Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w sierpniu 2011 wg Kaspersky Lab


Maria Namiestnikowa
Ekspert z Kaspersky Lab

spam_report.png

Sierpień w liczbach

  • Udział spamu w ruchu pocztowym spadł o 0,9 proc. w porównaniu z lipcem i wynosił średnio 80%.
  • Liczba wiadomości phishingowych w ruchu pocztowym zwiększyła się zaledwie o 0,1 punktu procentowego w stosunku do lipca i wynosiła 0,03%.
  • W sierpniu szkodliwe pliki zostały wykryte w 5,9% całego ruchu e-mail – co stanowi wzrost o 1,2 proc. w stosunku do poprzedniego miesiąca.

Spam na świeczniku

Spam ze szkodliwymi załącznikami: stare i nowe taktyki

W sierpniu odsetek spamu ze szkodliwymi załącznikami wzrósł po raz kolejny i wynosił 5,9% wszystkich niechcianych e-maili. Co więcej, w celu wysyłania szkodliwego spamu wykorzystywano wiele różnych technik – zarówno tych wypróbowanych jak i kilka nowych metod.

Od końca czerwca pojawiały się wiadomości e-mail, które przypominały oficjalne powiadomienia od firm kurierskich, takich jak UPS, FedEx czy DHL. Ta fala spamu była najbardziej aktywna w okresie od 8 do 11 sierpnia.

Wiadomości spamowe informowały, że kurier nie mógł doręczyć przesyłki, w związku z czym odbiorca będzie musiał odebrać ją w biurze lub że adres odbiorcy został błędnie wypełniony, lub że przesyłka znajduje się w drodze do odbiorcy. Do wszystkich tych wiadomości dołączony był plik zarchiwizowany przy użyciu ZIP-a, który rzekomo zawierał formularze niezbędne do wysłania lub otrzymania przesyłki wymienionej w wiadomości e-mail.

W rzeczywistości pliki ZIP zawierały szkodliwe pliki. Na przykład dość duża wysyłka, która wyglądała, jakby pochodziła od UPS, zawierała wiele różnych modyfikacji trojana FraudLoad (Trojan-Downloader.Win32.FraudLoad). Inne wysyłki kryły modyfikacje szkodnika Backdoor.Win32.Agobot. Zagrożenie to było rozprzestrzeniane w wiadomościach przypominających oficjalne powiadomienia od wszystkich trzech firm kurierskich: UPS, FedEx oraz DHL. Nieco rzadziej Kaspersky Lab wykrywał różne modyfikacje trojana Trojan.Win32.Yakes.cap. Zagrożenia te, po przedostaniu się do komputera, pobierały inne szkodliwe programy.

Wysyłanie wiadomości, które wyglądają jak powiadomienia od wymienionych wyżej firm kurierskich, to stara sztuczka stosowana przez szkodliwych użytkowników już od co najmniej dwóch lat. Jednak, sądząc po tym, jak często jest wykorzystywana przez spamerów, wydaje się być skuteczna.

W sierpniu wykryliśmy również kilka nowych sztuczek wykorzystywanych do rozprzestrzeniania szkodliwego kodu, jednak wszystkie z nich opierały się na tej samej koncepcji: im bardziej tajemniczy e-mail i im mniej zawiera tekstu, tym większe są szanse, że wzbudzi ciekawość odbiorcy. Zidentyfikowaliśmy trzy rodzaje spamu wykorzystującego tę technikę:

  • pierwsza grupa zawierała w temacie słowo “Changelog” i datę. Z kolei treść e-maila kryła tylko kilka słów, takich jak: “zgodnie z obietnicą” czy “zobacz załącznik”;
  • spam z drugiej grupy miał w temacie wyrażenie: „End of July Statement required” lub “End of July Statement”. Treść wiadomości wyjaśniała, że, zgodnie z prośbą, nadawca przesyła nierozliczone faktury dla podanego okresu;
  • spam z trzeciej grupy miał temat „Internal accounts from ATFT Corporation”, a treść informowała, że w załącznikach znajdują się wewnętrzne faktury z 2010 roku, i wyrażała wdzięczność za pomoc w “rozpoczęciu tego procesu”.

 

Co ciekawe, wszystkie te wiadomości najwyraźniej pochodzą z tego samego źródła. Nie tylko wykorzystują te same sztuczki i cechuje je ten sam styl, ale również ten sam sposób nazywania archiwów ZIP: słowo, podkreślenie, następnie data, kolejne podkreślenie, litera lub jedna albo dwie liczby.

Ponadto, odkryliśmy również związek między tymi wiadomościami a fałszywymi e-mailami pochodzącymi rzekomo ze wspomnianych wcześniej firm kurierskich. W szczególności, załączniki rozprzestrzeniane w tych wiadomościach były różnymi modyfikacjami programów Trojan.Win32.Yakes oraz Backdoor.Win32.Agobot.

