Spam w VIII 2011 r.

Przeczytaj także: Ewolucja spamu IV-VI 2011

Spam na świeczniku

Spam ze szkodliwymi załącznikami: stare i nowe taktyki

W sierpniu odsetek spamu ze szkodliwymi załącznikami wzrósł po raz kolejny i wynosił 5,9% wszystkich niechcianych e-maili. Co więcej, w celu wysyłania szkodliwego spamu wykorzystywano wiele różnych technik – zarówno tych wypróbowanych jak i kilka nowych metod.

Od końca czerwca pojawiały się wiadomości e-mail, które przypominały oficjalne powiadomienia od firm kurierskich, takich jak UPS, FedEx czy DHL. Ta fala spamu była najbardziej aktywna w okresie od 8 do 11 sierpnia.

Wiadomości spamowe informowały, że kurier nie mógł doręczyć przesyłki, w związku z czym odbiorca będzie musiał odebrać ją w biurze lub że adres odbiorcy został błędnie wypełniony, lub że przesyłka znajduje się w drodze do odbiorcy. Do wszystkich tych wiadomości dołączony był plik zarchiwizowany przy użyciu ZIP-a, który rzekomo zawierał formularze niezbędne do wysłania lub otrzymania przesyłki wymienionej w wiadomości e-mail.

W rzeczywistości pliki ZIP zawierały szkodliwe pliki. Na przykład dość duża wysyłka, która wyglądała, jakby pochodziła od UPS, zawierała wiele różnych modyfikacji trojana FraudLoad (Trojan-Downloader.Win32.FraudLoad). Inne wysyłki kryły modyfikacje szkodnika Backdoor.Win32.Agobot. Zagrożenie to było rozprzestrzeniane w wiadomościach przypominających oficjalne powiadomienia od wszystkich trzech firm kurierskich: UPS, FedEx oraz DHL. Nieco rzadziej Kaspersky Lab wykrywał różne modyfikacje trojana Trojan.Win32.Yakes.cap. Zagrożenia te, po przedostaniu się do komputera, pobierały inne szkodliwe programy.

Wysyłanie wiadomości, które wyglądają jak powiadomienia od wymienionych wyżej firm kurierskich, to stara sztuczka stosowana przez szkodliwych użytkowników już od co najmniej dwóch lat. Jednak, sądząc po tym, jak często jest wykorzystywana przez spamerów, wydaje się być skuteczna.

W sierpniu wykryliśmy również kilka nowych sztuczek wykorzystywanych do rozprzestrzeniania szkodliwego kodu, jednak wszystkie z nich opierały się na tej samej koncepcji: im bardziej tajemniczy e-mail i im mniej zawiera tekstu, tym większe są szanse, że wzbudzi ciekawość odbiorcy. Zidentyfikowaliśmy trzy rodzaje spamu wykorzystującego tę technikę:

• pierwsza grupa zawierała w temacie słowo “Changelog” i datę. Z kolei treść e-maila kryła tylko kilka słów, takich jak: “zgodnie z obietnicą” czy “zobacz załącznik”;
• spam z drugiej grupy miał w temacie wyrażenie: „End of July Statement required” lub “End of July Statement”. Treść wiadomości wyjaśniała, że, zgodnie z prośbą, nadawca przesyła nierozliczone faktury dla podanego okresu;
• spam z trzeciej grupy miał temat „Internal accounts from ATFT Corporation”, a treść informowała, że w załącznikach znajdują się wewnętrzne faktury z 2010 roku, i wyrażała wdzięczność za pomoc w “rozpoczęciu tego procesu”.