Kaspersky Security Bulletin. El spam en 2013

Cifras del año

• La cantidad de spam en el flujo de correo electrónico de 2013 fue del 69,6%, un 2,5% menos que en 2012.
• La cantidad de mensajes con adjuntos maliciosos fue del 3,2%, un 0,2% menos que en 2012.
• El 32,1% de los ataques phishing fue lanzado contra las redes sociales.
• La mayor cantidad de spam (23%) fue enviado desde China.
• El 74,5% de los mensajes spam enviados no eran mayores a 1Kb.

La publicidad de artículos y servicios legales empieza a prescindir del spam

Criminalización del spam de carácter comercial

En 2012 escribimos que la cantidad de spam con publicidad de artículos y servicios legales estaba bajando gradualmente. Los clientes prefieren usar la publicidad legal en vez del spam, ya que la cantidad de diversos artículos en Internet va en constante aumento y la reacción de los usuarios ante este tipo de anuncios es mayor que ante la publicidad spam, y su precio es menor.

Al mismo tiempo en el spam de diferentes categorías la publicidad está cediendo lugar a los envíos masivos criminalizados. Un ejemplo típico es la rúbrica de “Ocio y viajes”.  Antes, esta categoría ocupaba el 5-10% del total del flujo de spam y consistía en su totalidad en diferentes ofertas de viajes, excursiones y pasajes. Ahora es raro encontrar este tipo de publicidad en el spam, pero nos topamos con una gran cantidad de mensajes maliciosos que explotan el tema del turismo y el ocio.

Las falsas notificaciones de reservas de hotel o de pasajes aéreos ya son una parte constituyente del spam y las hemos venido observando durante todo el año. En los adjuntos de estos mensajes, en vez de la confirmación de la compra, hay un programa malicioso (Trojan-PSW.Win32.Tepfer y Backdoor.Win32.Androm.qt).

Este año, a los envíos maliciosos que fingen ser confirmaciones de pasajes y hoteles se han sumado los de reservas de cruceros.

Los mensajes de estos envíos masivos son similares a los de pasajes y hoteles: un vocativo impersonal, una notificación sobre la reserva y un adjunto con el programa malicioso.

De esta manera, si hace un par de años el spam podía de verdad ayudar a orientarse en la compra de un viaje, pasaje o habitación de hotel, el spam de hoy en día no ofrece al usuario publicidad de ocio, sino un programa malicioso.

Además de los remitentes de programas maliciosos, los estafadores también han prestado atención al tema de los viajes. En 2013 registramos varios envíos masivos que usan el spam de esta temática para lavar el dinero obtenido de las tarjetas de crédito robadas. Los mensajes spam se enviaron pensando que alguno de ellos llegarían a direcciones de hoteles y contenían una solicitud de reserva de habitación.

Si el empleado del hotel contestaba al mensaje, los spammers le pedían cobrar de la tarjeta una suma de dinero mucho mayor que la necesaria para el pago de la reserva (a veces este pedido estaba ya en el primer mensaje). Los estafadores pedían enviar el dinero restante por Western Union a la dirección que indicaban. La excusa era que parte del dinero la recibiría el agente turístico que había organizado el viaje. Los autores de los mensajes inventaban diferentes explicaciones de por qué la agencia turística no podía sacar el dinero de sus tarjetas y también por qué ellos mismos no podían enviar un giro. Pasado cierto tiempo, los estafadores anulaban la reserva de hotel y recibían la segunda parte del dinero (ya “lavado”).

Envíos masivos “grises”

Otro problema está relacionado con que, por una parte, los anunciantes quieren enviar a los usuarios mensajes que tengan el diseño oficial (sin ningún truco y “ruido” de spam, que dificulte la lectura de la publicidad). Por otra parte, siguen teniendo la intención de enviar mensajes no sólo al reducido círculo de sus clientes, sino también a los millones de direcciones de las bases de datos.

Esto hace que aparezcan cada vez más envíos masivos “grises”. Esto mensajes, que no tienen el diseño oficial, no se envían desde botnets, sino desde los servidores de los organizadores de envíos y el cliente se puede dar de alta o de baja. Sin embargo, además de a los suscritores, se envían a la enorme cantidad de direcciones de las bases de datos compradas, a gente que no ha dado su consentimiento para recibir estos envíos. (Recordamos que las leyes de varios países prohíben los envíos sin el consentimiento previo del usuario).

Esta situación provoca que una parte del envío masivo sea legal y otra parte, ilegal.  Esto representa un nuevo desafío a la industria antispam y genera el desarrollo de nuevas tecnologías que se deberán fundamentar en la reputación de la organización que lleva a cabo los envíos masivos.

La tendencia de 2013: los mensajes falsificados de compañías antivirus

Por lo general los mensajes maliciosos y de estafadores están pensados para personas muy ingenuas o que saben poco de las reglas de seguridad en Internet.   Es poco probable que una persona prudente confíe en un mensaje que habla de un premio de varios millones de dólares, y una que sabe las principales reglas de seguridad informática no seguirá un enlace “del banco” y no ingresará su contraseña de banca online.

En 2013 hemos registrado varios envíos masivos que parecían notificaciones de compañías antivirus, es decir, estaban pensadas para personas que conocen las reglas de seguridad.  

Hacemos notar que los expertos de seguridad TI recomiendan a los usuarios actualizar con frecuencia sus programas antivirus, ya que esto es importante para garantizar la protección de los equipos. Y es justo esto lo que tratan de usar los delincuentes cibernéticos.  En el mensaje enviado en nombre de una compañía antivirus, recomendaban al usuario actualizar de inmediato su sistema usando el fichero adjunto. En los diferentes mensajes el texto no cambiaba, pero en el campo del remitente los spammers usaban los nombres de prácticamente todas las compañías antivirus: «Лаборатории Касперского», McAfee, ESET, Symantec y otros.

En realidad, el adjunto contenía un programa malicioso detectado por Kaspersky Lab como Trojan-Spy.Win32.Zbot.qsjm. Este troyano pertenece a la famosa familia ZeuS/Zbot y está destinado al robo de la información confidencial del usuario, sobre todo la información financiera. El programa malicioso puede modificar el contenido de las páginas de bancos abiertas en el navegador, incrustándoles scripts maliciosos para recibir la información de autentificación (logins, contraseñas, códigos de seguridad). Este troyano también roba la información personal, haciendo capturas de pantalla y vídeos, interceptando la introducción de datos desde el teclado, etc. Es curioso que para recibir las instrucciones y el fichero de configuración, Trojan-Spy.Win32.Zbot.qsjm no envía solicitudes a un centro de administración, sino que usa el protocolo P2P y recibe la información necesaria desde otros equipos infectados.

En otro envío se usaba el mismo truco: el usuario recibía una notificación falsa del servicio de asistencia técnica de una compañía antivirus con los resultados del análisis de un fichero supuestamente enviado por el usuario.

El mensaje contenía un fichero que supuestamente eliminaría el programa malicioso del sistema. En realidad se trataba de un gusano de correo detectado por Kaspersky Lab como Email-Worm.Win32.NetSky.q. Este gusano recolecta direcciones de correo electrónico de las libretas de los usuarios.

Los sucesos mundiales y el spam

En 2013 los spammers usaron muy activamente el revuelo ocasionado por diferentes sucesos mundiales. La absoluta mayoría de los envíos de spam que explotaban sucesos importantes eran o de estafas, o maliciosos.  

Por ejemplo, la noticia de la muerte del presidente de Venezuela Hugo Chávez se usó tanto en mensajes de estafa como maliciosos. Sin embargo, como regla, las diferentes categorías de spammers prefieren diferentes noticias. Así, en las “cartas nigerianas” se usan con más frecuencia referencias a sucesos ocurridos en Asia y el Cercano Oriente, mientras que en los mensajes con adjuntos maliciosos los spammers mencionan diferentes sucesos en Europa y América. También hacemos notar que los mensajes de estafa se propagan en diferentes idiomas (en realidad, con frecuencia los traducen sistemas automáticos) y el spam malicioso casi siempre se envía en inglés.