Podczas rozprzestrzeniania różnych modyfikacji trojana Trojan-Downloader.Win32.FraudLoad wykorzystywano socjotechnikę. Wiadomości e-mail przypominały powiadomienia od amerykańskiej policji i nakazywały odbiorcy wydrukowanie załączonego listu, który rzekomo zawierał szczegóły dotyczące mandatu za wykroczenie drogowe, i wysłanie go do sądu rejonowego.

 

Szkodliwi użytkownicy zaczęli szukać nowych metod przyciągania uwagi użytkowników. Wynika to prawdopodobnie z tego, że stare wypróbowane metody są dzisiaj szybko rozpoznawane jako oszukańcze i przestały być lukratywne.

Warto zauważyć, że wcześniej wiele rodzajów szkodliwych załączników było rozprzestrzenianych w wiadomościach wysyłanych rzekomo przez portale pornograficzne, na których użytkownicy mogli “spotkać dziewczyny” lub obejrzeć “skandaliczne zdjęcia” celebrytów. Dzisiaj szkodliwi użytkownicy próbują naśladować styl oficjalnych powiadomień i korespondencji biznesowej. Jest to spowodowane tym, że większość użytkowników nie spodziewa się znaleźć szkodliwych załączników w korespondencji biznesowej. Poza tym, dzisiaj Internet pełen jest treści dla dorosłych oraz “dziewczyn, które nie mogą się doczekać na spotkanie z tobą” i użytkownik prędzej skusi się na wewnętrzne dokumenty firmowe.

Gorące tematy: Ramadan

Nie brak masowych wysyłek, które atakują Muzułmanów, ponieważ spamerzy przyjmują swego rodzaju politykę “równych szans” i działają na międzynarodowej, międzykulturowej arenie. W sierpniu tego roku Muzułmanie świętowali Ramadan i jak co roku wysyłki spamowe nawiązywały głównie do tego święta.

Tego roku Kaspersky Lab trafił na kilka różnych masowych wysyłek w tym samym czasie, z których wszystkie promowały specjalną dietę na Ramadan. Jeden z otrzymanych przez nas e-maili zawierał ofertę dostawy żywności do domu ze specjalnym rabatem z okazji Ramadanu. Inna wiadomość spamowa reklamowała restaurację działającą w godzinach nocnych, tj. w czasie gdy Muzułmanie mogą spożywać posiłki w świętym miesiącu.

 

Należy pamiętać, że spam to przede wszystkim zagrożenie, które należy zwalczać, dlatego nie można traktować go jedynie jako reklamy. Nawet najbardziej niewinnie wyglądający e-mail może zawierać szkodliwy skrypt, a spamerzy nie mają skrupułów i zarabiają pieniądze na reklamach i użytkownikach, którzy nieświadomie instalują szkodliwy kod.

Podsumowanie statystyk

Źródła spamu

 

Źródła spamu w sierpniu 2011 r.

W sierpniu cztery największe źródła spamu pozostały niezmienione w stosunku do poprzedniego miesiąca: Indie (15,6%), Indonezja (11,7%), Brazylia (9,24%) oraz Peru (6%).

Spośród najistotniejszych zmian w rankingu 10 największych źródeł spamu, warto wspomnieć, że Włochy – ostatnie państwo zachodnioeuropejskie w pierwszej dziesiątce - spadło w sierpniu na 12 pozycję. Do pierwszej dziesiątki weszła Polska, która odnotowała wzrost o 1,3% w porównaniu z lipcem i znalazła się na 9 miejscu. W efekcie, sierpniowy ranking największych źródeł spamu tworzyły wyłącznie państwa z Azji, Ameryki Łacińskiej i Europy Wschodniej.

Rosja nadal znajduje się na 11 miejscu w rankingu. Odsetek spamu rozprzestrzenianego z tego kraju nie zmienił się znacząco w porównaniu z lipcem. Jednocześnie ilość spamu pochodzącego z Ukrainy zmniejszyła się prawie o 1 punkt procentowy.

Nadal obserwujemy synchronizację między ruchem spamowym w dwóch grupach państw reprezentowanych w lipcowym rankingu (Indie-Brazylia oraz Indonezja-Ukraina-Tajlandia-Peru).

Wciąż istnieje korelacja między Indonezją, Ukrainą, Tajlandią oraz Peru, mimo że odsetek spamu pochodzącego z Indonezji zwiększył się w ostatnim miesiącu, a odsetek niechcianych wiadomości z pozostałych trzech państw z tej grupy zmniejszył się. Niezależnie od tego „lokalne” najwyższe i najniższe wartości ruchu spamowego w tych czterech krajach nadal są powiązane ze sobą, co widać na wykresach poniżej:

 

Odsetek spamu pochodzącego z Indonezji, Peru, Ukrainy i Tajlandii w okresie od 18 lipca do 28 sierpnia.

Krzywe ilustrujące dynamikę ruchu spamowego z Indii i Brazylii w ostatnich dwóch tygodniach sierpnia nieznacznie “oddaliły się” od siebie, jednak zmiana współczynników z tych państw jest na tyle pomijalna, że można wyjaśnić to czynnikami lokalnymi, takimi jak istnienie innych botnetów spamowych zarządzanych przez innych szkodliwych użytkowników.

 

Odsetek spamu pochodzącego z Indii i Brazylii w okresie od 18 lipca do 28 sierpnia

Statystyki dotyczące grupy państw Wietnam-Korea Południowa-Rosja-Włochy nie wykazały żadnych korelacji między fluktuacjami ruchu spamowego pochodzącego z tych państw.

 

Odsetek spamu pochodzącego z Rosji, Korei, Wietnamu oraz Włoch w okresie od 27 lipca do 28 sierpnia

Przebieg najwyższych i najniższych lokalnych wartości ruchu spamowego w Rosji i Wietnamie wykazuje pewne podobieństwa. Będziemy nadal monitorować ruch spamowy w tych dwóch państwach.

Szkodliwe załączniki w ruchu pocztowym

W sierpniu szkodliwe pliki zostały wykryte w 5,9% wszystkich wiadomości e-mail – o 1,2 proc. więcej niż w lipcu.

W rankingu państw stworzonym w oparciu o liczbę szkodliwych programów wykrytych w poczcie e-mail znaczący spadek – o 5,1% – odnotowała Rosja, w której odsetek szkodliwych plików wykrytych w ruchu pocztowym wynosił 8,96% . W rezultacie państwo to znajduje się obecnie na drugim miejscu, za Stanami Zjednoczonymi.

W sierpniu liczba szkodliwych programów wykrytych w amerykańskim ruchu pocztowym zwiększyła się o 2,6 proc. i wyniosła ostatecznie 10,1%, powracając do poziomu odnotowanego w czerwcu.

 

Rozkład szkodliwych programów wykrytych w ruchu pocztowym według państw: sierpień 2011 r.

Liczba szkodliwych programów wykrytych w ruchu pocztowym w Niemczech (5,45%) i Indiach (5,1%) odnotowała równie gwałtowny spadek co wzrost w lipcu – odpowiednio o 3,8 i 2,8 punktów procentowych.

Znacznie wzrósł odsetek szkodliwych programów wykrytych w poczcie e-mail w Japonii (+3,7%). Co ciekawe, szkodliwe programy z rankingu Top 20 wykryte w Japonii to modyfikacje wspomnianych wyżej programów: Trojan.Win32.Yakes oraz Backdoor.Win32.Agobot.

Dwa najczęściej wykrywane szkodliwe programy w sierpniu nie stanowiły żadnej niespodzianki:

 

10 najbardziej rozpowszechnionych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej w sierpniu 2011 r.

Trojan-Spy.HTML.Fraud.gen – aktualny “winowajca” numer jeden – odpowiadał za 5% szkodliwych programów wykrytych w ruchu pocztowym w sierpniu (co stanowi spadek o 0,5 punktu procentowego w stosunku do lipca). Drugie miejsce zajął Email-Worm.Win32.Mydoom.m, jedyny robak pocztowy, który zaklasyfikował się do sierpniowego rankingu. Zagrożenie to tak naprawdę posiada tylko dwie funkcje: zbieranie adresów e-mail z zainfekowanych maszyn oraz wysyłanie na nie swojej kopii.

Trzecim najczęściej wykrywanym szkodliwym programem w ruchu pocztowym w sierpniu był Trojan-Downloader.Win32.Deliver.ll. Trojany z tej rodziny stanowiły większość szkodliwych programów w marcowym zestawieniu Top 10. Szkodnik ten jest klasycznym trojanem downloaderem, który bez wiedzy użytkownika instaluje na zainfekowanym komputerze inne szkodliwe programy.

Cztery z 10 najczęściej wykrywanych szkodliwych programów w sierpniu stanowiły modyfikacje wspomnianego wcześniej programu Trojan.Win32.Yakes i uplasowały się na czwartym, piątym, ósmym i dziewiątym miejscu.

Phishing

W porównaniu z lipcem odsetek wiadomości phishingowych w całkowitym ruchu pocztowym wzrósł bardzo nieznacznie i wynosił 0,03%.

W porównaniu z lipcem cztery główne cele phisherów nie zmieniły się.

