Trends und Spam-Angriffe im 1. Halbjahr 2014

Originalartikel von Maria Manly, Antispam Research Engineer

In der ersten Jahreshälfte erhöhte sich das Spam-Aufkommen um 60% im Vergleich zum Vorjahreszeitraum. Die Gründe dafür sind vielfältig: Die Verbreitung von DOWNAD und die stetige Zunahme von Malware-bezogene E-Mails mit Spam-Fähigkeiten (etwa MYTOB) gehören dazu. Auch nutzten Bedrohungen wie UPATRE und ZeuS/ZBOT Spam als Infektionsweg, um ihre Payload abzulegen.

Bild 1. Spam-Aufkommen in Q2, 2014

Spam-Angriffe zielen auf deutsche Nutzer

Nahezu 83% des analysierten Spams ist in Englisch geschrieben, von den verbliebenen 17% sind die meisten Nachrichten auf Deutsch, gefolgt von Japanisch. Die Bedrohungsforscher entdeckten deutsche Spam-Angriffe, die zu so genannter Control Panel Malware (CPL) führten. CPL-Schadsoftware betraf Anfang des Jahres brasilianische Nutzer. Gegen Ende des zweiten Quartals tauchte EMOTET auf, eine Banking-Schadsoftware, die Netzwerkaktivitäten ausschnüffelt, um Nutzerdaten zu klauen. Auch wird sie per E-Mail verbreitet, die vorgibt, eine Rechnung und Banküberweisung zu enthalten. In der Liste der überwachten Websites tauchen auch Banken aus Deutschland auf.


Bild 2. Die fünf am meisten verwendeten Sprachen in Spam-Mails

Trend Micros Honeypot-Quellen zeigen, dass Malware-bezogener Spam (20%), mit Themen wie Arzneimittel (16%) und Kommerz oder Börsen (11%), die drei am häufigsten anzutreffenden Arten waren. Spam, der Börsennachrichten nutzt, nahm in den letzten sechs Monaten zu. So fanden die Bedrohungsforscher ein Sample, das Nutzern mit Tipps zu schnellem Reichtum verhelfen will.

Bei den Techniken fiel auf, dass früher die „Salatwörter“ oder zufällig zusammengewürfelte Buchstaben in HTML eingebettet wurden, während sie jetzt in der Textteil zusammen mit einer Nachricht vorkommen, um sie glaubwürdig erscheinen zu lassen und somit Spam-Filter zu umgehen. Auch kombinieren Spammer bereits ältere Techniken, wie die Nutzung von Kurznachrichten mit Bildern, statt lediglich Bilder zu verwenden. Auch das soll die Spam-Filter täuschen.


Bild 3. Die häufigsten Spam-Kategorien

Neue und wiederbelebte Spam-Taktiken und -Techniken

Schlagzeilenträchtige Ereignisse oder Filme sind nach wie vor effiziente Social Engineering-Köder, um Nutzer dazu zu verführen, Spam-Mails zu öffnen. KULUOZ, eine über das Asprox-Botnet verbreitete Schadsoftware geht einen anderen Weg und kopiert Schlagzeilen von CNN und BBC, um diese dann in die E-Mail einzufügen. Sie kopieren auch einen Teil des Artikels dazu, um die Spam-Filter zu täuschen.

Ein weiterer Trend ist der Missbrauch von beliebten Dateispeicherplattformen wie Dropbox, um dort Schadsoftware zu hosten. Im Mai entdeckten die Forscher, dass UPATRE-bezogener Spam einen Dropbox-Link nicht nur als Social Engineering-Köder nutzte, sondern auch um die bösartigen Dateien herunterzuladen. Klickt ein Nutzer auf die URL, so kommt er auf einen Dropbox-Link, wo UPATRE heruntergeladen wird, der seinerseits den Information Stealer ZeuS herunterlädt. Diese bestimmte ZeuS-Variante lädt zudem eine weitere Schadsoftware NECURS herunter. Ein weiteres Muster zeigte einen Dropbox-Link im Nachrichtenteil der E-Mail, der auf eine kanadische Arzneimittel-Websites zeigte. Eine andere Spam-Nachricht wiederum nutzte CUBBY, einen weiteren Dateihosting-Dienst für die eigenen Zwecke. In diesem Fall führte der Link auf eine BANKER-Variante.

Spam und die Auswirkungen auf die Bedrohungslandschaft

Die Honeypot-Daten von Trend Micro ergaben, dass die Zahl der Schadsoftware-bezogenen E-Mails um 22% stieg. Mehr als 40% der Malware-bezogenen Spam-Mails lassen sich Maschinen zuordnen, die von DOWNAD infiziert sind. DOWNAD oder Conficker ist seit 2008 aktiv und stellt auch heute noch die häufigste Bedrohung für Unternehmen dar.

UPATRE ist die Top-Malware, die über Spam-Mails verteilt wird, gefolgt von TSPY_ZBOT und BKDR_KULUOZ. UPATRE macht mehr als 33% des gesamten Malspam-Aufkommens aus. Doch seit Juni scheint die Zahl der damit in Verbindung stehenden Spam-Kampagnen zurückzugehen. ZeuS ist eine der Top- Malspam-Quellen.

KULUOZ lädt Schadsoftware wie FAKEAV und ZACCESS herunter und kann möglicherweise die infizierten Systeme in Spam-Verteiler umwandeln.


Bild 4. Top 10 Malware aus Spam-Mails


Bild 5. TROJ_UPATRE vs. des gesamten Malspams

Spam bleibt auch 2014 eines der wichtigsten Mittel, das Cyberkriminelle in ihren bösartigen Aktivitäten anwenden. Deshalb gehen die Bedrohungsforsche von Trend Micro auch für das zweite Halbjahr von einem weiteren Anstieg des Spam-Volumens aus. Zudem werden sie auch in diesem Jahr die kommenden Ereignisse und Feiertage als Köder einsetzen.

Des Weiteren zeigt sich, dass neue Domänen über E-Mail verbreitet werden, wahrscheinlich aufgrund der Fähigkeiten des Domain Generation Algorithm in Spam-Malware (etwa DOWNAD).

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*