Informes sobre spam y phishing

El spam en abril de 2013

Índice

Abril en cifras

  • El spam en el tráfico de correo en febrero ha subido un 2,1%, alcanzado una media del 72,2%.
  • La cantidad de mensajes phishing en el flujo total de spam ha bajado a una tercera parte en comparación con marzo, reduciéndose al 0,002%.
  • El 2,4% de todos los mensajes electrónicos contenía ficheros maliciosos, un 1,6% menos que el mes anterior.

Peculiaridades del mes

En abril la cantidad de mensajes spam ha crecido levemente, en un 2,1%. El volumen del spam “de fiesta” ha bajado, pero los spammers han seguido explotando activamente el tema de la Pascua para enviar mensajes fraudulentos y mensajes con publicidad de bienes y servicios. Además, para captar la atención de los usuarios, los estafadores han usado los nombres de personajes de fama mundial y los trágicos sucesos ocurridos en EE.UU.

Los sucesos en EE.UU. y el spam malicioso

Como siempre, los spammers no dejaron sin atención los resonados sucesos del mes. En abril los delincuentes explotaron el interés de los usuarios por los trágicos sucesos de EE.UU., las explosiones en la etapa final de la maratón en Boston y en una fábrica de químicos en Texas.  

Ya al día siguiente de las explosiones en Boston registramos en el tráfico de spam varios envíos masivos con ficheros o enlaces maliciosos. En nuestro blog escribimos con detalle sobre uno de esos envíos.

Los mensajes camuflados de envíos de conocidos sitios de noticias (CNN y BBC) contenían un titular amarillista y un enlace que supuestamente llevaba a un artículo dedicado a los trágicos sucesos. Si el usuario seguía el enlace, llegaba al sitio de los delincuentes, donde su sistema sufría un ataque mediante el exploit Blackhole 2. Si el ataque tenía éxito, se instalaba en el equipo de la víctima el programa malicioso Backdoor.Win32.Papras.ppk, que roba y envía a los delincuentes la información de las conexiones protegidas del navegador (HTTPS), cookies, capturas de pantallas y datos sobre el equipo (programas instalados y configuración del sistema).


Merece la pena destacar que en el primer trimestre de 2013 ya habíamos detectado un envío masivo similar. En mensajes de apariencia idéntica los delincuentes usaban las noticias, de más actualidad en marzo, sobre el nuevo papa católico.

En otro envío los delincuentes propagaban enlaces a páginas web que contenían las palabras texas, boston y noticas en su dirección. Al seguir los enlaces el usuario llegaba a una página con un conjunto de vídeos de las explosiones tomado del sitio Youtube. La página también contenía un exploit que descargaba al equipo del usuario un programa malicioso detectado por Kaspersky Lab como Trojan-PSW.Win32.Tepfer. Los delincuentes usan este troyano para robar las cuentas de los usuarios (login y contraseña) en los equipos infectados.


Fraude

En abril los estafadores “nigerianos” siguieron usando activamente los nombres de famosos líderes políticos en sus mensajes, esta vez en los envíos masivos figuraban Barack Obama y el hijo de Muammar Gaddafi. En un mensaje enviado en nombre de un funcionario de la Casa Blanca se notificaba que el presidente norteamericano estaba repartiendo 100 lingotes de oro a las personas necesitadas en todo el mundo y que justo el destinatario del mensaje era el que recibiría el precioso metal. Un mensaje “nigeriano” en alemán escrito en nombre del ayudante del ex presidente de Libia Muammar Gaddafi contenía la tradicional petición de ayuda para almacenar e invertir millones.


El esquema de la estafa es uno: en cuanto la víctima responde al mensaje, los delincuentes le piden sumas pequeñas de dinero para pagar los gastos del intermediario o la formalización de los documentos. Los spammers confían en que la enorme diferencia entre las sumas pedidas y las prometidas hará que la víctima potencial olvide la prudencia y cumpla todas las exigencias de los delincuentes.

Los estafadores “nigerianos” han tratado de captar la atención de sus víctimas no sólo prometiéndoles dinero fácil, sino también felicitándolos por la Pascua, fiesta que figuraba en el asunto y el principio del mensaje.

Las tradicionales notificaciones fraudulentas sobre premios de lotería también explotaban el tema de la Pascua y se enviaban con la palabra “Pascua” en el campo Subject. En uno de estos mensajes, con el mismo asunto usado para engañar al usuario, había un enlace a un sitio legítimo de una compañía real, que ofrece servicios de organización de loterías. Pero la “lotería” organizada por los estafadores no tenía nada que ver con esta compañía.

El spam “de fiesta”

A pesar de que en los países del mundo occidental ya se había celebrado la Pascua, en abril los spammers seguían explotando activamente este tema para publicitar reproducciones de artículos de lujo y ofrecer créditos. Así, en uno de los envíos masivos los spammers ofrecían un código “pascual” especial, que supuestamente daba derecho a comprar reproducciones de artículos de lujo con una rebaja del 50%.


En abril de nuevo detectamos envíos masivos dedicados al Día de la Madre. Su temática no cambió: flores y artículos de lujo.


También registramos un envío masivo con publicidad de puros hecha con motivo del Día del Padre, que en EE.UU. se celebra en junio.


Distribución geográfica de las fuentes de spam

Según los resultados de abril de 2013, entre los países-fuente de spam propagado por todo el mundo, los tres primeros puestos siguen sin cambios. China de nuevo está entre los líderes (23,9%), a pesar de que su índice ha bajado en casi un 2%. La cantidad de spam enviado desde EE.UU. ha bajado un poco, hasta el 16,8% y este país ha conservado el segundo puesto. En total, desde estos dos países en abril se envió cerca del 41% del spam mundial.


Países-fuente de spam en el mundo

El tercer puesto lo ocupa Corea del Sur (11,4%), cuyo índice en abril creció en un 1,5%. Taiwán ha conservado su puesto entre los cinco primeros (5,5%). India, que según los resultados de marzo ocupaba el quinto puesto, perdió sólo el 0,5%, pero bajó cuatro posiciones y ahora ocupa el noveno puesto con un índice del 2,9%. Vietnam ocupó el quinto puesto (4%). El índice de Rusia (3,3%) ha crecido en un 1%, lo que le permitió subir del décimo al séptimo puesto. Alemania (1,6%), que ocupaba el octavo puesto, en abril perdió cerca del 1% y bajó al puesto 12. Italia perdió el 2,1% y bajó del puesto 6 al 14.


Países- fuente de spam en Europa

En abril el líder de los países fuente de spam en Europa sigue siendo Corea del Sur, cuyo índice subió en un 6,6% y alcanzó el 43,4%. La cantidad de spam enviado desde China, por el contrario, bajó considerablemente hasta el 3,7%, con lo que bajó del segundo al quinto puesto.

EE.UU. (6,7%) sigue estando entre los tres primeros, a pesar de que su índice bajó en un 3,4%. Vietnam (5,2%) subió del quinto al tercer puesto. En cambio el índice de Italia, que en marzo ocupaba el cuarto puesto, ha bajado en más de tres veces y ahora ocupa el puesto 11 con el 1,9%.


Regiones-fuente de spam

Asia sigue siendo la primera región por la cantidad de spam que propaga (55,7%). En abril, al igual que los meses anteriores, entre los tres primeros están EE.UU. (17,6%) y Europa del Este (13,6%).

Adjuntos maliciosos en el correo

En abril, la cantidad de adjuntos maliciosos en el correo ha bajado en un 1,6% y constituido el 2,4% del tráfico de correo.


TOP 10 de programas maliciosos propagados por correo electrónico

El programa malicioso más popular sigue siendo Trojan-Spy.HTML.Fraud.gen. Recordamos que este troyano es una página html que finge ser un formulario de registro en un servicio de banca online. Si el usuario ingresa sus datos en los campos ofrecidos y pulsa el botón “Enviar”, su información personal cae en manos de los estafadores.

En el segundo puesto está el programa malicioso Email-Worm.Win32.Bagle.gt. Este gusano puede enviar sus copias a los contactos de la libreta del usuario (funcionalidad estándar para este tipo de malware) y también puede conectarse a un centro de administración para instalar otros programas maliciosos en el equipo.

En el tercer puesto se encuentra el programa malicioso Backdoor.Win32.Androm.pta. Estos programas maliciosos permiten al delincuente controlar el equipo infectado sin que el usuario se dé cuenta, por ejemplo, descargar otros programas maliciosos y ejecutarlos, enviar diferentes tipos de información desde el equipo del usuario, etc. Además, con frecuencia estos equipos se convierten en parte de botnets. En 2013 los backdoors de la familia Backdoor.Win32.Androm han frecuentado los TOP 10 lo que, probablemente, esté relacionado con los intentos de los delincuentes de organizar nuevas botnets.

En el cuarto puesto está el troyano Trojan-PSW.Win32.Tepfer.hjva, creado para robar contraseñas de las cuentas de los usuarios.

En los puestos 5, 8 y 9 están los programas de la familia Trojan.Win32.Bublik. Esta familia recopila en el equipo infectado las contraseñas de FTP, los datos de autorización en servicios de correo y certificados. Además, el troyano puede “ver” los formularios en los navegadores Mozilla Firefox y Google Chrome y extraer los logins y contraseñas guardados. El programa envía los datos encontrados a los delincuentes.


Distribución de reacciones del antivirus de correo según países

En abril los spammers usaron activamente el nombre de la compañía logística DHL para enviar notificaciones falsas con adjuntos maliciosos. Hemos registrado varios envíos masivos en inglés y holandés.

En los mensajes en inglés se le comunicaba al usuario que el courrier de la compañía supuestamente no había  podido entregarle un envío y que ahora tiene que recibirlo en la oficina de la compañía. Y para hacer la petición en la oficina, es necesario imprimir la información sobre el envío que está en el archivo adjunto. Los delincuentes, como ya es tradición, tratan de influir sobre el destinatario y le comunican que tendrá que pagar una multa por el almacenamiento del envío. La cuantía de la multa y la cantidad de días durante los cuales hay que retirar la envío cambian de mensaje en mensaje.

En el archivo adjunto DHL.REPORT.ID680.zip se encuentra el fichero DHL.REPORT.F3B5DJ7.exe (el nombre del archivo se diferencia sólo por la cifras, pero el fichero ejecutable tiene el mismo nombre en todos los mensajes). Por supuesto, el fichero no contiene ninguna información sobre el envío inexistente y es un programa troyano de la familia Zbot (ZeuS), para ser más precisos, Trojan-Spy.Win32.Zbot.krhu.


ZeuS se usa activamente desde 2007 no sólo para robar información personal de los usuarios y las contraseñas de sistemas de pago y de banca, sino también para organizar botnets. Gracias a que es fácil de configurar y cómodo de usar para robar datos web, ZeuS se ha convertido en uno de los programas espía más peligrosos y difundidos.


En el mensaje en holandés se comunicaba que en el fichero adjunto había una factura por los servicios prestados por la compañía DNL. En realidad, en el archivo Uw recentste DHL factuur.zip se encontraba el fichero malicioso Uw recentste DHL factuur.pdf.exe, que las tecnologías heurísticas de Kaspersky Lab detectan como Trojan.Win32.Generic.


Las notificaciones falsas de tiendas online también gozan de popularidad entre los delincuentes que envían ficheros maliciosos. En abril detectamos un envío masivo de notificaciones falsas enviadas en nombre de la popular tienda online alemana de ropa y calzado Otto. Es curioso que en el campo “De” se indicaba el remitente otto-newsletter, legítimo a primera vista. Este es uno de los trucos preferidos de los estafadores, usado para engañar al destinatario.

En el mensaje, en nombre de la compañía se agradece al usuario por haber hecho un pedido, pero no se menciona que el usuario tenga que abrir el fichero adjunto. Al parecer, los delincuentes cuentan con que el usuario, por su propia iniciativa y por curiosidad abra el archivo Besstellung_bei_OTTO.zip, que contiene un fichero malicioso detectado por Kaspersky Lab como un troyano de la familia Trojan.Win32.Bublik. Los delincuentes lo usan para recopilar logins, contraseñas y otra información valiosa en el equipo infectado. Según los resultados de abril, uno de los programas de esta familia ocupó el quinto puesto entre los programas maliciosos más difundidos en el correo.

Phishing

En abril la cantidad de mensajes phishing en el flujo global de spam ha bajado a una tercera parte en comparación reduciéndose al 0,002%.


Categorías del TOP 100 de organizaciones atacadas por los phishers

*La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sea un enlace en un mensaje spam o en Internet.

Según los resultados de abril, no ha habido cambios sustanciales en el TOP 5 de organizaciones atacadas por los phishers. Las redes sociales siguen conservando los primeros puestos por la cantidad de ataques phishing. Su índice ha crecido en un 1% y alcanzado el 35,5%. Entre los tres primeros también están las organizaciones financieras y de pagos (17%) y los sistemas de búsqueda (15,3%), que ocupan el segundo y tercer puesto respectivamente.

El cuarto puesto lo siguen ocupando los vendedores de TI (9,1%). Cierran el TOP5 los proveedores de telefonía e Internet (8,7%).

Conclusión

Como habíamos pronosticado, en abril se ha reducido la cantidad de spam “de fiesta”. Hemos detectado envíos masivos dedicados a la Pascua ortodoxa, pero los spammers usaron este tema no sólo para promocionar bienes y servicios, sino también para engañar a los usuarios. Los envíos fraudulentos con nombres de famosos líderes políticos también se encuentran con bastante frecuencia en el flujo de spam.

Es raro que los sucesos trágicos queden sin atención de los spammers y abril de 2013 no es la excepción. Después de las dos explosiones en EE.UU., Internet se inundó de envíos masivos que explotaban estos trágicos sucesos. En general, en abril la cantidad de spam ha crecido un poco.

En abril la mayor parte del spam se propagó desde China y EE.UU. En Europa el líder absoluto sigue siendo Corea del Sur: junto con EE.UU. (segundo puesto) este país ha enviado la mitad del spam europeo. Vietnam ocupa el tercer lugar.

La cantidad de mensajes phishing ha bajado a una tercera parte, pero en el TOP5 de las organizaciones atacadas por los phishers no ha habido cambios significativos. Como el mes anterior, las redes sociales son los líderes por la cantidad de ataques y podemos esperar que en mayo conserven su posición. Es posible que en el mes siguiente suba el índice de los juegos online: durante las vacaciones de verano es tradicional que aumenten las actividades de los escolares y universitarios, que usan activamente diferentes servicios sociales y de diversión online.

El spam en abril de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada