Informes sobre spam y phishing

El spam en agosto de 2011

Agosto en cifras

  • El spam en el tráfico de correo ha disminuido un 0,9% en comparación con julio y este mes ha alcanzado una media del 80%.
  • En comparación con julio, la cantidad de mensajes phishing en el flujo total de spam se ha reducido en un 0,01%, con lo que su nivel es del 0,03%.
  • El 5,9% de los mensajes contenía ficheros maliciosos, es decir 1,2% más que en el mes anterior.

Los sucesos más destacados del mes

Mensajes con adjuntos nocivos: técnicas nuevas y casi olvidadas

En agosto el porcentaje de spam con adjuntos maliciosos ha aumentado de nuevo, hasta alcanzar el 5,9% del total de mensajes spam. Al mismo tiempo, los delincuentes han usado diversas técnicas, tanto conocidas desde hace mucho tiempo y que han demostrado su efectividad, como nuevas.

Desde finales de julio y durante todo agosto hemos registrado mensajes que se disfrazan de notificaciones de las compañías de mensajería UPS, FedEX y DHL. Estas falsificaciones se propagaron con particular ahínco del 8 al 11 de agosto.

En los mensajes se anunciaba que el servicio no había podido entregar el paquete y que hay que recogerlo de su oficina lo antes posible, o que la dirección del destinatario era incorrecta, o que se había enviado un paquete al usuario y que lo recibiría muy pronto. En todos los mensajes se adjuntaba un archivo zip, supuestamente un formulario comprimido que era necesario rellenar para garantizar el éxito del envío o recibir el paquete.

Pero en realidad contenía diferentes objetos maliciosos. Por ejemplo en un envío masivo de notificaciones falsificadas, supuestamente provenientes de UPS, había diferentes modificaciones del programa malicioso Trojan-Downloader.Win32.FraudLoad. Los envíos más numerosos fueron los de las diferentes modificaciones de Backdoor.Win32.Agobot. Este programa malicioso se difundía en los mensajes que simulaban ser notificaciones de las tres compañías: UPS, FedEX y DHL. Con menor frecuencia en estos mensajes se podían encontrar variantes del troyano Trojan.Win32.Yakes.cap. Hacemos hincapié en que los programas maliciosos mencionado descargan otros programas maliciosos en el equipo del usuario.

El envío de notificaciones falsas en nombre de las compañías de mensajería mencionadas no es una técnica nueva. Los delincuentes las vienen usando por lo menos desde hace dos años. Y siguen usándolas porque todavía son efectivas

Además, en agosto hemos notado varios nuevos trucos de los propagadores de códigos maliciosos, pero que están basados en un mismo principio: mientras más misterioso es el asunto del mensaje y menor el texto, hay más posibilidades de despertar la curiosidad de los usuarios. En total hemos recibido mensajes de tres tipos:

  • los primeros contenían en el asunto la palabra Changelog y la fecha. Casi no había texto en los mensajes, solo un par de palabras “Como le habíamos prometido” o “Ver el adjunto”;
  • en los del segundo grupo el asunto era “End of July Statement required” o “End of July Statement”. El texto del mensaje decía que, la compañía envía las cuentas abiertas determinado día (por lo general, se indicaba la fecha);
  • los del tercero tenían el título “Cuentas internas de la corporación ATFT”, cuyo texto decía que las cuentas internas de 2010 estaban en el adjunto y agradecían por el “apoyo al proceso”.

Es obvio que todos estos mensajes vienen de una sola fuente. No solo tenían en común el mismo truco y estilo de presentación del texto, sino también los nombres que les daban a los archivos zip: después de una palabra, separada con un guión bajo, venía una fecha, otro guión bajo y una letra y una o dos cifras.

Además, es evidente la conexión de estos mensajes con las notificaciones falsas de las compañías de mensajería que hemos mencionado antes. Es decir: los adjuntos más propagados en estos mensajes eran diversas modificaciones de Trojan.Win32.Yakes y Backdoor.Win32.Agobot.

Para propagar las diferentes modificaciones de Trojan-Downloader.Win32.FraudLoad se usó también un nuevo truco de ingeniería social. Los mensajes tenían la apariencia de una notificación de la policía de EE.UU. de que el usuario había violado las reglas de tránsito y debe imprimir la factura adjunta al mensaje y enviarla a la sección urbana del tribunal.

De esta manera, los delincuentes han empezado a buscar nuevos métodos para ganarse la atención de los usuarios. Es posible que se deba a que la gente se da cuenta que los viejos trucos son estafas y no les dan tan buenos resultados a los delincuentes como solían hacerlo.

También es curioso que antes muchos de los adjuntos maliciosos se propagaban como “fotos eróticas” de “muchachas que quieren relaciones” o “fotos escandalosas de famosos” y ahora los delincuentes tratan de hacer pasar sus mensajes como notificaciones oficiales o correspondencia oficial. Esto guarda relación con que la mayoría de los usuarios no espera descubrir programas maliciosos en un “mensaje oficial con documentos adjuntos” que casualmente llegó a su buzón. Además, hay una enorme cantidad con fotos eróticas de muchachas deseosas de relacionarse en las redes sociales, mientras que los documentos internos de las compañías son mucho más interesantes para los usuarios.

