Informes sobre spam y phishing

El spam en agosto de 2013

Agosto en cifras

  • El porcentaje de spam en el tráfico de correo en agosto disminuyó en un 3,6%, quedando en el 67,6%.
  • El nivel de mensajes phishing se multiplicó diez veces en comparación con el mes de julio, alcanzando el 0,013%.
  • Se detectaron adjuntos maliciosos en el 5,6% del total de los mensajes de correo, lo que representa un aumento del 3,4% en comparación al mes pasado.

El spam en detalle

En agosto de 2013 el spam fue particularmente peligroso: la cantidad de mensajes de correo fraudulentos y maliciosos aumentó de forma muy significativa, mientras que el  porcentaje de spam en general mostró una notable disminución.

Con motivo del inicio del año escolar, el ‘Regreso a clases’ fue uno de los temas preferidos de los spammers, como se evidencia en los avisos publicitarios para material escolar que detectamos en el mes de agosto. También hubo una presencia notable de mensajes spam con temas deportivos y hábitos saludables. Los comerciantes de automotores también recurrieron a los servicios de los spammers para anunciar ventas de automóviles, accesorios y servicios afines.

Spam para automovilistas

Para muchos, un automóvil no sólo es un medio de transporte, sino una forma de vida que exige bastante dinero y tiempo. Sabiendo esto, los spammers ansían explotar este interés: en agosto registramos varios envíos masivos publicitarios que, además de las ofertas normales de ventas y servicios afines, incluían ofertas muy originales en este sector. Por ejemplo, los autores de un envío masivo invitaban a sus destinatarios a tomar clases de repostería para hacer tartas con formas de automóviles.

Sin embargo, gran parte del spam en inglés contenía avisos de ofertas atractivas de alquiler de automóviles y ventas de automóviles de marcas conocidas.

 

Día del trabajo

El Día del trabajo en Estados Unidos se celebra el primer lunes de septiembre. La mayor parte de los norteamericanos considera esta celebración como un simbólico final del verano y una época tradicional para liquidaciones de verano. Por supuesto, los spammers también lo saben y se aprovechan de ello: durante todo el mes de agosto, distribuyeron de forma intensa mensajes de correo con publicidad sobre descuentos en automóviles y medicamentos. Para llamar la atención de más usuarios y convencerles de que no posterguen su compra, los spammers les envían mensajes que contienen un código especial con el que pueden acceder a un descuento importante.

 

¡De regreso a clases!

Como era de esperar, la consigna de los spammers de todo el mundo en agosto fue “De regreso a clases”. El inicio de un nuevo año escolar fue el tema del mes como se evidencia por la gran oferta de material escolar a través de mensajes.

Sin embargo, en algunos casos, los artículos publicitados no tienen nada que ver con la escuela; los spammers sólo usaron este tema para llamar la atención hacia otros artículos que anunciaban. Por ejemplo, registramos envíos masivos de anuncios de productos cosméticos. Quizás con la intención de asegurar la atención de las guapas mamás que cada mañana se enfrentan al apuro de llevar a sus hijos al colegio, los spammers les ofrecían cosméticos que les prometían cambios milagrosos antes de que sonara la campana de llamada a clases. Estos mensajes de correo contenían un extenso enlace que desviaba a los usuarios a un sitio en el que se les pedía que eligieran la región de entrega. A su vez, esta selección activaba una página con información sobre el vendedor. Pero los dominios que se usaban en los desvíos no funcionaban por más de una semana después de lanzando el envío masivo.

 

“¿Sigues utilizando bolsas de papel para llevar el almuerzo?”, rezaba el encabezado de otro envío masivo. Este mensaje explotaba el tema escolar para anunciar envases especiales diseñados para mantener la comida fresca. Los autores del mensaje prometían que el envase podía mantener la comida fría y fresca por hasta 10 horas. Los enlaces en los mensajes consistían de dominios sencillos que habían sido creados el mes anterior.

