Фальшивые URL имеют московские координаты и британскую прописку
Корпорация Symantec опубликовала аналитический отчет Symantec Intelligence Report за октябрь 2011 года. Исследование объединило результаты доклада по мировой статистике передачи сообщений (Symantec.cloud MessageLabs Intelligence Report) и данные из отчета о ситуации со спамом и фишингом (Symantec State of Spam & Phishing Report). В октябре было зафиксировано незначительное снижение объемов мирового спама – на 0,6 процентных пункта. В то же время появились новые угрозы для корпоративных сетей, такие как W32.Duqu.
В октябре при относительно стабильной мировой статистике рассылки спама, Россия снова продемонстрировала незначительное снижение объемов получаемого почтового мусора – с 79,9% до 79,4%. Однако это не изменило ситуации, и Россия по-прежнему находится на втором месте после Саудовской Аравии. Что касается исходящего спама, после роста на 0,2% с августа до 6,7% в сентябре, октябрь показал снижение до 4,1%. При этом Россия остается на втором месте в Европе, уступая только Великобритании.
Между зонами UK и RUS в октябре сформировалась интересная связь. В прошедшем месяце злоумышленники начали активно создавать новые сервисы для сокращения адресов URL для обмана получателей спам-сообщений. Определенные приемы социальной инженерии, а также красивая ссылка позволяет перенаправить пользователя практически на любой сайт. В октябре специалисты Symantec обнаружили более 80 криминальных сервисов для сокращения URL, созданных на базе скриптов, находящихся в открытом доступе. Домены, используемые для сокращения URL, были размещены в Великобритании, а координаты, указанные при их регистрации ведут в Москву.
«В марте этого года уже наблюдался всплеск использования сервисов сокращения URL-адресов спамерами. Однако с того времени система детектирования спама на подобных ресурсах была модернизирована, и злоумышленники стали создавать свои ресурсы, позволяющие формировать короткие URL для обмана пользователей», - сказал Пол Вуд (Paul Wood), старший аналитик службы Symantec.cloud.
Очередную волну спама спровоцировало сообщение о смерти Муаммара Каддафи. Злоумышленники присылают письма, в которых якобы можно увидеть фотографии мертвого руководителя Ливии. Также встречались письма с опровержение его смерти. На самом деле в письмах вложены архивы, содержащие вредоносный код или help-файлы с известными бэкдорами, такими как Backdoor.Misdat. Специалисты Symantec ожидают увидеть новые версии подобных писем в ноябре.
Пример вредоносного письма с вложенным Backdoor.Misdat
В октябре пользователи мобильных устройств из стран Восточной Европы вновь были атакованы приложениями, рассылающими платные SMS и совершающими вызовы на премиум-номера, что обеспечивает злоумышленникам стабильную прибыль. В настоящее время в сети встречаются различного рода приложения, в основном ориентированные на платформу Android и iPhone. В начале октября в сети появилась подделка Skype под названием Skyps. Данная утилита имитирует приложение для IP-коммуникаций, тем временем, опустошая счет владельца телефона.
14 октября в сети был зарегистрирован новый вид вредоносного ПО, ориентированный на корпоративные сети. W32.Duqu использует механизм вторжения, похожий на тот, что использовал известный Stuxnet. Эксперты считают, что создатели новой угрозы имели доступ к исходному коду Stuxnet и, быть может, являются авторами обеих вредоносных утилит. W32.Duqu проникает в сети компаний, крадет конфиденциальные данные.
Другие выдержки из отчета:
• Спам: объем нежелательной почты во всем мире по итогам октября составил 74,2% почтового трафика, показав сокращение на 0,6 процентных пункта по сравнению с сентябрем 2011 года;
• Фишинг: Одно электронное сообщение на 343,1 в октябре было детектировано как фишинг, По сравнению с сентябрем 2011 года - это рост на 0,07%;
• Почтовые вирусы: В октябре специалисты Symantec детектировали по одному письму на 235,8 как содержащее вирус. Таким образом, в октябре наблюдалось сокращение уровня вредоносного ПО в электронной почте на 0.11% по сравнению с сентябрем 2011 года;
• Веб-безопасность: На протяжении октября 2011 года служба Symantec обнаруживала и блокировала по 3,325 вредоносных веб-сайтов в день. Этот показатель снизился на 4,3% по сравнению с сентябрем 2011 года;
• Угрозы конечным устройствам: Были выяснены дополнительные цели создания нового вредоносного ПО для систем Android. Кроме стандартных ходов с монетизацией доходов вирусы крадут номера IMEI, необходимые для эксплуатации заблокированных и контрафактных устройств.
Региональные тренды:
• Объем получаемого в России спама за последний месяц сократился на 0,5 процентных пункта до 79,4%, в результате Россия по-прежнему уступает лишь Саудовской Аравии (80,5%) и занимает второе место в мире;
• Чемпионом по фишинг-атакам в октябре стала Великобритания, где одно из 178,3 писем было признано фишингом;
• Отличившаяся в прошлом месяце Южная Африка сохранила за собой второе место по фишинг-атакам – одно письмо с фишингом на 203,8 сообщений;
• В октябре Великобритания обогнала чемпиона предыдущего месяца по письмам с вирусами – Венгрию. Теперь Англия занимает первое место, и одно письмо на 146,4 сообщения в Объединенном Королевстве детектируется как зараженное.
Вертикальные тренды:
• В октябре сектор образования обогнал автомобильную промышленность, количество нежелательных писем в образовательных учреждениях составило 76,4%;
• Объем спама в сфере химической и фармацевтической промышленности составил – 74,0%; в ИТ-услугах – 73,8%, в розничной торговле – 74,0%, в госсекторе – 73,8%, а в финансовой отрасли – 73,5%;
• Наибольшей популярности в октябре достиг спам, связанный с фармацевтическими средствами, на втором месте – спам, ведущий на сайты для взрослых и на сайты знакомств.
• Госсектор стал главной мишенью фишинг-атак в октябре, равно как и в прошлом месяце. Только количество атак увеличилось: теперь в государственные структуры на 86 писем одно детектируется как фишинг;
• Число фишинговых сайтов в октябре увеличилось на 17,1%. В частности, количество ресурсов, созданных с помощью автоматизированных инструментов, увеличилось на 36,1% практически нивелировав снижение прошедшего месяца;
• Госсектор по прежнему является крупнейшей мишенью для почтовых вирусов среди прочих отраслей: там блокируется как вредоносное одно из каждых 62,0 писем.
Отчет Symantec Intelligence Report за октябрь 2011 г. содержит более детальные сведения по всем приведенным выше трендам и цифрам, а также подробную информацию по региональным и вертикальным трендам.
Опубликовано 14.11.2011