Spam w trzecim kwartale 2010 r.

Spam w trzecim kwartale 2010 r.

Daria Gudkowa, Elena Bondarenko, Maria Namiestnikowa
Ekspeci z Kaspersky Lab

Statystyki kwartalne

  • Odsetek spamu w ruchu pocztowym wynosił średnio 82,3%
  • PayPal znalazł się na pierwszym miejscu listy 5 najczęściej atakowanych przez phisherów organizacji. Inne popularne cele phisherów to Facebook i World of Warcraft
  • Spam zawierający szkodliwe załączniki stanowił 4,6% całego ruchu pocztowego
  • Załączniki graficzne wykryto w 8,4% wszystkich wiadomości spamowych
  • Spamerzy aktywnie tworzyli fałszywe powiadomienia, pochodzące rzekomo z dobrze znanych zasobów online
  • Pod względem ilości wysyłanego spamu na prowadzenie wyszła Europa, natomiast odsetek spamu pochodzącego z Ameryki Łacińskiej znacznie zmniejszył się

Wprowadzenie

Trzeci kwartał 2010 roku rozpoczął się od kilku dobrych wiadomości dla branży antywirusowej. W sierpniu współpraca firmy LastLine z jednostką do zadań specjalnych doprowadziła do zlikwidowania ponad 20 centrów kontroli wykorzystywanych przez botnet Pushdo / Cutwail, który był odpowiedzialny za około 10% globalnego spamu. Botnt ten stanowił zagrożenie nie tylko ze względu na ogromną ilość spamu rozsyłanego za jego pomocą, ale również jego związek z rozprzestrzenianiem szczególnie szkodliwych programów, takich jak Zbot (ZeuS) czy TDSS.

Po likwidacji centrów kontroli botnetu ogromna liczba botów przestała rozsyłać spam, ponieważ nie były już kontrolowane przez spamerów. Błędem byłoby jednak oczekiwanie, że tak już pozostanie. Jak już przekonaliśmy się na przykładzie likwidacji McColo i Lethic, botnet można przywrócić w ciągu miesiąca – w tym czasie można przyłączyć zainfekowane komputery do nowych centrów kontroli. Ilość spamu w końcu wraca do poprzedniego poziomu.

We wrześniu pojawiła się informacja o zamknięciu programu partnerskiego SpamIt. Program ten był odpowiedzialny za ogromne ilości spamu farmaceutycznego. Na jego stronie internetowej (Spamit.biz i Spamit.com) mogliśmy przeczytać, że powodem tego kroku była „długa lista negatywnych zdarzeń, jakie miały miejsce w ciągu ostatniego roku, oraz wzrost zainteresowania działalnością tego programu partnerskiego”. Rzeczywiście, SpamIt otrzymał w tym roku kilka ciosów. Jeden z nich pochodził od firmy Mastercard, która odmówiła wykonywania transakcji związanych z dokonywaniem płatności za lekarstwa za pośrednictwem programu SpamIt. Jednak zamknięcie jednego programu partnerskiego – nawet największego – spowoduje tylko tymczasowy spadek liczby reklam Viagry w naszych skrzynkach pocztowych; spamerzy nie zrezygnują z tak lukratywnego interesu. O wiele prawdopodobniejsze jest to, że organizatorzy SpamIt zaczną po prostu prowadzić nowy program, który przez pewien czas będzie znajdował się na radarze twórców rozwiązań antyspamowych oraz organów ścigania.

Jednak oprócz dobrej wiadomości mamy też złą. Spam staje się coraz większym zagrożeniem, ponieważ często zawiera różne szkodliwe załączniki i odsyłacze do zainfekowanych stron internetowych. Dlatego po raz kolejny przestrzegamy użytkowników: nie otwierajcie załączników ani nie klikajcie odsyłaczy w wiadomościach spamowych.

Spam według kategorii

Wykres poniżej pokazuje odsetek spamu w ruchu pocztowym w poszczególnych miesiącach w trzecim kwartale 2010 roku. Jak widać, we wrześniu ilość spamu przychodzącego na skrzynki pocztowe użytkowników zmniejszyła się w porównaniu z sierpniem o 1,5%. Spadek ten był bezpośrednim wynikiem likwidacji centrów kontroli botnetu Pushdo / Cutwail.


Miesięczny odsetek spamu w trzecim kwartale 2010 roku

Najniższa ilość spamu w trzecim kwartale 2010 roku wynosiła 76,9% i została odnotowana 15 września, największa natomiast - 90,1% (25 i 31 lipca). Średni odsetek spamu w ruchu pocztowym w trzecim kwartale wynosił 82,3%.

Źródła spamu

Źródła spamu według regionu

 
Rozkład źródeł spamu w trzecim kwartale 2010 roku

Największym źródłem spamu nadal jest Azja.

Ameryka Łacińska, która w klasyfikacji największych źródeł spamu w drugim kwartale była druga, spadła na piąte miejsce, a odsetek wiadomości spamowych pochodzących z tego regionu zmniejszył się z 16,3% do 10,7%.

Udział Europy Zachodniej w globalnej dystrybucji spamu zwiększył się z 16,2% w drugim kwartale do 23,1%.

Zwiększony odsetek spamu pochodzącego z Europy Zachodniej w połączeniu ze spamem z Europy Wschodniej i Rosji oznacza, że łączna ilość spamu z całej Europy znacznie wzrosła. W sumie, we wrześniu ilość spamu pochodzącego z Europy wynosiła 40,7%, co pozwoliło temu regionowi na strącenie Azji z pierwszej pozycji (31,7%).


Spam pochodzący z Europy i Azji - odsetek niechcianych wiadomości w poszczególnych miesiącach trzeciego kwartału 2010 roku

Wzrost produkcji spamu w Europie może mieć związek z coraz większą ilością masowych wysyłek zawierających szkodliwe oprogramowanie – trend ten zaobserwowaliśmy już w sierpniu. Celem takich wysyłek było między innymi przyłączenie komputerów użytkowników do botnetu. Wiadomość e-mail przypominała powiadomienie z oficjalnego zasobu online, takiego jak bank, sklep internetowy czy portal społecznościowy. Cyberprzestępcy wybrali zasoby, które są bardzo popularne wśród europejskich użytkowników Internetowych, dlatego ryzyko infekcji było najwyższe. Spowodowało to wzrost ilości spamu wysyłanego z Europy we wrześniu.

Źródła spamu według krajów

 
Rozkład źródeł spamu według państw

Wątpliwą palmę pierwszeństwa pod względem ilości rozsyłanego spamu otrzymały Stany Zjednoczone. Drugie i trzecie miejsce, podobnie jak w drugim kwartale, zajęły odpowiednio Indie i Wietnam.

Warto zauważyć, że czwarte miejsce zajęła Wielka Brytania – po raz pierwszy od czasu, gdy Kaspersky Lab zaczął monitorować największe źródła spamu. Wcześniej Wielka Brytania nigdy nie zaklasyfikowała się do pierwszej dziesiątki państw produkujących najwięcej spamu.

Typy załączników w wiadomościach spamowych


Odsetek wiadomości spamowych zawierających czysty tekst oraz załączniki HTML

W trzecim kwartale większość wiadomości spamowych zawierało kombinację czystego tekstu oraz kodu HTML. Nieco mniej niechcianych e-maili zawierało również niesformatowany tekst, a jeszcze mniej jedynie HTML.

JPEG był najczęściej wykorzystywanym formatem załączników graficznych. Przyczyniły się do tego głównie wiadomości promujące usługi spamerskie, w których obrazy były tworzone przy użyciu kilku różnych obrazów JPEG ułożonych obok siebie.

W trzecim kwartale 2010 roku nastąpił znaczny wzrost liczby wiadomości spamowych zawierających załączniki spakowane przy użyciu programu pakującego ZIP oraz podobnych. Tego rodzaju wiadomości zwykle stanowią niecałe 0,5% całkowitej ilości spamu, jednak w trzecim kwartale ich odsetek wzrósł do 2,6%. Wzrost ten można wyjaśnić masową wysyłką szkodliwych programów.

Spam graficzny

Zmniejsza się ilość spamu graficznego. W pierwszym kwartale tego roku odsetek tego rodzaju spamu wynosił 11,7%, w drugim natomiast zmniejszył się do 10,3%. Z kolei w trzecim kwartale ilość spamu graficznego ponownie spadła, tym razem do 8,4%.

Technologia stosowana do tworzenia załączników graficznych jest obecnie wykorzystywana przez osoby rozprzestrzeniające szkodliwe oprogramowanie. Przykładem może być poniższy e-mail, który zawiera szkodliwy załącznik (Trojan.Win32.Oficla), a na obrazie widać zarówno logo eFax jak i tekst: „Do wiadomości e-mail został załączony faks!”.

 
Przykład e-maila z graficznym załącznikiem

Phishing

PayPal nadal utrzymuje się na prowadzeniu wśród organizacji najczęściej atakowanych przez phisherów. Na drugim miejscu ponownie znajduje się internetowa firma aukcyjna, eBay, a tuż za nią uplasował się Facebook i HSBC, które zamieniły się miejscami w stosunku do poprzedniego kwartału.

 
10 najczęściej atakowanych przez phisherów organizacji w trzecim kwartale 2010 roku

Jedną z największych zmian w pierwszej dziesiątce najpopularniejszych celów phisherów było pojawienie się w czołówce gry World of Warcraft. Kaspersky Lab monitoruje ataki phishingowe na graczy WoW od roku, jednak po raz pierwszy odnotowano tak dużą liczbę incydentów.

Google spadł z piątego miejsca na siódme. Odsetek ataków na użytkowników usług Google zmniejszył się o prawie 1 punkt procentowy. Jednak konta na Google nadal przyciągają uwagę cyberprzestępców, którzy wykazują szczególne zainteresowanie usługą poczty e-mail (gmail.com), kontami reklamowymi w sieci Google AdWords oraz systemem płatności elektronicznych, Checkout. Ta ostatnia usługa cieszy się największą popularnością wśród tak zwanych “carderów”. Carderzy to oszuści, którzy przeprowadzają transakcje przy użyciu kart bankowych lub numerów kart bankowych należących do innych osób. Ponieważ Checkout opiera się na dostarczaniu przez użytkowników szczegółów dotyczących ich kart bankowych, usługa ta jest szczególnie atrakcyjna dla cyberprzestępców. Nieostrożni użytkownicy, którzy wysyłają dane dotyczące swojego konta Google Checkout w odpowiedzi na e-mail phishingowy ryzykują, że ktoś włamie się na ich konto i stracą pieniądze.

Poniżej przykład dość nietypowej wiadomości phishingowej skierowanej do użytkowników usług Google.

 

Tym, co wyróżnia ten e-mail phishingowy, jest brak tradycyjnej groźby zamknięcia konta oraz prośby o podanie hasła lub loginu użytkownika. Wiadomość stanowi kopię oficjalnego powiadomienia od firmy Google – z jednym wyjątkiem: zawarty w e-mailu odsyłacz nie prowadzi do oficjalnej strony firmy Google, ale do strony phishingowej zarejestrowanej w greckiej domenie, na której użytkownik jest proszony o wprowadzenie loginu oraz hasła.

Szkodliwe załączniki do wiadomości e-mail

Odsetek wiadomości e-mail zawierających szkodliwe załączniki zwiększył się ponad dwukrotnie w trzecim kwartale tego roku i wynosił 4,6%. Dla porównania, w drugim kwartale wynosił 1,87%. Wzrost ten miał miejsce głównie w sierpniu i we wrześniu.

W sierpniu odsetek szkodliwych załączników w poczcie elektronicznej przekroczył 6,3%. Spamerzy najwyraźniej nie czekali, aż ich klienci wrócą z letnich wakacji, i zainteresowali się programami partnerskimi – łącznie z takimi, które są wykorzystywane do rozprzestrzeniania szkodliwego oprogramowania.

Na początku września aktywność szkodliwych użytkowników zaczęła spadać. Jednak w drugiej połowie miesiąca Kaspersky Lab zauważył nowe masowe wysyłki zawierające szkodliwe oprogramowanie. Pod koniec miesiąca 4,33% całego ruchu pocztowego zawierało szkodliwe załączniki.

Na podstawie dostępnych danych mogliśmy stwierdzić, że wzrost szkodliwego ruchu pocztowego miał związek z informacją o zamknięciu znanego programu partnerskiego SpamIt, który specjalizował się w spamie farmaceutycznym. Niektórzy spamerzy biorący udział w tym programie najwyraźniej przeszli do programów partnerskich wysyłających wiadomości zawierające szkodliwy kod.

Poniższy wykres ilustruje spadek i wzrost ilości spamu zawierającego szkodliwy kod w trzecim kwartale 2010 roku. Z siedmiu wzrostów aktywności tylko jeden miał miejsce w lipcu, pozostałe odnotowaliśmy w sierpniu i we wrześniu.

 
Odsetek spamu ze szkodliwymi załącznikami w trzecim kwartale 2010 roku.

Szczytowa wartość na wykresie została odnotowana 20 września – w tym dniu wysłano ponad 4,5% wszystkich rozprzestrzenionych w tym kwartale wiadomości e-mail zawierających szkodliwe załączniki.

Taki wzrost zwykle zbiega się w czasie z wypuszczeniem przez twórców wirusów nowego wariantu popularnego szkodliwego programu. Celem masowych wysyłek jest rozprzestrzenienie możliwie jak największej liczby kopii nowego wariantu w możliwie najkrótszym czasie, zanim producenci rozwiązań antywirusowych dodadzą do swoich baz odpowiednią sygnaturę.

20 września prawie 90% wszystkich szkodliwych programów otrzymanych przez użytkowników za pośrednictwem poczty elektronicznej zostało zidentyfikowanych przez Kaspersky Lab przy pomocy metod proaktywnych, tj. wykorzystywanych do wykrywania nowych szkodliwych programów oraz nowych wariantów istniejących zagrożeń, które nie zostały jeszcze dodane do antywirusowych baz danych.

Głównymi winowajcami wzrostu szkodliwej aktywności 3, 9 i 19 sierpnia były fałszywe programy antywirusowe. Trojan-Downloader.Win32.FraudLoad.xexa, wraz z kilkoma wariantami Trojan-Dropper.Win32.Zbot (ZeuS), odpowiadał za 66% reakcji programów do ochrony poczty 5 sierpnia. Co ciekawe, programy do ochrony poczty wykrywały w większości nowe warianty Zbot. W okresie dwóch i pół tygodnia, od 2 do 20 sierpnia, 36,5% wszystkich szkodliwych programów wykrytych w trzecim kwartale tego roku znajdowało się w poczcie elektronicznej.

Czytelnicy być może pamiętają, że Zbot jest trojanem stworzonym w celu kradzieży poufnych danych użytkownika i pobierania innych szkodliwych programów na komputery ofiar. Uzyskiwane w ten sposób informacje są następnie sprzedawane na czarnym rynku. Jeden z najnowszych wariantów trojana Trojan-Dropper.Win32.Zbot pojawił się na szóstym miejscu rankingu 10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej w trzecim kwartale i był najczęściej wykrywany w sierpniu.

 
10 najpopularniejszych szkodliwych programów wykrywanych w poczcie e-mail

Pierwsze miejsce w rankingu Top 20 dla trzeciego kwartału przypadło programowi Trojan-Spy.HTML.Fraud.gen, który regularnie gości w tym zestawieniu. Czytelnicy być może przypominają sobie tego Trojana – program ten wykorzystuje technologię spoofingu i wygląda jak strony HTML. Po kliknięciu odsyłacza zawartego w wiadomości e-mail użytkownik zostaje przekierowany na fałszywą stronę banku lub systemu płatności elektronicznych, na której jest proszony o podanie swoich danych logowania. Wprowadzane dane są następnie przesyłane cyberprzestępcom. Technologię tę odróżnia od tradycyjnych technik phishingowych to, że wiersz adresu w przeglądarce nie pokazuje prawdziwego adresu, na który użytkownik zostanie przekierowany, ale fałszywy, który do złudzenia przypomina adres oficjalnej strony. Technologia ta pozwala oszukać nawet najostrożniejszych użytkowników.

Na drugim i czwartym miejscu uplasowały się odpowiednio Trojan-Downloader.Win32.FraudLoad.hbf, który pod koniec września wykazał się dużą aktywnością, i wspominany wcześniej Trojan-Downloader.Win32.FraudLoad.xexa. Programy z rodziny Trojan-Downloader.Win32.FraudLoad infekują komputery fałszywym oprogramowaniem antywirusowym, którego celem jest wyłudzanie pieniędzy od ofiar.

Piąte miejsce zajął Packed.Win32.Katusha.o. Szkodliwi użytkownicy często wybierają ten program do pakowania Zbota, jak również wielu różnych fałszywych programów antywirusowych.

Wykres poniżej pokazuje współczynniki wykrywania szkodliwego oprogramowania w poczcie e-mail w trzecim kwartale tego roku według państw:

 
Współczynniki wykrywania szkodliwego oprogramowania w poczcie elektronicznej dla różnych państw

Siedem spośród dziesięciu państw w rankingu to rozwinięte kraje Europy, Azji i obu Ameryk. W trzecim kwartale 2010 roku prowadzenie przejęły Stany Zjednoczone (ponad 11% wszystkich szkodliwych programów wykrytych w poczcie e-mail).

Sztuczki i techniki spamerów

W trzecim kwartale spamerzy często rozprzestrzeniali e-maile, które przypominały oficjalne powiadomienia z różnych zasobów internetowych; trik ten stosowano również w wysyłkach zawierających szkodliwe oprogramowanie.

Najbardziej zróżnicowane były wysyłki spamowe zawierające odsyłacze do stron internetowych zainfekowanych kodem JavaScript z rodziny Trojan-Downloader.JS.Pegel. Kod ten przekierowuje użytkowników do serwisu spamerów, który pobiera na komputery użytkowników program Bredolab. Następnie Bredolab pobiera wiele różnych trojanów, łącznie z przedstawicielami rodziny Zbot. W międzyczasie użytkownik jest przekierowywany na stronę reklamującą różne lekarstwa.

Spam imitował powiadomienia pochodzące z tak wielu różnych legalnych zasobów, że trudno byłoby znaleźć użytkownika Internetu, który nie posiada konta na przynajmniej jednym z nich. Wiadomości spamowe podszywały się pod powiadomienia z Twittera, Facebooka, WindowsLive’a oraz MySpace’a, jak również wielu popularnych sklepów internetowych, takich jak BestBuy oraz Zappa, serwisów oferujące hosting zdjęć, dużych banków oraz systemów płatności elektronicznej.

 
Wiadomość spamowa przypominająca e-mail od Macy’s

Fałszywe powiadomienia cechowała bardzo wysoka jakość:

 
Wiadomość spamowa imitująca powiadomienie z Twittera

Oprócz ogólnego wyglądu e-maila spamerzy skopiowali również techniczne aspekty nagłówka:

 
Dane dotyczące nagłówka typowej wiadomości spamowej

Ponieważ użytkownicy zwykle nie widzą takich nagłówków, można przypuszczać, że dane te zostały skopiowane w celu obejścia filtrów spamowych.

W każdym przypadku użyto tej samej metody rozprzestrzeniania infekcji. To sugeruje, że wiadomości te zostały wysłane przez tę samą grupę osób wykorzystujących ten sam silnik. Świadczy o tym również fakt, że niektóre nagłówki e-maili zostały pomylone:

 
Przykład wiadomości spamowej z niewłaściwym nagłówkiem

Podobne przypadki pomylenia nagłówków zauważyliśmy również w wiadomościach spamowych wysłanych z tego samego silnika, reklamujących lekarstwa oraz podrabiane towary luksusowe.

Pod koniec września Kaspersky Lab zauważył kolejny wzrost ilości szkodliwego spamu imitującego powiadomienia z popularnych zasobów internetowych. Tym razem cyberprzestępcy wzięli na celownik LinkedIn, popularny portal społecznościowy zrzeszający ludzi z tych samych branż. Odsyłacze w fałszywych powiadomieniach posiadały takie nagłówki, jak “LinkedInUpdate”, “LinkedIn new Messages” czy “LinkedIn Alert”. Prowadziły do zhakowanych stron internetowych lub automatycznie generowanych domen w strefie .info. Gdy użytkownik kliknął odsyłacz, został przekierowany do serwera kontrolowanego przez cyberprzestępców, po czym na jego komputer został pobrany trojan z rodziny Zbot.

 
Wiadomość spamowa imitująca powiadomienie z portalu LinkedIn

Spam według kategorii

 
Dystrybucja spamu według kategorii w trzecim kwartale 2010 roku

Spam reklamujący lekarstwa stracił pozycję lidera w pierwszej połowie 2010 roku, jednak w trzecim kwartale odzyskał prowadzenie. Powodem mogło być rozwiązanie programu partnerskiego SpamIt, o którym pisaliśmy wcześniej. Zapowiedzi likwidacji tego programu zaczęły pojawiać się już od października, przedtem jednak spamerzy postanowili zmaksymalizować swoje zyski. We wrześniu spamerzy zaczęli przenosić się do innych programów partnerskich, co tłumaczy spadek ilości spamu farmaceutycznego pod koniec tego miesiąca oraz wzrost liczby szkodliwych programów w ruchu pocztowym.


Odsetek spamu farmaceutycznego w trzecim kwartale 2010 roku

Odsetek spamu reklamującego podrabiane dobra luksusowe, który zazwyczaj jest wysyłany wraz z reklamami Viagry, zwiększył się z 6,3% do 11%.

Ilość spamu z kategorii podróże i turystyka znacznie zmniejszyła się w stosunku do drugiego kwartału – z 14% do 4%. W czerwcu udział spamu z tej kategorii stanowił 6,4%, jednak w sierpniu i we wrześniu zmniejszył się do niecałych 3%.


Odsetek spamu z kategorii podróże i turystyka w trzecim kwartale 2010 roku

Zmniejszyła się również ilość spamu z kategorii edukacja. Jest to dość typowe – gdy rośnie ilość spamu wysyłanego za pośrednictwem programów partnerskich reklamującego lekarstwa i podrabiane towary luksusowe, zmniejsza się jednocześnie odsetek spamu na zamówienie.

 
Porównanie ilości spamu z różnych kategorii w drugim i trzecim kwartale 2010 roku

Wnioski

W trzecim kwartale 2010 roku, podobnie jak w drugim, zaobserwowaliśmy duży wzrost liczby szkodliwych załączników w spamie. Od pewnego czasu piszemy o stałym wzroście kryminalizacji spamu. Dzisiaj szkodliwe programy stanowią istotny element wysyłek spamowych. W trzecim kwartale szkodliwe wiadomości e-mail wynosiły 4,6% całego ruchu pocztowego – co stanowi najwyższy odsetek od czasu, gdy Kaspersky Lab zaczął monitorować trendy w ruchu pocztowych.

Biznes spamowy oraz tworzenie szkodliwych programów stają się coraz bardziej powiązane ze sobą. Jednocześnie rozwijane są wszechstronne rozwiązania. Twórcy wirusów stosują coraz bardziej złożone metody infekcji. Metody te pozwalają przyłączyć komputer ofiary do botnetu, wysyłać spam oraz pobierać liczne trojany na komputer ofiary w celu kradzieży osobistych informacji i innych cennych danych. Współczesna wiadomość spamowa może zawierać odsyłacz do strony promocyjnej lub do strony zawierającej exploity, które mogą pozostać niezauważone przez użytkownika. Więcej informacji na temat stron internetowych zawierających exploity można przeczytać tutaj http://www.viruslist.pl/analysis.html?newsid=562 .

Naturalnie, trendy te są niepokojące – spam jest nie tylko irytujący, ale również groźny.

Na szczęście, problem ten zwrócił uwagę ustawodawców i organów ścigania. Pod koniec trzeciego kwartału w Wielkiej Brytanii i Stanach Zjednoczonych aresztowano prawie 100 osób podejrzewanych o wykorzystywanie ZeuSa do kradzieży środków z kont online. Trojan ZeuS, wykrywany przez Kaspersky Lab jako przedstawiciel rodziny Zbot, jest najczęściej identyfikowanym programem w szkodliwych załącznikach do wiadomości spamowych. Mamy nadzieję, że będzie to początkiem systematycznej walki ze spamem lub przynajmniej szkodliwym spamem oraz międzynarodowej współpracy w walce z tym zjawiskiem. Tymczasem po raz kolejny przestrzegamy użytkowników, aby nie otwierali wiadomości spamowych oraz ich załączników – jak również nie klikali zawartych w spamie odsyłaczy.

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie