Informes sobre spam y phishing

Spam y phishing en el segundo trimestre de 2016

Spam: peculiaridades del trimestre

El año de los extorsionadores en el spam

A pesar de que el segundo trimestre solo acaba de terminar, ya podemos afirmar que el 2016 será el año de los troyanos extorsionadores. El número de correos electrónicos con archivos adjuntos maliciosos, muchos de los cuales de alguna manera descargan troyanos extorsionadores en la computadora de la víctima, al final del segundo trimestre sigue siendo alto. Pero en el periodo del 1 al 21 de junio el porcentaje de estos mensajes bajó bruscamente.

La mayoría absoluta de adjuntos maliciosos se envió como archivos ZIP. Por esto, la caída se puede apreciar bien en el gráfico del spam con adjuntos ZIP recopilado por nuestras trampas:

Spam y phishing en el segundo trimestre de 2016

Número de mensajes con adjuntos ZIP maliciosos, segundo trimestre de 2016

Aparte de la caída, en junio también notamos una curiosa peculiaridad: este tipo de spam no se envía los fines de semana.

Lo mismo se observa en KSN, el número de detecciones del antivirus de correo cayó bruscamente el 1 de junio y subió el 22.

Spam y phishing en el segundo trimestre de 2016

Número de detecciones del antivirus de correo según países, segundo trimestre de 2016

La caída está relacionada con una pausa temporal tomada por la botnet Necurs, desde donde llega la mayor parte del spam de este tipo. Cuando la botnet reanudó su funcionamiento, cambió la plantilla de mensajes y los adjuntos maliciosos se hicieron aún más avanzados.

Los mensajes, al igual que el trimestre anterior, en su mayoría notificaban sobre cheques, facturas o listas de precios supuestamente adjuntas. Pero en realidad el adjunto contenía troyanos descargadores escritos en Javascript, que en su mayoría descargaban el cifrador Locky.

Spam y phishing en el segundo trimestre de 2016

Por ejemplo, en los mensajes de las figuras de arriba, al ejecutar el troyano descargador contenido en el adjunto, se descargaba en el sistema de la víctima el malware Trojan-Ransom.Win32.Locky.agn, que cifra la información del equipo y pide un rescate en bitcoins.

Sobre la ofuscación

En el segundo trimestre los spammers siguieron disfrazando sus enlaces usando diferentes diapasones de Unicode destinados a objetivos específicos. Esta táctica se hizo muy popular en 2015 y los spammers la siguen usando hasta ahora.

Spam y phishing en el segundo trimestre de 2016

En este ejemplo el enlace luce así:

Spam y phishing en el segundo trimestre de 2016

Si traducimos el dominio de la codificación UTF-8 a la HTML, que nos es más familiar, se convertirá en . Los caracteres, que aparentan ser letras comunes y corrientes, en realidad pertenecen al diapasón UTF Mathematical Alphanumeric Symbols (símbolos matemáticos alfanuméricos) utilizado para fórmulas matemáticas específicas y no están diseñados para usarse en el texto normal o en hipervínculos. El punto del dominio también es especial: se trata del carácter fullwidth full stop, usado en los idiomas de jeroglíficos. El resto de los hipervínculos, así como el resto del texto en este spam, está escrito en letras latinas.

Uso del spam para lanzar ataques APT

En el segundo trimestre notamos cierto número de ataques APT lanzados contra el sector empresarial. Se enviaron mensajes en nombre de funcionarios de la compañía atacada que contenían solicitudes de hacer envíos urgentes de dinero a determinada cuenta. El texto estaba escrito de una forma bastante creíble, e insinuaba que las personas se conocían y habían tenido una comunicación anterior. En algunos casos estaba presente el logotipo de la compañía atacada. En todas las cartas se hacía hincapié en la urgencia (“Cuanto antes”, “urgente”, “debe ser hecho hoy”) -los estafadores a menudo usan esta técnica para que en el apuro las personas pierdan la atención y el sentido crítico.

Ejemplo del contenido de estos mensajes:

Hola NNNNN,

¿Qué tal?¿Estás en la oficina? Necesito que proceses un pago atrasado que tiene que ser pagado hoy.

