PayPal przyjmuje na siebie ciężar ataków phishingowych

Według czerwcowego raportu o spamie opublikowanego przez Kaspersky Lab, PayPal stanowi najpopularniejszy cel ataków: w porównaniu z majem liczba ataków na ten system płatności elektronicznych zwiększyła się o 20%. Facebook i bank HSBC po raz kolejny zamienili się miejscami, zajmując odpowiednio trzecie i czwarte miejsce. Ponadto, do rankingu Top 10 zakwalifikowała się popularna gra online World of Warcraft.

Ilość spamu wykrytego w czerwcu w ruchu pocztowym wynosiła średnio 84,8%. Najmniej spamu (80%) odnotowaliśmy 4 czerwca, najwięcej natomiast (89%) 27 czerwca.

 


Spam w ruchu pocztowym w czerwcu 2010

Źródła spamu

 

 
Źródła spamu

W czerwcu nastąpiły znaczące zmiany w rankingu największych źródeł spamu: wprawdzie Stany Zjednoczone i Indie zachowały czołowe pozycje, jednak pojawiły się trzy nowości, i to w pierwszej piątce: Brazylia, Kolumbia i Hiszpania. Ogólnie, ranking Top 20 zawiera sporo hiszpańsko i portugalskojęzycznych państw, między innymi Meksyk, Argentynę, Portugalię, Maroko i Chile.

Rosja spadła z trzeciego miejsca na szóste – odsetek spamu pochodzącego z tego państwa wynosił 3,6% – co stanowi spadek o 1,8 punktu procentowego w stosunku do maja.

Europa, jako region, objęła prowadzenia jako główny dystrybutor spamu: prawie 40% całkowitej ilości spamu pochodziło z tej części świata.

Ilość spamu rozsyłanego z Wielkiej Brytanii nieznacznie wzrosła w czerwcu w porównaniu z poprzednim miesiącem i wyniosła 2,8%.

Phishing

 

 
Organizacje stanowiące cel ataków phishingowych w czerwcu 2010

Pierwsza szóstka najpopularniejszych celów phisherów pozostała bez zmian. PayPal nadal jest niekwestionowanym liderem: w czerwcu liczba ataków na ten system płatności elektronicznych wzrosła o 20 punktów procentowych w porównaniu z majem. Udział pozostałych państw z pierwszej szóstki zmniejszył się. Facebook i HSBC znów zamieniły się miejscami, zajmując odpowiednio trzecie i czwarte pozycje.

W pierwszej dziesiątce pojawił się World of Warcraft. Ta popularna gra online była niejednokrotnie określana jako atrakcyjny cel phisherów w naszych raportach spamowych.

W czerwcu użytkownicy PayPala padli ofiarą ataku, w którym spamerzy zastosowali starą sztuczkę polegającą na poinformowaniu użytkowników o zablokowaniu ich konta. W celu ponownej aktywacji konta użytkownik musi otworzyć załącznik i podać swój login i hasło. Załącznik zawierał phishingową stronę HTML.

 

 
 

Szkodliwe oprogramowanie w ruchu pocztowym

W czerwcu lista szkodliwych programów, które występowały w spamie, wyglądała następująco:

 

 
 

Niekwestionowanym zwycięzcą czerwca jest rodzina szkodliwego oprogramowania o nazwie Pegel. Szkodniki z tej rodziny: Trojan-Downloader.JS.Pegel.g i Trojan-Downloader.JS.Pegel.bc, uplasowały się na pierwszym i trzecim miejscu rankingu. Programy te są stronami HTML zawierającymi JavaScript. Po otwarciu zainfekowanej strony w przeglądarce trojan ten zaczyna deszyfrować i wykonywać swój kod. Jednocześnie użytkownik zostaje przekierowany na stronę zainfekowaną exploitami, z której na komputer użytkownika mogą zostać pobrane inne szkodliwe programy poprzez luki w zabezpieczeniach przeglądarki.

Na drugim miejscu znajduje się szkodliwy program składający się ze strony HTML zawierającej JavaScript – Trojan.JS.Redirector.dz. Piąte miejsce zajmuje Trojan.Script.Iframer, ósme natomiast weteran rankingu Top 10 – Trojan-Spy.HTMLFraud.gen, co pokazuje dość interesującą rzecz: obecnie 40% szkodliwych programów z rankingu Top 10 rozprzestrzenianych za pośrednictwem poczty elektronicznej działa na platformach innych niż Win 32.

Interesujące jest to, że Pegel, Redirector oraz Trojan.Script.Iframer były rozprzestrzeniane w bardzo różnych wiadomościach e-mail – od fałszywych powiadomień wysyłanych rzekomo przez portale społecznościowe po standardowe wiadomości z lakonicznym tekstem w stylu “zobacz moje zdjęcia”. Typowe dla wszystkich tych masowo wysyłanych wiadomości e-mail są załączniki HTML oraz odsyłacze do stron HTML.

 


 

W czerwcu szkodliwi użytkownicy aktywnie rozprzestrzeniali za pośrednictwem poczty elektronicznej warianty jednego z obecnie najbardziej niebezpiecznych rootkitów – Trojan.Win32.TDSS, które uplasowały się na czwartym i siódmym miejscu w rankingu Top10. Warianty tego programu można było znaleźć w różnych odnośnikach, jednak zawsze w postaci załącznika spakowanego w archiwum zip. W celu rozprzestrzeniania tych trojanów oszuści wykorzystywali jeden ze swoich ulubionych tematów – podatki. W wiadomości e-mail poniżej spamerzy próbowali ukryć rozszerzenie .exe spakowanego pliku, zastępując je rozszerzeniem .doc.

 

 
 

W przypadku innej masowej wysyłki, w której rozprzestrzeniano przedstawiciela rodziny Trojan.Win32.TDSS, oszuści zastosowali bardzo popularną sztuczkę – fałszywe powiadomienie o możliwej infekcji komputera Confickerem. W celu wyleczenia tej infekcji użytkownikowi zalecano pobranie załączonego do wiadomości programu setup.exe. Naturalnie program ten niczego nie leczył.

 

 
 

Inny szkodliwy program, Trojan.Win32.VBKrypt.cpz, który nie zaklasyfikował się do czerwcowego zestawienia Top 10, był rozprzestrzeniany w wiadomościach e-mail, pochodzących rzekomo od Google i zawierających podziękowanie dla użytkownika za wysłanie CV.

 

 
 

W porównaniu z majem na liście państw, z których użytkownicy najczęściej otrzymywali szkodliwe programy rozprzestrzeniane za pośrednictwem poczty elektronicznej, pojawiło się kilka zmian:

 

 
Najpopularniejsze źródła szkodliwego oprogramowania w ruchu pocztowym

Majowi liderzy, Niemcy i Wielka Brytania, odnotowali spadek o dwie pozycje, a ich miejsca zajęła Japonia i Stany Zjednoczone. Jednak tylko w przypadku Japonii ilość szkodliwego oprogramowania otrzymywanego przez użytkowników znacząco wzrosła w stosunku do poprzedniego miesiąca – i była w czerwcu dwukrotnie większa. Interesujące jest to, że z rankingu Top 10 wypadły Indie, a ich miejsce zajęły Chiny, które odpowiadały za 3,5% wszystkich wiadomości zawierających zainfekowane załączniki.

Spam według kategorii

Pierwsze miejsce wśród angielskojęzycznego spamu zachowała kategoria “Lekarstwa oraz towary i usługi związane ze zdrowiem”. W czerwcu udział tej kategorii w spamie wynosił średnio 35%. E-maile reklamujące Wiagrę imitowały powiadomienia z różnych portali społecznościowych. Zawierały również następujące nagłówki: “Lekarstwa dla mężczyzn zatwierdzone przez FIFA” lub “Mistrzostwa Świata. Złe wiadomości”.

Na drugim miejscu znalazła się kategoria “Oszustwa komputerowe”, stanowiąca 25% wszystkich wiadomości spamowych. Spam z tej kategorii również wykorzystywał temat Mistrzostw Świata. Wykorzystywany był na przykład w większości listów nigeryjskich, które stanowią trzon tej kategorii. Mistrzostwa były też idealną okazją dla spamerów, którzy rozsyłają oferty, próbując nakłonić użytkowników, aby spróbowali szczęścia w kasynie online lub obstawiając wyniki meczy.

 

 
 

W czerwcu pojawiły się również zabawne wiadomości e-mail oferujące odbiorcom możliwość obejrzenia pyłu z wulkanu, który na kilka tygodni sparaliżował europejską przestrzeń powietrzną:

 


Odsyłacz w wiadomości e-mail prowadził do strony internetowej, na której można było kupić buteleczkę wypełnioną szarym piaskiem wraz z certyfikatem potwierdzającym, że ów szary materiał jest prawdziwym pyłem pochodzącym z wulkanu o trudnej do wymówienia nazwie.

Wnioski

W czerwcu ilość spamu nieznacznie spadła w porównaniu z poprzednim miesiącem.

Do rankingu Top 10 największych spamerów powróciła Brazylia.

Najpopularniejszym celem ataków phishingowych byli użytkownicy systemu PayPal.

Udział e-maili zawierających zainfekowane pliki zwiększył się o 0,5 punktu procentowego. Po raz pierwszy w historii rankingu Top 10 najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej 40% z nich nie zostało stworzonych dla platformy Win32. Większość szkodliwego oprogramowania z czerwcowego rankingu Top 10 składała się ze stron HTML zawierających JavaScript. Z tego powodu były one najczęściej rozprzestrzeniane jako załączniki HTML do wiadomości e-mail. Nie jest łatwo formułować długoterminowe prognozy, istnieje jednak duże prawdopodobieństwo, że w najbliższej przyszłości nadal będą rozprzestrzeniane podobne masowe wysyłki.

Spamerzy na całym świecie aktywnie wykorzystywali Mistrzostwa Świata.

Źródło: Kaspersky Lab