Summit G20 podněcuje nárůst cílených trojských koní

Společnost Symantec oznámila vydání své dubnové zprávy 2009 MessageLabs Intelligence Report. Analýza upozorňuje, že během jednoho měsíce došlo k nárůstu nevyžádané pošty o téměř 10 %. Nevyžádaná pošta představuje již 85,3 % všech e-mailů, což je úroveň dosažená naposledy v září 2007.

Summit G20 podněcuje nárůst cílených trojských koní


Dubnový ostře sledovaný summit G20 byl příčinou nárůstu cílených útoků škodlivého kódu. Dále se také podstatně zvyšoval počet každodenně zachycených nebezpečených webových serverů. Každý den bylo v průměru zachyceno již 3 561 serverů.

„Obrázková nevyžádaná pošta byla fenoménem, který dosáhl svého vrcholu v roce 2007. Nyní jsme svědky toho, jak tvůrci nevyžádané pošty oživují své techniky v naději, že se bude historie opakovat," řekl Paul Wood, MessageLabs Intelligence Senior Analyst, společnost Symantec. „Naneštěstí pro tvůrce nevyžádané pošty jsou lidé na druhé straně barikády na návrat obrázkové nevyžádané pošty připraveni, takže počítačoví zloději museli podstatně přepracovat své taktiky, pokud chtějí dosáhnout nějakých výsledků."

Mezi obrázkovou nevyžádanou poštu se dříve řadily e-maily obsahující přílohy, například soubory s příponou GIF nebo JPG, ve kterých byl vlastní nevyžádaný obsah. V současné době jsou však tyto obrázky umístěny na „neprůstřelných" hostingových serverech a využívají přesměrovací odkazy z renomovaných webů, pomocí kterých se zastírá jejich skutečné umístění. Tvůrci nevyžádané pošty obcházejí pomocí této techniky filtry nevyžádané pošty, které prověřují domény v odkazech obsažených v e-mailech, vyhodnocují charakter těchto domén a pravděpodobnost, že se jedná o nevyžádanou zprávu.

K dalším technikám používaným k zamezení zjištění patří vložení určitého standardního textu do obsahu zprávy, například informací o možnosti odmítnutí dalších zpráv, odkazů na zásady ochrany osobních údajů, jejichž cílem je vytvořit celkové zdání legitimní zprávy, která je v souladu se zákony, například se zákonem CAN-SPAM platným v USA. Další často používané taktiky jsou vložení náhodných slov do obsahu zprávy za účelem obejití technik zjištění pomocí otisků zpráv, a použití značek jazyka HTML k ukrytí náhodného textu.

Summit G20 byl předmětem intenzivní pozornosti médií na celém světě a v posledních dvou měsících také důvodem nárůstu cílených útoků škodlivého kódu, které dosáhly nejvyšší intenzity počátkem dubna. V roce 2008 dosahoval průměrný počet těchto útoků přibližně 53 denně a v prvním čtvrtletí roku 2009 vzrostl asi na 60 denně. V období těsně před summitem G20, který se konal 2. dubna v Londýně, a v následujících dnech se počet cílených útoků zvýšil až na přibližně 100 denně.

Cílem těchto útoků byly finanční organizace, včetně jednotlivců z některých centrálních bank zemí náležejících do skupiny G20. E-mail obsahoval přílohu PDF, která by po otevření způsobila nainstalování a spuštění trojského stahovacího programu. Ten by do cílového počítače následně stáhl další spywarové součásti. Bylo pozorováno, že některé útoky byly reakcí na neškodné e-maily, z čehož plyne, že nejméně jeden z příjemců byl již infikován.

Neustále se zvyšuje také počet nebezpečných webových serverů. V dubnových statistikách je dobře patrný nárůst o 27,3 % a to znamená, že každý den je v průměru zablokováno 3 561 nových nebezpečných webových serverů. Původcem je řada hrozeb, mezi jinými automatické stahování trojských koní z webu, trojské koně skryté v souborech PDF, škodlivý kód vydávaný za sobory GIF, které jsou ve skutečnosti spustitelnými soubory, a nebezpečné značky HTML IFRAME. Poslední uvedená hrozba je většinou důsledkem narušení webového serveru útokem využívajícím techniku SQL injection, která je s oblibou používána k útokům na jinak legitimní „slušné" domény. Dalším viníkem je také software maskovaný do podoby legitimně vyhlížejících aplikací, k nimž se řadí podvodný software pro ochranu před škodlivým kódem.

Další nejdůležitější informace ve zprávě:

Zabezpečení webu: Analýza činností zaměřených na zabezpečení webu ukazuje, že 63,3 % veškerého webového škodlivého kódu zachyceného v dubnu byl nový kód. Tým MessageLabs Intelligence identifikoval také každý den v průměru 3 561 webových serverů, které se nově staly hostiteli škodlivého kódu a jiných potenciálně nežádoucích programů, jako je spyware a adware, což je od března zvýšení o 27,3 %.

Nevyžádaná pošta: V dubnu 2009 byl globální podíl nevyžádané pošty v e-mailovém provozu z nových a dříve neznámých závadných zdrojů 85,3 % (1z 1,17 e-mailů), což je od března zvýšení o 9,6 %.

Viry: Globální podíl e-mailů napadených virem v e-mailovém provozu z nových a dříve neznámých závadných zdrojů byl jeden z 304,9 e-mailů (0,28 %), což je od března pokles o 0,08 %. 13,3 % škodlivého kódu šířeného e-mailem obsahovalo v dubnu odkazy na nebezpečné webové servery, což je od března pokles o 6,9 %.

Phishing: Jeden ze 404,7 e-mailů (0,25 %) obsahoval nějakou formu phishingového útoku, což znamená pokles podílu phishingových útoků oproti březnu o 0,10 %. Pokud je posuzován jako podíl ze všech hrozeb, jako jsou viry a trojské koně, šířených e-mailem, snížil se počet phishingových e-mailů o 9,2 % na 89,7 % ze všech škodlivých kódů šířených e-mailem zachycených v dubnu.

 

Trendy podle zeměpisných oblastí:

  • Úroveň nevyžádané pošty vzrostla ve Velké Británii v dubnu o 25,6 % na 94 %. Velká Británie se tak stává zemí s největším podílem nevyžádané pošty.
  • Úroveň nevyžádané pošty vzrostla v USA na 79,4 %, na 77,4 % v Kanadě a na 89,9 % v Hongkongu. Podíl nevyžádané pošty v Německu dosáhl 83,3 %, v Nizozemsku 78,0 %. Úroveň nevyžádané pošty v Austrálii dosáhla 87,8 %, 90,3 % v Číně a 86,4 % v Japonsku.
  • Aktivita virů vzrostla v Německu o 0,07 % na 1 infikovaný e-mail ze 164,8 e-mailů, čímž se Německo dostalo v dubnu na první místo, pokud jde o viry.
  • Úroveň virů v USA byla 1 infikovaný e-mail z 512,1, v Kanadě 1 z 269,0 a v Austrálii 1 z 908,8. Úroveň virů ve Velké Británii byla 1 infikovaný e-mail z 229,3, v Hongkongu 1 z 370,8 a v Japonsku 1 z 1 883,2.

 

Trendy ve vertikálních oborech:

  • Nejvíce zamořený nevyžádanou poštou byl v dubnu sektor maloobchodu s podílem nevyžádané pošty 82,9 %.
  • Úroveň nevyžádané pošty dosáhla 81,1 % v sektoru vzdělávání a 77,3 % v chemickém a farmaceutickém sektoru, 76,1 % ve veřejném sektoru a 78,2 % ve financích.
  • Aktivita virů v sektoru vzdělávání poklesla o 0,19 %, ale stále si udržela první místo v tabulce s 1 infikovaným e-mailem ze 118,1.
  • Úroveň virů v sektoru služeb IT byla 1 infikovaný e-mail z 367,3, v maloobchodu 1 z 506,1 a ve finančním sektoru 1 z 446,9.

 

Dubnová zpráva 2009 MessageLabs Intelligence Report obsahuje podrobnější údaje o všech výše uvedených trendech a hodnotách a podrobnější rozbor trendů v zeměpisných oblastech a ve vertikálních oborech. Úplná zpráva je k dispozici na adrese http://www.messagelabs.com/intelligence.aspx.

 





Komentáře