Symantec анонсирует отчет Messagelabs Intelligence за июнь и второй квартал 2009 года

...

Корпорация Symantec объявила о выпуске своего отчета MessageLabs Intelligence Report за июнь 2009 года. Анализ показал, что по сравнению с маем уровень спама не изменился и сохранил значение 90,4% — в значительной мере благодаря тому, что в течение нескольких часов не функционировала одна из крупнейших и наиболее активных бот-сетей Cutwail. Это стало результатом отключения 5 июня 2009 года калифорнийского ISP провайдера Pricewert LLC (другие названия: 3FN и APS Telecom). В июне, по данным MessageLabs Intelligence, каждая 78-я гиперссылка, содержащаяся в сообщениях IM, вела на вредоносный веб-сайт. 


«Восстановление бот-сети Cutwail на одну треть от ее исходной активности всего за несколько часов подчеркивает прогресс, достигнутый спамерами с момента отключения McColo в ноябре прошлого года, — комментирует старший аналитик MessageLabs Intelligence Пол Вуд (Paul Wood). — Спамеры осознали важность наличия резервных каналов управления».


Доля спама, исходящего из бот-сетей, составила в июне 83,2% от общего уровня спама. Напоминанием об этом служат взломанные серверы электронной почты и учетные записи веб почты. Поток графического спама, о котором MessageLabs сообщила в мае, в июне стал более стабильным, и спам этого типа составлял от 8% до 10% от общего уровня. Новые варианты этого спама, исходящие из бот-сетей, содержат узоры, создающие фоновый шум, и не размещаются на удаленных веб-страницах, а рассылаются в виде вложений в сообщения email.


В июне MessageLabs Intelligence обнаружила, что каждое 405-е сообщение в системах IM содержит гиперссылку, причем каждая 78-я из этих гиперссылок ведет на один из веб-сайтов, несущих вредоносный контент – это на 0,78% больше, чем в среднем за последние шесть месяцев. В конце 2008 года MessageLabs Intelligence выявила вредоносные гиперссылки только в одном из каждых 200 сообщений публичных IM-систем. При текущем их уровне каждый 80-й пользователь IM будет ежемесячно получать вредоносные сообщения.


MessageLabs Intelligence выявила растущую потребность в защите от угроз, нацеленных на сектор здравоохранения. В последние месяцы поток спама, нацеленного на этот сектор, усилился, и можно утверждать, что до конца 2009 года его уровень достигнет 90%. По сравнению с началом 2009 года количество вредоносных атак, распространяемых по email и нацеленных на сектор здравоохранения, более чем удвоилось.


Другие выводы отчета:


Веб-безопасность: Анализ картины веб-безопасности показывает, что 58,8% распространяемых через веб вредоносных программ, перехваченных в июне, были новыми. MessageLabs Intelligence ежедневно выявляла также в среднем 1919 новых веб-сайтов, на которых размещаются вредоносные и другие потенциально нежелательные программы, такие как шпионское и рекламное ПО, что на 67% больше, чем в мае.


 Спам: В июне 2009 года доля спама в мировом трафике электронной почты, исходящего из новых и ранее неизвестных вредоносных источников, составила 90,4% (одно из каждых 1,1 сообщения), что соответствует майскому уровню. Средний уровень спама во втором квартале 2009 года составил 88,7% против 74,5% в первом квартале 2009 года.


 Вирусы: В июне доля вирусов в мировом трафике электронной почты, исходящих из новых и ранее неизвестных вредоносных источников, составила одно на каждые 269,4 зараженного сообщения (0,37%), что на 0,06% больше, чем в мае. В июне 10,4% распространяемых по email вредоносных программ содержали ссылки на вредоносные сайты, что на 3,4% больше, чем в мае. Средний уровень вирусов во втором квартале 2009 года составил одно зараженное сообщение email на каждые 297,4 сообщения против одного на каждые 281,2 сообщения в первом квартале 2009 года. 


Фишинг: Одно из каждых 280,4 сообщения email (0,36%) содержало ту или иную форму фишинговых атак, что примерно соответствует уровню мая. Доля фишинговых сообщений в общем потоке всех распространяемых по email угроз, таких как вирусы и трояны, выросла на 6,4% и составила 96,1% всех перехваченных в июне угроз, распространяемых по email. Уровень фишинга во втором квартале 2009 года составил в среднем одно на каждые 321,4 сообщения против одного на каждые 290,4 сообщения в первом квартале 2009 года. 


Тенденции по географическим регионам:


• В июне уровень спама во Франции поднялся на 8,6%, что делает эту страну наиболее «заспамленной».


• В США уровень спама понизился до 78,4%, а в Канаде — до 72,2%, зато в Великобритании он вырос до 90,3%.


• В Германии уровень спама достиг 96%, а в Нидерландах — 93,9%. В Австралии уровень спама понизился до 88,8%, а в Японии — до 67,1%.


• Активность вирусов в Австралии усилилась на 1,29% и составила одно зараженное сообщение на каждые 68,8 сообщения, что ставит ее на первую позицию в рейтинге за июнь. 


• Уровень вирусов в США составил одно зараженное сообщение на каждые 371,7 сообщения, а в Канаде — одно на каждые 423,7 сообщения. В Германии уровень вирусов составил одно на каждые 444,0 сообщения, а в Нидерландах — одно на каждые 644,5 сообщения. В Гонконге активность вирусов достигла одного на каждые 354,7 сообщения, а в Японии — одного на каждые 235,7 сообщения. 


Тенденции по отраслям:


• В июне наиболее «заспамленным» сектором экономики стал гостиничный и ресторанный бизнес, в котором уровень спама составил 92,3%. 


• В секторе образования уровень спама достиг 90,3%, а в секторе химической и фармацевтической промышленности — 88,6%; в розничной торговле он составил 90,2%, в государственном секторе — 90,8%, а в финансовом — 87,5%. 


• Активность вирусов в секторе образования снизилась на 0,10%, однако этот сектор продолжает возглавлять рейтинг с одним зараженным сообщением на каждые 126,7 сообщения. 


• Уровень заражения вирусами в секторе ИТ-услуг составляет одно на каждые 358,0 сообщения, в розничной торговле — одно на каждые 493,6 сообщения и в секторе финансовых услуг — одно на каждые 259,1 сообщения.


Отчет MessageLabs Intelligence за июнь 2009 года содержит больше подробностей по всем упомянутым здесь тенденциям и цифрам, а также более детальное описание географических и отраслевых тенденций. Полный текст отчета доступен по адресу: http://www.messagelabs.com/intelligence.aspx


Symantec MessageLabs Intelligence – это достоверный источник информации и аналитики по вопросам безопасности, а также тенденций и статистических данных, относящихся к передаче сообщений. MessageLabs Intelligence предоставляет широкий спектр информационных материалов по глобальным угрозам безопасности, основанных на данных, непрерывно поступающих из наших центров контроля во всем мире, которые сканируют миллиарды сообщений в неделю.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru