El spam en septiembre de 2012

Septiembre en cifras

• En relación al mes de agosto, la porción de spam en el tráfico de correo ha disminuido en un 2,3%, quedando en un promedio del 72,5%.
• En relación al mes de agosto, la porción de los mensajes phishing en el tráfico de correo se ha duplicado y representa el 0,03%.
• En septiembre, el 3,4% de los mensajes de correo contenía adjuntos maliciosos, es decir, un 0,5% menos que el mes anterior.

Principales temas del spam

Fraudes mediante spam

En relación a agosto, bajó la cantidad de mensajes spam maliciosos y fraudulentos. {Nous avons toutefois détecté des diffusions de messages d’escroquerie qui exploitaient de nouvelles astuces d’ingénierie sociale.Sin embargo, hemos detectado la circulación de mensajes fraudulentos con nuevos trucos de ingeniería social.

Fraudes con petróleo y gas

Entre los mensajes fraudulentos tradicionales que anuncian un premio de lotería, hemos identificado mensajes que utilizan el nombre de la compañía petrolera más grande de Rusia, Gazprom (ejemplo 1). El texto bastante simple del mensaje le avisa al destinatario que ha ganado 920.000 dólares americanos, y que para recibirlos debe marcar el número telefónico provisto. Recordemos que en los casos de fraudes relacionados con la lotería, los estafadores exigen que se les envíe una comisión para hacer la transferencia del premio, que obviamente no existe. Vale la pena indicar que el mensaje también está escrito en inglés.

Gazprom no es la única compañía rusa que apareció  en mensajes spam fraudulentos en septiembre. Los ciberdelincuentes también se aprovecharon de Lukoil. Los mensajes spam tradicionales que ofrecen trabajos desde la casa con ingresos muy atractivos, insisten en que el usuario haya trabajado no “para cierta compañía grande”, sino para Lukoil. Está claro que este truco busca disminuir la desconfianza de los destinatarios. En realidad, la mención de esta petrolera rusa no es más que una excusa. El objetivo de estos mensajes es reclutar a usuarios para los programas ilegales de blanqueo de dinero, a menudo a espaldas de los usuarios. El “trabajo” consiste en transferir el dinero desde las cuentas de los “empleadores” a la del usuario, y luego a la de un tercero. Al usuario se le presenta este trabajo como un trabajo para una revista online, pero en realidad se trata de blanquear el dinero que los ciberdelincuentes obtuvieron mediante tarjetas de crédito robadas o clonadas.

Resulta interesante constatar que en ambos casos, el campo del remitente usa una dirección del dominio mail.com, lo que permite asumir que ambos envíos provienen de la misma fuente. También podemos preguntarnos si el autor sería de la ex-URSS, ya que estos mensajes en inglés se refieren a sociedades rusas.

Recordemos que los spammers pueden usar en sus mensajes cualquier nombre o marca conocida con el único fin de llamar la atención de los usuarios. La mención de una compañía importante en un mensaje spam no lo hace inofensivo.

Michelle Obama y Asma Assad

El cuarto ejemplo confirma que los spammers pueden utilizar cualquier personalidad conocida en sus mensajes fraudulentos. Este mensaje se escribió en nombre de Michelle Obama, esposa del presidente de EE.UU., para decirle al destinatario que ha obtenido el pago de un fondo de la Casa Blanca.

Este mensaje tradicional de tipo “lotería” llama la atención no sólo porque su “autor” es Michelle Obama. Resulta interesante constatar cómo los spammers toman en cuenta la opinión pública respecto a una determinada personalidad. Desde abril hemos detectado en el flujo de spam, mensajes enviados por Asma Assad, esposa de Bashar Assad, el líder sirio. Sin embargo, a diferencia del mensaje enviado por Michelle Obama, el de la primera dama siria no se refiere a ningún premio de la lotería, sino a grandes sumas de dinero que deben enviarse al extranjero. El spammer sabe que para el usuario sería raro ver que un miembro de la familia del presidente de EE.UU. intente enviarle dinero de procedencia dudosa fuera de ese país, mientras que no se extrañaría si el pago proviniera de un fondo reconocido por la primera dama norteamericana. La situación respecto a la esposa del presidente sirio es distinta: el usuario tendrá mayor desconfianza si recibe un mensaje sobre la generosidad siria que si recibe uno sobre un intento de transferencia de dinero robado fuera del país.

El contenido del campo “De” del mensaje resulta sorprendente. El remitente es World Wide Web Owner. Es sorprendente porque significaría que el usuario habría recibido un mensaje del propietario mítico de Internet, porque World Wide Web es lo que conocemos como “www”. Si seguimos con nuestro análisis, veremos que el dominio al que pertenece la cuenta de correo del propietario de Internet es .ru. Como se ve en el mensaje, el propietario de todo Internet escribe en nombre de Michelle Obama. La cuenta del correo personal de Michelle que aparece en el campo Remitente es del todo sorprendente: primero, comienza con la combinación de letras “missnadia”, que quiere decir Miss Nadia. Cuesta imaginarse que Michelle Obama escogería un pseudónimo tan raro para su cuenta de correo. También es difícil explicar por qué esta cuenta de correo se creó en la versión china de Yahoo. Y es impensable que la primera dama de EE.UU. envíe mensajes oficiales sobre donaciones desde esa dirección.

