Informes sobre spam y phishing

Informe sobre spam, enero de 2012

 

Enero en cifras

      • El spam en el tráfico de correo ha subido un 3,5% en comparación con enero y este mes ha alcanzado una media del 76,2%.
      • La cantidad de mensajes phishing en el flujo total de spam no ha cambiado en comparación con diciembre, quedándose en el 0,02%.
      • En enero el 4,3% de los mensajes contenía ficheros maliciosos, es decir un 0,3% más que en el mes anterior.

 

Principales temas del spam

Día de San Valentín

En el spam de enero han aparecido envíos masivos dedicados al Día de San Valentín. 2012 no ha sido una excepción: en el mes pasado los envíos masivos con diferentes propuestas para el Día de los Enamorados inundaron Internet.

La mayor parte de los mensajes que explotan esta festividad son los numerosos anuncios de fármacos e imitaciones de artículos de lujo. En los mensajes spam se usa la parafernalia festiva para captar la atención de los usuarios: se incita a los destinatarios a regalar a sus enamorados réplicas de relojes suizos o tabletas para aumentar la potencia masculina.

Además, en las vísperas de la fiesta despiertan los programas de afiliados que venden souvenirs con los símbolos del Día de los Enamorados. Otro tipo de programas activos en este periodo son los programas de afiliados que venden flores. Estos programas les proponen a sus afiliados publicitar la venta de flores, ofreciéndoles una recompensa por cada comprador. En las vísperas del Día de San Valentín los programas de afiliados “floridos” despliegan gran actividad y sus participantes envían la mayor parte del spam provocado por esta festividad.

spamreport_jan2012_pic01_sp

Ejemplos de mensajes spam dedicados al Día de San Valentín

Este año, en el tráfico de spam, se han registrado propuestas de enviar mensajes electrónicos a los enamorados. Al saber que junto con estas tarjetas se envían programas maliciosos, hemos analizado con mucha atención uno de estos envíos masivos. En contra de nuestras expectativas, en el enlace del mensaje no llevaba a un programa malicioso, pero tampoco había ninguna tarjeta electrónica. En nuestro blog hay información más detallada sobre el resultado de nuestras investigaciones.

En 2011 los delincuentes enviaron con menos frecuencia que antes programas maliciosos camuflados como tarjetas electrónicas. Pero no hay que olvidar este peligro, sobre todo en las vísperas de las fiestas. Y es que los trucos usados para estafar desaparecen de la escena para después aparecer de nuevo.

Spam político

2012 promete ser un año rico en sucesos políticos de importancia internacional. En marzo tendrán lugar las elecciones presidenciales en Rusia, en abril y mayo serán en Francia y en noviembre en EE.UU.

Los años anteriores, sobre todo 2011, han demostrado que en mayor o menor grado, los spammers no son ajenos a la actividad política. En enero de 2012 se hizo evidente que el spam político de este año no será menor que el año anterior.

En enero, en el sector ruso de Internet se siguió enviando mensajes radicales que llamaban a hacer una revolución en Rusia. Durante enero no detectamos ningún envío masivo “constructivo” hecho por partidarios de diferentes fuerzas políticas, pero pronosticamos que aparecerán en febrero, cuando falte menos de un mes para que concluya la campaña electoral.

Los spammers de EE.UU. también expresan activamente su posición civil, a pesar de que falta casi un año para las elecciones presidenciales en este país. En los flujos de spam se encuentran mensajes que contienen enlaces a vídeos “chocantes” sobre Barak Obama o que contienen muchos “hechos horribles” sobre el actual presidente de EE.UU. Además, en el spam norteamericano se encuentran mensajes que piden votar por otros candidatos para “terminar con la era de Obama”.

Es curioso que el spam francés esté prácticamente libre de tinte político.

Olimpiadas

El tema de los deportes también es un pretexto informativo para los estafadores. Los spammers nigerianos explotan las olimpiadas de 2012 y las usan como carnada, enviando mensajes de premios ganados en las loterías dedicadas a este evento deportivo. Las personas que tienen gran experiencia en navegación por Internet se dan cuenta de que estos mensajes son estafas, pero los usuarios menos curtidos pueden caer víctimas de este sencillo truco.

Análisis estadístico

Países-fuente del spam


Países-fuente del spam

En enero Inglaterra ha vuelto al TOP10 de los países-fuente de spam, ocupando el octavo puesto y expulsando a Colombia. (Recordamos que en diciembre Inglaterra no entraba en el TOP10, al parecer debido al periodo de vacaciones, cuando los usuarios desconectan muchos equipos que son parte de las botnets). El resto del TOP10 tiene pocos cambios: sólo algunos países han cambiado de lugar.

India sigue siendo el líder de la estadística con un 11,5% del spam mundial (-1%). La participación de Indonesia ha bajado en casi un 3%, en comparación con diciembre, lo que no impidió que este país ocupase el segundo lugar de la estadística. Después de Indonesia está Corea del Sur (+1,6%).

En el cuarto y quinto puesto hay dos países latinoamericanos, Brasil y Perú respectivamente. La cantidad de spam propagada desde el territorio de estos países ha disminuido en un 2,1% y 2,5%.

En el sexto puesto, como en diciembre, está Vietnam. La cantidad de spam propagado desde el territorio de este país asiático ha disminuido en un 0,25%.
De esta manera, los primeros seis puestos están ocupados por países asiáticos o latinoamericanos.

Sólo en el séptimo y octavo puesto de la estadística aparecen países de Europa occidental, Italia (-0,25%) e Inglaterra (+1,95%). La participación de los demás países de la estadística ha cambiado dentro de los límites del 1%.

Adjuntos maliciosos en el correo

En enero el 4,3% de los mensajes contenía ficheros maliciosos, es decir un 0,3% más que en el mes anterior.


Distribución de las reacciones del antivirus de correo según países, enero de 2012

Los Estados Unidos de América han subido al primer lugar de la estadística de reacciones del antivirus de correo. Sin embargo, esto no se debe al aumento de las detecciones de Kaspersky Mail Antivirus en el territorio de EE.UU. (-2%), sino al sensible descenso de la cantidad de detecciones en el territorio del líder de los meses anteriores: en un 11% ha disminuido la cantidad de reacciones del antivirus de correo en Rusia.

Cabe destacar que la reducción de la cantidad de detecciones del antivirus de correo en Rusia no estuvo relacionada con el periodo de fiestas de fin de año. Por el contrario, a principios del mes la cantidad de detecciones de programas maliciosos en el correo del sector ruso de Internet fue tres o cuatro veces mayor que en la segunda quincena.

Entre los cambios que representan cierto interés, además de la abrupta caída de los índices de Rusia, hay que mencionar que la cantidad de detecciones en Alemania creció en más de dos veces.

La participación de los demás países de la estadística ha cambiado dentro de los límites del 1,5%.


TOP 10 de programas maliciosos propagados por correo en enero de 2012

Más del 14% del total de detecciones del antivirus de correo Kaspersky corresponden a líder tradicional de nuestra estadística, Trojan-Spy.HTML.Fraud.gen En comparación con diciembre, la participación de este programa malicioso ha crecido en un 3%.

Trojan-Spy.HTML.Fraud.gen es un programa malicioso que viene en forma de página html falsificada para imitar el formulario de una organización financiera o servicio online. Los datos de registro que se ingresen en esta página serán enviados a los delincuentes. El uso de este programa malicioso es, de hecho, uno de los trucos del arsenal de los phishers.

Los gusanos de correo Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q y Email-Worm.Win32.NetSky.c se ubican en los respectivos puestos 2, 4, 6 y 10 de la estadística. Tres de ellos, Mydoom.m y los dos de la familia NetSky, tienen sólo dos funciones: recopilan direcciones electrónicas en los equipos infectados y se envían a sí mismos a estas direcciones. Bagle.gt, además de estas simples funciones, descarga otros programas maliciosos desde Internet.

En enero, en el TOP10 de programas maliciosos más detectados por nuestro programa en el correo, los puestos del 7 al 9 los ocupan representantes de la familia Trojan-Dropper.Win32.Injector. Los programas Trojan-Dropper se usan para instalar de forma inadvertida otros programas maliciosos en el equipo del usuario y también para evitar que los antivirus cumplan su función.

Phishing


TOP100 de organizaciones atacadas por phishers. Enero de 2011, detecciones de Kaspersky Antiphisher

Desde este año Kaspersky Lab empezará a publicar en sus informes una nueva estadística, la de las organizaciones que han sufrido ataques phishing. Hemos agrupado en categorías el TOP100 de organizaciones cuyos clientes fueron atacados por phishers. La estadística se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, sean enlaces en mensajes de correo spam o en Internet.

Cabe destacar que según los datos de KSN, cerca del 65% de los clics en los enlaces phishing se hacen en los programas de correo. Es decir, el correo sigue siendo el principal canal de difusión de los enlaces phishing. Además, el 26% de los clics en los enlaces phishing suceden directamente en los navegadores de Internet. En esta categoría también están los clics hechos desde la interfaz web del correo electrónico, de las redes sociales, además de los clics en los sitios phishing que la tecnología Black SEO ha puesto entre los primeros resultados de los sistemas de búsqueda.

Las organizaciones que forman parte del TOP 100 se dividen en nueve categorías:

      1. Organizaciones financieras y de pagos, bancos. Esta categoría, como su nombre indica, incluye todos los bancos cuyos clientes han sido víctimas de ataques phishing detectados por Kaspersky Lab. Además, incluye los sistemas de pago, entre ellos Visa, MasterCard, PayPal, así como las organizaciones que prestan créditos, fondos de pagos, compañías de inversiones, etc.
        En enero esta categoría de organizaciones atacadas por los phishers ha ocupado el primer lugar en la lista. Casi una cuarta parte de las reacciones del antiphishing corresponde a los sitios phishing usados para robar cuentas bancarias y cuentas de sistemas de pagos de los usuarios.
      2. Tiendas online, subastas online. Como se sabe, las cuentas de los usuarios en muchas tiendas online están ligadas a tarjetas de crédito y contienen información personal (por ejemplo, nombre, dirección electrónica, dirección real, teléfono, etc.). Al realizar compras en tiendas online falsas, el usuario ingresa toda la información necesaria para hacer el pago con tarjeta de crédito, información que cae en manos de los delincuentes. Por esta razón no es sorprendente que el 20,38% de las reacciones del antiphishing haya sido causado por los ataques phishing contra diferentes tiendas y subastas.
      3. Redes sociales. Las cuentas de los usuarios en las redes sociales siguen siendo una presa bastante apetecida por los delincuentes, porque en el mercado negro hay muchos compradores interesados. La cantidad de veces que nuestro producto detectó sitios phishing que roban los datos de registro en redes sociales es un poco menor que el índice de las tiendas online (20,05%).
      4. Sistemas de búsqueda. En esta categoría están los sistemas de búsqueda cuyos servicios sufrieron ataques phishing. Prácticamente cada sistema de búsqueda no solo ofrece a sus usuarios la posibilidad de hacer búsquedas rápidas en Internet, sino también otros servicios, entre los cuales está el correo electrónico. Algunos sistemas de búsqueda tienen también sus propias redes sociales y sistemas de pago. El 14,6% de las detecciones del antiphishing ocurren en los sitios que roban datos de registro en los diferentes recursos ofrecidos por los sistemas de búsqueda. En esta categoría lideran los sistemas de búsqueda y servicios de Google y Yahoo!
      5. Proveedores de TI. Muchos fabricantes de software o hardware para ordenadores tienen sitios web (entre ellos para pagar servicios y productos o descargar actualizaciones) que requieren darse de alta en un registro. Para facilitar al usuario el proceso de compra, su información financiera (por ejemplo, datos de su tarjeta) con frecuencia se suelen guardar en la cuenta del servicio. Algunos proveedores, en particular Microsoft, ofrecen servicios adicionales, por ejemplo, programas de mensajería instantánea y correo electrónico. Las cuentas de estos servicios también les interesan a los delincuentes. De esta manera, en la mira de los phishers están Microsoft y su criatura Xbox, Apple y sus servicios y Electronic Arts. La cantidad de detecciones de phishing en los sitios usados para lanzar ataques contra proveedores TI constituyó el 7,6% de todas las reacciones del antiphishing en enero de 2012.
      6. Correo electrónico, mensajeros instantáneos. Las cuentas de estos servicios también tienen demanda en el mercado negro, por lo que también interesan a los phishers. El 5,3% de las reacciones del antiphishing en enero son los ataques phishing dirigidos contra los usuarios de correo electrónico y mensajeros instantáneos. Cabe destacar que en esta categoría no entran los servicios de correo electrónico provistos por los sistemas de búsqueda. La razón es que al recibir acceso a la cuenta de correo provista por el servicio de búsqueda, los delincuentes también obtienen acceso a resto de los servicios ofrecidos por la misma compañía y es imposible determinar cuál fue el objetivo final del ataque.
        Cada una de las siguientes tres categorías captó menos del 1% del total de las detecciones del antiphishing en enero.
      7. Medios de información masiva. Ataques phishing destinados a robar los datos de las cuentas de los usuarios registrados en los sitios de diferentes publicaciones informativas. Es probable en estos casos las cuentas estén ligadas a las cuentas de las redes sociales y los delincuentes traten de usar la primeras para obtener acceso a las segundas. No se excluye la posibilidad de que estos ataques hayan sido hechos a petición de la competencia, para afectar la reputación del portal atacado. Además, se conocen casos en los que los delincuentes obtuvieron acceso a las cuentas de los usuarios que tenían derecho de redactar artículos en el sitio. Los delincuentes usaban estos derechos para publicar en los sitios informativos información o enlaces maliciosos. Es probable que las cuentas hayan podido ser robadas como resultado de ataques phishing. De una forma u otra, el 0,8% de las reacciones del antiphishing ocurrió en estos sitios.
      8. Juegos online. El 0,4% de las detecciones del antiphishing corresponde a los intentos de robar datos de registro de cuentas en juegos online.
      9. Organizaciones estatales. El 0,4% de los ataques se realizó contra las cuentas de los usuarios en sitios estatales. Como ya hemos escrito, estos ataques son estacionales. La mayor parte de los ataques suceden en el periodo de entrega de las declaraciones de impuestos en EE.UU. e Inglaterra y las organizaciones fiscales de estos países son los blancos preferidos de los phishers entre todas las demás organizaciones estatales.

En la categoría “Demás” entran, sobre todo, los operadores de telefonía celular, los proveedores de Internet y algunas otras organizaciones. En la mayoría de los casos las cuentas de los usuarios en estos sitios también contienen información financiera.

Tendencias temáticas del spam


Categorías temáticas del spam en enero de 2012

Las dos temáticas que lideran en el spam en inglés siguen siendo las mismas que en diciembre. La cantidad de mensajes de estafas ha bajado de forma insignificante (-1,6%), mientras que la cantidad de spam de la temática “Finanzas personales” ha aumentado un poco (+3,3).

Se ha reducido dos veces la temática “Educación”. En enero los spammers han ofrecido activamente a los usuarios recibir un grado en diseño gráfico.

Se ha cuadruplicado la cantidad de mensajes en la temática “Ordenadores e Internet”. Es curioso que en enero más de la mitad de los mensajes de esta temática registrados por Kaspersky Lab publicitaban cartuchos para impresoras.

Conclusión

Como demuestra la práctica, los envíos masivos dedicados al día de San Valentín no son tan numerosos como los de Año Nuevo. En 2011 su número en el periodo pico (segunda semana de febrero) constituyó el 0,21% de los mensajes spam. No hay fundamentos para suponer que este año el spam “amoroso” sea mayor. De todos modos, a principios de febrero hay que esperar mensajes relacionados con San Valentín.

Recordamos que uno de los tipos tradicionales de spam en San Valentín son los envíos masivos disfrazados de tarjetas con felicitaciones. Estos últimos años estos envíos no son tan frecuentes en los flujos de spam, pero tampoco hay que dejar de tomarlos en cuenta. Los usuarios tienen que tener cuidado al recibir tarjetas de origen desconocido. Sobre todo, es peligroso seguir los enlaces de la “felicitación” si tiene extensión .exe.

Hacemos hincapié en que en los flujos de spam la cantidad de spam con adjuntos maliciosos no se reduce y sigue estando en un nivel bastante alto, 4,3%. Además, en el spam en inglés la temática “Estafas informáticas” tiene un liderazgo estable. La concurrencia de estos factores hace que el spam en inglés sea extremadamente peligroso para el usuario.

Informe sobre spam, enero de 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada