty w 2010 roku to zagrożenia zero-day.

Stany Zjednoczone znalazły się na czele listy krajów, w których rozwiązania do ochrony poczty najczęściej wykrywały szkodliwe oprogramowanie. Za nimi uplasowały się Niemcy, Wielka Brytania oraz Japonia. W pierwszej dziesiątce znalazły się jeszcze dwa państwa europejskie – Francja i Hiszpania.

 new
10 państw, w których moduł Ochrona poczty najczęściej wykrywał szkodliwe oprogramowanie w 2010 roku

Powyższy diagram pokazuje, że w 2010 roku oszuści znów atakowali przede wszystkim kraje rozwinięte. Wynika to z tego, że dane uwierzytelniające użytkowników z tych krajów są szczególnie atrakcyjne dla cyberprzestępców.

Jednak pod koniec roku oszuści zaczęli rozsyłać spam do krajów rozwijających się, najprawdopodobniej na skutek udanej kampanii antybotnetowej prowadzonej w Stanach Zjednoczonych, Wielkiej Brytanii oraz w innych państwach Europy Zachodniej. Zamknięcie centrów kontroli popularnej sieci komputerów zombie oraz intensywne działania organów dochodzeniowych spowodowały, że cyberprzestępcy próbowali umieścić swoje botnety tam, gdzie przepisy prawne są mniej restrykcyjne. W listopadzie najwięcej szkodliwego oprogramowania wykryto w Rosji, Indiach oraz Wietnamie. Najpopularniejszymi szkodliwymi załącznikami wysyłanymi do tych krajów były różne warianty Zbota oraz trojany downloadery z rodziny Oficla, które pobierają boty na komputery użytkowników.

Phishing

W 2010 roku wiadomości phishingowe stanowiły 0,35 proc. całego ruchu pocztowego, co stanowi spadek o 0,51 punktów procentowych w porównaniu z 2009 r.

Należy zaznaczyć, że udział wiadomości phishingowych utrzymał się na bardzo niskim poziomie przez cały rok – około 0,02 proc. Jak widać na diagramie, odsetek wiadomości phishingowych był znaczny tylko na początku i pod koniec roku.


Odsetek wiadomości e-mail zawierających odsyłacze do stron phishingowych w 2010 roku

W 2010 roku phisherzy zmienili swoje taktyki. Wprawdzie najpopularniejszym celem ataków phishingowych pozostał PayPal oraz eBay, jednak już na dalszych pozycjach listy organizacji najczęściej atakowanych przez phisherów możemy zaobserwować wiele zmian.

 new
10 najpopularniejszych celów ataków phishingowych w 2010 roku

W 2009 roku 60 proc. atakowanych organizacji stanowiły banki. W 2010 roku phisherzy wzięli na celownik inne serwisy online.

Zaraz po systemie PayPal oraz eBay najatrakcyjniejszy cel dla phisherów stanowiły konta na portalach społecznościowych. Odsetek ataków na konta facebookowe wynosił 6,95 proc., natomiast inny portal społecznościowy, Habbo, padł ofiarą 1,34 proc. wszystkich ataków phishingowych.

Phisherzy nie oszczędzili również usług Google. Już w trzecim kwartale 2010 roku wspominaliśmy, że konta na takich serwisach jak Google AdWords i Google Checkout są równie atrakcyjne dla phisherów jak konta bankowe online, ponieważ również wymagają informacji dotyczących karty kredytowej. Dzięki temu cyberprzestępcy mogą upiec dwie pieczenie na jednym ogniu: zdobyć dane dotyczące kont oraz dane finansowe swoich ofiar.

Popularnym celem ataków phishingowych była również gra online World of Warcraft. Oszustów interesowały zarówno postacie z zaawansowanego poziomu jak i tak zwane “wirtualne złoto”, które można wymienić na prawdziwe pieniądze.

Jako że phisherów coraz bardziej interesują wirtualne pieniądze, być może warto zadać sobie pytanie, czy w przyszłości oszuści zamiast kraść prawdziwe pieniądze nie będą kraść tych wirtualnych. Zyski będą podobne, a ryzyko wykrycia mniejsze niż w przypadku innych rodzajów oszustw internetowych.

Prognozy

W przyszłym roku możemy nadal spodziewać się wyrafinowanych ataków, łączących phishing, spam oraz socjotechnikę. Spamerzy z pewnością będą intensywnie rozprzestrzeniali szkodliwy spam, chcąc przywrócić utracone botnety.

Jeżeli im się powiedzie, na pewno wzrośnie ilość spamu w ruchu pocztowym. Na razie spamerzy nadal próbują otrząsnąć się po dotkliwym ciosie, jaki zadano ich sieciom zombie, jednak spodziewamy się, że poziom spamu powróci do poprzedniego, wysokiego poziomu już w ciągu kilku miesięcy.

Cyberprzestępcy będą stosowali większe środki ostrożności, między innymi poprzez wykorzystywanie oprogramowania bezpieczeństwa oraz lokalizowanie swoich botnetów w państwach, które nie utrudniają tak bardzo życia cyberprzestępcom. Zapowiedzią tego zjawiska był między innymi fakt, że w listopadzie rozwiązania do ochrony poczty najczęściej wykrywały szkodliwe oprogramowanie w Rosji, Indiach oraz Wietnamie. Wśród szkodliwych programów wysyłanych do tych krajów znajdowały się trojany, których celem było pobieranie botów.

Jak już wielokrotnie zaznaczaliśmy, walka ze spamem powinna być toczona na wielu frontach i obejmować inicjatywy legislacyjne, technologiczne oraz edukacyjne. Rok 2010 udowodnił, że takie podejście może przynieść sukcesy. Zamknięcie centrów kontroli kilku botnetów, intensyfikacja działań organów ścigania oraz różne inicjatywy legislacyjne pozwalają wierzyć, że problem spamu jest traktowany poważnie i nie jest już zrzucany na barki producentów rozwiązań antyspamowych. Mamy nadzieję, że to dopiero początek i w przyszłym roku nastąpi punkt zwrotny w walce ze spamem.

Jeżeli organy ścigania, dostawcy usług hostingowych oraz eksperci ds. IT połączą siły w walce przeciwko cyberprzestępcom, Internet ma szansę stać się znacznie bezpieczniejszym miejscem dla użytkownika.

Tymczasem radzimy użytkownikom ignorować reklamy w wiadomościach spamowych oraz pod żadnym pozorem nie klikać zawartych w nich odsyłaczy. Ważne jest również instalowanie aktualizacji aplikacji, jak tylko zostaną opublikowane, oraz korzystanie z dobrego oprogramowanie bezpieczeństwa. Pamiętajcie, że spam może wyrządzić poważne szkody w Waszych komputerach.

Źródło:
Kaspersky Lab