Continúa la historia de las compras en grupo

Tal como esperábamos, el tema de las compras en grupo y de los cupones se ha vuelto cada vez más popular entre los ciberdelincuentes.  En septiembre, detectamos envíos con enlaces hacia sitios maliciosos (ejemplo 5). Estos mensajes se parecían a los mensajes oficiales de Groupon, si no fuese porque el contenido del campo “Remitente” no tenía nada que ver con el servicio mencionado.

Se acercan las fiestas de fin de año

La tradición dicta que los envíos inspirados en las fiestas de fin de año comienzan en octubre. En general, primero detectamos mensajes en inglés, en alemán y en otros idiomas europeos. Este año será la excepción. En septiembre detectamos el primer envío relacionado con las fiestas de fin de año y están escritos en ruso.

Los mensajes, enviados desde una dirección en Kiev, invitan a los destinatarios a asistir a una obra infantil de fin de año en Moscú.

Temas de actualidad

El video “La inocencia de los musulmanes” difundido en YouTube causó gran revuelo en septiembre. En algunas regiones de Rusia se bloqueó YouTube por ese motivo.

Los simpatizantes de este video se esforzaron por propagarlo, incluso a través de spam. Esperábamos descubrir mensajes con enlaces a sitios infectados que aparecieran como enlaces  para ver este video. Nuestras expectativas no se materializaron: los envíos relacionados con este video que detectamos no contenían ni códigos maliciosos ni enlaces peligrosos.

Asimismo, subrayamos que todos los mensajes que detectamos estaban en inglés.

Las estadísticas

Países fuente de spam

Presentamos la clasificación de los países fuente del spam enviado a usuarios europeos.

País fuente del spam enviado a usuarios europeos en septiembre 2012 (Top 20)

A fines de septiembre cambiaron los países que ocupaban la segunda y tercera posiciones en esta clasificación: EE.UU. avanzó un lugar (+1,8%), mientras que India cedió su segundo lugar (-1,1%). Corea del Sur y Vietnam también experimentaron un notable retroceso: estos dos países que se encontraban en el Top 6 del mes anterior, bajaron a la 12? y 14? posiciones, respectivamente. El aumento más significativo se registró en España (+2,9%) y Gran Bretaña (+1,8%).

A nivel mundial, China, con el 26,4% se mantiene a la cabeza de la clasificación de los países fuente de spam. EE.UU. ocupa la segunda posición (12,5%), e India la tercera (10,1%). 

País fuente de spam, clasificación mundial, septiembre de 2012 (Top 20)

A diferencia de sus resultados en la clasificación europea, Corea del Sur y Vietnam figuran entre los Top 10 de la clasificación mundial de países fuente de spam.  En total, la clasificación de los países fuente de spam a nivel mundial es bastante equilibrada, aunque China, al que le va bien tanto en Europa como en Asia, aventaja a sus competidores más cercanos en relación al volumen de trafico de spam proveniente de sus fronteras.

Adjuntos maliciosos en el correo

En septiembre, el 3,4% de los mensajes de correo contenía adjuntos maliciosos, es decir, un 0,5% menos que el mes anterior.

Clasificación de las detecciones del antivirus para correo por país

Clasificación de las detecciones del antivirus para correo por país en septiembre 2012

La clasificación de países por la activación de las detecciones del componente Antivirus para correo ha experimentado cambios significativos. EE.UU., que se mantuvo a la cabeza durante 8 meses consecutivos, cayó inesperadamente hasta la 8? posición. Las detecciones de nuestro módulo Antivirus para correo en este país cayeron en un 6,9%. Por el contrario, las detecciones de este módulo en Alemania aumentaron en un 6%. Este país ha dado un gran salto hacia adelante en cuanto a las detecciones del componente Antivirus Mail. Alemania aventaja con un 6,4% a España, que está en segunda posición. Vale la pena mencionar que la participación de España en la clasificación ha aumentado en más del 4%. La tercera posición corresponde a Rusia, cuya participación en las detecciones en su territorio también ha subido considerablemente (+5,4%). Las detecciones del módulo Antivirus para correo en India aumentaron en un 2%. Por su parte, la cantidad de detecciones del componente Antivirus para correo en Gran Bretaña ha disminuido.

Las variaciones correspondientes a los porcentajes de otros países no superan el 1,5%.

TOP 10 de programas maliciosos propagados por correo

TOP 10 de programas maliciosos propagados por correo en septiembre de 2012

A fines de septiembre, la cantidad de detecciones por el componente Antivirus para correo del troyano <a href=”Trojan-Spy.HTML.Fraud.gen” disminuyó notablemente. Este programa malicioso ni siquiera entró al Top 10.