 

En agosto, seguimos registrando envíos masivos con anuncios sobre educación online. Pero en lugar de los mensajes de anteriores meses que ofrecían programas de maestría y doctorado, el inicio de las clases trajo consigo ofertas para que los alumnos que habían suspendido continuaran sus estudios escolares a través de Internet.

 

Los autores de estos mensajes resaltaban los horarios flexibles y la oportunidad de trabajar desde el hogar como las principales ventajas de estudiar por Internet. Para obtener más información, se desviaba a los destinatarios hacia un sitio web extranjero que, además de los programas escolares, ofrecía otros servicios que nada tenían que ver con la educación.

Spam sobre medicamentos

Una cantidad significativa de mensajes spam en agosto se refería a la salud. Las pastillas para adelgazar fueron uno de los temas más populares. En agosto registramos envíos masivos relacionados con estos temas en RuNet y en el ciberespacio anglófono.

Los envíos masivos en inglés que anunciaban pastillas para adelgazar contenían un enlace de un dominio recién creado. Este enlace difería de un mensaje a otro. Cuando el usuario activaba el enlace, se lo desviaba hacia un sitio con información detallada sobre las pastillas, las condiciones de compra, etc. El texto estaba acompañado de un video promocional que demostraba las propiedades milagrosas de las pastillas y el testimonio de personas que supuestamente las habían utilizado.

 

Los mensajes en ruso tenían, por lo general, un enlace corto que desviaba al usuario hacia un sitio de publicidad. En estos mensajes a menudo se encontraba la información necesaria para hacer el respectivo pedido.

 

Clasificación geográfica de las fuentes de spam

En agosto de 2013, el cuadro de las tres fuentes principales de spam a nivel mundial lucía así: China se mantuvo en el primer lugar con el 21% de todo el spam enviado, lo que significa una disminución del 2,4% respecto al mes anterior; Estados Unidos ocupó la segunda posición, con el 19% del spam en todo el mundo, lo que significa un aumento del 1% respecto al mes de julio; a Corea del Sur le correspondió la tercera plaza con el 15,4%, lo que significa un aumento del 0,4% respecto al mes anterior.  En total, estos tres países representaron el 55% del spam en el mundo.

 

Al igual que en julio, Taiwán ocupó el cuarto lugar, con el 5,5%, lo que significa un aumento del 0,1%. La participación de Rusia aumentó en un 2%, alcanzando el 4,3% del total del spam, por lo que subió de la décima a la quinta posición.

Japón, con el 1,8%, también escaló cinco posiciones hasta la 11?, tras un aumento del 0,9%. Si esta tendencia de crecimiento se mantiene el próximo mes, Japón podría integrarse al Top 10 de los propagadores más activos de spam en el mundo.

Los otros miembros del Top 10 mantuvieron sus posiciones con fluctuaciones insignificantes en su participación.

 

En agosto, Corea del Sur se mantuvo como la principal fuente del spam enviado a Europa, con el 60%, lo que significa un incremento del 2,6%. A continuación se colocaron Taiwán, con el 4%, y Estados Unidos, con el 3,9%.

Rusia, con el 2,8%, ocupó la cuarta posición en la clasificación de agosto: su participación se incrementó en un 1,8%, lo suficiente para escalar diez posiciones. La participación de Vietnam fue del 2,7%, es decir, un 0,7% menos que en el anterior mes, lo que lo hizo descender a la quinta posición de la clasificación.

El Top 10 también incluyó a Indonesia, con el 1,7%, que ocupó la octava posición, mientras que Rumania, con el 1,4% abandonó el Top 10 al caer del sexto al 11œ lugar. Alemania, con el 1,5%, alcanzó la décima posición, sin cambios notables respecto al mes anterior.

En agosto, el flujo de spam, desde la región de Asia fue un poco más activo, ya que Tailandia, con el 0,9%, Singapur, con el 0,6%, y Japón, con el 0,6%, integraron el Top 20 de las fuentes más importantes del spam enviado a Europa.

 

En agosto, Asia, con el 55,2%, se mantuvo como la principal fuente regional de spam. Al igual que en el mes anterior, el Top 3 también incluyó a Norteamérica, con el 21% y Europa oriental, con el 14%; no hubo cambios significativos en la cantidad de spam proveniente de estas regiones, excepto en el caso de Norteamérica, cuya participación aumentó en casi el 1%. Europa occidental, con el 4,6%, y Latinoamérica, con el 3%, se colocaron en la cuarta y quinta posiciones, respectivamente.

Adjuntos maliciosos en el correo

En agosto, se detectaron adjuntos maliciosos en el 5,6% de los mensajes de correo, es decir, hubo un aumento del 3,4% respecto al mes de julio.

 

Trojan-Spy.html.Fraud.gen se mantuvo como el programa malicioso más propagado, con el 8,1%. Aparece como una página HTML que imita el formulario de inscripción de reconocidos bancos o sistemas de pago electrónico que los phishers usan para robar los datos de los clientes de sistemas de banca online.

Nuestra clasificación de agosto incluyó cuatro modificaciones de Trojan-Ransom.Win32.Blocker. Tres de ellas, Trojan-Ransom.Win32.Blocker.byxx (3%), Trojan-Ransom.Win32.Blocker.bzbh (1,8%) y Trojan-Ransom.Win32.Blocker.bysg (1,4%) ocuparon la segunda, quinta y séptima posiciones, respectivamente. Estos programas maliciosos están diseñados para chantajear y extorsionar dinero a los usuarios víctimas, bloqueando el funcionamiento del sistema operativo y mostrando un banner con instrucciones para desbloquear el ordenador. Por ejemplo, se le indica al usuario que envíe un mensaje con un texto determinado a un número de pago.

Email-Worm.Win32.Bagle.gt (2,3%), terminó el mes en el tercer lugar. Este gusano de correo se propaga como un adjunto de correo que se autoenvía a las direcciones en la lista de contactos de la víctima,

y también puede descargar otros programas maliciosos en el equipo capturado.

La cuarta posición le correspondió a Trojan-Spy.Win32.Zbot.nyis (2,2%), que es una modificación de uno de los más populares troyanos espía Zbot (ZeuS) diseñados para robar información confidencial, como los datos de tarjetas de crédito.

Worm.Win32.Mydoom.m (1,4%) permaneció en el octavo lugar en agosto. Además de su capacidad de autoenviarse, también envía, de forma oculta, peticiones de búsqueda a motores de búsqueda para incrementar el tráfico y la clasificación de los sitios descargados desde servidores maliciosos.

Otra modificación de la familia Mydoom, Email-Worm.Win32.Mydoom.l (1,4%) completó el Top 10 de los programas maliciosos más propagados. Este gusano se propaga a través de Internet como un adjunto de correo. Su principal función es la de recopilar direcciones de correo desde los ordenadores capturados para después usarlos en envíos masivos. También posee las habilidades de los troyanos puerta trasera.

 

En agosto, Alemania, con el 12,3%, ocupó el primer lugar de los países más atacados con mensajes de correo maliciosos, desplazando al líder del mes anterior, Estados Unidos, con el 10,1%, al segundo lugar. Reino Unido se colocó en la tercera posición con el 8,7% de las detecciones antivirus.

India, con el 6,08%, cayó de la tercera a la quinta posición. Rusia, con el 3,48%, aumentó un 1%, lo que le permitió ocupar la novena posición. La participación de Australia disminuyó, con el 4%. Canadá completó el Top 10 con el 2,2% de las detecciones antivirus.

El porcentaje de detecciones antivirus para otros países no tuvo variaciones significativas.

Características especiales del spam malicioso

La época de vacaciones puede estar terminando, pero los scammers, o estafadores cibernéticos, mantuvieron un bombardeo continuo de mensajes fraudulentos que comunicaban falsas reservas de hotel o pasajes aéreos, supuestamente  provenientes de renombradas compañías hoteleras y aéreas, como  booking.com y Delta Air Lines que suelen ser las más imitadas por los spammers; en agosto registramos más mensajes fraudulentos con falsas comunicaciones de estas compañías. Las direcciones de los remitentes parecían muy convincentes, lo que llevó a los destinatarios a abrir este tipo de mensajes de correo.

Los mensajes de correo enviados supuestamente a nombre de booking.com, le informaban al usuario que su reserva de hotel estaba confirmada y le proporcionaban detalles como las fechas de ingreso y salida, así como el coste total de la habitación.

Este tipo de mensajes fraudulentos estaba diseñado siguiendo el formato del sitio oficial, lo que lo distinguía de otras imitaciones de notificaciones de Delta Air Lines que informaban al destinatario que el pago de su tarjeta de crédito había sido aceptado y le proporcionaban el número, la fecha y el coste del vuelo. Se le pedía al destinatario que activara un enlace para imprimir el pasaje; pero al hacerlo se descargaba un archivo malicioso en su ordenador. El mensaje, proveniente supuestamente de booking.com, contenía un archivo malicioso adjunto. En ambos casos se trataba de archivos maliciosos de la familia Trojan-PSW.Win32.Tepfer diseñados para robar nombres de usuario y contraseñas.

En agosto, después de una larga pausa, los scammers comenzaron a enviar comunicaciones fraudulentas a nombre de, nuevamente, la línea de cruceros Caribbean International. El mensaje fraudulento le informaba al usuario que estaban listos los documentos electrónicos para un crucero que había pedido supuestamente. Estos documentos contenían “información importante” que el pasajero debía conocer antes de abordar el barco y que debía guardar y llevar consigo abordo junto con su pasaporte y documentos. En realidad, el mensaje contenía el archivo malicioso Backdoor.Win32.Androm.qt, una modificación de Backdoor.Win32.Androm que se usa para controlar en secreto el ordenador del usuario y añadirlo a una red zombi.

 

Las notificaciones fraudulentas también suelen utilizar el nombre de reconocidos servicios de correo expreso, como FedEx, UPS y DHL, y les comunican a los destinatarios, por ejemplo, que no se pudo entregar un paquete debido a una dirección incorrecta de entrega. Para recuperar el paquete, el destinatario tiene que llenar el documento adjunto y llamar a la oficina de la compañía o confirmar los datos específicos, incluyendo la dirección de entrega. Los archivos maliciosos también pueden ocultarse en documentos falsos que supuestamente contienen información detallada sobre el paquete, el cual en realidad no existe. Los spammers se esmeran para que sus comunicaciones fraudulentas parezcan legítimas y usan además una dirección de remitente aparentemente real y proporcionan información sobre un pedido que nunca se ha realizado, datos de contacto genuinos de los sitios web oficiales y una copia de una carta de notificación de privacidad.

Los archivos comprimidos adjuntos contienen archivos maliciosos de distintas familias. Por ejemplo, el archivo adjunto FedEx Invoice copy.zip adjunto a la falsa notificación de FedEx contenía el archivo ejecutable FedEx Invoice copy.exe además de un troyano de la familia ZeuS/Zbot. Este programa malicioso se usa para robar los datos personales del usuario y las contraseñas de sus cuentas bancarias y de pago electrónico. La falsa comunicación enviada a nombre de UPS contenía el programa malicioso Trojan-PSW.Win32.Tepfer.pnfu que está diseñado para robar nombres de usuario y contraseñas. También hemos descubierto otro programa malicioso de la familia Backdoor.Win32.Androm en un envío masivo supuestamente a nombre de DHL. Los estafadores lo utilizaron para lograr el acceso al ordenador del usuario víctima.

 

Phishing

En agosto hubo una caída en el negocio del spam, por lo que los spammers recibieron pocos pedidos de publicidad y se dedicaron con entusiasmo a los mensajes fraudulentos. Como resultado, el porcentaje de mensajes phishing en el tráfico mundial de spam se multiplicó diez veces en comparación al mes de julio, alcanzando el 0,013%.

Pic15

 
Top 100 de las organizaciones más atacadas por los phishers, por categoría*

Esta clasificación se basa en las detecciones de los componentes antiphishing de Kaspersky Lab que se activan cada vez que un usuario intenta activar un enlace phishing, ya sea que este enlace se encuentre en un mensaje de correo o en una página web.

Los blancos más atractivos de los ataques phishing no mostraron variaciones llamativas en agosto. Los sitios de redes sociales, con el 29,6%, continuaron a la cabeza de la lista, posición que ocupa desde el mes de julio.

Los Servicios de correo y mensajería instantánea, con el 17,2%, mantuvieron la segunda posición, con una disminución del 0,4%. PLa participación de la categoría Motores de búsqueda creció levemente hasta alcanzar el 16,1%, por lo que se mantuvo en la tercera posición.

 Por su parte, las categorías Servicios financieros y pago electrónico, con el 13,8%, Proveedores de servicios de telefonía e Internet, con el 7,8%, Tiendas y subastas online, con el 5,4%, y Juegos online, con el 0,7%, ocuparon las posiciones cuarta a octava, respectivamente.

En agosto, Apple estuvo entre los principales blancos de los ataques de phishers. Nos encontramos frecuentemente con mensajes supuestamente provenientes de direcciones oficiales de la compañía, pero en realidad eran mensajes phishing diseñados para engañar a los usuarios y robar sus nombres de usuario y contraseñas. Por ejemplo, en algunos mensajes se les comunicaba a los usuarios que tenían 48 horas para confirmar los datos de una cuenta de iTunes. Para desbloquear esta cuenta, el destinatario tenía que activar el enlace en el mensaje y seguir las instrucciones que aparecían en el sitio. Los spammers intentaron ganar la confianza del usuario con una falsa sensación de seguridad al señalar que el mensaje había sido creado de forma automática. Sin embargo, tanto la solicitud para confirmar la información de la cuenta en sitios de terceras partes, como la falta de una dirección personal debería ser suficiente para alertar a los usuarios sobre el riesgo de fraude.

 

Conclusión

En el mes de agosto, el porcentaje del spam a nivel mundial cayó al 67% probablemente a causa del decrecimiento anual que este negocio sufre durante el verano y a una disminución en la cantidad de spam publicitario. Sin embargo, detectamos una significativa cantidad de envíos masivos dedicada a la publicidad de venta de automotores, medicinas y hábitos de salud. Asimismo, los spammers utilizaron los temas del regreso a clases y el día del trabajo en Estados Unidos para publicitar las ventas de varios artículos.

Durante el verano, el spam se torna más delictivo y aumenta la cantidad de mensajes fraudulentos con archivos maliciosos. En agosto, los troyanos espía diseñados para robar datos financieros fueron muy comunes en los mensajes spam maliciosos. Sin embargo, la familia de gusanos Trojan-Ransom.Win32.Blocker también fue muy popular entre los estafadores cibernéticos, o scammers, y encontramos varias de sus modificaciones entre los programas maliciosos más detectados.

Durante las vacaciones de verano los spammers continuaron propagando activamente mensajes fraudulentos en nombre de compañías hoteleras y aéreas. Las compañías de correo expreso también llamaron la atención de los scammers, ya que usaron sus nombres para propagar mensajes phishing y programas maliciosos.

Los phishers usaron conocidos productos y servicios de Apple para robar nombres de usuario y contraseñas de los usuarios. En el espacio cibernético ruso, los ciberestafadores usaron mensajes spam para crear y promover servicios online que imitaban los servicios oficiales de organizaciones públicas para extorsionar información personal y dinero de los usuarios.

En agosto, los blancos más atractivos de los ataques phishing no mostraron variaciones llamativas. Tal como esperábamos, las categorías Sitios de redes sociales y Servicios de correo y mensajería instantánea mantuvieron sus posiciones de liderazgo. En el último mes del verano, la actividad de los escolares en las redes sociales y servicios de correo siguió siendo elevada, lo que atrajo el interés de los phishers en este sector. Sin embargo, en septiembre, cuando la actividad de los negocios retome su ritmo habitual, los phishers volverán a centrar su atención en las instituciones financieras, y la cantidad de ataques contra el sector bancario se incrementará. Asimismo, es muy probable que disminuya el porcentaje de los mensajes fraudulentos y maliciosos. 

El spam en agosto de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada