Spam y phishing en el tercer trimestre de 2015

Spam: peculiaridades del trimestre

Búsqueda de pareja online

La búsqueda de pareja y de citas es un tema típico del spam, pero en el tercer trimestre de 2015 el flujo de este tipo de mensajes se ha vuelto más diverso, y esto ha atraído nuestra atención. Hemos descubierto varios interesantes intentos de engañar al destinatario y evadir el filtro antispam, así como nuevos tipos de envíos masivos que por su esencia casi rayan en el fraude.

Por lo general, la tarea principal de los spammers en los envíos de esta temática es publicitar los sitios de búsqueda de pareja recién establecidos y poco conocidos. Los propietarios de estos sitios recurren al spam para atraer una audiencia lo más grande posible a sus sitios web. A menudo en estos mensajes pueden encontrarse divisiones temáticas: por ejemplo, sitios de búsqueda de parejas para personas maduras, para casados o para creyentes.

Otro tipo de propuestas son las que hacen las agencias de matrimonio para encontrar novias (sobre todo de Rusia y Ucrania) para pretendientes extranjeros. Por lo general este tipo de spam se difunde en el segmento angloparlante de Internet. Estos correos electrónicos contienen una invitación para inscribirse en los recursos pertinentes, que suele venir en forma de un breve texto que promete encontrar una compañía perfecta para la vida, y un enlace que lleva al sitio anunciado.

También se envían mensajes similares en nombre de la supuesta “novia”. Este tipo de spam parece más un fraude cuyo esquema recuerda las “cartas nigerianas”. Los mensajes llegan en nombre de una muchacha, que brevemente relata sobre las duras condiciones de vida en las provincias rusas y sus sueños de encontrar un príncipe azul. Con frecuencia se adjunta una fotografía que no tiene que ser la de la verdadera “novia”, sino que se puede haber tomado de páginas web ajenas en las redes sociales y se envía para hacer más convincente el mensaje. Por esto las fotos pueden ser las mismas en diferentes mensajes, incluso si se envían en nombre de diferentes chicas. Eso sí, el texto del mensaje varía: durante los envíos, los spammers usan muchos sinónimos, con la esperanza de evadir el filtro. La forma usual en que piden responder a estas cartas es por correo electrónico. Pero las direcciones del remitente cambian en cada mensaje. Es obvio que las direcciones se generan en grandes cantidades en servicios de correo gratuito, específicamente para el envío masivo. Al enviar un correo electrónico de respuesta a dicha dirección, el usuario recibirá, en el mejor de los casos, una notificación de que el buzón de correo no existe, y en el peor, usarán su dirección para enviarle spam o se convertirá en víctima de un esquema fraudulento: la muchacha le pedirá que le envíe dinero para comprar su pasaje y viajar al encuentro de su “prometido”. Una vez recibido el dinero, la “novia” desaparecerá para siempre.

De la misma manera se publicitan los sitios de citas “para adultos”. Los mensajes contienen una invitación para inscribirse en un sitio web y la promesa de encontrar pareja para relaciones sexuales, o el mensaje de una muchacha que está buscando una persona para sexo y un enlace a un recurso donde supuestamente se puede ver la descripción de la misteriosa dama. A menudo el spam publicitario de tales recursos se distribuye encubierto como una variedad de notificaciones sobre mensajes privados en las redes sociales, así como fotos o archivos de audio enviados a través de mensajeros instantáneos. Como resultado, la publicidad del recurso está totalmente disimulada y el usuario no puede saber lo que le espera si visita los enlaces propuestos. El contenido de tales mensajes pretende despertar la curiosidad del destinatario y hacerlo seguir el enlace, a menudo recurriendo a un contenido provocativo, burdas insinuaciones y fotografías reveladoras.

Y por último, otros envíos que detectamos el tercer trimestre son puro y llano fraude. Durante el trimestre vimos envíos cuyo cometido era obligar al destinatario a enviar un SMS a un número de teléfono; en respuesta, una chica se comprometía a enviarle sus fotos en paños menores o desnuda. El texto del envío cambiaba y se camuflaba todo el tiempo, así como los números de teléfono especificados en él. Nosotros escribimos mensajes a algunos de los números y constatamos que no eran de pago, como podría parecer a primera vista, y que no se les cobra dinero a los usuarios por enviar mensajes. Una “muchacha” nos respondió por SMS, pero por sus respuestas pronto nos dimos cuenta que se trataba de un robot, que llevaba la charla hacia la necesidad de descargar cierta aplicación para seguir manteniendo el chat y enviar las fotografías prometidas. Al final logramos recibir de la “muchacha” varios mensajes de texto con diferentes enlaces cortos que llevaban todos al mismo artículo en un famoso periódico estadounidense sobre aplicaciones móviles útiles. Durante la redirección al artículo, se cargaba al teléfono del usuario un archivo con malware móvil.

Spam malicioso de la estación

Cuando en el hemisferio norte es verano, aumenta la cantidad de spam de temas estacionales, no solo en el spam publicitario, sino también en el spam malicioso. En la época de vacaciones que acaba de terminar, el spam que estuvo más en boga fue el turístico: los estafadores enviaban notificaciones falsas en nombre de los servicios de reserva, compañías aéreas y hoteles para propagar programas maliciosos.

En los mensajes falsos enviados en nombre de compañías aéreas y servicios de reserva internacionales detectamos troyanos-descargadores, para ser más exactos, Trojan-Downloader.JS.Agent y Trojan-Downloader.Win32.Upatre.

También encontramos mensajes similares enviados en francés en nombre de compañías aéreas famosas. En el mensaje se informaba al destinatario que el adjunto contenía un pasaje electrónico. Pero en realidad el archivo ZIP contenía el troyano Trojan.Win32.Xtrat y el bot DDoS Nito (un módulo destinado a organizar ataques DDoS).

En julio los delincuentes trataron de engañar a los usuarios enviándoles notificaciones falsas en nombre de ciertos hoteles. En el mensaje se agradecía al destinatario por haberse hospedado en el hotel y le proponían ver la copia de la cuenta adjunta al mensaje. Pero en realidad, el archivo contenía el malware Trojan-Downloader.Win32.Upatre.dhwi, que por su parte descargaba y ejecutaba de varios enlaces (similares a 98.***.**.39/cv17.rar) especificados en el cuerpo del descargador el troyano bancario Trojan-Banker.Win32.Dyre.

Aparte de los mensajes falsos enviados en nombre de compañías conocidas, en el tráfico de spam descubrimos un mensaje en inglés enviado por una persona particular. El mensaje contenía la petición de cambiar la habitación reservada por otra de dos plazas, porque había disminuido el número de personas.

El texto de este mensaje podría tomarse como una petición legítima de un cliente, pero el adjunto ZIP contenía el descargador Trojan-Downloader.JS.Agent.hhi, que descargaba en el equipo infectado un backdoor llamado Backdoor.Win32.Androm.

Trucos de los spammers

En un mensaje de phishing estándar el texto se encuentra en el cuerpo, y la información personal hay que ingresarla en una página web a la que se llega siguiendo el enlace especificado en los campos de una página HTML adjunta al mensaje, o bien enviarla en un mensaje de respuesta. Esta última variante es más típica de los mensajes que piden confirmar la dirección y contraseña de correo electrónico.

El tercer trimestre los delincuentes inventaron una nueva forma de organizar el mensaje phishing y evadir los filtros antispam. El texto del mensaje phishing y el enlace falso se incluían en un documento PDF adjunto al mensaje. Al seguir el enlace se abría una página phishing común y corriente, en la que el usuario tenía que escribir su información personal. La mayor parte de mensajes que detectamos y en los que se usaba este nuevo truco fingían ser notificaciones provenientes de bancos. En el cuerpo de estos mensajes había un mensaje cortísimo con una descripción del problema, pero a veces ni siquiera había un mensaje.

Cabe destacar que en el texto de los mensajes detectados los spammers usaban frases y trucos ya conocidos: notificaciones sobre el bloqueo de una cuenta, la necesidad de pasar una verificación, una mención sobre la seguridad, la investigación de un caso de phishing, etc. Los enlaces fraudulentos, como antes, se camuflaban con enlaces legítimos y fragmentos de texto.

Pero también nos topamos con mensajes con un texto detallado en el cuerpo y con los enlaces verdaderos del banco. El adjunto PDF también contenía una notificación phishing.

Además, nuestros colegas descubrieron otra variante de mensajes phishing que usaban objetos Mediabox en archivos PDF adjuntos.

El objeto Mediabox era un documento que se abría al hace clic sobre él y se usaba para remitir al usuario a un sitio web phishing.

Estadísticas

Porcentaje de spam en el tráfico de correo

Cantidad de spam en el tráfico postal, abril-septiembre de 2015

Después de los meses relativamente tranquilos del segundo trimestre, la cuota del spam en el tráfico de correo mundial de nuevo empezó a cambiar. El pequeño crecimiento que tuvo lugar en julio y agosto de 2015 fue sustituido por un notable descenso en septiembre. Como resultado, el promedio de la cuota de spam en el tercer trimestre fue del 54,19%, cifra que es significantemente superior al promedio del trimestre anterior.

Países fuente de spam

Países fuente de spam en el mundo, tercer trimestre de 2015

En el tercer trimestre de 2015 EE.UU. (15,34%) conservó el primer puesto entre los países-fuente de spam en el mundo. Vietnam (8,42%) subió al segundo puesto, con una cuota que creció en 3,38 puntos porcentuales en comparación con el trimestre anterior. El tercer puesto lo ocupa China (7,15%), cuya cuota es casi la misma que los tres meses anteriores.

La cuota de Rusia (5,79%) en el tercer trimestre cayó en 2,03 puntos porcentuales, con lo que bajó del segundo puesto al cuarto. Le siguen Alemania (4,39%) y Francia (3,32%), cuyos índices tampoco han cambiado mucho en comparación con el trimestre anterior.

Tamaño de los mensajes spam

Tamaño de los mensajes spam, segundo y tercer trimestre de 2015

Los mensajes más difundidos en los envíos masivos del tercer trimestre fueron muy pequeños, de hasta 2KB (79,05%) y su cuota aumentó en 13,67 puntos porcentuales en comparación con el trimestre anterior. La cantidad de mensajes de 2 a 5 KB (3,21%) se redujo en casi la misma proporción de puntos porcentuales. La cuota de los demás tamaños de mensaje cambió muy poco en comparación con el trimestre anterior.

Adjuntos maliciosos en el correo

TOP 10 de programas maliciosos propagados por correo en el tercer trimestre de 2015

En el tercer trimestre de 2015, Trojan-Spy.HTML.Fraud.gen sigue siendo el más popular de los programas maliciosos enviados por correo electrónico. Recordamos que es una página HTML falsificada que se envía por correo electrónico camuflada como si fuera una notificación importante de grandes bancos comerciales, tiendas online, compañías desarrolladoras de software, y otras organizaciones.

El segundo y noveno puesto del TOP10 lo ocupan los descargadores Trojan-Downloader.JS.Agent.hhi y Trojan-Downloader.JS.Agent.hfq. Estos programas maliciosos son un script Java ofuscado. Los descargadores usan la tecnología ADODB.Stream, que les permite descargar y ejecutar ficheros DLL, EXE y PDF.

En el tercer y sexto puestos se encuentran los descargadores Trojan-Downloader.VBS.Small.lj y Trojan-Downloader.VBS.Agent.aqp respectivamente. Ambos son scripts VBS que también usan la tecnología ADODB.Stream, descargan archivos ZIP y ejecutan el malware que extraen de los mismos.

En el tercer puesto tenemos a Trojan-Downloader.MSWord.Agent.oq. Este malware es un documento DOC con un macro VBS que se ejecuta al abrirse el documento. El macro descarga desde el sitio de los delincuentes otro script VBS y lo ejecuta en el equipo del usuario.

El quinto puesto le pertenece a Email-Worm.Win32.Mydoom.l. Este gusano de red se propaga como adjunto de correo, mediante redes de intercambio de ficheros y recursos de red abiertos a la escritura. Las direcciones para enviar mensajes las recopila en los equipos infectados. El gusano les da a sus dueños la posibilidad de controlar el sistema infectado a distancia.

En el séptimo, octavo y décimo puestos se encuentran Trojan-Downloader.HTML.Meta.ay, Trojan-Downloader.HTML.Agent.aax y Trojan-Downloader.HTML.Meta.aq respectivamente. Estos programas maliciosos son páginas HTML con un código que remite al usuario al sitio del delincuente. Allí le espera a la víctima una página de phishing o una propuesta de descargar un programa para trabajar con un servicio de comercio automático de opciones binarias. Estos programas maliciosos se propagan mediante adjuntos de correo y sólo se diferencian por el enlace que remite al usuario al sitio de los delincuentes.

Familias de programas maliciosos

De la misma manera que en los dos primeros trimestres de 2015, el descargador Upatre (9,46%) encabezó la lista de las familias más difundidas. La mayor parte de las veces, los programas maliciosos de esta familia descargan al equipo de la víctima un troyano bancario conocido como Dyre/Dyzap/Dyreza.

En el segundo puesto sigue la familia MSWord.Agent (5,55%). Recordamos que los programas maliciosos que la conforman son archivos DOC que contienen adjunto un macro escrito en Visual Basic for Applications (VBA) que se ejecuta al abrirse el documento. Este malware descarga y ejecuta otros programas maliciosos, por ejemplo, uno de los representantes de la familia Andromeda.

El tercer puesto lo ocupa la familia VBS.Agent (5,44%). A diferencia de MSWord.Agent, ésta usa un script VBS adjunto. Para descargar y ejecutar diferentes tipos de malware en el equipo del usuario, los programas maliciosos de la familia usan la tecnología ADODB.Stream.

Países-fuente de enlaces maliciosos

Distribución de reacciones del antivirus de correo según países, tercer trimestre de 2015

Una vez más en el trío de países desde los que se envía mayor cantidad de spam han ocurrido serios cambios. El mayor de ellos fue la aparición de Rusia en el tercer puesto (7,56%). En un trimestre su índice aumentó en 2,82 puntos porcentuales, con lo que este país subió del quinto puesto al tercero.

El primer puesto le sigue perteneciendo a Alemania (11,7%), cuyo índice disminuyó en 1,12 puntos porcentuales. En el segundo puesto tenemos a Brasil (11,7%), en cuyo territorio la cantidad de spam malicioso casi se duplicó en comparación con el segundo trimestre.

Inglaterra (4,56%), que el trimestre anterior estaba en el segundo puesto, ahora está en el sexto.

Peculiaridades del spam malicioso

A principios de septiembre descubrimos en el tráfico de spam un envío masivo de gran envergadura, cuyos mensajes parecían respuestas automáticas del servidor de correo que notificaban que los mensajes no habían llegado a destino. El texto y el tema de los mensajes eran semejantes a una notificación automática, pero la dirección del remitente pertenecía a una persona natural, lo que despertaba sospechas sobre la legitimidad del mensaje. El archivo adjunto, que venía en formato ZIP con el nombre de “Google_drive_1711” también ponía en guardia, ya que las notificaciones del servicio de correo no contienen adjuntos. La investigación mostró que en el archivo se encontraba el troyano Trojan-Downloader.JS.Agent.hhi, que a su vez descargaba el backdoor Backdoor.Win32.Androm.

A principios del tercer trimestre los delincuentes enviaron activamente mensajes en francés, que contenían macrovirus. Los macrovirus que detectamos pertenecían a la categoría de troyanos-descargadores y servían para descargar e instalar el troyano bancario Dridex en los equipos de las víctimas. Para engañar al destinatario, los estafadores hacían pasar los mensajes como notificaciones sobre recepción de pedidos o como cuentas.

En julio los spammers también usaron el tema de los créditos (tradicional del spam publicitario) para propagar archivos maliciosos. En algunos mensajes los estafadores ofrecían créditos, seduciendo al cliente con las condiciones más ventajosas, bajos intereses, etc. En otros mensajes notificaban al destinatario que su petición de crédito había sido aceptada. Cabe destacar que el spam publicitario también puede tener contenidos similares, pero el spam malicioso se caracteriza por ocultar adjuntos maliciosos bajo la máscara de ofertas de crédito.

Es curioso que los mensajes maliciosos cuyos adjuntos contienen el troyano Trojan-Downloader.Win32.Upatre se hayan enviado a las direcciones de empleados de diferentes compañías.

Phishing

En el tercer trimestre de 2015, con la ayuda del sistema Antiphishing, impedimos 36 300 537 veces que los usuarios de los productos de Kaspersky Lab llegasen a sitios phishing. Esto es 6 millones más que en el trimestre anterior. De ellos, 15 764 588 intentos de ir a sitios phishing los bloquearon nuestros componentes heurísticos de detección y 20 535 949 intentos se bloquearon mediante métodos determinísticos. En este periodo se agregaron a las bases de Kaspersky Lab 839 672 máscaras de direcciones URL de phishing.

El país con el mayor número de usuarios atacados por los phishers sigue siendo Brasil (21,07%). En el tercer trimestre la cuota de usuarios de este país que sufrieron ataques aumentó en 11,33 puntos porcentuales, es decir, de hecho volvió a su índice del primer trimestre.

Territorios de los ataques*, tercer trimestre de 2015

* Porcentaje de usuarios en cuyos equipos reaccionó el sistema Antiphishing, del total de usuarios de productos de Kaspersky Lab en el país.

También tuvo un fuerte incremento la cuota de los usuarios atacados en Japón (+10,9 puntos porcentuales) y China (+7,85 puntos porcentuales). Estos dos países ocuparon el segundo y tercer puestos respectivos en nuestro TOP10.

TOP 10 de países según la cantidad de usuarios atacados:

Organizaciones blanco de los ataques

La estadística de los blancos de los ataques de los phishers está basada en las reacciones del componente heurístico del sistema Antiphishing. El componente heurístico del sistema “Antiphishing reacciona cuando el usuario sigue un enlace a una página phishing y la información sobre esta página todavía no está presente en las bases de datos de Kaspersky Lab. Carece de importancia de qué forma se haga el paso: sea como resultado de pulsar un enlace en un mensaje phishing, en un mensaje de una red social o, por ejemplo, debido a las acciones de un programa malicioso. Como resultado de la reacción, el usuario ve en su navegador un banner que le advierte sobre la posible amenaza.

En el tercer trimestre disminuyó de una forma notable la cuota de la categoría “Portales globales de Internet” (30,93%), el pertinaz líder de las organizaciones atacadas por los phishers. La caída fue de 11,42 puntos porcentuales. Por el contrario, la categoría “Redes sociales y blogs” (21,44%) repuntó de nuevo, en 6,69 puntos porcentuales. La tercera posición la ocupó la categoría “Bancos” (18,07%), cuya cuota aumentó en 4,65 puntos porcentuales. También se multiplicó por un coeficiente de 1,5 la cuota de la categoría “Juegos online” (4,02%).

Distribución por categorías de las organizaciones atacadas por los phishers, tercer trimestre de 2015

La cuota del phishing que tenía como blanco a las organizaciones de la categoría “Repositorios de datos en la nube” aumentó en 0,26 puntos porcentuales y alcanzó el 1,06%. Los usuarios están usando cada vez más las tecnologías de almacenamiento de datos en la nube, lo que atrae la atención de los estafadores. La información robada la usan para hacer chantajes, vendérsela a terceros y organizar ataques selectivos.

Con frecuencia este tipo de phishing se propaga por correo electrónico o por las redes sociales en forma de mensajes que instan a descargar uno u otro documento, supuestamente almacenado en un popular servicio en la nube. Los mensajes pueden provenir de las cuentas comprometidas de los contactos, o en el caso del correo electrónico, en nombre de la administración del servicio en la nube.

Por medio de las páginas phishing que fingen ser sitios de conocidos repositorios en la nube, se pueden propagar diversos programas maliciosos. En estos casos el usuario, al hacer clic en el enlace de la página, descarga por sí mismo un programa malicioso en su equipo.

Más abajo presentamos un ejemplo de un ataque donde se le propone al usuario descargar un documento PDF de gran importancia. El enlace del mensaje conduce a una página phishing con el mismo diseño gráfico que el popular servicio en la nube Dropbox.

Ejemplo de ataque phishing contra los usuarios Dropbox

Además de robar los datos almacenados en la nube y propagar programas maliciosos, los delincuentes informáticos con frecuencia usan el nombre de Dropbox para robar los datos de la cuenta de correo de la víctima.

Ejemplo de página phishing que usa el diseño de Dropbox

Pero he aquí otro ejemplo de phishing: los estafadores tratan de robarle al usuario su AppleID y su contraseña de iCloud.

Ejemplo de phishing dirigido contra los usuarios de iCloud

Además, si los delincuentes realizan el ataque con éxito, obtienen también acceso a los contenidos comprados por el usuario y a su buzón de correo.

Las 3 organizaciones más atacadas

Los estafadores siguen concentrando sus fuerzas en las marcas más populares, dirigiéndolas contra ellas la principal parte del phishing no selectivo. De esta manera calculan aumentar las posibilidades de éxito de cada ataque phishing. Más de la mitad del total de reacciones del componente heurístico de nuestro sistema Antiphishing corresponde a páginas phishing que se ocultan bajo el nombre de casi 30 compañías de prestigio.

El 26,39% de las reacciones del componente heurístico correspondió al TOP 3 de organizaciones atacadas en el tercer trimestre.

El tercer trimestre hubo algunos cambios en el TOP3 de las organizaciones atacadas por los phishers. El líder sigue siendo Yahoo! (15,38%), pero su cuota disminuyó a casi la mitad, en 13 puntos porcentuales. El segundo puesto lo ocupó la red social rusa VKontakte (9,44%), mientras que la red social Facebook (8,95%) perdió 1,49 puntos porcentuales y bajo del segundo al tercer puesto.

Conclusión

La cantidad de spam en el tráfico de correo, según los resultados del tercer trimestre de 2015, fue del 54,2%, es decir 0,8 puntos porcentuales menos que el trimestre anterior. Los tres países líderes fuente del spam difundido por todo el mundo este trimestre son: EE.UU. (15,3%), Rusia (8,4%) y China (7,2%).

La temporada de vacaciones de verano en el hemisferio norte provocó un aumento del spam malicioso de temática turística. Los delincuentes informáticos enviaron notificaciones falsas en nombre de conocidos servicios de reserva de hoteles y pasajes de avión, como también en nombre de personas particulares. Como regla, estos mensajes contenían archivos con diferentes troyanos-descargadores.

El primer puesto en la estadística de malware propagado por correo, según los resultados del tercer trimestre, le sigue perteneciendo a Trojan-Spy.HTML.Fraud.gen. Entre las familias de programas maliciosos, el líder de lo que va del año es la familia Upatre. El tercer trimestre, los usuarios de Alemania fueron los que sufrieron ataques maliciosos con más frecuencia, a ellos les corresponde el 18,5% de las detecciones del antivirus de correo.

La peculiaridad del trimestre fue que los creadores de mensajes phishing usaron un nuevo truco para evadir el filtro antispam: ya no ponían el texto y el enlace fraudulento en el cuerpo del mensaje, sino en un documento PDF adjunto.

En total, en el tercer trimestre las soluciones de Kaspersky Lab impidieron 36 millones de intentos de remitir usuarios a sitios phishing, 6 millones más que en el trimestre anterior. El país con la mayor cantidad de usuarios atacados por los phishers sigue siendo Brasil (21,07%).