По результатам анализа данных, озвученных экспертами в области информационной безопасности на мероприятии “Компьютерный андеграунд 2010—2020: итоги и прогнозы”, которое провели специалисты “Лаборатории Касперского”, выяснилось, что самый заметный для обычных пользователей компьютеров вид криминогенной киберактивности, спам, окончательно и бесповоротно ушел из ниши нелегальной рекламы в малый и средний бизнес. Подобный метод рассылки все в большей мере становится инструментом мошенников и продавцов поддельной и нелегальной продукции. За 12 месяцев ушедшего года именно спам стал еще и источником многочисленных вредоносных атак: количество вирусов в самой обычной электронной почте увеличилось в 2,6 раза.
Вектор заметных угроз
В 2010 г. вредоносные файлы содержались в 2,2% электронных сообщений, что в 2,6 раза больше, чем в 2009-м (тогда на вредоносные программы приходилось только 0,85% трафика). Массированные вредоносные рассылки, наблюдавшиеся летом и в начале осени 2010-го, во многом обусловили высокий процент вредоносного спама по итогам года. Пик таких рассылок пришелся на август.
Наиболее эффективные спамерские методы и трюки применялись именно в рассылках, с помощью которых распространялись вредоносные программы. Письма в таких рассылках искусно подделывались под официальные уведомления популярных веб-ресурсов (социальных сетей, магазинов, банков и хостингов), при их составлении были использованы приемы социальной инженерии. Пользователь, прошедший по ссылке в письме-подделке, перенаправлялся на сайт с рекламой виагры (основной бизнес “прикрытой” партнерки Glavmed/Spamit.com), и в то же время, незаметно, — на вредоносный сайт. Кроме того, весьма серьезно активизировались мошенники, атакующие пользователей в системах дистанционного банковского обслуживания. С помощью спама пользователя “заманивают” на вредоносный сайт и “подсаживают” ему на компьютер вирус-троянец с функцией удаленного доступа к консоли ДБО. На компьютер пользователя сначала проникает загрузчик, который после “укоренения” на компьютере-“жертве” и детектирования компании — разработчика клиентского модуля ДБО, загружает на машину дополнения для работы именно с этой версией системы. Поскольку они не выходят в “открытую” сеть Интернет, антвирусы часто их не отслеживают.
Кроме атак на системы ДБО вирусы, рассылаемые со спамом, можно четко классифицировать по “специализации”. К примеру, по итогам года (оценка “Лаборатории Касперского”) лидирует Trojan-Spy.HTML.Fraud.gen, основная его задача — сбор личных и регистрационных данных пользователя. Такие “троянцы” реализованы в виде поддельных HTML-страниц. Рассылаются по электронной почте под видом важного сообщения от крупных интернет-магазинов, софтверных компаний и т. д. В письме содержится ссылка, в которой использована Frame Spoof-? уязвимость в 5.x и 6.x версиях Internet Explorer. Попадая на сайт, пользователи вводят свои учетные данные, после чего они пересылаются злоумышленникам, и те могут получить полный доступ к управлению конфиденциальной информацией пользователя. На втором месте — Trojan-Downloader.JS.Pegel.g. Эта вредоносная программа с заметным отрывом от остальных возглавила рейтинг в июне. “Члены” семейства Pegel представляют собой html-страницу, содержащую сценарий, написанный на языке JavaScript. После открытия зараженной страницы в браузере, троянец, используя сценарий JavaScript, начинает дешифровку своего кода и запускает его выполнение. При этом пользователь перенаправляется на сайт, зараженный эксплойтами, с которого, используя уязвимости в браузере, на компьютер могут загрузиться другие вредоносные программы.
Спамом активно пользователи и киберпреступники, “заточенные” на кражу личных данных (т.н. фишеры) — доля таких писем в почте составила 0,35%, что на 0,51% меньше аналогичного показателя прошлого года. Правда, это совсем не означает снижения уровня угрозы — скорее, у нее улучшилось целеполагание. Несмотря на то что оба лидера десятки наиболее часто атакованных фишерами организаций — PayPal и eBay — сохранили свои позиции, большая часть рейтинга претерпела заметные изменения. “Если в 2009 г. шесть из десяти организаций являлись банками, то в 2010-м сфера интересов фишеров сместилась в сторону различных онлайн-сервисов”, — отмечают аналитики “Лаборатории Касперского”. Теперь наибольший интерес для фишеров представляют аккаунты социальных сетей. Основной целью в этом сегменте являются аккаунты Facebook — самой популярной в настоящее время социальной сети. Доля атак на нее составила 6,95%. Также в TOP 10 попала социальная сеть Habbo, на долю которой пришлось 1,34% всех фишинговых атак 2010 г.
Популярность у фишеров обрели и сервисы Google, особенно там, где есть живые деньги: Google AdWords и Google Checkout. Они представляют для фишеров не меньший интерес, чем аккаунты онлайн-банкингов, поскольку к ним привязываются данные пластиковой карты пользователя. Не стала исключением и онлайн-игра World of Warcraft — здесь фишерам интересны как “прокачанные” персонажи (их стоимость может составлять несколько сотен и даже тысяч долларов), так и игровая валюта WoW Gold: ее тоже можно монетизировать за наличные. Судя по тому, что у фишеров все большей популярностью пользуются деньги из виртуальных миров, можно с достаточной долей уверенности предположить, что в дальнейшем виртуальные деньги станут более интересны злоумышленникам, нежели реальные. В случае с воровством виртуальных денег фишер получает не меньший доход, при этом подвергая себя куда меньшему риску, чем в случае того же кардерства.
Активное противодействие
Помимо закрытия командных центров спам-сетей 2010 г. был удачным для киберполицейских: им удалось не только определить, но и задержать некоторых наиболее активных спамеров. Самым сильным ударом по спамерам стало закрытие 25 октября 143 командных центров ботнета Bredolab. По сведениям голландской полиции, к моменту их закрытия этот ботнет насчитывал около 30 млн. компьютеров пользователей в разных странах мира. Операция была проведена совместными усилиями национальной группы быстрого реагирования на компьютерные инциденты (Computer Emergency Readiness Team, CERT), спецподразделений голландской полиции, специалистов по сетевой безопасности и хостинг-провайдера, в сетях которого были обнаружены эти серверы. На следующий день в Международном аэропорту Еревана был задержан один из владельцев отключенной зомби-сети.
Тогда же, в октябре прошлого года, ареной действий правоохранительных органов стали партнерские программы, специализирующиеся на фармацевтическом спаме, к примеру, закрытая программа SpamIt — одна из крупнейших в мире партнерских программ по продаже фармацевтических препаратов. В конце того же месяца следственное управление при УВД по Центральному административному округу Москвы возбудило уголовное дело против генерального директора ООО “Деспмедия” Игоря Гусева. Последний обвиняется в продаже контрафактных фармацевтических препаратов, в том числе виагры, на территории США, Канады и других стран. Уголовное дело против Игоря Гусева было возбуждено по части 2 статьи 171 УК РФ (незаконное предпринимательство, сопряженное с извлечением дохода в особо крупном размере). Однако о результатах расследования пока ничего не известно.
Чуть раньше, в конце сентября, были проведены массовые аресты участников группировки, распространяющей вредоносную программу ZeuS, которая часто рассылается с помощью спама. За арестами последовало ощутимое уменьшение количества заражений компьютеров этим зловредом.
В начале декабря в Лос-Анджелесе был задержан Олег Николаенко, обвиняемый в рассылке спама с помощью ботнета Mega-D, командные центры которого были закрыты в ноябре 2009-го. Считается, что после закрытия ботнета Mega-D и программы Affking Николаенко продолжил заниматься распространением спама в качестве активного участника партнерской программы SpamIt.
Вышеперечисленные события — отключение командных центров ботнетов, закрытие партнерской программы SpamIt и возбуждение против спамеров уголовных дел — повлияли на структуру и характер спама: писем с незаказанными рассылками, рекламой и прочим “кибермусором” в общемировом почтовом трафике снизилась меньше 78%. Уже несколько лет количество спама в почтовом трафике не оставалось на таком низком уровне в течение столь долгого времени. Сколько продлится затишье на этот раз, пока остается загадкой.