Temas candentes en el spam: Ramadán

También hay envíos masivos dirigidos a los musulmanes, ya que el auditorio de los spammers es internacional y multicultural. Este año, agosto es Ramadán, el mes de ayuno musulmán y, como cada año, había mensajes spam dedicados a este tema.

Este año los especialistas de Kaspersky Lab registraron varios envíos que promocionaban la “comida correcta” durante Ramadán. Así, uno de ellos ofrecía comida a domicilio con descuento durante el Ramadán. Otro envío publicitaba un restaurante que funcionaba sólo de noche, es decir, en el periodo cuando los musulmanes pueden comer durante el mes sagrado.

Recordamos que el spam es, sobre todo, una amenaza contra la que hay que luchar y por esto no hay que darle el mismo tratamiento que a la publicidad normal. Incluso el mensaje de apariencia más inofensiva puede contener un script malicioso y el spammer nunca tendrá reparos en lucrar aprovechándose del cliente que encargó la publicidad spam y de los usuarios infectados por programas maliciosos.

Análisis estadístico

Países-fuente del spam

Países-fuente de spam en agosto de 2011

En agosto no ha cambiado el cuarteto de países-fuente de spam que ocupan los primeros puestos. Allí siguen estando India (15,6%), Indonesia (11,7%), Brasil (9,24%) y Perú (6%).

Uno de los cambios más notables en el TOP 10 es que el único país de Europa Oriental que queda, Italia (- 1%), en agosto ocupa el puesto 12. Polonia ha ingresado al TOP 10 y desde su territorio se propagó un 1,3% más de spam que en julio. De esta manera, el TOP 10 de países-fuente de spam en agosto está conformado por países de Asia, América Latina y Europa Oriental.

Rusia sigue ocupando el puesto 11 de la estadística, pero en comparación con julio el porcentaje de spam ha bajado un poco. También se ha reducido en un 1% la cantidad de spam enviado desde Ucrania.

Los flujos de spam provenientes de los dos grupos de países destacados en julio (India y Brasil; Indonesia, Ucrania, Tailandia y Perú) siguen difundiéndose de forma sincrónica.

La correlación en el cuarteto Indonesia, Ucrania, Tailandia y Perú se mantiene, a pesar de que el porcentaje de spam propagado desde Indonesia se ha incrementado durante el último mes, mientras que el de los otros tres países se ha reducido. Pero de todos modos, los máximos y mínimos locales de estos cuatro países coinciden. Juzga tú mismo:

Porcentaje de spam enviado desde Indonesia, Perú,
Ucrania y Tailandia del 18 al 28 de agosto

Las curvas que representan la dinámica de envíos masivos desde India y Brasil se han separado un poco en las últimas dos semanas de agosto, pero los cambios de los índices de envío de spam desde estos países son tan insignificantes que es muy probable que esta separación esté condicionada por factores locales, como la presencia en la región de otras botnets administradas por otras personas.

Porcentaje de spam enviado desde India y Brasil del 18 al 28 de agosto

El seguimiento del grupo Vietnam-Corea del Sur-Rusia-Italia no puso en evidencia más coincidencias en los cambios del tráfico de spam propagado en estos países:

Porcentaje de spam enviado desde Rusia, Corea,
Vietnam e Italia desde el 27 de junio hasta el 28 de agosto

Hay cierta similitud en los mínimos y máximos locales de los envíos spam provenientes de Rusia y Vietnam. Seguiremos observando este par de países.

Adjuntos maliciosos en el correo

El 5,9% de los mensajes contenía ficheros maliciosos, es decir un 1,2% más que en el mes anterior.

Rusia ha bajado bastante en la estadística de reacciones del antivirus de correo. El índice en agosto era del 8,96%, un 5,1% menos que en julio. Como resultado Rusia está en el segundo puesto de la estadística, por debajo de EE.UU.

El índice de EE.UU. creció en un 2,6% y alcanzó el 10,1%, volviendo al nivel de junio.

Distribución de las reacciones del antivirus de correo según países, agosto de 2011

La cantidad de las reacciones del antivirus de correo en Alemania (5,45%) e India (5,1%) bajó de una forma tan abrupta, como había subido el mes pasado, en un 3,8% y 2,8% respectivamente.

Ha tenido lugar un crecimiento notable de las reacciones del antivirus de correo en Japón. Es interesante que el TOP 20 de los programas maliciosos detectados por el antivirus de correo en este país consiste casi en su totalidad de modificaciones de Trojan.Win32.Yakes y Backdoor.Win32.Agobot.

Dos antiguos conocidos ocupan las primeras posiciones de la estadística de los programas maliciosos detectados con más frecuencia en agosto:

TOP 10 de programas maliciosos propagados por correo en agosto de 2011

El 5% de las reacciones del antivirus de correo han sido provocadas por el líder tradicional de nuestra estadística, Trojan-Spy.HTML.Fraud.gen, un 0,5% menor que en julio. En el segundo puesto está el gusano de correo Email-Worm.Win32.Mydoom.m, el único representante de los gusanos de correo en la estadística de agosto. Recordemos que este programa malicioso tiene sólo dos funciones: recopila direcciones de correo electrónico en los equipos infectados y se envían a sí mismo a estas direcciones.

El tercer puesto en la estadística de los programas maliciosos detectados con más frecuencia lo ocupa Trojan-Downloader.Win32.Deliver.ll. Los troyanos de esta familia constituyeron la mayor parte de nuestra estadística en marzo. Este programa malicioso es un troyano-descargador clásico, que instala en el equipo infectado otros programas maliciosos sin que el usuario se dé cuenta.

De los diez programas maliciosos de esta estadística, cuatro son modificaciones de Trojan.Win32.Yakes, mencionado más arriba. Ocupan el cuarto, quinto, octavo y noveno puesto.

Phising

En comparación con julio, la cantidad de mensajes phishing en el flujo total de spam ha experimentado una leve reducción, con lo que su nivel es del 0,03%.

El cuarteto de las organizaciones más atacadas por los phishers no ha cambiado en comparación con julio.

TOP 10 de organizaciones atacadas por los phishers*

* La estadística se elabora considerando los porcentajes de URLs phishing propagados en la red. La estadística no es un indicador del nivel de seguridad de las organizaciones mencionadas, sino que refleja la popularidad de los diferentes servicios entre los phishers. Merece la pena destacar que los phishers prefieren atacar los servicios más populares entre los usuarios.

Sin temor a equivocarnos podemos afirmar que uno de los principales cambios de agosto es el paso de la red social Orkut (6%) del séptimo puesto al quinto.

También hemos notado que los phishers están perdiendo interés por los juegos online: RuneScape, que ocupaba el sexto puesto en julio, bajó dos puestos (-1,1%), y WoW, que estaba en el décimo puesto el mes pasado, en agosto desapareció del TOP10 de organizaciones más atacadas por los phishers, a pesar de que su porcentaje no ha cambiado.

Hacemos notar que en el décimo puesto de nuestra estadística ha aparecido el servicio de impuestos internos IRS. En los próximos meses subirá su posición en la estadística, porque se avecina la época de entrega de declaraciones de impuestos en EE.UU. y en este periodo siempre se incrementan los ataques que usan IRS.

Tendencias temáticas del spam

Categorías temáticas del spam en agosto de 2011

En agosto, casi la mitad del spam en inglés son mensajes de estafa. Con el crecimiento simultáneo del porcentaje de adjuntos maliciosos en el spam, esto es un motivo más para recordar a los usuarios que deben pensar en su seguridad y ser prudentes en Internet.

El tema que ocupa el segundo lugar en popularidad entre los spammers es el de los asuntos financieros, entre ellos los que ofertan créditos dudosos o ganancias inmediatas. En comparación con junio, la cantidad de este tipo de spam se ha multiplicado por 1,5.

La cantidad de mensajes “para adultos” se ha duplicado.

Al mismo tiempo, los mensajes con publicidad de Viagra o tabletas para adelgazar se ha reducido considerablemente, del 28% en junio al 4,5% en agosto. La cantidad de publicidad de imitaciones de artículos de lujo también se ha reducido de una forma notable.

Así, en el spam en inglés de agosto ha crecido la cantidad de temáticas que no pretenden vender ningún tipo de mercancía, sino que tratan instalar malware, robar los datos personales de los usuarios o estafarlos.

Conclusión

El porcentaje de adjuntos maliciosos en el spam continúa creciendo aceleradamente. En los dos últimos meses este índice ha crecido en un tercio. En general, esta es una tendencia normal en los meses de verano. Durante el periodo de vacaciones los spammers que reciben menos encargos de sus clientes y se dedican a hacer cosas más lucrativas, como los envíos masivos de programas de afiliados. Los programas de afiliados que pagan a los spammers un honorario por instalar malware siempre gozan de bastante popularidad, que crece en los meses de verano. Al mismo tiempo los spammers usan tanto trucos nuevos, como viejos y efectivos para propagar programas maliciosos. La renovación del arsenal de los estafadores y el crecimiento de la cantidad de adjuntos maliciosos son un buen motivo para recordar a los usuarios que la seguridad de su equipo depende ante todo del cuidado y las precauciones que tomen.

La composición temática del spam en inglés también muestra que durante el periodo de vacaciones las mercaderías ofrecidas mediante spam no gozan de alta demanda. Esto obliga a que los delincuentes busquen otros métodos de conseguir dinero, que no dependan de la capacidad adquisitiva de los usuarios.

Es probable que en septiembre la cantidad de spam malicioso y de estafas baje, y en las primeras posiciones de la estadística de las temáticas del spam de nuevo vuelvan a estar los fármacos y las imitaciones de artículos de lujo.

El spam en agosto de 2011

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada