El mar de víctimas de los spammers

En los correos spam recientes hemos visto varios enlaces a archivos *.html con nombres escogidos al azar. También es común que los cibercriminales ni se molesten en registrar dominios para sus actividades maliciosas, sólo plantan el código nocivo en sitios comprometidos. “¿Sólo?”, uno se pregunta, y la respuesta, basándonos en nuestras observaciones, parece ser “sí”.

Por ejemplo, hemos detectado cientos de correos que publicitan tiendas de venta de programas en línea: mostramos algunas en la imagen animada gif de abajo.

Todos estos ejemplares se destacan porque contienen enlaces y texto de colores que dirigen a sitios web legítimos comprometidos. Los enlaces también muestran que los archivos están ubicados directo en la raíz de las URLs, y no en una subcarpeta o en alguna aplicación vulnerable, como suele pasar.

Por eso asumimos que los intrusos tienen suficiente acceso como para “escribir” en el sitio, al menos en la raíz www, que es algo preocupante. También hemos confirmado que en muchos casos no sólo los enlaces de los correos spam estaban guardados en los servidores de la víctima, también se había inyectado iframes maliciosos o snippets javascript en el contenido principal de los sitios.

Otro ejemplar que nos llegó hoy confirma que los cibercriminales atacan cualquier dominio que esté a su alcance, y parecen tener a su disposición todo un mar de sitios para victimizar. La imagen de abajo muestra un correo spam, en el que cada uno de los 12 enlaces en el cuerpo del correo dirige a un sitio diferente. Todos estos sitios también contienen un código malicioso en su raíz, que detectamos como ‘Trojan-Clicker.JS.Agent.*’.

Por favor no visites los sitios maliciosos que te mostramos si no estás seguro de lo que haces.