Доля спама в почтовом трафике в июле составила 71,2%

Доля спама в почтовом трафике в июле составила 71,2%

Согласно данным отчета "Лаборатории Касперского", доля спама в почтовом трафике в июле увеличилась всего на 0,1% и составила 71,2%. Доля фишинговых писем в почтовом потоке по сравнению с июнем уменьшилась более чем вдвое и составила 0,0012%. Вредоносные вложения содержались в 2,2% всех электронных сообщений, что на 0,4% выше показателя прошлого месяца.



В июле продолжили фиксировать рассылки, в которых спамеры эксплуатировали интерес пользователей к значимым событиям месяца. Так, появление на свет сына герцога и герцогини Кембриджских и шпионский скандал с участием Эдварда Сноудена не остались без внимания спамеров. Злоумышленники традиционно рассылали письма с вредоносными ссылками, имитирующие сообщения от информагентств со ссылками на горячие новости.

Кроме того, интерес пользователей к этим событиям использовался для привлечения внимания к спам-рекламе. Так, ажиотаж вокруг рождения наследника принца Уильяма спамеры использовали в рекламе полиграфических услуг и рекламного оборудования. В честь долгожданного события компания предлагала скидки на роллерные стенды.

А скандал с участием экс-сотрудника спецслужб США Эдварда Сноудена использовался спамерами в рекламе товаров для похудения. Причем в теме таких писем эти товары могли вовсе не упоминаться, в тексте сообщения предлагалось узнать не про методы похудения, а подробности истории Сноудена. А ссылка на «подробности» уже вела на рекламную страницу.

Более прицельно имя Эдварда Сноудена использовалось в немецкоязычной рекламе программ для защиты информации. Пользователей убеждали купить рекламируемый продукт, поскольку признание Сноудена определенно говорит о существовании в интернете массовой слежки.
Рамадан

В этом году священный для мусульман месяц Рамадан пришелся на начало июля-август. Ежегодно мы фиксируем рассылки, эксплуатирующие эту тематику, в том числе для привлечения внимания получателей. Этот год не стал исключением: нами было отмечено несколько рассылок на английском языке не только с традиционной для Рамадана рекламой блюд и ночных ресторанов , но и с рекламой автомобилей и летнего досуга для детей.

Традиционно героями нигерийских писем становятся родственники или соратники известных богатых людей, либо умерших, либо оказавшихся в сложной жизненной ситуации. В июле в Египте был свергнут президент Мухаммед Мурси. Буквально через несколько дней нами была зафиксирована мошенническая рассылка, эксплуатирующая имя экс-президента Египта.

В нигерийском письме, якобы написанном секретарем экс-президента, сообщается, что все счета президента заморожены, а так как и бывший президент, и его секретарь находятся под домашним арестом, то Мурси ищет мусульманина, который может перевести деньги президента, хранящиеся в одном из европейских банков, на свой счет. В качестве вознаграждения, конечно, предлагается заманчивая сумма денег. Но классика жанра предполагает совсем иное: наивный пользователь не только не получит никакого вознаграждения, но и потеряет немалую сумму из своих денег, которые мошенники выманят у него под тем или иным предлогом.
Редкий вариант мошенничества

Также в отчете говорится описьме, которое представляло собой достаточно редкий вариант мошенничества. С адреса, который похож на адрес банка Australia and New Zealand Banking Group, пользователю приходит письмо с сообщением об ограничении доступа к его учетной записи в системе онлайн-банкинга. Для восстановления доступа необходимо позвонить по указанному в письме телефону. Звонок на указанный номер явно не будет безопасным: в лучшем случае с телефона звонящего снимут деньги, а в худшем – выудят у него какие-либо банковские данные.

Актуальность туристической темы в летний период очень высока, и эксперты продолжают фиксировать вредоносные рассылки, пришедшие якобы от имени различных авиакомпаний. В июле поддельное уведомление пришло от имени американской авиакомпании United AirLines. Пользователя информируют о том, что номер его места в самолете изменился, и обновленная информация  находится в приложенном архиве flight document upgrade.doc.zip. Архив содержит исполняемый файл с именем flight document upgrade.doc.exe, который детектируется «Лабораторией Касперского» как Backdoor.Win32.Vawtrak.a.

Этот бэкдор используется злоумышленниками для кражи паролей, сохраненных в браузерах, паролей от FTP и почтовых клиентов. Зловред также отсылает своим хозяевам скриншоты Рабочего стола и предоставляет им полный доступ к зараженному компьютеру, что позволяет злоумышленникам загружать и запускать на машине пользователя различные файлы.

Троян-комбайн атакует разработчиков: ворует пароли, майнит и заражает файлы

Специалисты «Доктор Веб» исследовали новый троян, который работает не как один вредонос, а как целый набор инструментов. Он нацелен на supply chain attack — атаки на цепочки поставок — и особенно интересуется проектами на C++ и C#. Главная озабоченность в том, что троян не ограничивается одной функцией.

Он одновременно ведёт себя как стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Зловред может красть данные, подменять информацию, давать злоумышленникам удалённый доступ, майнить криптовалюту и распространяться дальше через заражённые файлы.

Первые случаи распространения вредоноса зафиксировали в последнем квартале 2025 года. С тех пор его постоянно дорабатывают. В основном троян расползается по интернету через заражённые .exe- и Python-файлы, а сам процесс заражения устроен в несколько этапов.

В зоне риска токены Discord, которые позволяют заходить в аккаунты без логина и пароля, пароли и cookie из популярных браузеров, включая Chrome, Edge, Opera, Brave и «Яндекс Браузер», папки Telegram Desktop и данные криптокошелька Exodus.

С браузерами троян работает не только стандартными методами. Он может использовать файл CCCWF.tmp, который встраивается в браузер, считывает пароли и сохраняет их в текстовые файлы. То есть пароль даже не нужно взламывать, его просто аккуратно достают изнутри.

С Exodus история ещё опаснее. Вредонос не просто крадёт папки кошелька, а модифицирует само приложение: находит файл app.asar и заменяет его на поддельную версию, скачанную с сервера злоумышленников. В ней спрятана функция, которая при запуске отправляет мнемонические фразы кошелька атакующим.

RSS: Новости на портале Anti-Malware.ru