 

10 organizacji najczęściej atakowanych przez phisherów*

* Ranking ten opiera się na liczbie adresów phishingowych w Internecie, przy użyciu których phisherzy próbują uzyskać loginy i hasła użytkowników do różnych serwisów online. Ranking ten nie jest wyznacznikiem poziomu bezpieczeństwa wymienionych wyżej organizacji, ale raczej popularności tych serwisów wśród użytkowników, która z kolei przekłada się na ich popularność wśród cyberprzestępców.

Jedną z głównych zmian w sierpniu był awans portalu społecznościowego Orkut (6%) - z siódmego miejsce na piąte - w rankingu organizacji najczęściej atakowanych przez phisherów.

Warto wspomnieć również o spadku zainteresowania grami online wśród phisherów: RuneScape, który w lipcu znajdował się na 6 miejscu, spadł o dwie pozycje (-1,1%), a WoW, który w zeszłym miesiącu uplasował się na szarym końcu rankingu Top 10, w sierpniu nie znalazł się nawet wśród 10 najpopularniejszych celów phisherów, mimo że odsetek ataków na ten portal nie zmienił się.

Kaspersky Lab monitoruje pojawienie się IRS (amerykańskiego urzędu skarbowego) wśród najpopularniejszych celów phisherów. W najbliższych miesiącach jego pozycja prawdopodobnie wzrośnie w związku ze zbliżającym się w Stanach Zjednoczonych okresem składania zeznań podatkowych. W tym czasie odsetek ataków na urząd skarbowy zawsze wzrasta.

Spam według kategorii

 

Kategorie spamu w sierpniu 2011 r.

W sierpniu prawie połowę całego anglojęzycznego spamu stanowiły oszukańcze wiadomości e-mail. Ponieważ odsetek szkodliwych załączników w poczcie e-mail wzrasta, użytkownicy powinni odebrać to jako sygnał ostrzegawczy, że należy podjąć odpowiednie działania w celu zapewnienia sobie bezpieczeństwa w Internecie.

Drugą pod względem popularności kategorią spamu był spam finansowy, łącznie z wiadomościami e-mail zawierającymi podejrzane oferty kredytów oraz udziału w programach umożliwiających szybkie wzbogacenie się. Od czerwca odsetek spamu z tej kategorii wzrósł o 1,5 razy. /p>

W sierpniu podwoił się również odsetek spamu zawierającego treści dla dorosłych.

Znaczny spadek odnotował natomiast odsetek spamu o tematyce medycznej, łącznie z reklamami wiagry oraz tabletek odchudzających: z 28% w czerwcu do 4,5% w sierpniu. Równie znaczący był spadek odsetka spamu reklamującego podrabiane towary luksusowe.

Ogólnie można powiedzieć, że w sierpniu wzrosła ilość angielskojęzycznego spamu z tych kategorii, których celem nie jest sprzedanie czegoś, ale raczej zainstalowanie szkodliwych programów na komputerze ofiary, kradzież danych osobistych oraz wykorzystywanie ich podczas oszustw.

Wnioski

Odsetek szkodliwych załączników w spamie stale rośnie. W ciągu dwóch ostatnich miesięcy odsetek ten wzrósł o jedną trzecią. Jest to trend charakterystyczny dla miesięcy letnich, ponieważ w wakacje spamerzy mają zwykle mniej zamówień od swoich klientów, w związku z czym uczestniczą w programach partnerskich, które są dla nich bardziej lukratywne. Programy partnerskie, w ramach których spamerzy otrzymują określony procent od zainstalowanych szkodników, są zawsze popularne wśród szkodliwych użytkowników, zwłaszcza latem. Co więcej, w celu rozprzestrzeniania szkodliwych programów spamerzy stosują zarówno nowe jak i stare i wypróbowane techniki. Oszuści uaktualnili swój arsenał, a wzrost odsetka szkodliwych załączników stanowi dla nas kolejną okazję, aby przypomnieć użytkownikom, że bezpieczeństwo komputerowe zależy przede wszystkim od ich świadomości i ostrożności.

Rozkład kategorii spamu angielskojęzycznego pokazuje również, że w okresie wakacyjnym towary reklamowane w spamie nie cieszą się dużym zapotrzebowaniem. Z tego powodu szkodliwi użytkownicy zmuszeni są szukać innych metod zarabiania pieniędzy, które nie zależą od siły nabywczej użytkowników Internetu.

We wrześniu należy spodziewać się spadku odsetka szkodliwego i oszukańczego spamu, z kolei spam z kategorii lekarstwa oraz towary i usługi związane z medycyną jak również podrabiane towary luksusowe prawdopodobnie odrobi straty.

Źródło:
Kaspersky Lab