En  el “spam nigeriano” de 2013 se usó activamente el tema de la caída del presidente de Egipto Mohamed Morsi y la compleja situación política de Siria. Con la ayuda de los trucos típicos de las cartas nigerianas los estafadores trataron de robarle dinero a los usuarios.  Nosotros registramos envíos similares después de la muerte del líder libio Muamar Gadafi y después del encarcelamiento del presidente de Egipto Hosni Murabak. Todas estas cartas son muy parecidas, a pesar de que los spammers tratan de inventar nuevas historias. Por ejemplo, en el spam referente a los sucesos en Siria, vimos mensajes supuestamente enviados por soldados de EE.UU.:

En el spam malicioso se explotaron sucesos como la elección del nuevo Papa de la Iglesia Católica, el nacimiento del hijo del príncipe William en Inglaterra, los desenmascaramientos de Edward Snowden y otros. Por lo general los mensajes maliciosos tienen el aspecto de envíos hechos en campañas de noticias y contienen supuestos enlaces a materiales de interés. Pero el usuario que sigue los enlaces llega a sitios con programas maliciosos.

Muchos envíos maliciosos con noticias candentes contenían enlaces a sitios que almacenaban los exploit kits Blackhole del supuesto autor del exploit kit Blackhole, los spammers dejaron de usar clichés de noticias. Lo más probable es que este fenómeno sea temporal y pronto veamos mensajes de noticias similares con enlaces a otros programas maliciosos.

Estadística

Porcentaje de spam en el tráfico postal

La cantidad de spam en el correo de 2013, en comparación con 2012 ha bajado en un 2,5% y constituido el 69,6%. Por primera vez en muchos años la cantidad promedio de spam anual no ha alcanzado el 70%.

Porcentaje de spam en el tráfico postal en 2013

Merece la pena destacar que durante todo el año (sin tomar en cuenta los bajos índices de enero) los índices de spam cambiaron muy poco de mes en mes. Esto es un indicio de cierta estabilidad y podemos afirmar que es muy probable que el siguiente año el porcentaje de spam no cambie sustancialmente.

Distribución de las fuentes de spam por país

Distribución de las fuentes de spam por país en 2013

Los líderes de envío de spam en el mundo siguen siendo China (+3,5%) y EE.UU. (+2%). Desde estos dos países se envía el 40,6% del spam mundial. Estos son los países con más usuarios de Internet (China en el primer lugar y EE.UU. en el segundo).

En el tercer puesto está Corea del Sur, cuyo índice se ha multiplicado por 3,5 en comparación con el año pasado. También ha crecido significativamente el índice de Taiwán (+3,7%), y como resultado ha ocupado el cuarto puesto.

También ha crecido el índice de Kazajistán, Ucrania y Bielorrusia. Desde estos países se ha enviado una gran cantidad de spam en el segundo trimestre de 2013:

Porcentaje de spam enviado desde Ucrania, Kazajistán y Bielorrusia en 2013

Se ha reducido en 4 veces el índice de Brasil, que bajó del puesto 5 al 16. Al mismo tiempo ha crecido de una forma notable el índice de Canadá, que anteriormente no había logrado ingresar al TOP 20 de países-fuente de spam, pero que según los resultados de 2013 ocupó el puesto 14.

Porcentaje de spam enviado desde Canadá y Brasil en 2013

Creemos necesario mencionar que en Canadá hasta ahora no se han adoptado leyes contra el spam. La idea de crear una ley antispam (CASL) surgió en Canadá en 2005 y ahora, según afirma el primer ministro de Canadá James Moore, la ley deberá por fin entran en vigor desde el primero de julio de 2014. Esta ley, además del spam, regula algunos campos relacionados con él, como la organización de botnets, el envío de phishing y de programas maliciosos.

Regiones fuente de spam

Distribución de las fuentes de spam por región en 2013

En lo que se refiere a las regiones desde donde se envía spam, en el primer y segundo puesto siguen Asia (+5,3%) y América del Norte (3,2%). En el tercer lugar está Europa Oriental, cuyo índice casi se ha duplicado en comparación con el año anterior.

El índice de Europa Occidental se ha reducido en un 2,4% y sigue ocupando el cuarto lugar de la estadística. El índice de América Latina se ha reducido a una tercera parte y en 2013 ocupó el quinto puesto.

Tamaño de los mensajes spam

Distribución de los mensajes spam por tamaño, 2013

Podemos afirmar con certeza que 2013 ha sido el año de los mensajes supercortos. El índice de mensajes cuyo tamaño no supera 1kb ha sido del 74,5%. El uso de mensajes compactos permite a los spammers enviar más mensajes y gastar menos en tráfico. No es nada complicado crear, con la ayuda de un robot, frases cortas que cambian completamente de mensaje en mensaje, usando decenas de palabras temáticas y generadores de ruido casual. Con esto, cada mensaje es diferente, lo que complica el trabajo de los filtros antispam. La mayor parte de estos mensajes contienen enlaces a sitios de publicidad. Ejemplos típicos del spam supercorto son los anuncios de fármacos como Viagra y Sialis.

Adjuntos maliciosos en el correo

La cantidad de mensajes con adjuntos maliciosos en 2013 fue del 3,2%, un 0,2% menos que el año anterior.

Por tercer año consecutivo los más propagados en el correo son los programas que roban datos confidenciales a los usuarios, en primer lugar logins y contraseñas de sistemas de banca online.

TOP 10 de programas maliciosos propagados por correo electrónico en 2013

El primer puesto lo ocupa Trojan-Spy.HTML.Fraud.gen. Este programa se suele propagar junto con mensajes phishing y es una página html camuflada como un formulario de alta en un servicio de banca online. Los phishers la usan para robar los datos de las cuentas de los usuarios.

Los puestos desde el 2, 3, 4, 7 y 9 los ocupan los gusanos Bagle y Mydoom, cuya principal función es recolectar direcciones electrónicas de los ordenadores infectados. El gusano de correo de la familia Bagle puede recibir instrucciones remotas para instalar otros programas maliciosos.

En el quinto lugar de 2013 está Trojan-Banker.HTML.Agent.p. Al igual que Fraud.gen, este programa malicioso es una página html idéntica al formulario de alta en servicios de banca online u otros servicios de Internet y ha sido creada para robar los datos de los usuarios.

El sexto puesto lo ocupa un espía troyano de la familia Zbot. El objetivo de los programas ZeuS/Zbot es robar diferente información confidencial de los equipos de los usuarios, entre ellos datos de tarjetas de crédito. El año pasado este programa malicioso no entró en el TOP 10, pero a pesar de esto, Zbot no ha salido en ningún momento de nuestro campo visual: esta familia de programa maliciosos tiene ya muchos años y siempre está modificándose.

En el octavo puesto está Trojan-PSW.Win32.Tepfer.hjva. Los programas de este tipo fueron creados para robar contraseñas de las cuentas de los usuarios.

En el décimo puesto está Trojan.Win32.Bublik.aknd. Este programa recoleta en el equipo infectado contraseñas de FTP, datos de autorización en servicios de correo, certificados, etc. Además, el troyano puede analizar los formularios en los navegadores Mozilla Firefox y Google Chrome en busca de logins y contraseñas guardados. Los datos que encuentra se los envía a los delincuentes.

Algunas familias de programas maliciosos tienen muchas diferentes modificaciones, pero otras tienen solo unas cuantas. Por eso la estadística de las familias de programas maliciosos es diferente a la de programas sueltos.

TOP 10 de familias de programas maliciosos propagados en el correo electrónico en 2013

Además de las familias Tepfer, Zbot, Bublik, Fraud, Mydoom y Bagle descritas más arriba, en la presente estadística están:

• Backdoor.Win32.Androm.  Permiten a los delincuentes tomar el control del equipo infectado sin que el usuario se dé cuenta, por ejemplo, descargar otros ficheros maliciosos y ejecutarlos, enviar diferentes tipos de información desde el equipo del usuario, etc. Además, no es raro que los equipos infectados por estos programas se conviertan en parte de un botnet.
• Trojan-Ransom.Win32.Blocker. Están destinados al chantaje y la extorsión. Bloquean el funcionamiento del sistema operativo y ponen en el escritorio un banner con las condiciones de desbloqueo, por ejemplo, exigiendo enviar un SMS de pago a un número corto.
• Trojan-PSW.Win32.Fareit.amdp. Revisan el registro y los ficheros del sistema que contienen los datos confidenciales del usuario. Su objetivo es encontrar y enviar a los delincuentes las contraseñas, logins y demás información confidencial.
• Trojan.Win32.Inject. Son programas que descargan otros programas maliciosos en el ordenador infectado.  

Distribución de las reacciones del antivirus de correo por país en 2013

En lo que atañe a los países adónde se envía la mayor cantidad de programas maliciosos, los tres líderes siguen siendo los mismos del año anterior: EE.UU., Alemania e Inglaterra. Pero si bien el índice de EE.UU y Alemania ha cambiado muy poco durante el año, el de Inglaterra ha aumentado del 5,4% en el primer trimestre al 11,9% en el cuarto.

Fluctuación del índice de reacciones del antivirus de correo, Inglaterra, 2013

Los índices de los demás países han cambiado de forma insignificante, con la excepción de Italia, que ha subido del décimo puesto al quinto (+2,1%). Y todo debido a que en febrero en Italia hubo un envío masivo que contenía Trojan-Banker.HTML.Agent.p, con lo que ese mes Italia resultó en el primer puesto del TOP 10.

Phishing

Distribución del TOP 100 de organizaciones atacadas por los phishers*, por categorías, 2013

*La estadística de organizaciones atacadas por los phishers se basa en las reacciones de nuestro componente antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces dentro de mensajes de correo o en Internet.

Entre las organizaciones atacadas por los phishers ha aumentado el número de organizaciones que no tienen relación directa con los datos financieros. En el TOP 100 la cantidad de ataques contra las redes sociales ha crecido un 7,6%; en un 1,8% la cantidad de ataques contra los portales de búsqueda y los ataques contra el correo electrónico se han multiplicado por 4.  Al mismo tiempo los índices de las organizaciones financieras y las tiendas online se han reducido en un 6% y un 12,2% respectivamente.

Este cambio evidente muestra que, en gran medida, la monetización del phishing ocurre por la venta de las cuentas robadas a los usuarios, que después pueden usarse para enviar spam o contenido malicioso a las listas de contactos. Con la presente tendencia de unificación, una sola cuenta puede permitir el acceso a un portal que incluye correo, red social, espacio de almacenamiento y mucho más. Además, la cuenta del usuario puede estar relacionada con sus datos bancarios. Cada una de estas cuentas puede convertirse en un apetecido blanco para los delincuentes.

Conclusión y pronósticos

La cantidad de spam en 2013 ha bajado en un 2,5% en comparación con el año anterior, pero desde febrero el porcentaje de spam ha cambiado poco. Se puede suponer que el año siguiente la cantidad de spam en el tráfico también sufrirá pocas modificaciones. Al mismo tiempo, crecerá notablemente la zona de envíos "grises" enviados tanto a suscriptores como a un amplio círculo de personas que no quieren recibirlos.

Mientras menor sea la cantidad de propuestas comerciales legales en el spam, mayor será la cantidad de mensajes de estafa y maliciosos. Y si antes los delincuentes se aprovechaban sobre todo de la inexperiencia de los usuarios, a medida que aumenta la cantidad de usuarios que respetan las reglas de seguridad TI, los estafadores inventarán nuevos trucos, por ejemplo, decir que un fichero malicioso adjunto es una actualización del antivirus.

Entre los adjuntos maliciosos en el correo aparecen cada vez más programas para robar datos confidenciales, sobre todo logins y contraseñas de sistemas bancarios. Lo más probable es que el año siguiente esta tendencia continúe.

Es interesante que el phishing, por el contrario, se esté apartando de las cuentas bancarias para acercarse más a las redes sociales y al correo electrónico. En parte esto se explica por el hecho de que ahora una sola cuenta de correo puede abrir el acceso a una gran cantidad de contenidos, entre ellos el correo en sí, las redes sociales, programas de mensajería instantánea, almacenes de datos “en la nube” (cloud) y a veces hasta está vinculada a una tarjeta de crédito.

El spam está cambiando y en él hay cada vez menos publicidad tradicional. En cambio, hay cada vez más estafas, programas maliciosos y phishing. E incluso los usuarios experimentados de Internet tienen que estar muy atentos para no caer en las trampas de los estafadores.