Gracias,

XXXXX

Estos mensajes se distribuyeron de forma muy específica, a empleados que están relacionados con la esfera financiera. El conocimiento mostrado por los delincuentes sugiere que el ataque fue planificado de una forma muy escrupulosa.

La parte menos fidedigna del ataque era el campo Remitente: no contenía el dominio corporativo, sino otro muy diferente, por ejemplo myfirm.moby. Tal vez el cálculo era que, de forma predeterminada, algunos programas de correo muestran al usuario sólo el nombre del remitente, escondiendo su dirección de correo.

Pero debe tenerse en cuenta que poner cualquier dominio falso en el campo Remitente: no supone ninguna dificultad, y en el futuro los ataques pueden estar mejor organizados.

Eventos deportivos en el spam

Desde hace mucho tiempo los envíos masivos de spam dedicados a diversos sucesos de actualidad son parte integrante del correo basura. Los eventos deportivos no son tan populares entre los spammers como, por ejemplo, los políticos, pero cada año su demanda va en aumento. Los mensajes que mencionan políticos aparecen con gran frecuencia, mientras que el spam de temática deportiva aparece sólo en las vísperas de cada evento en particular. Pero últimamente podemos ver que los envíos masivos empezaron mucho antes del inicio de las competencias. Así, los mensajes dedicados a los Juegos Olímpicos en Brasil se empezaron a detectar desde hace un año, en el segundo trimestre de 2015. La gran mayoría de estas cartas fraudulentas están encaminadas a engañar al destinatario y robarle su información personal y dinero.

El cuento clásico de las notificaciones falsas sobre premios de lotería, aplicada a los próximos Juegos Olímpicos, es que una organización oficial ha llevado a cabo una lotería y que la dirección del destinatario fue seleccionada al azar de entre millones de otras direcciones. Para recibir el dinero del premio, el destinatario tiene que responder al mensaje y proporcionar la información personal requerida.

Spam y phishing en el segundo trimestre de 2016

Cabe señalar que a menudo el texto del mensaje venía contenido en un archivo adjunto (.doc, .PDF, .jpg) y en el cuerpo sólo había un breve texto que pedía abrir el archivo adjunto..

Spam y phishing en el segundo trimestre de 2016

También detectamos mensajes tradicionales, donde el texto del spam estaba en el cuerpo del mensaje.

Spam y phishing en el segundo trimestre de 2016

Además de mensajes fraudulentos, también se enviaba spam publicitario.

A diferencia de las Olimpiadas, hace mucho tiempo que los delincuentes usan los mundiales de fútbol para llamar la atención a sus mensajes. A mediados del segundo trimestre de 2016 empezó la Eurocopa, y en las vísperas de tan esperado evento registramos en el spam notificaciones falsas de premios de lotería, cuyo contenido semántico no se diferencia de las notificaciones dedicadas a las Olimpiadas. Estos mensajes también contenían documentos adjuntos que daban más detalles sobre lo que querían decir los delincuentes.

Spam y phishing en el segundo trimestre de 2016

Los estafadores “nigerianos” también aprovecharon el tema del fútbol. Enviaban mensajes en nombre del presidente de la FIFA y usaban el gran escándalo de corrupción relacionado con su nombre para darles credibilidad. Los spammers contaban con que la historia falsa de que durante su periodo de la presidencia en la FIFA Joseph Blatter recibía dinero y lo giraba discretamente a su cuenta en un banco europeo no causaría sospechas entre los usuarios. Y tampoco lo haría la petición de guardar el dinero en su cuenta por un pago del 40% del total.

Spam y phishing en el segundo trimestre de 2016

Para convencer al destinatario de la veracidad del autor del mensaje, los estafadores utilizaban uno de los trucos estándar: ponían en el campo de remitente el nombre del autor y el dominio de la organización correspondiente.

