News

El spam en diciembre de 2009

Particularidades del mes

  • El spam en el tráfico de correo ha subido un 2,2% en comparación con noviembre y este mes ha alcanzado una media del 82,6%.
  • Se han encontrado vínculos a sitios phishing en el 0,84% de todos los mensajes electrónicos, lo que representa una disminución del 0,25% en comparación con noviembre.
  • El 0,16% de los mensajes contenía ficheros maliciosos, es decir, un 0,67% menos que en el mes anterior.
  • Ha aumentado notablemente la presencia de spam con estafas.
  • Los delincuentes continúan usando imágenes ondeadas y con “ruidos” para evadir los filtros antispam.

Porcentaje de spam en el tráfico postal

En diciembre de 2009 el porcentaje medio de spam en el tráfico de correo ha sido 82,6%. El punto más bajo del mes se registró el 25 de diciembre, durante la Navidad (78,2%). Los usuarios recibieron la mayor cantidad de spam entre el 19 y 20 de diciembre (87,4%).


Porcentaje de spam en el sector ruso de Internet en diciembre de 2009(Estadística del 1 – 26 de diciembre)

Programas maliciosos en el spam

El 0,16% de los mensajes contenía ficheros maliciosos, es decir, un 0,67% menos que en el mes anterior. De esta manera, el número de mensajes que contenían adjuntos maliciosos alcanzó el nivel de primavera-verano de 2009.

 open in new window
Programas maliciosos contenidos en el spam en diciembre de 2009

En diciembre la mayoría absoluta de los mensajes maliciosos contenían ficheros empaquetados con la ayuda de Packed.Win32.Krap.x. Esta modificación de Krap se usa por lo general para empaquetar a Zbot, FraudTools y Iksmas. Casi el 73% de todos los programas maliciosos difundidos por correo electrónico se detectan como Packed.Win32.Krap.x.

Otra modificación de Krap, Packed.Win32.Krap.aj también está entre los diez programas nocivos más comunes en el spam. Los ficheros empaquetados por este programa estaban presentes en el 2,7% de todos los mensajes. En particular, esta modificación de Krap estuvo implicada en un envío masivo falsificado en nombre de Facebook. