Boletín de seguridad de Kaspersky

Boletín de seguridad Kaspersky. Enero-junio de 2006. Spam en el primer semestre de 2006

Este informe analiza el volumen y tipo de spam detectado en el primer semestre del 2006, así como los nuevos enfoques y técnicas utilizadas para enviar spam. También se incluyen las predicciones sobre la evolución del spam en el segundo semestre del año. El informe está dirigido a profesionales de TI en el tema seguridad y a los usuarios que estén interesados en el problema del spam.

Kaspersky Lab recibe y analiza entre 300.000 y 500.000 correos electrónicos spam por día. El spam proviene de varias fuentes: trampas de spam dedicadas, muestras de tráfico de correo electrónico, y muestras proporcionadas por clientes y socios. Todo el tráfico de llegada de spam se clasifica automáticamente, y una parte también se analiza manualmente. Un sistema único de clasificación de spam ayuda a llevar informes detallados del volumen y tipos de spam.

Volumen del spam

Empezando en marzo de 2006, los analistas de Kaspersky Lab notaron que el spam tiene un flujo sostenido y comparte una parte importante del tráfico de correo electrónico, entre 75% y 78% del tráfico total.


Distribución del volumen del spam en el sector ruso de Internet en 2006

Los datos de análisis de Kaspersky Lab sugieren que este alto porcentaje es válido tanto en el sector ruso de Internet como en el segmento de Internet de los países de occidente.

Si comparásemos los números del primer semestre del 2006 con aquellos del 2004-2005, podríamos percibir que el extremo menor del rango de porcentaje aumentó de un 73% a 75%. Al mismo tiempo, el gráfico que ilustra el volumen de spam muestra un incremento más suave y gradual sin altas o bajas bruscas, lo que en realidad es algo poco usual. Durante 2003-2005 el sector ruso de Internet presenció dos declives “estacionales” en el volumen de spam, relacionadas a las tradicionales fiestas de Año Nuevo y Mayo. En mayo del 2006 no hubo descenso.

Parece ser que en la actualidad el spam alcanzó un punto de saturación en el tráfico de correo electrónico. El volumen de spam se ha estabilizado a un nivel relativamente alto, y este nivel es influenciado sólo ligeramente por factores tales como las fiestas locales.

En su conjunto, las tendencias en términos de volumen de spam en el primer semestre de 2006 pueden delinearse como sigue:

  • En enero, el spam cayó a un punto del 44% del volumen total de correo electrónico (4-5 enero);
  • El spam luego subió sostenidamente a un pico del 86,4% en febrero (14-17 febrero);
  • Se vieron unas cuantas fluctuaciones bruscas más, desde el 63,8% al 81,2%;
  • Finalmente, el volumen de spam se estabilizó dentro del rango del 75% al 78%.

En los últimos cuatro meses del primer semestre de este año, el volumen de spam en el tráfico de correo electrónico fluctuó ligeramente, aunque se registró un salto al 89,7% el 13 de abril. Hacia el final del primer semestre de este año, Kaspersky Lab notó un incremento gradual de spam, aunque junio cerró en el 82,2%, lo cual es también poco usual. La mitad del verano es típicamente una “estación muerta” para la publicidad por spam. Los próximos meses revelarán si el volumen de spam se revertirá o no a las cifras promedio, es decir, por debajo del 80%.

Los temas del spam

Durante el primer semestre de este año, las tres máximas categorías de spam en el sector ruso de Internet fueron:

  1. Spam que contiene “fraude virtual” (esta categoría incluye: phishing, cartas nigerianas, notificaciones falsas sobre premios en la lotería, oferta de contrabando, etc.)
  2. Spam ofreciendo medicinas y otros productos/servicios medicinales y “semi medicinales”.
  3. Spam “educacional” ofreciendo cursos especiales, seminarios y entrenamiento.

Distribución de los temas del spam en el sector ruso de Internet, primer semestre de 2006

El spam de fraude virtual una vez más se ha incrementado; mientras este tipo de spam ocupaba solo el 11% de todo el spam en 2005, éste supuso el 18% de todo el spam en el primer semestre del 2006. Para más detalles, ver la sección sobre spam criminal.

Cierto spam de fraude virtual se destaca debido a su longevidad: tales correos electrónicos son enviados repetidamente en intervalos regulares a millones de direcciones.

Los 3 ataques de spam más difundidos, más longevos y repetitivos son los siguientes:

  1. Ofertas de Viagra y otros medios para mejorar la virilidad (el mensaje tiene una ortografía confusa de la medicina en cuestión, tal como ouxomVjlAGRA).
  2. Spam financiero – o sea un intento de influenciar el valor de acciones en el mercado de valores (el tema del correo será una oferta de acciones, por ejemplo Stock Promo Mover: SGXI.PK).
  3. Ofertas de cursos, entrenamiento y seminarios para administradores sobre mejoras a la motivación del empleado, temas relacionados a contaduría o impuestos.

Spam criminalizado

Los siguientes factores demuestran que el proceso del spam criminalizado todavía continúa siendo intenso:

  • un crecimiento continuado de la cantidad de spam de “fraude virtual”;
  • la aparición de nuevas clases de fraude que utilizan spam;
  • mejoras en los tipos de spam en esta categoría que ya han sido identificados.

Los números prueban que el spam criminalizado es creciente – en el primer semestre de 2006, el 18.8% de todo el spam era del tipo criminalizado.


Porcentaje de spam criminalizado, primer semestre de 2006

El diagrama muestra que la parte proporcional de spam criminalizado en el sector ruso de Internet durante el primer semestre del año fluctuó bastante. Durante periodos “pico”, que duraron de 1-3 días, hasta el 25% de todo el spam cayó en esta categoría. El resto del tiempo, los ataques criminalizados ocuparon del 13 al 16% de todo el spam. Cifras detalladas para esta categoría demuestran que los incidentes de phishing pueden suponer hasta la mitad de todos los ataques de spam del tipo “fraude por ordenador”.

Ciertos tipos de spam criminalizado son distribuidos en todo el mundo. En primer lugar, esto es cierto para el phishing, spam 419, spam financiero, ofertas para programas pirateados, etc. Pero existen otros tipos de spam que son característicos de ciertas regiones. Por ejemplo, participación en operaciones encubiertas de lavado de dinero (presentadas por los spammers como negocios legales) son ofrecidas exclusivamente al segmento de Internet de los países occidentales.

Señor/Señora, Buenos días

Déjeme presentarme: Mi nombre es Sergey Rubinshtein y soy un analista financiero en Moscú. Tengo una especialización en economía de Rusia y mercados financieros. Frecuentemente llevo a cabo proyectos de consultoría para firmas norteamericanas. El gerente de departamento de recursos humanos de mi cliente en Norteamérica me pidió encontrar un residente norteamericano que pueda ayudar como intermediario, porque es más fácil recibir un pago de esta forma que llenando todo el papeleo necesario para convertirse en un empleado norteamericano.

Es por esto que pido su ayuda para transferir pagos correspondientes a consultoría recibidos de firmas norteamericanas. Será un gusto compensarlo con un porcentaje de mi salario que espero pueda ser alrededor de 2.000 a 4.000 $ por semana. Ésta se convertirá en una pequeña pero repetitiva fuente de ingresos para usted por un pequeño esfuerzo. Por favor póngase en contacto conmigo a través de correo electrónico, si está interesado y si desea conocer mayores detalles.

Warning!!! Tu email están en la lista de los spammers!

Para quitarlo de la lista, envía un mensaje “kop+{NUM} tu emaill” al número {PHONE NUM}

Los usuarios del sector ruso de Internet han experimentado un nuevo tipo de spam en el primer semestre del 2006: spam que de una manera u otra invita al usuario a enviar mensajes de texto “gratis” a un número de servicio pagado. Existen toda clase de diferentes ofertas, pero el objetivo de los spammers es siempre el mismo: ganar dinero a cuenta del usuario.

Por ejemplo, los analistas de Kaspersky Lab han detectado spam que contiene una oferta para anular su registro de una lista de correo de spam enviando un mensaje de texto al número señalado en el correo electrónico. Los spammers se comprometen a que esta mítica anulación de la base de datos de spam está libre de costos, pero en realidad el enviar un mensaje de texto al número proporcionado puede costar al que envía el mensaje de $0,30 a $0,50. El usuario incauto perderá una cierta cantidad de dinero, y continuará recibiendo el spam como antes.

Una cierta proporción de spam criminalizado se envía masivamente en lenguas europeas: inglés, francés y alemán. Por ejemplo, un aviso falso de ganancia de lotería está generalmente en inglés, mientras que los 419 están típicamente escritos en inglés y francés. Relojes falsificados y carteras de marcas populares también se anuncian en inglés.

En parte, esto se debe a las diferencias en el nivel de vida de las personas de habla rusa y los usuarios occidentales de Internet – existen algunas ofertas que simplemente no tienen relevancia para los usuarios de Internet en Rusia. Por ejemplo, los sistemas financieros en línea en Rusia están menos desarrollados que en el Occidente, lo que explica la ausencia de ofertas en idioma ruso para transacciones en efectivo; es más, bienes falsificados y pirateados pueden obtenerse mucho más baratos en Rusia que los precios ofertados por los spammers.

Se han visto intentos de traducir del inglés algunas variantes de spam a través de los años y en la mitad del 2006. Actualmente estos no son más que esporádicos intentos de adaptar spam típico en inglés para el mercado ruso. Si estos intentos tienen éxito – es decir, si los spammers reciben una suficiente ganancia financiera – entonces el spam en cuestión se convertirá en una molestia regular en las casillas de correo de los usuarios rusos.

Enviando spam: los detalles técnicos

Durante el primer semestre del 2006 las tecnologías normalmente utilizadas para enviar spam continuaron en evolución sostenida. Las técnicas utilizadas por los spammers contemporáneos son múltiples, e incluyen las siguientes:

  • Virus que atacan ordenadores
  • Administración de redes zombi distribuidas
  • Sistemas que hacen posible controlar ordenadores y servidores de manera remota
  • Generadores automáticos de correo electrónico en base a matrices

La interdependencia entre estas técnicas ha alcanzado tal nivel, que las nuevas mejoras en el envío de correo de alto volumen tomarán varios meses en aparecer. No obstante, al mismo tiempo, están evolucionando los métodos utilizados en la actualidad para el envío de spam.

Los siguientes métodos siguen utilizándose para enviar spam:

  • Redes de ordenadores zombi (botnets)
  • Servidores de red y vulnerabilidades en programas populares basados en servidores.

Redes de ordenadores-zombi (botnets)

La mayor parte del spam es enviado por medio de botnets. El número de botnets está creciendo sostenidamente, mientras que las redes mismas se vuelven cada vez más grandes. El año pasado, la policía holandesa arrestó a los autores de una red de 1,5 millones de ordenadores – una marca que aún no ha sido rota. Esto no quiere decir que no existan otras botnets gigantes en la red – simplemente significa que las autoridades aún no han podido ubicarlas ni tampoco a sus propietarios.

Actualmente, los controladores de botnets están cambiando el IRC por el HTTP. Es más, las redes centralizadas (tales como aquellas que tienen varios nodos de control a los cuales otros ordenadores zombi pueden conectarse) con creciente frecuencia tienen un centro de control ubicado en un servidor dedicado “resistente al spam”. De esta manera el servidor dedicado tiene otro propósito, no como una fuente de spam, sino como un centro de control para botnets.

Los Botnets descentralizados también se han vuelto muy populares; están conformados por ordenadores zombi que intentan conectarse a tantos otros zombis de cualquier forma posible. De esta forma se pasan órdenes de un ordenador a otro dentro de la red. Tales redes pueden ser administradas por medio de cualquiera de los ordenadores en la red.

En un intento de lucha contra el spam, los proveedores de Internet que sirven a los usuarios finales han introducido las siguientes restricciones:

  1. Prohibir el envío de correo directamente a las estaciones de correo intermedias, exceptuando la que pertenece al proveedor. Esto tiene la finalidad de monitorear todo el correo de salida.
  2. Limitar el número de mensajes de salida enviados por un solo usuario dentro de un periodo definido de tiempo. Un usuario puede ser amonestado o encarar severas restricciones si excede el límite.
  3. Filtrar el contenido del correo electrónico de salida con los mismos filtros utilizados para el correo de entrada.

Estas medidas ayudan a limitar los envíos masivos de correo desde botnets que envían spam directamente, o que envían grandes cantidades de spam desde el mismo ordenador, y no causan problemas al usuario común. Como respuesta, los spammers han empezado a hacer uso de un gran número de ordenadores zombi para producir spam, reduciendo de esta forma el número de correos electrónicos enviados desde una sola máquina. Otro método utilizado para envíos de correo masivos es enviar spam por medio del servidor de correo del proveedor, que es identificado por medio de un escaneo de red o por un análisis de la configuración en el cliente de correo del usuario.

Servidores de red y vulnerabilidades en programas populares de servidor

La idea central en utilizar servidores de red y las vulnerabilidades en programas de servidores para realizar envíos masivos de correo es similar a la idea de usar botnets: los usuarios maliciosos se valen del servidor para hacer su trabajo sucio. Sin embargo, la búsqueda de vulnerabilidades no se relaciona a los ordenadores personales, sino a los servidores, sobre todo a aquellos que funcionan bajo Unix. Por añadidura, los métodos usados para infectar y manejar servidores vulnerables difieren de aquellos utilizados para ordenadores personales, así como los métodos usados para explotar las vulnerabilidades detectadas.

Los servidores de red pueden ser infectados de la siguiente forma:

  1. El código fuente de programas populares es revisado para ver si se pueden encontrar errores que permitan ejecutar órdenes en el servidor. Traductores PHP, maquinas de foros populares, y blogs son los objetivos principales cuando se buscan vulnerabilidades.
  2. Motores de búsqueda (como Google, Yandex, etc) son utilizados para búsquedas de páginas web que utilizan programas que contienen vulnerabilidades.
  3. Las vulnerabilidades son utilizadas para instalar instrucciones en un servidor que permitan al spammer ejecutar comandos por vía remota o modificar datos de acceso al servidor de red.

Una vez que se ha encontrado como acceder al servidor, puede utilizarse para enviar spam o conducir ataques DDoS.

Un administrador de red se dará cuenta en un instante de que un servidor está siendo utilizado en las formas descritas más arriba. Él o ella podrán entonces borrar el código malicioso y parchar la vulnerabilidad.

Otros métodos de explotar servidores son menos obvios y suponen la incrustación subrepticia de código malicioso en el código html de un sitio web. El código malicioso entonces infectará a los navegadores de los usuarios que visiten el sitio; naturalmente, cuanto más popular el navegador, más serán los ordenadores en riesgo de ser transformados en máquinas zombi por medio de las vulnerabilidades del navegador.

Spam gráfico

El spam gráfico encabezó las listas en el primer semestre del 2006. El termino spam gráfico se usa para los envíos de correo electrónico masivo donde el spam incluye la información principal en un archivo gráfico adjunto en lugar del cuerpo del mensaje mismo. Este tipo de spam está en aumento. Los spammers modifican programas con el objeto de crear y enviar spam gráfico. Las siguientes novedades aparecieron en escena:

  1. Rotar imágenes fuente usando ángulos aleatorios.
  2. Dividir imágenes en partes y reconstruir el original a partir de los pedazos utilizando HTML.
  3. Representaciones gráficas de cartas individualizadas; éstas estarán presentadas cada vez de forma diferente en correos individuales que son parte del mismo correo masivo.

Los nuevos trucos desarrollados por los spammers comparten los mismos objetivos que los antiguos métodos utilizados para evadir los filtros de spam: el incluir “ruido” (información aleatoria innecesaria) en la imagen para evitar que el módulo de filtración utilice el checksumming para establecer si los componentes gráficos en los archivos adjuntos de un ataque de spam individual son idénticos.

Cualquier innovación requiere modificar el programa que los spammers utilizan – y eso significa tiempo, dinero y recursos humanos. Si los spammers empiezan a trabajar en una técnica o tecnología, esto significa que esta técnica o tecnología puede en la actualidad ayudar a que el spam evite los filtros que la combaten.

El spam gráfico de hoy en día está en inglés y se dirige predominantemente a los usuarios de países occidentales. Con frecuencia, el spam gráfico oferta medicinas, programas baratos, relojes suizos, y especulaciones de bolsa.

Un par de años atrás, el sector ruso de Internet fue golpeado por una ola experimental de spam gráfico. Pero después, los spammers del sector ruso de Internet frenaron en cierto grado sus experimentos, limitándose a las tecnologías y métodos que habían creado en 2004.

A continuación, algunos ejemplos de nuevas tendencias en spam gráfico en el primer semestre de 2006.

Dos ejemplos de un ataque de spam utilizando texto oblicuo

Imágenes “fragmentadas”

El usuario verá este mensaje:

Pero en realidad la imagen está compuesta por varias imágenes más pequeñas, como ésta:

Aquí el mismo mensaje, mostrando la fragmentación de la imagen:

Representación gráfica de algunas letras:

Estrictamente hablando, ésta no es una tendencia nueva, sino más bien un intento de revivir una técnica antigua, pero buena . Este truco gráfico desapareció por más de año y medio, y por esto decidimos ponerlo en la categoría de “nuevas técnicas” de la primera mitad del 2006.

El usuario verá este mensaje

Este es el mismo correo electrónico con los fragmentos de texto gráficos resaltados:

A pesar de tales innovaciones, no se detectaron nuevas tecnologías de spamm masivo importantes en los últimos seis meses; en su lugar, las actuales tecnologías están siendo más desarrolladas.

Spam en los foros

El año pasado escribimos sobre los intentos de los spammers de encontrar otros canales, además del correo electrónico, para enviar su información, tales como mensajes instantáneos (ICQ, MSN), y teléfonos celulares (SMS, MMS). Pero eso no es todo. Una creciente cantidad de spam ahora ocurre en forma de avisos en tableros de mensajes populares y comentarios en blogs.

Previamente, este tipo de spam nunca tuvo la intención de ser leído por la gente, sino de engañar a los buscadores, es decir, para aumentar el rating del sitio publicitado debido a los numerosos enlaces logrados. Este tipo de spam por lo general se lo encontraba en foros muertos, donde el administrador no realizaba ninguna tarea de mantenimiento del foro.
En los pasados seis meses, la cantidad de spam que contiene material publicitario destinado a ser leído ha aumentado. Estos mensajes por lo general imitan avisos normales del foro. Los spammers escogen los foros y blogs con temas y ratings más populares y relevantes en relación al servicio o producto publicitado por este tipo de spam.

Conclusiones

  1. El volumen de spam se mantiene alto, a un 75%-78% del tráfico total de correo. Una inesperada alza golpeó al Internet a mitad de verano. Junio cerró siendo el tráfico de spam el 82,2% de todo el tráfico.
  2. Los más frecuentes tipos de spam fueron: fraude por ordenador, productos farmacéuticos (principalmente Viagra y medicinas similares) y servicios educacionales.
  3. Un nuevo tipo de spam de la clase fraudulenta apareció en el sector ruso de Internet. Este nuevo tipo de spam invita al receptor a enviar un cierto tipo de mensaje de texto (que contiene una palabra clave y/o un número) a un número de servicio pagado. El objetivo de los spammers es que se transfieran fondos a sus cuentas personales.
  4. Los métodos de envíos masivos de spam están evolucionando.
  5. El spam gráfico es un desarrollo nuevo en la tecnología spammer.
    Predicciones

  6. Los spammers están logrando introducirse en los tableros de mensajes y bitácoras (blogs).

Predicciones

  1. Durante la segunda mitad del año, la proporción del spam respecto al volumen total de correo electrónico no disminuirá.
  2. Aumentará la variedad de delitos a través del spam, a medida que el spam criminalizado en Rusia aumente.
  3. Las tres mayores categorías de spam probablemente no cambien durante la segunda mitad del año.
  4. Los spammers continuarán la investigación y el uso de otros canales para distribuir spam.

Boletín de seguridad Kaspersky. Enero-junio de 2006. Spam en el primer semestre de 2006

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada