El spam en el primer trimestre de 2014

Notificaciones falsificadas de aplicaciones móviles

Junto con la difusión general de dispositivos móviles, en el correo electrónico está empezando a aparecer spam dirigido a los usuarios de smartphones y tabletas. Nosotros ya hemos escrito sobre los envíos masivos que contienen programas maliciosos para Android. Por el momento estos programas son muy pocos, pero se los envía con una envidiable regularidad. Este trimestre hemos notado una tendencia más:

las notificaciones falsificadas por los spammers ahora copian los mensajes de las aplicaciones móviles. En estos envíos se encuentra con más frecuencia la aplicación móvil multiplataforma WhatsApp: los spammers usan notificaciones de WhatsApp falsificadas tanto para propagar programas maliciosos, como para enviar publicidad común y corriente.

En enero hemos detectado mensajes en los que supuestamente se enviaban imágenes mediante WhatsApp al destinatario. El usuario observador se pondría a pensar porqué le llegó un mensaje como este al correo, ya que la cuenta de WhatsApp no está vinculada con la dirección de correo. Pero muchos usuarios ya están acostumbrados tanto a la sincronización de contactos, como al hecho de que al correo electrónico pueden llegar mensajes de las aplicaciones móviles, por lo que un mensaje así puede no poner en alerta a la mayoría de los usuarios.

En realidad, el adjunto contenía un programa malicioso detectado por Kaspersky Lab como Backdoor.Win32.Androm.bjkd. Se trata de un famoso backdoor, cuya función principal es descargar otros programas maliciosos en el ordenador del usuario.

En marzo ha llegado a nuestras manos otro envío masivo que también explotaba la popularidad de esta aplicación móvil. En los mensajes se le decía al destinatario que tenía una llamada sin contestar en WhatsApp y le proponían seguir un enlace para escucharla.

Al pulsar “Autoplay”, el usuario llegaba a un sitio legítimo, pero hackeado con un javascript:

Si traducimos los símbolos del sistema hexadecimal a letras, tendremos:

Es decir, el sitio hackeado hacía redirecciones y remitía al usuario a otro sitio, en este caso uno que contenía publicidad de Viagra.

Es digno de mención que en este esquema no sólo se usaban notificaciones de WhatsApp falsificadas, sino también de otros mensajeros móviles, Viber y Google Hangouts.

Sobre el fondo del creciente interés hacia los dispositivos móviles se pueden también mencionar el aumento de la frecuencia de los ataques phishing cuyo objetivo es robar las ID de Apple.

En el primer trimestre de 2014 la compañía Apple quedó en el decimoséptimo lugar entre las organizaciones atacadas por los phishers.

Temas candentes en el spam: Juegos olímpicos

En febrero se celebraron en Rusia los juegos olímpicos de invierno. Este acontecimiento no pasó inadvertido para los spammers. Y en efecto, usaron esta temática en diversos envíos masivos, pero la agitación de los spammers respecto a la olimpiada no fue tan grande como se esperaba. Los empresarios chinos ofrecían diferentes productos con los símbolos de la olimpiada y los estafadores “nigerianos” explotaban el tema para robar dinero a los usuarios. También detectamos varios envíos masivos que publicitaban imitaciones de “relojes para viajar a las olimpiadas” y los servicios de un helicóptero privado en Sochi.

Merece la pena destacar que no es la primera vez que los spammers tienen una actitud tan tibia hacia un suceso tan importante. Durante las olimpiadas de verano en Londres registramos sobre todo envíos fraudulentos sobre ganancias “olímpicas” de lotería, y los juegos olímpicos invernales de 2010 en Vancouver no llamaron en absoluto la atención de los delincuentes cibernéticos. Es interesante que durante los mundiales de fútbol siempre hay más envíos temáticos de spam.

Aparte de los temas de las olimpiadas en Sochi, los spammers (sobre todo los estafadores “nigerianos”) usaron noticias de pretexto, como la muerte del primer ministro de Israel Ariel Sharon. Además, los estafadores siguen enviando spam “nigeriano” en nombre del expresidente de África del Sur Nelson Mandela, que murió en diciembre.

Métodos de los spammers: introducción de “ruido” en el HTML

Para hacer que cada mensaje de los envíos masivos sea único, los spammers suelen recurrir a la introducción de “ruido” en el texto, es decir, le añaden caracteres, palabras y fragmentos de texto casuales. Es evidente que con esto el mensaje pierde pulcritud y claridad y despierta menos interés en los usuarios. Por esta razón los spammers, como regla, tratan de hacer el texto casual invisible a los usuarios. Los spammers siguen usando trucos tan trillados como poner texto blanco en fondo blanco o separar el texto basura del texto con sentido mediante una gran cantidad de espacios en blanco, a pesar de que estos trucos son tan viejos como el mismo spam.

Pero algunos spammers usan métodos más avanzados. Uno de ellos es introducir ruido en el mensaje por medio de etiquetas HTML. La peculiaridad de este método es que el usuario no ve nada aparte del texto principal, pero para el filtro antispam cada mensaje será único.

He aquí cómo el usuario ve el mensaje:

En el código fuente el cuerpo del mensaje luce así:

Todo el código HTML , excepto el que está destacado con rojo y las imágenes, carecen de cualquier sentido. En particular, hay muchas etiquetas span con diferentes atributos. Esta es una etiqueta-contenedor, que se usa sobre todo para diseño o para darle un identificador único a determinado fragmento del texto. En este caso no hay ningún texto real entre la apertura y la clausura de las etiquetas, es decir, sólo sirven para enmarañar el texto.

El enlace, que también está enmarañado, también requiere especial atención. Podemos notar que entre las letras normales se ha agregado varias veces en lugares al azar la secuencia “=EF=BB=BF”. En el sistema hexadecimal esta secuencia denota un símbolo UTF-8, usado para indicar el orden de los bytes del fichero de texto. Pero en este caso se usa con su cometido original y se encuentra al principio del texto. Según la especificación Unicode, este símbolo en medio del flujo de datos debe interpretarse como “espacio indivisible de largo cero”(en esencia, un símbolo nulo). Es decir, el programa de correo simplemente ignora esta secuencia y puede fácilmente abrir un enlace o descargar una imagen. Pero para el filtro antispam este enlace será único.

Además, el último pedazo del enlace (destacado con anaranjado) también es casual.

Al final, si quitamos toda la basura, el código fuente luciría así:

Como podemos notar, la cantidad de basura es sustancialmente mayor que el contenido inteligible del mensaje. Toda esta basura se genera al azar y es única en cada mensaje del envío masivo. Con todo, el usuario que abre el mensaje en el programa de correo ve sólo el texto inteligible, sin ninguno de los trucos de los spammers.

Estadísticas

Porcentaje de spam en el tráfico postal

En el primer trimestre de 2014 el porcentaje medio de spam en el tráfico de correo ha sido del 66,34%. Esto es un 6,43% menos que en el trimestre anterior. Pero en comparación con el primer trimestre de 2013 la cantidad de spam en el mismo periodo de 2014 ha bajado de una forma insignificante, sólo en un 0,16%.

Cantidad de spam en el tráfico de correo, primer trimestre de 2014

También hay que subrayar que durante el trimestre la cantidad de spam ha tenido fuertes fluctuaciones, alcanzando su nivel más bajo (61%) en la última semana del trimestre.

Países fuente de spam

En lo que respecta a la distribución geográfica de las fuentes de spam, ésta ha variado muy poco.

Distribución de las fuentes de spam por país, primer trimestre de 2014

Los primeros tres puesto en el TOP 20 los ocupan China (-0,34%), EE.UU. (+1,23%) y Corea (0,91%). Rusia ha adelantado a Taiwán por la cantidad de spam propagado y ha subido al cuarto puesto, una posición más arriba en comparación con el trimestre anterior.

El resto de la primera decena de la estadística ha cambiado poco.

En la segunda decena han ocurrido cambios más notables. -Filipinas ha subido del puesto 20 al 11 (+0,67%), y ha bajado el índice de Kazajistán (-0,76%) haciendo que baje del puesto 11 al 17. Además, Canadá, que el pasado trimestre ocupaba el décimo puesto, ha bajado al decimoséptimo, con un índice que ha bajado del 1,73% al 0,49%.

Regiones-fuente de spam

Distribución de las fuentes de spam por regiones, segundo trimestre de 2014

La distribución de las fuentes de spam por regiones tampoco ha sufrido grandes cambios. El índice de Asia ha bajado un poco, en un 3,2%, pero sigue siendo el líder indiscutible en la propagación de spam. El índice de América del Norte prácticamente no ha cambiado (-0,01%) y los índices de las demás regiones han crecido un poco.

Tamaño de los mensajes de spam

En el spam, con una gran ventaja, lideran los mensajes ultracortos, de un tamaño no superior al kilobyte.

Tamaño de los mensajes spam, primer trimestre de 2014

En enero hemos registrado un aumento de la cantidad de mensajes de 10 a 20 KB. Es posible que esto esté relacionado con los envíos festivos de spam decorado con imágenes.

Adjuntos maliciosos en el correo

TOP 10 de programas maliciosos propagados por correo en el primer trimestre de 2014

El adjunto malicioso más popular en el correo sigue siendo Trojan-Spy.HTML.Fraud.gen. Este programa se suele propagar junto con mensajes phishing y es una página html camuflada como un formulario de alta en un servicio de banca online. Los phishers la usan para robar los datos de las cuentas de los usuarios.

En el segundo y séptimo puesto están los gusanos de red Net-Worm.Win32.Aspxor. Estos programas maliciosos pueden buscar automáticamente sitios vulnerables para después infectarlos en masa para formar una botnet. Entre sus funciones está la descarga y lanzamiento de otros programas maliciosos,

la recopilación de información valiosa en el equipo (como las contraseñas guardadas, datos de acceso a cuentas de correo y FTP y envío de spam).

En el tercer puesto está el viejo participante de nuestro TOP10, el gusano Email-Worm.Win32.Bagle.gt. La principal función de todos los gusanos de correo es recolectar direcciones de correo electrónico en los equipos infectados. El gusano de correo de la familia Bagle puede recibir instrucciones remotas para instalar otros programas maliciosos.

En el cuarto y octavo puesto están los troyanos de la familia Fareit, que se propagaron con más virulencia en enero. Estos programas maliciosos pueden robar las contraseñas de los usuarios, lanzar ataques DdoS, descargar y ejecutar programas maliciosos. Los dos representantes de la familia que han llegado a nuestra estadística también descargan y ejecutan troyanos de la familia Zbot. Además, los programas maliciosos de la familia Fareit roban billeteras de Bitcoin y otras monedas cifradas (cerca de 30 en total).

En el quinto lugar está Trojan.Win32.Bublik.bwbx, que puede descargar otros programas maliciosos en el equipo del usuario, en particular de la familia Zbot.

En el sexto puesto está Backdoor.Win32.Androm.bngy. Los programas maliciosos de la familia Androm son backdoors que permiten a los delincuentes controlar el ordenador infectado sin que su dueño se dé cuenta. Con frecuencia estos equipos se convierten en parte de botnets.

En el noveno puesto está el viejo gusano de correo Email-Worm.Win32.Mydoom.l.

El último puesto del TOP 10 lo ocupa un famoso troyano de la familia Zbot. Esta familia se especializa en el robo de información confidencial. Aparte de esto, el programa malicioso puede instalar en el equipo infectado Cryptolocker, un programa malicioso que cifra los datos del usuario y pide dinero para descifrarlos.

Distribución de reacciones del antivirus de correo según países, primer trimestre de 2014

En lo que atañe a los países donde a los que se enviaron mensajes con adjuntos maliciosos, en comparación con el trimestre anterior ha crecido la cantidad de reacciones del antivirus de correo en EE.UU. (+3,68%), mientras que al mismo tiempo ha bajado en Inglaterra (-2,27%), Alemania (-1,34%) y Hong Kong (-2,73%). Como resultado EE.UU., que en el trimestre anterior ocupaba sólo el tercer puesto en la estadística, ahora de nuevo encabeza el TOP de países atacados. El porcentaje de programas maliciosos dirigidos a otros países ha cambiado poco.

Phising

Desde este trimestre hemos decidido agrupar dos categorías de organizaciones, “Correo electrónico, programas de mensajería instantánea” y “Sistemas de búsqueda” en una sola, “Portales de correo y búsqueda”. Es que en estos portales con frecuencia se usa una sola cuenta, que al mismo tiempo responde por la configuración, y la historia de búsquedas. Es una cuenta de correo y además, da acceso a servicios “en la nube” y otras posibilidades más.

