Spam im April 2014

Inhalt

    Die wichtigsten Ereignisse des Monats

    Die Feiertagsversendungen der Spammer bezogen sich im April in erster Linie auf das bevorstehende Osterfest. Dieses Thema nutzten nicht nur Spammer aus, die Werbung für ihre Waren verbreiten, sondern auch unterschiedlichste Betrüger, die gefälschte Benachrichtigungen über einen Lotteriegewinn und als Glückwunschkarten getarnte Malware an Internetnutzer versenden.

    Im April verschickten Betrüger zudem massenhaft so genannten „Pump and Dump“-Spam mit dem Angebot, an den Aktien eines US-amerikanischen Pharmaunternehmens zu verdienen. Eine nicht geringe Zahl von groß angelegten Versendungen enthielt Werbung für die Dienstleistungen verschiedener medizinischer Einrichtungen und Zahnkliniken, sowie für verschiedene Mittel zum Kampf gegen schädliche Angewohnheiten und für Reha-Einrichtungen für Drogen- und Alkoholabhängige.

    Oster-Spam

    Ostern ist der wichtigste Feiertag für orthodoxe, katholische und evangelische Christen, und wird daher auch von Gläubigen rund um den Erdball entsprechend gefeiert. Alljährlich finden die Nutzer vor dem Fest eine Unmenge an Spam mit österlichen Themen in ihrem E-Mail-Posteingang. Im englischsprachigen Spam kursierten im April die mittlerweile schon traditionellen Versendungen der „Blumen-Partnerprogramme“, deren Aufmachung sich von Jahr zu Jahr praktisch nicht ändert, sowie Angebote für personalisierte Ostergeschenke.



    Auch auf Werbung für Mittelchen zum Abnehmen und zur allgemeinen Verjüngung mussten die User dieses Jahr nicht verzichten. Angebote für Anti-Falten- und wundersame Verschlankungsmittel waren in die Osterthematik eingebettet, und das Fest wurde sowohl in der Betreffzeile als auch im Text der E-Mail erwähnt.



    Die betrügerischen Versendungen mit Benachrichtigungen über nicht existente Lotteriegewinne waren ebenfalls dem höchsten christlichen Feiertag gewidmet. Das Wort „Ostern“ fand sich dabei im Betreff der E-Mail, um so die Aufmerksamkeit des Empfängers zu wecken. Die einleitenden Glückwünsche in der E-Mail sollten den Nutzer von den guten Absichten des Absenders überzeugen.



    Aktien-Spam

    Im vergangenen Monat registrierten die Kaspersky-Experten eine neue Welle von „Pump and Dump“-Spam. Die Autoren versenden in diesem Fall E-Mails mit dem Angebot, Aktien irgendeines Unternehmens zu einem extrem niedrigen Preis zu kaufen, deren Wert bald deutlich steigen soll. Das hat zur Folge, dass die Nachfrage nach Aktien dieses Unternehmens steigt und ihr Preis künstlich in die Höhe getrieben wird. In diesem Moment verkaufen die Betrüger ihre Wertpapiere. Daraufhin fällt der Kurs und die betrogenen Investoren verlieren ihr angelegtes Geld. In der Regel werden für dieses Betrugsschema wenig bekannte Unternehmen ausgewählt, deren Aktien auf einem Sekundärmarkt gehandelt werden. Im April fiel die Wahl auf das US-amerikanische Pharmaunternehmen Rich Pharmaceuticals.



    Die entdeckten Versendungen von „Pump and Dump“-Spam wurden im Namen verschiedener Unternehmen verschickt, die potenziellen Anlegern Dienstleistungen im Bereich Investition und Verkauf von Wertpapieren anbieten. Um den E-Mails einen legitimen Anstrich zu geben, verwendeten die Betrüger die Logos der echten Unternehmen und setzten deren Namen als Absender ein, obwohl die Adresse im Absenderfeld der offiziellen Adresse des entsprechenden Unternehmens überhaupt nicht ähnlich war. Um die Erkennung durch Spam-Filter zu erschweren, setzten die Spammer Grafiken und Junk-Text am Ende der E-Mail ein.

