Spam V 2014

Przeczytaj także: Spam I kw. 2014

Ubezpieczanie dla każdego przed wszystkim

Kolejnym popularnym tematem w badanym miesiącu było ubezpieczenie przed różnymi wypadkami losowymi, głównie ubezpieczenie na życie, aczkolwiek pojawiły się również oferty ubezpieczenia samochodu.

Celem tych wysyłek było przekierowanie użytkowników na strony, gdzie mogli porównać koszty ubezpieczenia różnych ubezpieczycieli i wybrać najkorzystniejsze warunki. W innych przypadkach, odsyłacze w e-mailach prowadziły do strony spamerów, na której odwiedzającemu oferowano szeroki wybór różnego rodzaju ubezpieczeń, firm i programów. Po dokonaniu wyboru i kliknięciu jednej z proponowanych opcji, użytkownik wchodził do innego zasobu. Odsyłacze w wiadomościach mogły również prowadzić do strony reklamującej konkretną firmę ubezpieczeniową; zwykle była to niedawno założona firma średniego rozmiaru.

Nietypowym rodzajem oferty ubezpieczenia, ograniczonej jedynie do angielskojęzycznego spamu, było ubezpieczenie na wypadek pochówku. W rzeczywistości jest to rozszerzona wersja ubezpieczenia na życie: większa składka ubezpieczeniowa oznacza, ze polisa ubezpieczeniowa pokrywa usługi pogrzebowe na wypadek nagłej śmierci. W maju takie wiadomości przychodziły w formie obrazów zawierających odsyłacz prowadzący do strony firmy ubezpieczeniowej. Odsyłacze te różniły się w zależności od e-maila, zawsze jednak opierały się na różnych domenach zarejestrowanych przez spamerów na krótko przed rozpoczęciem wysyłki.

Odsetek spamu w ruchu e-mail w maju wynosił średnio 69,8%, czyli o 1,3 punktu procentowego mniej niż w kwietniu. Najwyższy poziom spamu odnotowano w trzecim tygodniu miesiąca (72,1%), najniższy natomiast w połowie miesiąca (69%).

Szkodliwe załączniki w wiadomościach e-mail

Wykres poniżej pokazuje 10 szkodliwych programów najczęściej rozprzestrzenianych w maju za pośrednictwem poczty e-mail.

Po raz kolejny na pierwszym miejscu znajduje się Trojan-Spy.HTML.Fraud.gen. Zagrożenie to występuje jako strona phishingowa i wysyła wiadomości e-mail podszywające się pod ważne powiadomienie z banku, sklepu internetowego oraz innych serwisów.

W maju przedstawiciele rodziny Bublik zajmowały 2, 3, 5, 7 i 10 miejsce. W poprzednim miesiącu do grupy tej należało osiem na 10 szkodliwych programów. Ich główną funkcją jest nieautoryzowane pobieranie i instalowanie nowych wersji szkodliwego oprogramowania na komputerach ofiary. Po wykonaniu tego zadania program nie pozostaje aktywny: kopiuje się do pliku %temp% imitującego aplikację lub dokument Adobe. Trojan.Win32.Bublik.cpik oraz Trojan.Win32.Bublik.cpil pobierają niesławnego szkodnika ZeuS/Zbot. Chociaż szkodnik ten potrafi wykonywać wiele szkodliwych działań, najczęściej jest wykorzystywany do kradzieży informacji bankowych. Potrafi również instalować szkodliwy program o nazwie CryptoLocker, który szyfruje dane użytkowników i żąda okupu w zamian za ich odszyfrowanie.

Na czwartym miejscu znalazł się Trojan-Banker.Win32.ChePro.ilc, trojan bankowy, którego celem są klienci banków brazylijskich. Jak każdy szkodnik tego typu kradnie informacje i hasła bankowe.

Dziewiąte miejsce zajął Trojan.Win32.Pakes.agxu, oprogramowanie szpiegujące, które przechwytuje uderzenia klawiszy, gromadzi zrzuty ekranu z komputerów ofiar i wysyła przechwycone informacje na adresy e-mail przestępców.

Wielka Brytania stanowiła państwo o największym odsetku wykryć szkodliwego oprogramowania w poczcie e-mail (13,5%, o 3,5 punktu procentowego więcej niż w kwietniu). Stany Zjednoczone spadły na drugie miejsce. Niemcy (8,2%) utrzymały się na trzeciej pozycji.

Nowość w majowym rankingu Top 20 stanowiła Kolumbia (1,83%), Rosja natomiast wypadła z zestawienia.
Odsetek wykryć szkodliwego oprogramowania w poczcie e-mail w innych krajach nie zmienił się znacząco.

Cechy specjalne szkodliwego spamu

Temat ubezpieczeniowy pojawiał się nie tylko w reklamie spamowej – był również wykorzystywany w masowych wysyłkach rozprzestrzeniających szkodliwe załączniki. Trafiliśmy na przykład na niemieckojęzyczne wiadomości o temacie „You have not paid your monthly premium" (tłum. Nie zapłaciłeś miesięcznej składki) zawierające ostrzeżenie, że w następnym miesiącu stopa procentowa ulegnie zmianie. Wiadomości te zawierały odsyłacz do rzekomo bardziej szczegółowych informacji i po kliknięciu go przez odbiorcę na komputer pobierało się archiwum ZIP o nazwie ‘Dokumentation’ (dokumentacja) lub ‘Rechnung’ (rachunek). W obu przypadkach archiwum zawierało szkodliwe oprogramowanie o nazwie Backdoor.Win32.Androm.dsqy. Ten członek rodziny Andromeda jest backdoorem, który potrafi kontrolować zainfekowane komputery, pozostając niezauważonym. Zainfekowane komputery często stają się częścią botnetu.