Políticos americanos en el spam

En EE.UU. la campaña electoral está en su periodo más activo y los políticos y su entorno están en la mira de los medios de comunicación. Los spammers no se mantienen al margen y en el último trimestre usaron los nombres de famosos políticos en sus correos electrónicos fraudulentos y publicitarios. Por ejemplo, no pocas “cartas nigerianas” fueron enviadas en nombre del presidente actual de EE.UU., Barack Obama y su cónyuge Michele. En sus mensajes oficiales el “presidente” y la “primera dama” aseguraban a los destinatarios que ya se les había asignado una tarjeta bancaria o firmado un cheque por una enorme suma de dinero. Sólo quedaba cumplir con ciertas formalidades para que el dinero llegase lo antes posible a las manos del feliz destinatario. Para recibir instrucciones de la Casa Blanca, los delincuentes proponían enviar a la dirección suplantada la información personal del destinatario, incluyendo su dirección de correo electrónico con la contraseña, así como datos detallados de su pasaporte.

Spam y phishing en el segundo trimestre de 2016

Otro político cuyo nombre ha aparecido con frecuencia en el spam es Donald Trump, uno de los principales pretendientes a la presidencia estadounidense. Un método único de obtener ingresos en línea creado por el propio Trump, según las promesas de los spammers, enriquecerá a cualquier persona que quiera saber más y haga clic en el enlace del mensaje. Algo curioso es que los mensajes tenían el mismo diseño y apariencia que los noticieros de CNN y Fox News.

Spam y phishing en el segundo trimestre de 2016

Los enlaces de los mensajes llevaban a sitios de noticias falsos, hechos en el mismo estilo que los grandes canales de información y redes de noticias. La noticia era un relato sobre un sencillo método de ganar dinero, pero que en realidad era una de las variedades de envío de spam, que consiste en publicar enlaces. Además, para participar en el programa primero hay que registrarse, dándoles a los estafadores datos personales como el número de teléfono o la dirección de correo electrónico.

Estadística

Porcentaje de spam en el tráfico postal

Spam y phishing en el segundo trimestre de 2016

Porcentaje de spam en el tráfico de correo electrónico mundial, primer y segundo trimestre de 2016

La mayor parte del spam en el segundo trimestre se observó en mayo y alcanzó el 59,46%, casi 3 puntos porcentuales más que en abril. El promedio del spam en el tráfico de correo electrónico mundial en el segundo trimestre de 2016 fue del 57,25%.

Países fuente de spam

Spam y phishing en el segundo trimestre de 2016

Países fuente de spam en el mundo, segundo trimestre de 2016

En el segundo trimestre del año 2016 los tres países desde donde se envió la mayor cantidad de spam fueron los mismos: EE.UU. (10,79%), Vietnam (10,10%) e India (10,01%). Pero hubo cambios significativos en los índices de los países que hizo que sus diferencias se redujeran al mínimo.

China subió al cuarto puesto (6,52%) y su índice trimestral aumentó en 1,43 puntos porcentuales, en el quinto lugar está México (4,55%), seguido por Rusia (4,07%) y Francia (3,60%). Brasil (3,28%), que ocupó la cuarta posición en el primer trimestre, perdió 2,2 puntos porcentuales y descendió al octavo lugar. En los últimos lugares del TOP10 están Alemania (2,97%) y Turquía (2,30%).

Tamaño de los mensajes spam

Spam y phishing en el segundo trimestre de 2016

Tamaño de los mensajes spam, primer y segundo trimestre de 2016

La tradición continúa y en el segundo trimestre del año 2016 los más enviados fueron los mensajes de hasta 2 KB (72.26%), aunque su participación ha caído en 9,6 puntos porcentuales. Por el contrario, aumentó en 6,76 puntos porcentuales la cantidad de mensajes cuyo tamaño varía de 10 a 20 KB. En otras categorías los cambios han sido mínimos.

Adjuntos maliciosos en el correo

En la actualidad, la mayoría de los programas maliciosos se detectan de forma proactiva mediante procedimientos automatizados, lo que complica seriamente la recopilación de estadísticas sobre las variantes específicas de los programas maliciosos. Así que decidimos hacer una estadística más informativa: TOP 10 de familias de malware según el porcentaje de detección de cada familia por el antivirus de correo.

TOP 10 de familias de malware

Los tres líderes siguen siendo los mismos, las familias Trojan-Downloader.JS.Agent (10,45%), Trojan-Downloader.VBS.Agent (2,16%) y Trojan-Downloader.MSWord.Agent (1,82%).

La familia Trojan.Win32.Bayrob subió un puesto y ahora ocupa el cuarto lugar (1,62%). Por el contrario, la familia Backdoor.Win32.Androm (0,55%) perdió varias posiciones y bajó del cuarto al último puesto de la estadística.

Spam y phishing en el segundo trimestre de 2016

TOP10 de familias de malware, segundo trimestre del año 2016

Entre las nuevas familias de nuestro TOP 10 merece la pena mencionar a la familia Trojan.Win32.Inject (0,61%). El malware de esta familia incrusta su código en el espacio de direcciones de otros procesos.

El último puesto lo ocupa la familia Trojan-Spy.HTML.Fraud (0,55%).

Países fuente de adjuntos maliciosos

Spam y phishing en el segundo trimestre de 2016

Distribución de reacciones del antivirus de correo según países, segundo trimestre de 2012

El primer lugar según los resultados del segundo trimestre de 2016 se lo lleva Alemania (14,69%), aunque su participación haya disminuido en un 4,24 por ciento. Le sigue China (13,61%), cuya participación, por el contrario, creció en 4,18 puntos porcentuales. El tercer puesto lo ocupa Japón (6,42%), que en el último trimestre estaba en el séptimo lugar con un índice del 4,29%.

En el cuarto puesto se ubica Brasil (5,57%) y el quinto puesto lo ocupa Italia (4,89%). Según los resultados del trimestre, Rusia sigue estando en el sexto puesto con un índice del 4,36%.

EE.UU. (4,06%) ocupa el séptimo puesto entre los países blanco del spam con adjuntos maliciosos. Cierra la lista del TOP 10 Austria (2,3%).

Phishing

En el segundo trimestre de 2016, con la ayuda del sistema Antiphishing, impedimos 32 363 492 veces que los usuarios de los productos de Kaspersky Lab llegasen a sitios phishing. Son 2,6 millones menos que en el trimestre anterior. En total, en el segundo trimestre los phisher atacaron al 8,7% de los usuarios de los productos de Kaspersky Lab en el mundo.

Territorios de los ataques

El país con el mayor porcentaje de usuarios atacados por los phishers fue China (20,22%). En el segundo trimestre, el porcentaje de habitantes de este país atacados aumentó en 3,52 puntos porcentuales.

Spam y phishing en el segundo trimestre de 2016

Territorios de los ataques phishing*, segundo trimestre de 2016

* Porcentaje de usuarios en cuyos equipos reaccionó el sistema Antiphishing, del total de usuarios de productos de Kaspersky Lab en el país.

El porcentaje de usuarios atacados en Brasil cayó en 2,87 puntos porcentuales y constituyó el 18,63%. Como resultado, el país ocupó el segundo lugar en nuestro TOP 10. En el tercer lugar tenemos a Argelia (14,3%), cuyo índice subió 2,92 puntos porcentuales en comparación con el trimestre anterior.

TOP 10 de países según el número de usuarios atacados

China 20,22%
Brasil 18,63%
Argelia 14,3%
Inglaterra 12,95%
Australia 12,77%
Vietnam 11,46%
Ecuador 11,14%
Chile 11,08%
Catar 10,97%
Maldivas 10,94%

Organizaciones blanco de los ataques

La estadística de las categorías de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. Este componente detecta todas las páginas con contenidos phishing a las que los usuarios tratan de llegar al pulsar enlaces contenidos en el mensaje o en Internet, cuando los enlaces a estas páginas todavía no están presentes en las bases de Kaspersky Lab. Carece de importancia de qué forma se haga el paso: ya sea como resultado de pulsar un enlace en un mensaje phishing, en un mensaje de una red social o, por ejemplo, debido a las acciones de un programa malicioso. Como resultado de la reacción, el usuario ve en su navegador un banner que le advierte sobre la posible amenaza.

En el segundo trimestre bajó notablemente el índice de la categoría “Portales globales de Internet” (20,85%.), que fuera el líder del trimestre anterior, con una caída de 7,84 puntos porcentuales. Aumentó el índice de la categoría “Organizaciones financieras” (46,23%, +2,07 puntos porcentuales), que agrupa las categorías “Bancos” (25,43%, +1,51 puntos porcentuales), “Sistemas de pagos” (11,42%, -0,42 puntos porcentuales) y “Tiendas online” (9,39%, +0,99 puntos porcentuales).

8-sp

Distribución por categorías de las organizaciones atacadas por los phishers, segundo trimestre de 2016

El índice de la categoría “Redes sociales aumentó en 2,65 puntos porcentuales y alcanzó el 12,4%. También aumentó el índice de la categoría “Juegos online”, en 1,96% puntos porcentuales, y alcanzó el 5,65%. En el mismo periodo bajó en 1,17% el índice de la categoría “Proveedores de telefonía y de Internet” (4,33%), como también el índice de la categoría “Programas de mensajería instantánea” (1,28%), que lohizo en 2,15 puntos porcentuales.

Los temas candentes del trimestre

Los juegos olímpicos en Brasil

No es el primer año que Brasil está en la cima de los países con el mayor porcentaje de usuarios atacados por los hackers. Así, en 2015 y 2016 la atención de los estafadores se vio atraída por la Olimpiada de Rio, que tiene lugar en Brasil el verano de 2016. El semestre pasado no solo los usuarios de a pie, sino hasta los mismos organizadores de los juegos olímpicos se convirtieron en víctimas potenciales de los phishers.

Spam y phishing en el segundo trimestre de 2016

El revuelo que acompaña a los juegos no se calmó en el segundo trimestre, ni tampoco lo hacen los estafadores, que envían notificaciones falsas sobre premios de una lotería, supuestamente organizada por el gobierno del país y el Comité Olímpico con motivo de los juegos.

Un “pornovirus” para los usuarios de Facebook

Los phishers atacan con frecuencia a usuarios de la red social Facebook. Durante uno de los ataques efectuados en el segundo trimestre, los estafadores etiquetaban a las víctimas potenciales en un vídeo provocativo. Para verlo, había que visitar una página falsificada que aparentaba ser el popular portal de vídeo Youtube e instalar un complemento para el navegador.

Spam y phishing en el segundo trimestre de 2016

El complemento solicitaba derechos para leer todos los datos del navegador, algo que en perspectiva podría permitirles a los delincuentes obtener las contraseñas, nombres de usuario, datos de tarjetas bancarias y otra información introducida por el usuario. Como si esto fuera poco, el complemento difundía sus enlaces en Facebook, pero ahora en nombre de la víctima.

Los trucos de los phishers

Hackeo de dominios de buena reputación

Para evadir los filtros del software de protección, los estafadores tratan de poner sus páginas de phishing en dominios que tienen buena reputación. De esta manera se reduce significativamente la probabilidad de bloqueo y aumenta la confianza de las víctimas potenciales. Para los phishers es un gran logro obtener el dominio de un banco o de una organización estatal, para usarlos a su criterio. Este trimestre nos topamos con un ataque phishing dirigido a los visitantes de un sitio de comercio electrónico popular en Brasil: la página falsificada estaba en el dominio de un gran banco de India. Este no es de ninguna manera el primer caso en el que los estafadores se apoderan del dominio de un gran banco y ponen su contenido en el mismo.

Spam y phishing en el segundo trimestre de 2016

Phishing destinado a los usuarios de la tienda brasileña americanas.com

Cuando la víctima trata de comprar algo en la página falsificada de la tienda, se le solicita dar una gran cantidad de información personal. Para hacer el pago posterior, se le propone imprimir una factura con el logotipo de un banco brasileño.

Es mucho más frecuente que nos topemos con el hackeo de dominios de instituciones estatales. Este trimestre detectamos un gran número de casos de páginas phishing puestas en los dominios de los órganos del poder estatal en diferentes países. Estos son algunos de ellos:

Spam y phishing en el segundo trimestre de 2016

Páginas phishing ubicadas en los dominio de los órganos del poder estatal.

La probabilidad de que estos enlaces pasen a formar parte de listas de rechazados se reduce significativamente gracias a la reputación del dominio.

Las 3 organizaciones más atacadas por los phishers

Los estafadores concentran una gran parte de sus fuerzas en los usuarios de las marcas más populares, porque así aumentan las posibilidades de que sus nuevos ataques tengan éxito. Más de la mitad del total de reacciones del componente heurístico de nuestro sistema Antiphishing corresponde a páginas phishing que se ocultan bajo el nombre de casi 15 compañías de prestigio.

El 23% del total de las detecciones del componente heurístico correspondió al TOP 3 de organizaciones atacadas en el tercer trimestre.

Organización % de reacciones
1 Microsoft 8,1
2 Facebook 8,03
3 Yahoo! 6,87

El segundo trimestre hubo algunos cambios en el TOP3 de las organizaciones atacadas por los phishers. El líder de las organizaciones atacadas fue Microsoft (8,1%). Su participación aumentó en 0,61 puntos porcentuales. La red social Facebook subió al segundo puesto (8,03%) con un índice que creció en 2,32 puntos porcentuales. El líder del trimestre anterior, Yahoo (6,87%), perdió 1,49 puntos porcentuales y bajó al tercer puesto.

Pusimos a Microsoft, el líder del segundo trimestre, en la categoría “Portales globales de Internet” porque una sola cuenta de usuario permite recibir acceso a varios servicios de la compañía. Y esto atrae a los estafadores, porque si uno de sus ataques tiene éxito, recibirán acceso a varios de los servicios utilizados por la víctima.

Spam y phishing en el segundo trimestre de 2016

Ejemplo de phishing en Live.com, un servicio de la compañía Microsoft.

Conclusión

En el segundo trimestre de 2016 el promedio de spam en el tráfico de correo mundial creció muy poco en comparación con el trimestre anterior, en 0,33 puntos porcentuales, y constituyó el 57,25%. Los EE.UU. siguen liderando los países origen del spam. Vietnam e India, como en el trimestre anterior, también están entre los tres primeros países.

El segundo trimestre Alemania sigue siendo el líder de los países blanco de los adjuntos maliciosos, seguido de cerca por China. El tercer puesto lo ocupa Japón, país que en el primer trimestre ocupaba el séptimo puesto.

La familia de malware más difundida en el correo sigue siendo Trojan-Downloader.JS.Agent, seguida por Trojan-Downloader.VBS.Agent y Trojan-Downloader.MSWord.Agent. Una significativa cantidad de spam malicioso se usó para propagar troyanos extorsionadores, como Locky. En un futuro cercano no esperamos una reducción significativa en el número de spam malicioso, aunque puede haber cambios en las plantillas de mensajes, la complejidad del malware, así como en las prácticas sociales usadas por los delincuentes para hacer que los usuarios ejecuten un adjunto malicioso.

La tendencia general de los ataques de phishing se ha desplazado levemente desde la temática “Portales globales de Internet” a la temática “Organizaciones financieras”.

Tanto en el phishing como en el spam, los estafadores usan activamente el tema de los juegos olímpicos en Brasil. Con su ayuda los atacantes intentan llevar a los usuarios a una página falsa y obtener su información confidencial o simplemente robarles dinero.

Los acontecimientos políticos, como las elecciones en EE.UU. también estuvieron en la mira de los spammers. Para lanzar ataques phishing se usaron sitios hackeados de instituciones estatales.

Como podemos ver, la tendencia más notable es que el fraude y el robo dinero no se realizó reccurriendo a esquemas largos, sino de maneras más directas, por ejemplo usando troyanos cifradores que obligan a los usuarios desprotegidos a pagar un rescate, o el phishing dirigido a las organizaciones financieras. Todo esto confirma una vez más que es necesario contar tanto con una protección integral de los equipos informáticos, como con la cautela de los usuarios de Internet.

Spam y phishing en el segundo trimestre de 2016

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada