April 2013 SPAM Engnet – Kaspersky Lab

April u brojkama

 

  • Procenat spam-a u email saobraćaju porastao je za 2.1 procentna poena u odnosu na mart i iznosio je 72.2 odsto
  • Procenat krađe identiteta na internetu preko elektronske pošte smanjio se 3 puta u odnosu na mart, tako što je pao na 0.002 odsto
  • U aprilu, zlonamerne datoteke bile su pronađene na 2.4 odsto od ukupnog broja elektronskih poruka i zabeležen je pad od 1.6 procentnih poena

Spam u centru pažnje

 

U aprilu, količina spam datoteka u elektronskoj pošti neznatno je porasla: za 2.1 procentna poena. Količina „prazničnih” spam datoteka se smanjila, iako su spameri nastavili aktivno da iskorišćavaju temu Uskrsa, kako bi slali zlonamernu poštu i poruke koji sadrže reklame za proizvode i usluge. Takođe, pokušavali su da privuku pažnju korisnika uz pomoć imena svetskih političkih vođa i tragičnih događaja, koji su se dogodili u SAD.


Događaji u SAD i zlonamerni spam

 

Kao i obično, najupečatljivije vesti tokom meseca nisu prošle nezapaženo od strane spamera. U aprilu, oni su iskoristili to što su na Bostonskom maratonu eksplodirale dve bombe i eksploziju u hemijskom postrojenju u Teksasu.

U toku dana kada su se eksplozije desile, registrovano je više masovnih poruka, koje sadrže zlonamerne datoteke ili linkove koje vode na spam stranice. Jedna od poruke masovne pošte, detaljno je opisana na našem blogu.

Poruke koje su slate, imitirale su popularne izvore vesti (CNN ili BBC) i imale su provokativne naslove, a pored toga i link koji bi navodno vodio na članak o tragičnim događajima. Kada bi korisnik kliknuo na link, bio bi naveden do internet stranice koja koristi Blackhole exploit folder, koji napada sistem. Ukoliko je ovo uspelo, Backdoor.Win32.Papras.ppk se preuzima sa interneta i ostaje u računaru korisnika. Ovaj zlonamerni softver za špijunažu osmišljen je tako da krade poverljive informacije sa zaštićenih internet konekcija (HTTPS), cookie dokumenata i podataka na kompjuteru (instaliranih programa, konfiguracija operativnog sistema) i šalje ih sajber kriminalcima.

 

Ono što se može zapaziti je i da je slična masovna pošta registrovana u prvom tromesečju 2013. godine. Slično osmišljene email poruke koristili su prevaranti kako bi širili vesti o proglašenju novog Pape u martu. Još jedna akcija bila je distribuiranje linka koji vodi na internet stranice koje sadrže reči Teksas, Boston i vesti na adresu. Link koji je bio poslat korisnicima vodio bi na internet stranicu koja sadrži odabrane video klipove o eksplozijama, koji su preuzeti sa YouTube kanala. Ova stranica je takođe sadržala i exploit alatku, koja je preuzimala sa interneta malware program, nazvan od kompanijae Kaspersky Lab kao Trojan-PSW.Win32.Tepfer i tako detektovan na računaru korisnika. Ovaj trojanac stvoren je da ukrade podatke o nalozima koje korisnik ima (username i lozinke) sa inficiranih računara.

 

Obmane

U aprilu, „nigerijski” prevaranti nastavili su da koriste imena poznatih političkih lidera u svojim email-ovima: ovoga puta to je Barak Obama i sin Moamera Gadafija. Na primer, e-mail poslat u ime zaposlenog u Beloj kući tvrdi da američki predsednik daje 100 zlatnih poluga siromašnim ljudima širom sveta i da je primalac poruke jedan od izabranih. „Nigerijsko pismo” na nemačkom jeziku, napisano u ime pomoćnika sina bivšeg libijskog predsednika Muamera Gadafija sadržalo je tradicionalni zahtev za pomoć za spašavanje i investiranje njegovih mitskih miliona.

Ova vrsta prevare je dobro poznata: onog trenutka kada je žrtva uključena u prepisku, prevaranati traže relativno malu sumu novca kako bi pokrili troškove posredovanja, ili za izradu dokumenata. Spameri  smatraju da će ogromna razlika između zatraženog novca i obećane nagrade potencijalnoj žrtvi otkloniti njenu opreznost i da će ona uplatiti novac.

Nigerijski prevaranti pokušali da privuku pažnju korisnika ne samo tako što će obećati  „laku zaradu” , već i slanjem uskršnje čestitke (praznik se pominje u zaglavlju email-a i na početku poruke).

 

Tradicionalni lažni izveštaji o dobitku na lutriji i takođe su iskorišćavali temu Uskrsa i širili se uz pomoć reči  „Uskrs” u polju naziva poruke. Jedan takav email sadržao je link koji vodi na legitimnu stranicu preduzeća koja, međutim, nije imala nikakve veze sa „lutrijom” koju organizuju prevaranti.

Praznični spam

Iako su katolici već proslavili Uskrs, spameri i dalje aktivno koriste tu temu u aprilu , nudeći falsifikovanu robu i kreditne ponude. Na primer, jedna masovna sadržala je ponudu za primaoce, specijalani uskršnji kod, koji im omogućava da kupe replike dizajnerskih satova sa 50 odsto popusta.

 

U aprilu smo ponovo registrovali primere masovnih poruka posvećenih Danu majki . Kao i ranije, reklamirale su cveće i lažnu firmiranu robu .

 

Još jedan primer masovne pošte nudi cigarete za predstojeći Dan očeva koji se slavi dolaze u SAD u junu.

 

Geografska podela izvora spam-a

U aprilu se nisu desile nikakve promene, kada govorimo o 3 vodeća izvora spam-a širom sveta. Kina (23,9 odsto) ostala je na 1. mestu, uprkos padu od 2 odsto u svom udelu. Količina spam-a poslata iz SAD-a neznatno se smanjila (16,8 odsto) i zadržava ovu zemlja na 2. mestu. Sveukupno, ove dve zemlje proizvode 41 odsto spam-a globalno.

 

Izvori spam-a širom sveta po zemljama

 

U aprilu, Južna Koreja (9,8 odsto) zauzela je treće mesto sa povećanjem od 1,5 procentnih poena. Tajvan (5,5 odsto) ostao je u top 5 zemalja. Indija, koja je bila 5. u martu, izgubila je 0,5 procentnih poena i pala na 9. mesto u poretku sa 2,9 odsto svih distribuiranih spam-ova. Rusija (3,3 odsto) uvećala je svoj doprinos za 1 procenat i popela se sa 10. mesta u martu na 7. mesto. Nemačka je pala za 1 procentni poen i pala sa 8. na 12. mesto. Italija je izgubila 2,1 procentnih poena i pala sa 6. na 14. mesto.

 

Izvori spam-a u Evropi po zemljama

 

Južna Koreja bila je glavni izvor spam-a koji je poslat korisnicima u Evropi u aprilu (43,4 odsto): njen udeo porastao je za 6,6 procentnih poena.  Osim toga, doprinos Kine značajno je pao i u proseku je iznosio 3,7 procentnih poena, što znači da je Kina pala sa 2. na 5. poziciju.

SAD i dalje se nalazi u top 3, iako je udeo pao za 3,4 procentnih poena. Vijetnam (5,2 odsto) popeo se sa 3. na 5. mesto. U međuvremenu, učešće Italije smanjeno je za faktor tri, pa je pala sa 4. na 11. poziciju sa 1,9 odsto od spam-a, koji je poslat evropskim korisnicima .

 

Izvori spam-a po regionu

 

Azija (55.7 odsto) i dalje je vodeća kada je izvor spam-a u pitanju, imajući u vidu regione. Kao i u martu, top 3 regiona bila su Severna Amerika (17.6 odsto) i južna Evropa (13.6 odsto).

Zlonamerni prilozi u email-ovima

 

U aprilu, zlonamerni prilozi bili su otkriveni u 2.4 odsto email-ova, beležeći pad od 1.6 procentnih poena u odnosu na mart.

 

Top 10 zlonamernih programa koji se šire putem elektronske pošte u aprilu 2013

 

U aprilu, Trojan – Spi.html.Fraud.gen program ostao je najrasprostranjeniji zlonamerni program. Ovaj zlonamerni program pojavljuje se u vidu HTML stranice koja imitira registracione formulare poznatih banaka ili elektronske ​​platne sisteme i neovlašćeno preuzima podatke korisnika za online bankarske sisteme.

E-mail –Vorm.Vin32.Bagle.gt. program zauzima 2. mesto. Uloga ovog mail-crva je da se razmnoži na adrese iz adresara žrtve, što je tipično za ove vrste zlonamernih softvera. On takođe može da kontaktira komandni centar i preuzme druge zlonamerne programe na računar korisnika.

Backdoor.Vin32.Androm.pta virus je na 3. mestu. Ova porodica špijunskih programa omogućava zlonamernim korisnicima da tajno kontroliše zaraženi kompjuter, na primer, da preuzme i pokrene druge štetne fajlove koji potom šalju podatke sa zaraženog računara, itd. Pored toga, mnogi zaraženi računari postaju deo bot mreže. U 2013. godini su se predstavnici porodice virusa Backdoor.Vin32.Androm često pojavljivali u prvih 10, najverovatnije zbog pokušaja da prevaranti stvore nove bot mreže.

Na četvrtom mestu je Trojan – PSV.Vin32.Tepfer.hjva virus, osmišljen za krađu lozinki za račune korisnika .

Peto, osmo i deveto mesto rejtinga zauzimaju zlonamerni programi Trojan.vin32.Bublik.aknd porodice. Oni sakupljaju korisničke lozinke za FTP, podatke za pristup email uslugama i potvrde iz zaraženih računara . Mogu pretražiti obrasce u Mozilla Firefox i Google Chrome pretraživačima, u potrazi za sačuvanim podacima za prijavu i lozinke pre prosleđivanja pronađenih podataka prevarantima.

 

Distribution of email antivirus detections by country

 

SAD (12,4 odsto) i Nemačka (10,7 odsto) zadržale su svoje vođstvo u rejtingu zemalja koje su najviše na meti zlonamerne pošte. U aprilu im se pridružila Velika Britanija (6,8 odsto), koja je na 3. mestu. Ostatak zemalja koji pripadaju top 10  listi ostao je nepromenjen od marta.

U aprilu , spameri aktivno koristie naziv međunarodne logističke kompanije DHL za širenje lažnih obaveštenja sa zlonamernim prilozima. Registrovali smo nekoliko masovnih poruka na engleskom i holandskom jeziku.

Masovna pošta na engleskom jeziku obavestila je korisnike da, navodno DHL kurir, nije uspeo da isporuči pošiljku, koju sada treba preuzeti u poslovnici kompanije. Da bi to uradio, korisnik mora da odštampa vaučer za podizanje tog paketa, koji u priloženoj arhivi. Prevaranti obično pokušavaju da izvrše pritisak na korisnika, preteći dodatnim troškovima za čuvanje paketa ako se ne podigne odmah. Visina kazne i rokovi se razlikuju od poruke do poruke.

Priložena arhiva DHL.REPORT.ID680.zip koji uključuje DHL.REPORT.F3B5DJ7.eke fajl (brojevi se razlikuju od email-a do email-a, ali ime izvršne datoteke isto je u svakom slučaju). Nije iznenađujuće što ovaj dosije ne sadrži nikakve informacije o nepostojećem paketu. To je trojanski program iz Zbot (ZeuS) porodice, tačnije Trojan – Spi.Vin32.Zbot.krhu program.

ZeuS je aktivno korišćen od strane spamera, ne samo da bi krali lične informacije korisnika i lozinke za e-plaćanje i bankarske sisteme, ali za stvaranje bot mreža. Zbog jednostavne konfiguracije i lakoće korišćenja, ZeuS je postao jedan od najopasnijih i rasprostranjena primera špijunskih softvera.

E-mail na holandskom jeziku obavestio je korisnika da priloženi dokument sadrži račun za usluge kompanije DHL. Zapravo, dokument pod nazivom “Uw recentste DHL factuur.zip” uključivao je i exe fajl sa Trojan.Win32.Generic virusom.

Lažna obaveštenja od e-prodavnica takođe su popularna kod prevaranata koji šire zlonamerne datoteke. U aprilu, registrovali smo masovno slanje lažnih obaveštenja koja su slata u ime popularne nemačke e-prodavnice OTTO. Ono što je zanimljivo je da je u polje „pošiljalac” upisano ime koje se čini, na prvi pogled, legitimnim: Otto bilten. Ovo je popularni trik koji se koristi da bi se obmanuo korisnik.

 

Korisniku se zahvaljuje na naručivanju preko kompanije OTTO, ali se ništa ne navodi o otvaranju priložene datoteke. Verovatno prevaranti veruju da će radoznalost učiniti da korisnik otvori Besstellung_bei_OTTO.zip arhive, prepoznatu od strane kompanije Kaspersky Lab kao trojanac Vin32.Bublik porodice. Koristi se od strane prevaranata kako bi prikupili podatke za prijavu, lozinke i druge poverljive informacije sačuvane na zaraženim računarima. U aprilu, jedan od predstavnika ove porodice zauzeo je 5. mesto u rejtingu zlonamernih programa koji se najčešće distribuiraju putem email-a.

Pfišing

Procenat pfišing pošte smanjen je tri puta u odnosu na mart i spustio se na 0,002 odsto.

 

Distribucija prvih 100 organizacija na meti prevaranata, po kategorijama*

* Ovaj rejting zasniva se na detekciji anti-pfišing komponenti od strabe kompanije Kaspersky Lab , koje se aktiviraju svaki put kada korisnik pokuša da klikne na pfišing link, bez obzira na to da li je link u okviru pošte koja sadrži spam ili u obliku internet stranice.

U aprilu, na listi top 5 organizacija najčešće na meti prevaranata nisu zapažene bitne promene. Internet stranice socijalnih mreža i dalje su najatraktivnije mete za pfišing napad: njihov udeo je porastao za 1 procentni poen, u proseku 35,5 odsto. Lista top 3 takođe obuhvata finansijske i e -platne organizacije (17 odsto) i pretraživače (15,3 odsto) koje su na 2., odnosno 3. mestu.

IT proizvođači ostali su na 4. poziciji (9,1 odsto). Njih prate kompanije koje pružaju telefonske i internet usluge (8,7 odsto) .

Zaključak

 

Kao što se očekivalo, u aprilu opala je količina spam-a koji je povezan sa temom praznika. Mi smo registrovali masovne poruke koje esplatišu temu pravoslavnog Uskrsa i prevaranti su je koristili ne samo da reklamiraju proizvode i usluge, već i da prevare korisnike. Nezakonite masovne poruke koje sadrže imena popularnih političkih lidera takođe su veoma često su deo tokova spam-a u aprilu.

 

Tragične događaje spameri retko ignorišu pa u tome ni april 2013. nije bio izuzetak. Nakon napada u Bostonu, internet je preplavljen zlonamernim masovnim porukama koje koriste događaj kao temu. U principu, ukupna količina spama u aprilu neznatno je porasla.

U aprilu, najveći deo spam-a u svetu poreklom je iz Kine i SAD-a. Južna Koreja je ostala neprevaziđen lider u distribuciji spam-a evropskim korisnicima. Zajedno sa SAD (2. mesto) slala je više od polovine svih spam-ova upućenih Evropi. Vijetnam je na 3. mestu.

Količina pfišing pošte tri puta je manja, ali nije bilo većih promena na listi top 5 organizacija koje su najčešće napaadali prevaranti. Kao i u martu, stranice društvenih mreža na vrhu su liste i mi očekujemo da će sačuvati svoje pozicije u maju. Najverovatnije, sledećeg meseca će se osetiti rast u kategoriji online igara: tokom letnjeg raspusta učenici i studenti obično su aktivni, jer koriste različite društvene i zabavne usluge na internetu.

 

Autori:

Tatyana Shcherbakova

Darya Gudkova