Abril en cifras
- El spam en el tráfico de correo ha subido un 2,2% en comparación con marzo y este mes ha alcanzado una media del 77,2%.
- La cantidad de mensajes phishing en el flujo total de spam no ha cambiado en comparación con marzo, quedándose en el 0,01%.
bEn abril, el 2,8% de todos los mensajes electrónicos contenían ficheros maliciosos, igual que el mes anterior. - Más del 20% de los ataques phishing de abril tenían como blanco a los usuarios de Facebook.
Principales temas del spam
Nuevos trucos en el spam fraudulento y malicioso
Los spammers que propagan código malicioso y mensajes phishing siguen buscando el camino más corto a los equipos de los usuarios. El spam nocivo se desarrolla con rapidez –los delincuentes son sistemáticos en agregar a su arsenal trucos en forma de novedades técnicas y de nuevos métodos de ingeniería social.
Wikipedia y Amazon… ¿experiencia frustrada?
En abril registramos spam, que a primera vista se diferencia poco de los envíos maliciosos de costumbre, disfrazados de notificaciones oficiales de Facebook. En el mensaje, enviado supuestamente en nombre de la red social, se decía que un usuario quiere agregar al destinatario a su lista de contactos. Al igual que en la mayoría de los mensajes propagados el último año que pretendían ser notificaciones oficiales de Facebook, este envío masivo estaba muy bien diseñado y, a primera vista, su autenticidad no provocaba ninguna sospecha. Según el plan de los delincuentes, al seguir cualquiera de los enlaces del mensaje, el usuario no llegaría al sitio de Facebook, sino a una página infectada por un código nocivo. Suena familiar, ¿verdad? Lo único que la diferencia es que los enlaces no llevaban a dominios capturados o a sitios registrados hace poco tiempo en la zona .in o .co.cc, sino a páginas de Wikipedia o Amazon.
Al parecer, los delincuentes pusieron scripts maliciosos en páginas creadas por ellos mismos en Wikipedia y en forma de publicidad de artículos usados en el sitio de Amazon.com. Pero…¿por qué decimos “al parecer”? Es que el truco no salió como esperaban, porque los equipos de incidencias de ambos servicios reaccionaron rápido y en el momento de la propagación, los enlaces no ya no funcionaban.
Diablo III: el phishing se adelanta al lanzamiento
A principios de junio verá la luz el juego Diablo III, esperado por muchos jugadores. Los expertos en seguridad guardan ciertas reticencias en relación a este juego, puesto que la compañía Blizzard ha consentido oficialmente el comercio de objetos de juego en el nuevo MMORPG. Es razonable suponer que los usuarios de Diablo III no tardarán en convertirse en objeto del interés de los phishers. Pero son pocos lo que esperaban que los delincuentes fueran a empezar a usar este juego aún antes de su lanzamiento.
En los flujos de spam aparecieron mensajes phishing que especulaban con la impaciencia de los jugadores que esperaban el ansiado lanzamiento. En ellos se decía que habían recibido el derecho a jugar por cierto tiempo con la versión beta de Diablo III, para lo cual tenían que entrar a su cuenta en el sitio battle.net (recurso donde se guardan las cuentas de los jugadores de Blizzard). El enlace insertado en el mensaje, claro está, no lleva al sitio indicado, sino a una página phishing. El texto cambia un poco de mensaje en mensaje, pero el sentido sigue siendo el mismo.
Al recibir los datos de registro del usuario en battle.net los delincuentes obtienen acceso a sus cuentas en sistema de juego tan populares como Warcraft y Starcraft, que siguen teniendo demanda en el mercado negro.
Spam político
En abril se activó el spam político dirigido al público americano y francés. El nombre de Barack Obama se menciona con casi la misma frecuencia que en el primer año después de su elección. Al mismo tiempo, su nombre no sólo se usa en los mensajes políticos sobre el “desenmascaramiento de su curso político”, o que el presidente de EE.UU. “teme perder las próximas elecciones”, sino también en la publicidad de diferentes artículos tradicionales del spam. Por ejemplo, en un envío masivo que ofrecía Viagra a los usuarios.
A medida que se aproximen las elecciones en EE.UU. aumentará el interés de los usuarios por la campaña y por el presidente y otros candidatos. Los spammers, sin lugar a duda, no sólo fomentarán este interés divulgando propaganda, sino que lo seguirán usando para su propio provecho. En los próximos meses aumentará la cantidad de mensajes con enlaces que supuestamente llevan a páginas con información sensacionalista sobre uno u otro candidato o sobre las elecciones en general. Pero al seguir el enlace, el usuario, en el mejor de los casos, encontrará publicidad de fármacos para aumentar la potencia, como en el ejemplo de más arriba, y en el peor, un programa malicioso.
También se activó el spam político francés, a pesar de que en el apogeo de la carrera presidencial esperábamos un volumen mayor de envíos masivos políticos en Francia. Los envíos que detectamos fueron poco numerosos. Entre ellos podemos destacar las ofertas de comprar camisetas de fútbol con textos de apoyo a Nicolás Sarkozy.
Otros temas de actualidad
La compleja situación de Siria también se reflejó en el spam. Los spammers “nigerianos” hacen envíos activos de mensajes de “abogados y empleados de bancos que trabajan en el territorio del país”. A finales del mes registramos también un mensaje de la “esposa de Assad”. Con cierta regularidad registramos supuestos mensajes de los miembros de las “familias de los líderes” de diferentes países cuya situación es inestable. Hasta suele suceder que las cartas nigerianas se redactan en nombre de los mismos líderes. Es muy posible que en el futuro aparezcan mensajes supuestamente escritos por el mismísimo Bashar Assad. Los hijos de Assad son todavía muy pequeños, por eso es poco probable que los “nigerianos” traten de escribir mensajes en su nombre. Pero no se puede afirmar nada, pues para los spammers no hay nada sagrado y para ellos la crisis en un país es sólo una forma de ganar dinero.
Cada vez es más activo el spam que explota el tema de la Eurocopa. Este acontecimiento se acerca cada vez más y el interés que causa entre los usuarios crece día a día. Muchos de los envíos de spam ofrecen a los aficionados al fútbol que todavía no han reservado hotel, habitaciones en hoteles de Polonia y Ucrania. Vale decir que la variedad de ofertas que ofrecen los spammers es pobre y el precio exagerado.
La Olimpiada de Verano en Londres está en la mira de los estafadores de lotería. Casi cada día registramos mensajes que notifican que el usuario ha ganado una lotería supuestamente realizada por el Fondo Olímpico.
Análisis estadístico
Países-fuente del spam
Países- fuente de spam en abril de 2012 (TOP 20)
En abril la estructura del TOP 20 de países-fuente de spam ha sufrido cambios significativos en comparación con los meses anteriores.
El cambio más notable del mes es el ascenso de EE.UU. desde la vigésima posición hasta la segunda. La cantidad de spam propagado desde el territorio de este país ha crecido en más del 7%. En un 5% ha aumentado la cantidad de spam propagado desde el territorio de China, y como resultado este país ha ocupado el quinto puesto de la estadística. Al mismo tiempo, en un 5,2% se ha reducido la cantidad de spam proveniente de Indonesia. Este país asiático ha bajado 10 puestos y ahora ocupa el puesto 12 en el TOP 20.
Suponemos que este cambio está relacionado con la reorganización de los recursos de las botnets de spam y el desplazamiento de parte de ellos a regiones donde las actividades del spam el último año eran de baja intensidad. Hacemos notar que en el primer trimestre de 2012 tanto EE.UU. como China (y Hong-Kong en especial) fueron los principales blancos de los spammers que hacen envíos masivos nocivos. La infección de nuevos equipos en estos países fue, al parecer, la razón de que surgiesen nuevas botnets.
Los demás cambios en la estadística de países-fuente de spam están dentro de los límites del 2,5%.
Adjuntos maliciosos en el correo
En abril, el 2,8% de todos los mensajes electrónicos contenía ficheros maliciosos, igual que el mes anterior.
Distribución de las reacciones del antivirus de correo según países
Distribución de las reacciones del antivirus de correo según países, abril de 2012
Los Estados Unidos, al igual que durante el primer trimestre de 2012, ocupan el primer puesto de la estadística de países con mayor cantidad de reacciones del antivirus de correo. La cantidad de reacciones de Kaspersky Mail Antivirus en el territorio de EE.UU. ha crecido muy poco, en un 0,64%.
Australia (-3,9%) y Hong-Kong (-2%), que en marzo ocupaban el segundo y tercer puesto respectivamente, han dejado paso a Vietnam, que subió del cuarto puesto al segundo. La cantidad de las reacciones del antivirus de correo en el territorio de este país ha crecido en un 2,4%.
La participación de los demás países de la estadística ha cambiado dentro de los límites del 2%.
TOP 10 de programas maliciosos propagados por correo
TOP 10 de programas maliciosos propagados por correo en abril de 2012
El 13,7% de las detecciones de Kaspersky Mail Antivirus corresponden al tradicional líder de nuestra estadística, Trojan-Spy.HTML.Fraud.gen, un 1,6% más que el mes anterior. Se trata de un programa malicioso que viene en forma de página html falsificada para imitar el formulario de una organización financiera o servicio online. Los datos de registro que se ingresen en esta página se envian a los delincuentes.
Los participantes asiduos de nuestra estadística, los gusanos de correo Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m y Email-Worm.Win32.NetSky.q ocupan el tercer, quinto y noveno puestos respectivamente. Recordamos que los gusanos de correo pertenecientes a las familias Mydoom y Netsky se limitan a recolectar direcciones de correo electrónico en los equipos infectados y enviarse a sí mismos a estas direccines. Bagle.gt es el único gusano del TOP10 que además puede conectarse a Internet para descargar otros programas maliciosos.
Quisiéramos señalar la aparición en la estadística del troyano de script Trojan-Downloader.JS.Iframe.cvq. Su participación fue de casi el 2% del total de reacciones del antivirus de correo. Cerca del 10% de las reacciones del antivirus de correo en abril correspondió a malware de script detectado por métodos proactivos. Estos son datos bastante alarmantes, ya que el malware de script en los mensajes HTML empieza sus actividades destructivas tan pronto como el usuario abre el mensaje.
Phishing
En comparación con marzo, la cantidad de mensajes phishing en el flujo total de spam no ha cambiado, manteniéndose al nivel del 0,01%.
Categorías del TOP 100 de organizaciones atacadas por los phishers, abril de 2012
La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, sean enlaces en mensajes de correo spam o en Internet.
En abril hubo cambios notables en la estadística de las categorías más atractivas para los phishers: por primera vez en cuatro meses las organizaciones financieras (23,61%) cedieron el primer puesto a las redes sociales (28,8%). La participación de las redes sociales como blanco para los ataques de los phishers aumentó en casi un 6%. El principal aporte en este crecimiento fueron los numerosos ataques contra la red social Facebook: más del 20% de los ataques phishing de abril tuvo como blanco a sus usuarios.
En comparación con marzo, ha disminuido la cantidad de ataques contra organizaciones financieras; se han reducido los ataques contra tiendas online, sistemas de búsqueda, vendedores TI y organizaciones de la categoría “Demás”. Todos estos cambios están dentro del límite del 1,5%.
De esta manera, podemos notar un ligero desplazamiento del vector de ataques phishing hacia el sector de los usuarios de redes sociales.
Tendencias temáticas del spam
Categorías temáticas del spam en abril de 2012
La participación de los líderes tradicionales, las categorías “Estafas informáticas” y “Finanzas personales ha cambiado poco en comparación con marzo. El primero bajó en un 2,2% y el segundo aumentó en un 0,8%.
Continúan estando en un nivel alto la publicidad de casinos online (poco más del 6%).
La mayoría de los mensajes spam que publicitan casinos online contienen indicios de estafas o código malicioso, o ambos a la vez. La categoría “Finanzas personales” se compone en su mayor parte de dudosas ofertas de créditos baratos o de lucro rápido, lo que también “huele” a estafa.
La suma de estos datos nos permite afirmar sin temor a equivocarnos que más de la mitad de los envíos masivos de spam de abril están dirigidos al robo de información financiera y personal de los usuarios, como también al robo directo de dinero y la instalación de código malicioso en los equipos de los usuarios.
Cabe destacar que el cambio más notable del mes fue el crecimiento en un 4,75% de la temática “Decoración de interiores”. En abril se hicieron varios envíos masivos de este tipo. Al parecer este aflujo de spam sobre decoración está vinculado a las promociones primaverales de muchas compañías productoras de muebles y de artículos para bricolaje.
En comparación con el mes anterior, la participación de las demás temáticas ha cambiado dentro de los límites del 1,5%.
Conclusión
Los resultados del mes nos hacen afirmar que el spam se está volviendo cada vez más peligroso: hay una gran cantidad de código malicioso en los adjuntos, detectamos una cantidad notable de spam que contiene enlaces maliciosos, y aparece cada vez más spam con malware de script, lo que hace que sea peligroso hasta el simple hecho de abrir los mensajes. El que estos envíos se mantengan de mes en mes es un indicio de la falta de conciencia de los usuarios, ya que el spam no sería un método tan atractivo de propagar código malicioso si no fuese lucrativo para los propagadores. Con frecuencia los usuarios ni siquiera sospechan el peligro que abrir un mensaje spam representa para sus ordenadores, sus datos personales e incluso su dinero.
En los próximos meses pronosticamos el regreso de los envíos de spam con “noticias sensacionales” sobre el actual presidente de EE.UU. Barack Obama. Además, es probable que el vector de los ataques phishing siga desplazándose hacia las redes sociales y, quizá, hacia los juegos online, porque se acerca la temporada de vacaciones de verano, cuando el grueso de las actividades online vendrá de los escolares y estudiantes universitarios que, si bien no tienen grandes cuentas en los bancos, usan activamente diferentes servicios sociales y de ocio en Internet.
El spam en abril de 2012