    Spammer im Dienste der Gesundheit

    Im April drehte sich der „medizinische“ Spam im Wesentlichen um die Heilung konkreter Krankheiten. So wurde beispielsweise angeboten, bei Haarausfall und Blasenschwäche Abhilfe zu schaffen, einen vollständigen Gesundheitscheck durchzuführen, Diabetes, Arthritis und andere Erkrankungen vollständig und für immer zu heilen. Die meisten E-Mails enthielten eine Grafik sowie einen Hyperlink, der meist auf eine einseitige Spammer-Webseite verwies. Dort erwarteten den User eine Liste der angebotenen Dienstleistungen, der Spezialkliniken sowie ein Preisvergleich. Alle diese E-Mails kamen von Adressen, die auf erst kürzlich erstellten Eintags-Domains registriert wurden.



    Die Zahnkliniken bewarben via Spam aktiv das Einsetzen von günstigen Zahnimplantaten verschiedener Hersteller.



    Spammer im Kampf gegen schlechte Angewohnheiten

    In den Spam-Versendungen im April wurde Rauchern Hilfe angeboten, die sich von ihrer schädlichen Sucht befreien wollen, und zwar durch das Umstellen auf E-Zigaretten. Mit einem Klick auf den Link in der Spam-Mail konnte der Empfänger in dem beworbenen Online-Shop einen elektronischen Zigarettenersatz in beliebiger Stückzahl und mit beliebigem Geschmack bestellen. Im Text der E-Mail wurden zudem alle Vorteile von E-Zigaretten im Vergleich zu den nikotinhaltigen Gegenstücken aufgelistet.



    Neben Unterstützung im Kampf gegen das Rauchen boten die Spammer im April auch Rehabilitationsprogramme für Drogenabhängige und Alkoholiker an. Die E-Mails mit derartigen Angeboten, die alle gleich aussahen, kamen von ständig wechselnden E-Mail-Adressen, die auf eben erst angemeldeten Domains registriert waren. Die Hyperlinks in den E-Mails führten auf Webseiten, die nur aus einer einzigen Seite bestanden und wiederum Angebote für verschiedene medizinische Dienstleistungen enthielten. Die hatten allerdings nicht unbedingt etwas mit der Heilung von Suchtkrankheiten zu tun.



    Statistik

    Spam-Anteil im E-Mail-Traffic



    Spam-Anteil im E-Mail-Traffic

    Der durchschnittliche Spam-Anteil im E-Mail-Traffic betrug im April 71,1 Prozent, das sind 7,6 Prozentpunkte weniger als im Vormonat. Das mit 73 Prozent höchste Spam-Niveau trat in der letzten Woche des Monats auf, das niedrigste in der vorletzten Woche mit 69,6 Prozent.

    Geografische Verteilung der Spam-Quellen

    Im April 2014 gab es eine Veränderung auf dem „Siegertreppchen“ der weltweiten Spam-Herkunftsländer. Position eins belegt nach wie vor China (24,1 %), dessen Wert nur um einen halben Prozentpunkt zurückgegangen ist. Es folgt Südkorea (15,6 %), das im Vormonat noch auf Platz drei lag. Der Anteil der aus diesem Land versendeten unerwünschten Nachrichten stieg um 2,4 Prozentpunkte. Position drei belegen die USA (12,1 %), deren Wert im Gegensatz zu Südkorea um fast fünf Prozentpunkte zurückgegangen ist, wodurch dieses Land eine Position verlor.




    Spam-Herkunftsländer weltweit

    Russland (9,1 %) und Taiwan (6,5 %) konnten ihre Positionen unter den ersten Fünf behaupten. Dabei stieg der Wert Russlands noch um 2,5 Prozentpunkte.

    Ebenfalls gestiegen ist der Spam-Anteil von Vietnam (4,2 %), der Ukraine (2,7 %) und den Philippinen (1,9 %) – durchschnittlich nahmen die Anteile dieser Länder um 0,6 Prozentpunkte zu. Die Philippinen landeten dadurch auf dem neunten Platz. Im Vormonat belegte dieses Land lediglich den elften Platz.

    Abgeschlossen werden die Top 10 von Japan (1,9 %), dessen Anteil am weltweit verschickten Spam sich praktisch nicht geändert hat. Trotzdem rutschte das Land um eine Position ab. Im April nicht mehr in den Top 10 vertreten ist Rumänien (1,4 %).

    Eine Zunahme der Spammer-Aktivität wurde in Frankreich (1 %) registriert, das nun unter den ersten Zwanzig ist, und zwar immerhin auf Rang zwölf. Ebenfalls in unserem April-Rating vertreten ist Deutschland mit 0,7 Prozent.




    Spam-Herkunftsländer für Europa

    Unter den Ländern, die den meisten Spam nach Europa versenden, belegte auch im April wieder Südkorea den ersten Platz. Der Anteil dieses Landes legte noch um 5,5 Prozentpunkte zu und betrug damit 56,3 Prozent. Vom dritten auf den zweiten Rang aufgestiegen ist Taiwan (7,8 %), dessen Anteil an den gesamten, nach Europa verschickten unerwünschten Mitteilungen um 1,8 Prozentpunkte zugenommen hat. Den dritten Platz belegen nun die USA mit einem Wert von 6,9 Prozent – das sind 0,7 Prozentpunkte weniger als im März.

    Russland (5,1 %) besetzt wie gehabt Position vier. Innerhalb eines Monats hat der Wert dieses Landes um 0,8 Prozentpunkte zugenommen. Einen Zuwachs registrierte das Kaspersky-Team außerdem bei der aus Frankreich (3,1 %) stammenden Spam-Menge, durch den das Land vom 19. auf den fünften Platz hochkatapultiert wurde.

    Die aus der Ukraine (1,5 %) und Rumänien (1,3 %) nach Europa gesendete Spam-Menge ging um 0,3 respektive 0,4 Prozentpunkte zurück. Abgeschlossen werden die Top 10 nach wie vor von Großbritannien (1,2 %), dessen Wert innerhalb des Monats um 0,5 Prozentpunkte abnahm.

    In China (1 %) ging die versendete Spam-Menge um zwei Prozentpunkte zurück, und in Polen (0,6 %) und in Italien (0,6 %) um jeweils 0,3 Prozentpunkte. Ein geringfügiger Anstieg der Spammer-Aktivität war hingegen in Deutschland zu verzeichnen, dessen Anteil im April 0,9 Prozent betrug.

    In diesem Monat kamen die Niederlande (0,8 %) und die Türkei (0,4 %) zu unserem Rating hinzu.




    Spam-Herkunftsregionen

    Bei den Spam-Herkunftsregionen bleibt Asien (59,8 %) Spitzenreiter. Osteuropa (16,9 %) und Nordamerika (12,3 %) tauschten die Plätze und belegten im April den zweiten respektive dritten Rang. Dabei stieg der aus Osteuropa stammende Spam-Anteil um mehr als zwei Prozentpunkte, während der Wert Nordamerikas fast um fünf Prozentpunkte zurückging.

    Es folgen die Regionen Westeuropa (5,3 %) und Lateinamerika (2,9 %), wo der Anteil des versendeten Spams ebenfalls um 0,6 beziehungsweise 0,5 Prozentpunkte anstieg.

    Schädliche Anhänge

    Im April setzten sich die Top 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen zusammen:




    Top 10 der via E-Mail verbreiteten Schadprogramme

    Traditionell wird die Liste der via E-Mail verbreiteten Schadprogramme von Trojan-Spy.HTML.Fraud.gen angeführt. Dabei könnte man meinen, dass nach den zahlreichen Publikationen über und den Hinweisen auf diesen Schädling die Zahl der von ihm infizierten Rechner gegen Null tendieren müsste. Wir weisen noch einmal darauf hin, was genau diesen Schädling so gefährlich macht: Trojan-Spy.HTML.Fraud.gen kommt als Phishing-Seite daher und wird via E-Mail versendet, getarnt als wichtige Mitteilung von großen Banken, Online-Shops, Software-Anbietern oder ähnlichen Organisationen.

    Im April waren in unseren Top 10 zahlreiche Mitglieder der Familie Bublik vertreten. Alle Schädlinge dieser Familie, die unter den ersten Zehn unseres Ratings waren, laden einen Trojaner aus der Familie ZeuS/Zbot (den wir in unseren Analysen mehr als einmal erwähnt haben) auf den infizierten Rechner. Die Vertreter dieser Familie werden für Attacken auf Server und Computer von Endanwendern eingesetzt, aber auch zum Abfangen von Daten. Obwohl ZeuS/Zbot in der Lage ist, unterschiedliche schädliche Aktivität auszuführen, wird er in den meisten Fällen zum Diebstahl von Bankinformationen verwendet. Zudem kann er CryptoLocker installieren – ein Schadprogramm, das Lösegeld für die Entschlüsselung von Daten erpresst.

    Den dritten Platz belegte Trojan-Downloader.Win32.Agent.heek – ein Downloader, der Spionage-Trojaner lädt, die auf den Diebstahl von vertraulichen Finanzinformationen spezialisiert sind. Diese Programme greifen im Wesentlichen brasilianische und portugiesische Banken an.

    Der Wurm Email-Worm.Win32.Bagle.gt, der im April die 8. Position einnahm, streckte eine massenhafte Attacke von Vertretern der Familie Bublik. Nach der Infektion eines Computers verschickt der Virus-Wurm Email-Worm.Win32.Bagle.gt sich selbst an alle auf dem Computer gefundenen E-Mail-Adressen. Seine Hauptaufgabe besteht im Download und Start von Dateien aus dem Internet, ohne dass der Anwender es mitbekommt.

    Auf Rang neun positionierte sich Exploit.Win32.CVE-2012-0158.j, bei dem es sich um eine DOC-Datei handelt, die eine Sicherheitslücke im Code mscomctl.ocx in Microsoft Office ausnutzt, um weitere Schadsoftware zu laden und auszuführen.




    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern

    Im Rating der Länder nach Zahl der Alarme von Kaspersky Anti-Virus behaupten nach wie vor die USA (11,73 %) die Führungsposition, deren Wert gegenüber dem Monat März um 0,28 Prozent zurückging. Großbritannien (9,95 %) und Deutschland (9,47 %) belegen den zweiten respektive dritten Platz.

    Um 2,13 Prozentpunkte gestiegen ist der Anteil der Alarme von Kaspersky Anti-Virus auf dem Gebiet Brasiliens (4,13 %), was zur Folge hatte, dass dieses Land gleich fünf Positionen nach oben kletterte. Der Wert Russlands ging um 0,25 Prozentpunkte zurück, infolgedessen es den zwanzigsten gegen den 16. Platz tauschte. Die Anteile der Alarme von Kaspersky Anti-Virus in den anderen Ländern waren im April keinen wesentlichen Veränderungen unterworfen.

    Besonderheiten im Schad-Spam

    Einen Tag nach Ostern versendeten Cyberkriminelle deutschsprachige E-Mails mit angehängten Grußkarten zum Fest, und zwar im Namen von Anwendern, deren E-Mail-Konten vermutlich gehackt worden waren. Die E-Mails selbst enthielten gute Wünsche zum Fest, während sich hinter der angeblichen Grußkarte im Anhang der Schädling Trojan-PSW.Win32.Fareit.aonw verbarg. im Gegensatz zu anderen Modifikationen der Familie Fareit war die Funktionalität des entdeckten Schädlings etwas bescheidener: Er stiehlt keine Passwörter, doch er lädt und startet einen anderen Trojaner, und zwar Trojan-Spy.Win32.Zbot.sbba, der für Attacken auf Server und den Diebstahl persönlicher Daten vorgesehen ist.



    Ebenfalls im April registrierte das Kaspersky-Team einige groß angelegte, bösartige Attacken, die als Fax-Versendungen mit Hilfe des bekannten Online-Dienstes eFax getarnt waren. Dieser ermöglicht das Versenden und den Empfang von Faxen in Form von E-Mail-Anhängen. Die gefälschten Mitteilungen enthielten eine Benachrichtigung über den Erhalt eines Faxes und – der größeren Glaubwürdigkeit halber – auch eine Angabe über die Seitenzahl des erhaltenen Dokuments. Tatsächlich aber befand sich in den Archiven Malware, insbesondere der Schädling Trojan-Downloader.Win32.Cabby.a. Dabei handelt es sich um einen kleinen Trojan-Downloader, der eine CAB-Datei mit einem Dokument oder einem Bild enthält, das dem Anwender nach dem Start gezeigt wird. Solange dieser mit dem Sichten des Anhangs beschäftigt ist, lädt Cabby unbemerkt einen anderen Schädling herunter. Im von uns betrachteten Fall wurde ein Vertreter der äußerst populären Familie ZeuS/Zbot (Trojan-Spy.Win32.Zbot.shqe) heruntergeladen.



    Phishing

    Im April fasste Kaspersky Lab im Rating der von Phishern angegriffenen Organisationen die beiden vormals getrennten Kategorien „E-Mail und IM-Programme“ und „Suchmaschinen“ in der neuen Kategorie „E-Mail- und Suchportale“ zusammen. Nach den Ergebnissen des Monats April führte auch eben diese Kategorie das Rating mit einem Wert von 31,9 Prozent an. Den zweiten Platz belegten die Sozialen Netzwerke (23,8 %). Ihr Wert ging um 0,2 Prozentpunkte zurück. Das Führungstrio wird von den Finanz- und Bezahlorganisationen (13 %) abgeschlossen, die ebenfalls 0,2 Prozentpunkte einbüßten. Der Anteil der Attacken auf Online-Shops (12,1 %) ging um 0,8 Prozentpunkte zurück. Die Werte der übrigen Kategorien machten ebenfalls geringfügige Veränderungen durch, was allerdings keinerlei Auswirkungen auf ihre Platzierung im Rating hatte.




    Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

    Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Große chinesische Organisationen werden häufig zum Ziel von Phishern, unter anderem auch das Telekommunikationsunternehmen Tencent, das auch den IM-Service QQ unterstützt. Die Betrüger versuchten, die Login-Daten und Passwörter der Kunden-Accounts abzugreifen, indem sie die in solchen Fällen bewährten Fallstricke einsetzten. So wurde in einer gefälschten Benachrichtigung mitgeteilt, dass von dem Account des Anwenders eine Anfrage auf Wiederherstellung des Kontos abgesendet wurde. Da diese Anfrage von einem Dritt-Anwender gestellt worden sei, sei der Zugriff auf den Account eingeschränkt worden, um den Diebstahl von persönlichen Informationen zu vermeiden.

    Um die Anfrage zu stornieren, wurde der Anwender aufgefordert, auf einen Link zu klicken, der auf eine Phishing-Seite führt. Die Benachrichtigung wurde in Form einer grafischen Abbildung versendet, was den Spam-Filtern die Arbeit erschwerte und der E-Mail obendrein mühelos einen legitimen Anstrich verlieh.



    Fazit

    Der Spam-Anteil am weltweiten E-Mail-Traffic stieg im April um 7,6 Prozentpunkte und betrug 71,1 Prozent. Das höchste Spamniveau wurde mit 73 Prozent in der letzten Woche des Monats beobachtet.

    Der Anteil des Spams mit Bezug zu Ostern erreichte im April seinen Höchstwert. Im Wesentlichen versendeten die Spammer Angebote für verschiedene Waren und Dienstleistungen mit Bezug auf Ostern, aber auch Reklame für Waren, die in keinem direkten Zusammenhang mit diesem Fest stehen. Auf Ostern wurde zudem in betrügerischen Benachrichtigungen über einen Lotteriegewinn verwiesen, um so die Aufmerksamkeit der Anwender zu erregen. Außerdem brachten Cyberbetrüger Glückwunschschreiben in Umlauf, die Schadprogramme enthielten.

    Das Führungstrio im Rating der Länder, die Spam in die ganze Welt verschicken, setzte sich im April folgendermaßen zusammen: China (24,1 %), Südkorea (15,6 %) und die USA (12,1%). Die Liste der Spam-Herkunftsregionen wird nach wie vor von Asien (59,8 %) angeführt.

    Im April wurde das Rating der von Phishern angegriffenen Organisationen von der neu zusammengestellten Kategorie „E-Mail- und Suchportale“ (31,9% ) angeführt. Die zweite Position behaupten die Sozialen Netzwerke (23,8 %). Platz drei belegt die Kategorie „Finanz- und Bezahlorganisationen“ (13 %).

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.