El spam en agosto de 2014

Contenidos

    Peculiaridades del mes

    En los mensajes fraudulentos de agosto se explotaron los acontecimientos políticos mundiales y los nombres de famosos ciudadanos de la Federación de Rusia. Los ficheros maliciosos se propagaron en el tráfico de correo, entre otros métodos, mediante notificaciones falsificadas enviadas en nombre de instancias judiciales. Los spammers que lucran con la publicidad de fármacos usaron servicios populares para captar la atención de los destinatarios. Además, los spammers publicitaron con ahínco los servicios de compañías turísticas y agencias de cobro de deudas.

    Mandamientos citatorios maliciosos

    En agosto registramos varios envíos masivos que simulaban ser notificaciones judiciales, en varios idiomas. En un mensaje en inglés se decía que el usuario tenía que presentarse en un juicio como acusado y antes de la sesión judicial estudiar la información incluida en el adjunto. En el archivo estaba el troyano Backdoor.Win32.Kuluoz, que puede descargar y ejecutar otros programas maliciosos. Al comparar varios mensajes de un solo envío, nos dimos cuenta de que determinados fragmentos de texto, por ejemplo la fecha y hora del juicio, la ciudad y los nombres de los archivos que contenían ficheros maliciosos cambiaban de mensaje en mensaje. Las direcciones de los remitentes de estos mensajes se generaban según un solo patrón, en el que los estafadores simplemente ponían palabras de una base preparada de antemano. Como es tradicional, se introducían modificaciones en el texto para darles individualidad y evadir los sistemas de filtración antispam.

    En agosto, se envió spam similar no sólo en inglés y ruso, sino también en checo. Los estafadores trataban de convencer a los usuarios de que éstos tenían deudas que había que pagar al término de 15 días, porque en caso contrario el destinatario estaría bajo amenaza de que le confisquen sus pertenencias y le congelen su cuenta bancaria. Los delincuentes incluían el fichero malicioso Trojan-Downloader.Win32.Agent.heva en lugar de los documentos judiciales y financieros. Al ejecutar el troyano, se le muestra al usuario el contenido de un fichero RTF, y mientras tanto el programa malicioso descarga e instala Trojan.Win32.Tinba.ei, otro troyano destinado al robo de información financiera, en particular de datos de cuentas bancarias y de tarjetas de crédito. El nombre de este troyano es una abreviación de “Tinybanker”, un malware escrito en lenguaje ensamblador y de pequeño tamaño, pero que por sus funciones puede competir con muchos programas similares de mayor tamaño.

    Política en el spam “nigeriano”

    En agosto de nuevo hemos descubierto mensajes “nigerianos” que explotan los acontecimientos que tienen lugar en Ucrania. En un mensaje en inglés los autores decidieron usar el nombre del ex presidente de Ucrania Víctor Anukovich para convencer al destinatario de la veracidad de la leyenda inventada. La popular estafa nigeriana de pedir ayuda en la inversión de dinero por una generosa recompensa, esta vez venía del ex consejero financiero del presidente, a cuya cuenta en Londres se había enviado en secreto parte del dinero.

    august-2014_spam-report_sp_3

    Después de una larga pausa, Mikhail Hodorkovsky se ha convertido de nuevo en héroe de las historias de las cartas “nigerianas”. Los mensajes que detectamos estaban escritos en nombre de personas que, según palabras de los autores, formaban parte del círculo íntimo de Hodorkovsky. Para engañar a los usuarios, los estafadores usaron el clásico truco de ofrecer recompensa por la ayuda en la transferencia e inversión de enormes sumas de dinero. Para darle una apariencia fidedigna, en el cuerpo del mensaje se ponen enlaces a artículos oficiales sobre Hodorkovsky. Además, en los mensajes se remarca que todos los acuerdos posteriores son legales y no representan ningún peligro para la víctima.

    En uno de los mensajes detectados se da un mínimo de información y si el destinatario está interesado, tiene que ponerse en contacto con los estafadores. En otro mensaje no sólo se describen los detalles de la atractiva oferta, sino también historias de la vida de Hodorkovsky, que antes de su arresto no alcanzó a transferir el dinero y después de su liberación quiere hacerlo. Pero como el desgraciado multimillonario ya no puede usar su antigua compañía para este efecto, está en búsqueda de una persona que le pueda prestar ayuda. Es curioso que los estafadores “nigerianos” propongan al destinatario darse de baja de su lista de correo, para lo cual es necesario enviar una carta siguiendo un enlace al final del mensaje. De esta manera los delincuentes recopilan una base de datos de direcciones de correo electrónico activas para hacer futuros envíos de spam.š

    Publicidad de fármacos en mensajes falsos de Google Play

    En los mensajes spam que publicitan fármacos lo más frecuente son las ofertas de adquirir medicamentos para bajar de peso, aumentar la potencia sexual y aumentar el tamaño de los genitales de forma rápida. En la mayoría de los casos en el cuerpo de estos mensajes hay un texto corto con un enlace al sitio de una tienda donde se puede comprar la mercancía publicitada, o bien sólo el enlace. Con frecuencia también se usa spam gráfico para enviar las ofertas “farmacéuticas”. Pero a veces en el tráfico de correo se encuentran formas inusuales de publicitar medicamentos tradicionales. Por ejemplo, en otoño del año pasado escribimos en nuestro blog sobre ciertas notificaciones similares a phishing enviadas en nombre de conocidas compañías y en agosto de nuevo detectamos un envío parecido.

    Esta vez el mensaje phishing lucía como una notificación de la tienda de aplicaciones Google Play sobre una compra realizada. Para darle un aspecto legítimo al mensaje, los spammers usaron una dirección parecida a la dirección verdadera del remitente y el logotipo oficial de la tienda. Merece la pena destacar que los enlaces en el cuerpo del mensaje, que en los de phishing suelen conducir a las páginas del sitio verdadero, en los mensajes de este envío estaban desactivadas y sólo eran de otro color. Lo más probable es que los spammers hayan calculado que las notificaciones falsificadas serían menos detectadas por los filtros antispam que la tradicional publicidad de medicamentos, por lo que hicieron sus mensajes parecidos a los clásicos de phishing.

    El “veranillo” de los spammers

    En el segmento anglófono de Internet la temática de las vacaciones se reflejó en los envíos de spam con selecciones de viajes a Hawái, Costa Rica y a los bosques tropicales, como también de ofertas de reservar un avión personal, tanto para vuelos de negocios como turísticos. Estos mensajes llegaban desde direcciones que cambiaban todo el tiempo y contenían enlaces a sitios web creados poco tiempo antes, que ofrecían al usuario comparar precios de los servicios ofrecidos y escoger las mejores ofertas de los socios publicitados.

    También encontramos envíos con ofertas de participar en programas de ganancias en Internet (los así llamados opciones binarias) para obtener lucro rápido e inmediato, que cubriría todos los gastos de las vacaciones planeadas.

    Cómo (no) pagar deudas

    Otra temática notable de los envíos de spam de agosto fue la de ayuda en el cobro de todo tipo de deudas, orientada tanto a personas particulares, como a compañías. Los spammers enviaban mensajes de colorido diseño que contenían frases como “Paga lo que puedas” y anuncios publicitarios que proponían no devolver las deudas acumuladas. El hiperenlace del mensaje llevaba a un sitio recién creado que tenía un nombre característico, por ejemplo deuda-cero-ahora y con ofertas de consolidar deudas (es decir, formalizar un sólo crédito para pagar varios otros), simplemente obtener un crédito o recibir una tarjeta de crédito en condiciones ventajosas.

    Y por el contrario, todo tipo de agencias de cobro especializadas y abogados particulares proponían recolectar dinero de todos los deudores rápido, sin acudir a instancias legales y prácticamente en la suma completo. En los mensajes publicitarios se daba una breve descripción de las actividades de la organización, las peculiaridades de su trabajo, se mencionaban algunos datos estadísticos (cantidad de dinero cobrado, cantidad de clientes satisfechos, etc.) y se indicaban teléfonos. Las cifras de los números de teléfono con frecuencia se deformaban o enmascaraban para evadir los filtros antispam. Los autores de los mensajes prometían un final feliz hasta en los casos en que otros servicios especializados habían fracasado.

    Estadísticas

    Porcentaje de spam en el tráfico postal

    august-2014_spam-report_sp_9_sm

    Porcentaje de spam en el tráfico postal

    En promedio, la cantidad de spam en el tráfico de spam en agosto fue del 67,2%, un 0,2% más que el mes anterior. Durante agosto la cantidad de mensajes no deseados ha tenido un crecimiento estable: si a principios de mes el porcentaje de spam constituía el 64,9%, a final de mes era ya del 70,4%.

    Países fuente de spam

    Según los resultados de agosto, la lista de países-fuente de spam enviado a todo el mundo sigue estando liderada por EE.UU. (15,9%), con un índice que este mes creció en un 0,7%. Le sigue Rusia (6%), con una cantidad de spam enviado que también ha crecido en un 0,4%. El tercer puesto lo ocupa China con un índice del 4,7%, un 0,6% menos que el mes anterior.

    Países fuente de spam

    En el cuarto puesto está Vietnam (4,7%), que ha aumentado un 1,2% y subido cuatro posiciones en comparación con julio. En el quinto puesto está Argentina (4,4%), que perdió un punto en la estadística, pero cuyo índice de propagación de spam ha aumentado un poco.

    Alemania (3,6%) sigue en el sexto puesto con una insignificante reducción de su índice de envío de spam. Ucrania (2,9%) se ubica en el octavo puesto, en agosto ha dejado de estar entre los cinco primeros. Brasil (2,9%), por el contrario, dio un pequeño salto, creció un 0,5% y ocupó el noveno puesto. India ocupa el décimo lugar con un 2,8%.

    También podemos destacar un pequeño aumento de la actividad de los spammers en Corea del Sur, que en agosto también ha entrado en nuestra lista.

    Adjuntos maliciosos en el correo

    En agosto el TOP 10 de los programas maliciosos propagados por correo es el siguiente:

    TOP 10 de programas maliciosos propagados por correo electrónico

    Trojan.JS.Redirector.adf está a la cabeza de la lista. Su nombre habla por sí mismo: se trata de una página HTML que cuando el usuario la abre, lo remite a un sitio infectado. Allí le proponen descargar Binbot, un servicio de negociación automático de opciones binarias, que ahora son tan populares en Internet. El programa malicioso se propaga por correo electrónico en un archivo ZIP sin contraseña.

    El tercer y sexto puesto lo ocupan los troyanos-descargadores Trojan-Downloader.Win32.Upatre.to y Trojan-Downloader.Win32.Upatre.tq respectivamente. Los programas maliciosos de esta familia son bastante simples, de un tamaño no superior a los 3,5 Kb y por lo general descargan un troyano bancario de la familia conocida como Dyre/Dyzap/Dyreza. šLa lista de instituciones financieras atacadas por este troyano bancario depende de la configuración que se le envíe desde el centro de administración.

    En el cuarto puesto se ubica Trojan-Banker.Win32.Fibbit.rq. Este troyano bancario se incrusta en una aplicación Java de banca online con el objetivo de robar información de autentificación y de otro tipo, llaves y para suplantar transacciones y sus resultados.

    El quinto y sexto puesto lo ocupan Backdoor.Win32.Androm.enji y Backdoor.Win32.Androm.erom respectivamente. Ambos programas maliciosos pertenecen a la familia de los bots modulares universales Andromeda-Gamarue. Sus principales funciones son la descarga, almacenamiento y ejecución de un fichero ejecutable; la descarga y descarga de un DLL (sin guardarlo en el disco), la descarga de plugins y la posibilidad de actualizarse y eliminarse. Las funciones del bot se expanden mediante un sistema de plugins, que los delincuentes cargan en cantidades necesarias en cualquier momento.

    Los puestos séptimo y octavo los ocupan Trojan.Win32.Bublik.clhs y Trojan.Win32.Bublik.bwbx, diferentes modificaciones del programa malicioso Bublik. Se puede considerar que son troyanos-descargadores de lo más común y corriente, que descargan un fichero malicioso al equipo del usuario y lo ejecutan.

    Al final de la lista tenemos a Trojan-Spy.Win32.LssLogger.bos, un programa multifacético que tiene muchas funciones, entre las cuales en primer lugar hay que mencionar la posibilidad de robar contraseñas de una larga lista de software. Toda la información robada se envía después a los delincuentes por correo electrónico.

    Distribución de las reacciones del antivirus de correo según países

    En agosto Inglaterra (13,16%) aumentó un 6,26% y de nuevo se ubicó entre los líderes por la cantidad de reacciones del antivirus de correo, dejando atrás a Alemania (9,58%, -1,49%) y EE.UU. (7,69%, -1,59%) en el segundo y tercer puesto respectivamente.

    La principal sorpresa fue el salto de Rusia (6,73%) del octavo al cuarto puesto de nuestra estadística, en agosto su índice aumentó en un 3,33%.

    Italia (3,31%) bajó del quinto al octavo puesto, habiendo perdido un 1,33%, en cambio Hong-Kong (2,74%) aumentó un 0,28% y pasó a Australia, Turquía y Vietnam.

    Peculiaridades del spam malicioso

    En agosto los estafadores que enviaron adjuntos maliciosos por correo electrónico de nuevo usaron como cebo notificaciones falsas de la popular red social Facebook. Esta vez al usuario, desde una dirección completamente diferente, le llegaba un mensaje que le advertía sobre la pronta desactivación de su cuenta. Según el texto, en los últimos días (y en algunos mensajes, meses) la red social había sufrido ataques de hackers y por esta razón, para evitar consecuencias negativas los desarrolladores pedían a los usuarios instalar una utilidad contenida en la aplicación.

    Cada mensaje del envío contenía un archivo ZIP protegido con contraseña, donde hay un fichero ejecutable y una contraseña única para descomprimirlo. El archivo adjunto llevaba el nombre del usuario al que se había enviado el mensaje (el login de su cuenta de correo) y el mismo nombre se usaba para generar la contraseña del archivo. Al final del mensaje los estafadores anotaban que el fichero se abriría sólo en un ordenador personal con sistema operativo de Microsoft. En el archivo, en vez de una utilidad había un troyano-descargador de la familia Trojan-Downloader.Win32.Haze. Estos programas maliciosos descargan otro malware, que como regla sirve para robar los datos personales del dueño del equipo o para enviar mensajes infectados a su lista de contactos.

    Phising

    Según los resultados de agosto, en los equipos de los usuarios de los productos de Kaspersky Lab se registraron 32 653 772 reacciones del sistema Antiphishing, 12 495 895 más que en julio. Lo más probable es que el significativo crecimiento esté relacionado con la reducción de la demanda de spam publicitario que tiene lugar en verano. Los delincuentes que no quieren perder sus ganancias pasan, entre otras cosas, a hacer envíos masivos de phishing.

    En agosto en la estadística de países atacados por los phishers, Australia ha ocupado el primer puesto, con un índice que se duplicó y llegó al 24,4%. Brasil (19,5%) bajó al segundo puesto. Los puestos del tercer al quinto lo ocupan Inglaterra (15,2%), Canadá (14,6%) e India (14,5%) respectivamente.

    Territorios de los ataques phishing*, agosto de 2014

    * Porcentaje de usuarios en cuyos equipos reaccionó el sistema Antiphishing, del total de usuarios de productos de Kaspersky Lab en el país.

    TOP 10 de países según la cantidad de usuarios atacados:

    País % de usuarios
    1 Australia 24,4
    2 Brasil 19,5
    3 Inglaterra 15,2
    4 Canadá 14,6
    5 India 14,5
    6 Emiratos Árabes Unidos 14,1
    7 Ecuador 13,1
    8 República Dominicana 13
    9 Austria 12,8
    10 China 12,7

    Organizaciones blanco de los ataques

    La estadística de los blancos de los ataques de los phishers está basada en las reacciones del componente heurístico del sistema Antiphishing. El componente heurístico del sistema “Antiphishing reacciona cuando el usuario sigue un enlace a una página phishing y la información sobre esta página todavía no está presente en las bases de datos de Kaspersky Lab. Carece de importancia de qué forma se haga el paso: sea como resultado de pulsar un enlace en un mensaje phishing, en un mensaje de una red social o, por ejemplo, como resultado de las acciones de un programa malicioso. Como resultado de la reacción, el usuario ve en su navegador un banner que le advierte sobre la posible amenaza.

    Según los resultados de agosto, la lista de organizaciones atacadas por los phishers no sufrió cambios significativos. La siguen encabezando los portales de correo y búsqueda (30,8%) y su índice ha crecido en un 1,3%. La cantidad de ataques contra redes sociales (17,3%) ha aumentado en un 3,3%. Como consecuencia, en agosto casi la mitad de los ataques phishing correspondió a estas dos categorías.

    Distribución de organizaciones atacadas por los phishers*, por categorías, agosto de 2013

    El 35,2% de las reacciones del componente heurístico del sistema antiphishing fueron provocadas por el phishing financiero, un 6,6% menos que el mes anterior. La reducción general de la cantidad de ataques contra el sector financiero también influyó en los índices de determinadas categorías. De esta manera, se ha reducido la cantidad de reacciones en las categorías “Bancos” (-4,9%), “Tiendas online” (-1,2%) y “Sistemas de pago” (-0,6%).

    Las 3 organizaciones más atacadas

    Organización % de reacciones
    1 Google 12,61%
    2 Facebook 10,05%
    3 Yahoo! 6,38%

    En agosto, entre las organizaciones más atacadas por los phishers, el primer puesto lo sigue ocupando Google (12,61%), con un índice que aumentó en un 1%. El segundo puesto, con un índice del 10,05% le pertenece a Facebook, que por tradición es la red social más atacada por lo phishers. Su índice aumentó en un 0,4%. En el tercer puesto están el sistema de búsqueda y los servicios de Yahoo! (6,38%). Recordamos que en julio el tercer puesto lo ocupaban los servicios de Windows Live.

    En el tráfico de spam de agosto hemos descubierto varios envíos masivos de phishing dirigidos al robo de logins y contraseñas de los servicios de Yahoo!. En los mensajes se notificaba que la administración de Yahoo! había registrado intentos de entrar a la cuenta del destinatario desde un dispositivo extraño. Esta actividad había levantado sospechas en la administración y si el destinatario del mensaje no confirmaba sus datos (login y contraseña), su cuenta sería bloqueada. En el cuerpo del mensaje se indicaban dos enlaces para verificar los datos personales: uno para confirmar la contraseña y evitar el bloqueo y el otro para proteger la cuenta si en ella había entrado un extraño. Ambos enlaces tenían la misma dirección y llevaban a la misma página phishing. Vale decir que el texto de los mensajes era casi el mismo en los diferentes envíos, y en su diseño se usaba una imagen del logotipo de Yahoo!.

    Si en un envío la página phishing era una réplica exacta de la página oficial de entrada a la cuenta, en la otra se usaba un fondo de página diferente.

    Al leer el código HTMLš de las páginas phishing queda claro que en el primer caso lo datos ingresados por la víctima se enviaban a la página PHP de los delincuentes y en el segundo, a una dirección de correo electrónico registrada en un servidor de correo gratuito. šY todo con la particularidad de que en el código HTML estaba presente la dirección que se pondría en el campo del remitente y el asunto del mensaje. Esto les daba a los estafadores la posibilidad de identificar la información recibida de los logins y las contraseñas de los usuarios en el marco de determinado envío.

    Conclusión

    En agosto la cantidad de spam en el tráfico mundial de correo aumentó en un 0,2% y alcanzó el 67,2%. Entre los países-fuente del spam propagado por todo el mundo, en agosto siguieron liderando EE.UU. (15,9%), Rusia (6%) y China (4,8%).

    En agosto los estafadores que siguieron atentamente los acontecimientos políticos en Ucrania continuaron enviando cartas “nigerianas” pidiendo ayuda a los usuarios de Internet. Los mensajes en inglés estaban escritos en nombre de un allegado del ex presidente de Ucrania, Víctor Yanukovich y su autor pedía ayuda para invertir dinero. Los sucesos relacionados con Mihail Hodorkovsky también sirvieron de pretexto para que los estafadores robasen dinero a sus víctimas.

    En el tráfico de spam de agosto con frecuencia se encontraban mensajes maliciosos camuflados por los delincuentes informáticos como notificaciones de instancias judiciales. Estos mensajes estaban escritos en varios idiomas, y los ficheros maliciosos adjuntos no sólo estaban destinados al robo de información personal, sino también a recibir dinero por descifrar los ficheros en el equipo de la víctima.

    Para publicitar fármacos en el spam de agosto se usaron notificaciones falsificadas enviadas en nombre de la tienda online Google Play, que contenían enlaces que conducían a páginas de publicidad de medicamentos populares.

    Además, en el último mes de verano en el hemisferio norte los spammers promovieron activamente los servicios de las agentas turísticas y de cobro de deudas.

    Trojan.JS.Redirector.adf encabezó la lista de programas maliciosos propagados por correo electrónico en agosto. Trojan-Spy.HTML.Fraud.gen, programa que conocemos bien y que fue el líder durante largos meses, ocupa el segundo puesto.

    Según los resultados de agosto, la cantidad de reacciones del sistema Antiphishing en los equipos de los usuarios de los productos de Kaspersky Lab se ha multiplicado por un coeficiente de 1,5, llegando a un total de 32 653 772. Según la estadística, el 24,4% de los ataques afectó a los usuarios de Australia. La estadística de las organizaciones atacadas por los phishers sigue estando encabezada por los portales de correo y búsqueda (30,8%). El índice total del phishing financiero se ha reducido en un 6,6% y quedó en el 35,2%. Yahoo! ha ingresado a la lista de las tres organizaciones más atacadas por los phishers.

    Publicaciones relacionadas

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *