Cutwail – das etwas andere Botnetz

Security-Forscher analysieren E-Mail-Spam auf Keyword-Fülle

25.03.2010 | Redakteur: Stephan Augsten

Botnets wie in diesem Fall Bagle setzen beim Spam-Versand auf wenige Schlagworte. Illustration: Messagelabs
Botnets wie in diesem Fall Bagle setzen beim Spam-Versand auf wenige Schlagworte. Illustration: Messagelabs

Steckt hinter dem Spam-Chaos ein bestimmtes Muster? Dieser Frage haben sich die Security-Forscher von Messagelabs Intelligence angenommen. Und tatsächlich ist in den E-Mail-Betreffzeilen ein Schema zu erkennen. Insbesondere Botnetze setzen auf ganz bestimmte Schlagworte – eine Ausnahme bildet allerdings Cutwail.

Eine Woche lang haben Sicherheitsexperten von MessageLabs Intelligence, der Abteilung für Symantec Hosted Services, stichprobenartig ausgewählte Spam-Nachrichten auf ihre bevorzugte Wortwahl hin analysiert. Dabei stellte sich heraus, dass einige der genutzten Keywords in der E-Mail-Betreffzeile sich ständig wiederholen.

Beliebt sind demnach Schlagworte wie today oder fast, die Dringlichkeit vermitteln sollen. Der Empfänger soll gar nicht erst groß über den E-Mail-Inhalt nachdenken, sondern am besten gleich klicken. In dieses Schema passt auch, dass fünf der sechs meistgenutzten Worte mit Ausrufezeichen versehen sind (beispielsweise today! oder shipping!).

Wie die Tag Cloud in Bild 1 der Bildergalerie zeigt, ist die Bandbreite der verwendeten Worte zwar eingeschränkt, besonders deutlich wird dies aber erst bei Betrachtung der Tag Clouds für individuelle Botnetze. Da ein Botnet in der Regel gleichzeitig nur wenige Spam-Kampagnen unterstützt, ist auch die Wortwahl relativ eingeschränkt. Dies gilt insbesondere für die Botnetze Bagle, Grum und Rustock.

Malware-Versand wirkt sich auf Cutwail-Spam aus

Eine größere Keyword-Variation zeigen demgegenüber die Botnetze Bobax und Cutwail. Im Falle von Bobax sticht allerdings das Schlagwort Free deutlich hervor. Cutwail hingegen bildet eine große Ausnahme der Top-5-Botnetze. Wie die Messagelabs-Forscher herausgefunden haben, beschränkt sich Cutwail im Gegensatz zur Konkurrenz nicht auf eine kleine Anzahl an möglichen Themen. Hier werden die verschiedensten Schlagworte in nahezu identischem Umfang genutzt.

Die Sicherheitsexperten begründen dieses Vorghen damit, dass Cutwail nicht nur reine Werbemails versendet, sondern auch gerne zur Malware-Verbreitung genutzt wird. Es sei sinnvoll den Betreff häufig zu ändern, wenn man Schadcodes wie Bredolab unters olk bringen will. Denn nur mit häufig wechselnden Themen erregt man auch auf Dauer die Aufmerksamkeit der E-Mail-Nutzer und erzielt höhere Klickraten.

Bemerkenswert ist im Falle der Cutwail-Stichproben, dass die Spam-Versender viel mehr Wert auf den E-Mail-Inhalt legen. Während Cutwail-Spam relativ viel Text beinhaltet, bestehen die Spam-Nachrichten aus den anderen großen Botnets vornehmlich aus ein bis zwei Sätzen und einem Link.

Die beliebtesten Wörter der Spammer: MessageLabs Intelligence stellt Tendenzen vor

Die Experten von MessageLabs Intelligence bei Symantec Hosted Services haben eine Woche lang per Stichprobe ausgewählte Spam-Mails aus aller Welt auf deren bevorzugte Wortwahl hin analysiert.

Das Ergebnis: Trotz des Wirrwarrs verschiedenster angepriesener Produkte und Themen ist bei genauerem Hinsehen ein Schema zu erkennen. Einige bestimmte Wörter wiederholen sich immer wieder und stechen hervor. Um dies zu visualisieren, wählten die Spam-Experten für die Auswertung so genannte „Tag Cloud“-Grafiken. Darin repräsentiert die Schriftgröße eines Begriffs die Anzahl der jeweiligen Nennungen (Grafiken siehe Link unten).

Am häufigsten werden demnach Begriffe verwendet, die den Nutzer unmittelbar zu einer Handlung auffordern, indem sie Eile oder Dringlichkeit suggerieren („today“, „fast“ etc.). Deutlich wird dies auch dadurch, dass fünf der sechs am häufigsten verwendeten Worte mit einem Ausrufezeichen versehen wurden. Beispiele hierfür sind etwa „here!“ oder „shipping!“. Dies soll zusätzlichen Druck auf den Empfänger ausüben. Die Spammer verfolgen dabei ein einfaches Ziel. Denn je weniger Zeit jemand damit verbringt über den Inhalt einer Nachricht nachzudenken, desto geringer ist die Wahrscheinlichkeit, die betrügerische Absicht einer Nachricht zu durchschauen.

Etwas anders verhält es sich bei der „Wortwahl“ der ebenfalls untersuchten Botnetze. Diese beschränken sich auf ein sehr begrenztes und spezifisches Vokabular, da jedes Botnetz meist nur für einige wenige Spam-Versender gleichzeitig im Einsatz ist. Die grafische Auswertung illustriert anschaulich die unterschiedlichen Vorlieben der großen Botnetze Bagle, Grum, Rustock, Bobax, sowie Cutwail.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2044096 / Kommunikation)