Spam w V 2013 r.

Przeczytaj także: Spam w I kw. 2013 r.

Specjalne cechy szkodliwego spamu

W maju popularnością cieszyły się fałszywe wiadomości wysyłane w imieniu znanych sklepów internetowych. Przed wakacjami otrzymaliśmy masową wysyłkę imitującą oficjalne powiadomienia ze sklepu internetowego Amazon. Oszuści dziękowali odbiorcy za nieistniejące zamówienie i zachęcali do wprowadzenia zmian do zamówienia lub śledzenia jego statusu poprzez odwiedzenie firmowej strony internetowej lub kliknięcie zawartego w e-mailu odsyłacza. Odsyłacze te w rzeczywistości prowadziły do oficjalnego sklepu internetowego, a nie do stron phishingowych czy szkodliwych plików. Jednak w tej samej wiadomości napisano, że w załączniku można znaleźć dodatkowe informacje dotyczące zamówienia. Informacja ta została podkreślona na niebiesko, aby użytkownik mógł łatwo ją zauważyć. W przeciwieństwie do wielu podobnych wiadomości, spamerzy nie straszyli odbiorcy anulowaniem zamówienia, aby skłonić go do otwarcia załącznika. Zamiast tego załączyli informacje o warunkach związanych z anulowaniem zamówienia.

Załączone archiwum Your Order Details with Amazon.zip zawierało plik wykonywalny Your Order Details with Amazon.PDF.exe wykrywany przez Kaspersky Lab jako Backdoor.Win32.Androm.qp. W maju jeden ze szkodliwych programów z tej rodziny znajdował się na siódmym miejscu listy najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem poczty e-mail, w kwietniu natomiast program należący do tej rodziny uplasował się w pierwszej trójce. Po przedostaniu się na komputer ofiary Backdoor.Win32.Androm potrafi między innymi pobierać inne szkodliwe pliki, wysyłać różne informacje z zainfekowanego komputera lub przyłączać go do botnetu bez wiedzy użytkownika.

W maju spamerzy nadal wysyłali szkodliwe fałszywe powiadomienia w imieniu znanych firm logistycznych: nasze pułapki przechwyciły wiadomości napisane rzekomo przez pracowników firmy UPS. Informowały one odbiorców, że kurierowi nie udało się dostarczyć paczki z powodu błędnego adresu dostawy i paczkę należy odebrać w siedzibie firmy. W tym celu należało wydrukować załączony do wiadomości dokument.

Jednak zamiast obiecywanego dokumentu załączone archiwum UPS_Label_23052013.zip zawierało plik wykonywalny UPS_Label_23052013.exe, wykrywany przez Kaspersky Lab jako Trojan-PSW.Win32.Tepfer.kxdh. W kwietniu jeden ze szkodliwych programów z tej rodziny znalazł się na 4 miejscu listy najpopularniejszych szkodliwych programów rozprzestrzenianych za pośrednictwem poczty e-mail, w maju natomiast uplasował się na 10 pozycji. Trojan ten kradnie hasła z klientów FTP i programów pocztowych, jak również loginy i hasła wprowadzane do przeglądarki. Aby ofiara nie nabrała podejrzeń co do wiadomości, oszuści dodali informację, że wiadomość ta została wysłana z publicznego adresu i nie wymaga odpowiedzi. Treść zawierała również ostrzeżenie o poufności.

Trojan Tepfer.kdkq został zidentyfikowany w jeszcze innej majowej wysyłce masowej. Szkodliwy plik o nazwie wupos_digital_cert_{ DIGIT [19]}.exe został spakowany w pliku zip dołączonym do wiadomości, która rzekomo została wysłana przez Western Union.

Odbiorców wiadomości informowano, że wydano dla nich nowe certyfikaty cyfrowe dla przelewów pieniężnych za pośrednictwem internetu i aby je zainstalować, muszą otworzyć załącznik.

W wiadomości zaznaczono również, że wszelkie pytania można kierować do działu wsparcia Western Union. Spamerzy mieli nadzieję, że w ten sposób zmniejszą podejrzenia użytkownika odnośnie legalności tego e-maila.

Phishing

Odsetek wiadomości phishingowych zwiększył się bardzo nieznacznie w porównaniu z kwietniem i wynosił 0,0024%.

Ranking ten opiera się na wykryciach komponentu antyphishingowego firmy Kaspersky Lab, aktywowanego za każdym razem, gdy użytkownik próbuje kliknąć odsyłacz phishingowy, niezależnie od tego, czy odsyłacz ten znajduje się w wiadomości spamowej czy na stronie internetowej.