Ewolucja spamu IV-VI 2010

Przeczytaj także: Spam w VI 2010

Drugim najbardziej rozpowszechnionym zagrożeniem był paker Trojan.Win32.Pakes.Krap.an. Podobny trojan, Packed.Win32.Krap.x, prowadził w rankingu w zeszłym kwartale. Oprócz programu Trojan.Win32.Pakes.Krap.an w rankingu Top 10 znalazł się jeszcze jeden paker: Trojan.Win32.Pakes.Katusha.l. Program ten uplasował się na piątym miejscu. Podobne programy często są wykorzystywane do pakowania fałszywych programów antywirusowych.

Trzecie miejsce na tej liście przypadło zagrożeniu pocztowemu – programowi o nazwie Trojan-Spy.HTML.Fraud.gen. W poprzednim kwartale trojan ten zajął drugie miejsce. Program ten wykorzystuje lukę w programie Microsoft Internet Explorer, w wersji 5.x i 6.x i został stworzony w celu gromadzenia poufnych informacji podawanych przez użytkowników na stronach internetowych.

Szkodliwe pliki były rozprzestrzeniane za pośrednictwem wiadomości e-mail zawierających różne oferty. Były to rzekome powiadomienia pochodzące od dostawców serwisów pocztowych oraz portali społecznościowych zachęcające odbiorców do zainstalowania aktualizacji lub zmiany haseł, jak również fałszywe elektroniczne kartki okolicznościowe oraz rzekome faktury od dostawców usług pocztowych. Inne taktyki obejmowały wysyłanie fałszywych wiadomości e-mail ze skandalicznymi newsami w tematach oraz obietnicami, między innymi, zdjęć pięknych, skąpo odzianych kobiet w załączniku. Niekiedy można zauważyć, że twórcom wirusów skończyły się genialne pomysły i wykorzystywali lakoniczne wiadomości, takie jak ta poniżej:

Czerwiec: masowy atak

Jak już zauważyłam wcześniej, Trojan-Downloader.JS.Pegel.g był najbardziej rozpowszechnionym zagrożeniem w czerwcu i odpowiadał za 23,3% wszystkich szkodliwych plików wykrytych w wiadomościach e-mail. Całą winę można przypisać temu jednemu mutującemu się masowemu atakowi spamowemu.
Spamerzy rozesłali wiadomość e-mail, która przypominała powiadomienie od dostawców usług pocztowych, portali społecznościowych lub popularnych portali, takich jak Facebook, Twitter, Digg, Amazon, Windows Live, YouTube, Skype i Wikipedia. Wiadomości te przypominały ataki phishingowe. Jednak gdy użytkownik kliknął odsyłacz, został przekierowany na zhakowaną stronę internetową, z której był pobierany zainfekowany skrypt. Następnie skrypt ten przekierowywał go na stronę reklamującą lekarstwa lub podrabiane towary luksusowe. W przeciwieństwie do wiadomości phishingowych, gdzie zazwyczaj tylko jeden odsyłacz wskazuje na stronę szkodliwego użytkownika, w tym przypadku wszystkie odsyłacze w wiadomości prowadziły do tej samej strony.
Jedną z wyróżniających cech tej masowej wysyłki spamowej jest obecność załącznika HTML w e-mailach lub odsyłaczy, które prowadzą użytkowników do strony internetowej zawierającej program Pegel, Iframe lub Redirector. Zaciemniony JavaScript przekierowuje użytkowników na stronę internetową cyberprzestępcy. W większości przypadków, ten złożony system był wykorzystywany do przyciągania użytkowników na stronę reklamującą Viagrę lub podrabiane towary luksusowe. Niekiedy jednak strony docelowe zawierały szkodliwe oprogramowanie, w tym Backdoor.Win32.Bredolab. Podobną metodę oszuści zastosowali w zeszłym roku.