Al frente de la clasificación se encuentra el programa malicioso Backdoor.Win32.Androm.kv, y en la 6? posición se encuentra otro programa malicioso de la misma familia, la variante Androm.ib. Recordemos que los programas maliciosos de esta familia aparecieron en junio en el Top 10 de los programas más frecuentemente detectados por nuestro Antivirus para correo y han permanecido durante todo el verano entre los programas maliciosos más populares en el correo. Estos programas maliciosos, una vez instalados en el sistema del usuario, descargan desde Internet otros programas maliciosos, entre ellos bots de spam.

Los gusanos de mensajería Email-Worm.Win32.Bagle.gt, Email-Worm.Mydoom.m y Mydoom.l ocupan la 2?, 3? y 5? posiciones, respectivamente. Recordemos que la función primaria de los mensajes de mensajería consiste en recopilar direcciones de correo desde el ordenador infectado, y en enviar sus propias copias. Bagle.gt es el único de los tres dotado con una capacidad adicional, que es la posibilidad de conectarse a Internet y descargar otros programas maliciosos.

De los 10 programas maliciosos detectados con más frecuencia en el correo, 4 pertenecen a la familia Trojan-Ransom.Win32.PornoAsset. Se trata de programas fraudulentos que bloquean el sistema operativo y exigen al usuario una suma para desbloquearlo. Debemos mencionar que incluso después del pago, el sistema no se desbloquea, por lo que la víctima no gana nada obedeciendo las instrucciones de los ciberdelincuentes. Es preferible llamar a expertos para que desbloqueen el sistema.

Phishing

En relación al mes de agosto, la porción de los mensajes phishing en el tráfico de correo se ha duplicado y representa el 0,03%.

Clasificación Top 100 de las organizaciones víctimas de ataques de phishing por categorías en septiembre de 2012

La clasificación de categorías de organizaciones víctimas de ataques de phishing se basa en las detecciones de nuestro módulo anti-phishing instalado en los ordenadores de nuestros usuarios. Este módulo detecta todos los enlaces phishing que el usuario ha intentado activar. El enlace puede encontrarse en un mensaje o en Internet.

En contra de lo que esperábamos, el porcentaje de ataques contra las redes sociales no disminuyó en el mes de septiembre. Esta categoría sigue ocupando el primer lugar en términos de popularidad entre los phishers. El porcentaje de ataques aumentó levemente (+0,1%). Los ataques contra organizaciones financieras disminuyeron en un 3,6%, lo que no se corresponde con nuestros pronósticos. Parece que la disminución de los ataques contra bancos y organizaciones financieras está relacionada con mejoras en la seguridad que los bancos ofrecen a sus clientes y con la introducción de tecnologías de seguridad adicionales y de autorización.

Asuntos en el spam

Clasificación del spam en septiembre de 2012

En septiembre, el porcentaje de los mensajes de la categoría “Finanzas personales” continuó disminuyendo (-20%), y bajó una posición después de haber estado a la cabeza de la clasificación durante todo el verano. Recordemos que la mayoría de los mensajes de esta categoría contienen ofertas para ganar dinero de forma dudosa.

El primer lugar corresponde a los mensajes fraudulentos, cuya participación aumentó en un 36%. El spam farmacéutico ha disminuido en un 14%.   

Conclusión

Tal y como habíamos previsto, la cantidad de mensajes maliciosos y fraudulentos disminuyó levemente en septiembre debido al fin de las vacaciones, a la normalización de las actividades económicas y a que los spammers reciben más pedidos de parte de las pequeñas y medianas empresas. El 3,4% de los mensajes contenían adjuntos maliciosos, es decir, un 0,5% menos que el mes pasado. Sin embargo, hemos detectado la circulación de mensajes fraudulentos con nuevos trucos de ingeniería social.

En septiembre detectamos el primer mensaje dedicado al Año Nuevo. En general, estos mensajes aparecen sólo en octubre, pero este año ha sido la excepción. El porcentaje de mensajes va a aumentar en el transcurso de los meses próximos, y los envíos relacionados con las fiestas de fin de año van a adquirir las formas más diversas.

La clasificación de países por la activación de las detecciones del componente Antivirus para correo experimentó significativos cambios en septiembre. EE.UU., a la cabeza de la clasificación durante 8 meses consecutivos, ha sufrido una caída inesperada: las detecciones de nuestro módulo Antivirus para correo en este país cayeron en un 6,9%. Los cambios también afectan a la clasificación de las soluciones antivirus detectadas con más frecuencia por el módulo Antivirus para correo: Trojan-Spy.HTML.Fraud.gen, líder tradicional de nuestra clasificación, registró una caída tan grande que ni siquiera figura en el Top 10.

La clasificación de ataques phishing por categoría no corresponde a nuestros pronósticos para el mes de septiembre: el porcentaje de ataques contra las redes sociales no ha disminuido, y en contra de nuestras previsiones, disminuyó el porcentaje de ataques contra las instituciones financieras. Parece que la disminución de los ataques contra bancos y organizaciones financieras está relacionada con las mejoras en la seguridad que los bancos ofrecen a sus clientes y con la introducción de tecnologías de seguridad adicionales y de autorización. Sin embargo, esta pérdida de interés de los phishers por el sector bancario puede ser temporal porque si logran su objetivo, son estos ataques los que más beneficios aportan a los ciberdelincuentes.