Recentelijke toename van ‘gevaarlijke’ spammails

Het aantal e-mails waarmee derden kwaadaardige software verspreiden recentelijk sterk toegenomen. In de eerste helft van maart steeg het aandeel e-mails met malware naar bijna 10 procent van het totale aantal nep-mails. In januari en februari bedroeg het aandeel nog 2 procent volgens de gegevens van Fraudehelpdesk.nl naar aanleiding van een analyse van valse e-mails die doorgestuurd zijn naar valse-email@fraudehelpdesk.nl.

Van de ruim 30.000 nep-mails die tot nu toe in maart zijn binnengekomen, bevatten bijna 2.900 gevaarlijke software (9.7 procent). In februari was dat het geval met 1.000 van de 47.000 mails en in januari met 750 van de 33.000 mails. Vorig jaar ging het meestal om slechts enkele tienden van procenten.

 

Deze plotselinge toename is opmerkelijk te noemen omdat het om een wereldwijd probleem lijkt te gaan waarbij veel Spamfilters helaas niet meteen in staat zijn om deze malware te blokkeren. Denit maakt gebruikt van een uitgebreid cluster dat onder beheer staat van SpamExperts, één van de marktleiders als het gaat om spamfiltering. Toch hebben ook klanten van Denit in de afgelopen weken een toename van deze mails gezien, wat begrijpelijkerwijs bij veel gebruikers van deze dienst vragen oproept met betrekking tot de efficiëntie van het SpamX filter.

 

Het probleem rondom deze mails is dat de virussen/malware deel uitmaken van wat wel de ‘nieuwe generatie’ aan malware genoemd wordt. De makers van deze virussen hebben gebruik weten te maken van twee technieken die het in eerste instantie voor spamfilters nagenoeg onmogelijk maken om de virussen te herkennen zodat ze geblokkeerd kunnen worden, namelijk zogeheten ‘morphing’ eigenschappen (het virus vertoont steeds nieuwe of aangepaste eigenschappen) en ‘dynamic obfuscation’. Dit laatste is een techniek die ook reguliere softwaremakers gebruiken om de zogeheten broncode onleesbaar te maken (met als doel om illegale implementaties van de code te voorkomen, of om het moeilijker te maken om zogeheten exploits te kunnen vinden in de software). De combinatie van deze twee technieken maakt het voor een spamfilter zeer complex om iets te ‘herkennen’ als zijnde een virus. De techniek achter een spamfilter is standaard namelijk gericht op twee hoofdzaken : Spam en Malware moeten worden tegengehouden, legitieme mail moet doorgelaten worden. Gezien het belang van de mailafhandeling in (bijvoorbeeld) een bedrijfsmatige setting wordt er voor gekozen om het tweede punt (legitieme mail moet doorgelaten worden) zwaarder te laten wegen dan het eerste punt (Spam en malware moeten worden tegengehouden).

 

Over het algemeen zijn spamfilters ‘zelflerend’, dat wil zeggen dat ze op basis van een vooraf ingelezen database met virus en malware kenmerken ‘leren’ aan welke kenmerken deze voldoen. Hierdoor is het mogelijk om reeds bekende virussen en malware die in een andere vorm worden aangeboden (bijvoorbeeld het bestandstype) alsnog te herkennen en te blokkeren. De eerder genoemde morphing en dynamic obfuscation maken het voor een filter echter onmogelijk om de in de broncode opgenomen eigenschappen te herkennen op basis van zowel de database met eigenschappen als het zelflerende vermogen met als gevolg dat deze mails gewoon afgeleverd worden.

 

In nauw overleg met SpamExperts en onze eigen inhouse engineers heeft Denit daarom besloten om de volgende bijlage types per direct standaard te blokkeren en daarmee onze klanten zo goed mogelijk te beschermen :

 

bat, btm, cmd, com, cpl, dll, exe, js, lnk, msi, pif, prf, reg, scr, url en vbs

 

Dit zou meteen effect moeten sorteren op het aantal kwalijke mails dat nog bij Denit-klanten in de inbox terecht gaat komen.

 

Uiteraard kan u altijd contact opnemen met onze supportafdeling (ts@denit.nl ) als u naar aanleiding van bovenstaande informatie nog met vragen mocht zitten.

 

Meer (technische) informatie kunt u hier vinden:

Fraudehelpdesk (Nederlandstalige informatie)

Cisco (Engelstalig, overzicht van de meest recente Spam- en Malware uitbraken)

MXlab (Engelstalig, technische informatie over de meest recente Spam en Malware uitbraken)

Recent Posts