Distribución del TOP 100 de organizaciones atacadas por los phishers*, primer trimestre de 2014

*La estadística de organizaciones atacadas por los phishers se basa en las reacciones de nuestro componente antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces dentro de mensajes de correo o en Internet.

Como esperábamos, la categoría “Portales de correo y búsqueda” ha ocupado el primer renglón en la estadística de las organizaciones atacadas por los phishers. A pesar de que una cuenta moderna en un portal de correo y búsqueda da muchas ventajas, la mayoría de estos ataques están dirigidos al robo de datos de acceso al buzón de correo del usuario. Hacemos notar que, además de usar el buzón para sus propios objetivos, los delincuentes pueden revisar su contenido en busca de otros logins y contraseñas. Y es que es justo el buzón de correo el usado por los diferentes sitios para recordar contraseñas olvidadas. Y si algunos sitios envían sólo enlaces para generar una nueva contraseña, otros envían la contraseña en el mensaje. Además, algunos sitios envían mensajes que contienen el login y la contraseña inmediatamente después de la inscripción. Para evitar la pérdida de información confidencial, los modernos sistemas de correo proponen un método de autentificación doble: además del login y contraseña hay que introducir un código enviado por SMS.
Además, pueden simplemente borrar del buzón todos los mensajes que contienen información confidencial.

La cuentas de las redes sociales, que ocupan el segundo puesto, siguen siendo muy populares entre los phishers, a pesar de que su índice ha bajado un 1,44% en la estadística en comparación con el trimestre anterior.

El crecimiento más notable ha sido el de la cantidad de ataques contra las tiendas online (+2,47%). Esto ha sucedido en primer lugar gracias a los ataques contra los servicios de cupones, como también contra las agencias que venden entradas para diferentes espectáculos, muy populares entre los phishers en marzo.

Ha bajado un poco la cantidad de ataques contra los vendedore TI (-2,46%). El resto de la distribución de categorías se ha mantenido prácticamente
sin cambios.

Conclusión

En el presente casi todos poseen dispositivos móviles “inteligentes” y casi todos los recursos populares en Internet tienen versiones móviles. Además, también existen aplicaciones móviles que gozan de enorme popularidad. Los delincuentes explotan esta popularidad enviando spam que falsifica las notificaciones de las aplicaciones móviles. Con el tiempo la cantidad de estas falsificaciones irá solo en aumento. Además, también podemos esperar el crecimiento del phishing cuyo objetivo serán las contraseñas de las cuentas de las aplicaciones móviles.

Los programas maliciosos para el sistema operativo Android ya se están propagando por correo electrónico, pero por el momento son pocos. Se puede esperar que en el correo electrónico crezca la cantidad de programas maliciosos creados para plataformas móviles.

El principal objetivo de la mayoría de los programas maliciosos propagados por correo electrónico es el robo de la información confidencial del usuario. Pero en este trimestre también fueron populares los programas maliciosos capaces de enviar spam y lanzar ataques DDoS. Destacamos que la mayoría de los programas populares son multifuncionales: pueden robar datos del equipo de la víctima, conectarlo a una botnet, descargar e instalar otros programas maliciosos.

Los spammers siguen usando diferentes trucos para evadir los filtros antispam. Uno de los más progresivos es introducir “ruido” en los mensajes mediante etiquetas HTML y enmarañar los enlaces. El último truco similar es introducir en el enlace un símbolo UTF-8 que cuando no se encuentra al principio del texto se interpreta como nulo. En realidad, hay muchos trucos con UTF-8, de los cuales se aprovechan los delincuentes periódicamente.

La mayoría de los ataques phishing tuvo como blanco las cuentas de correo. Con frecuencia los usuarios no temen por su correo y muchos usan logins y contraseñas simples. Pero queremos recordarles que si capturan su cuenta de correo, esto les dará a los delincuentes acceso a toda la información allí almacenada, incluyendo otros logins y contraseñas. Recomendamos usar contraseñas complejas para los buzones de correo y tratar de usar lo más posible la autentificación doble.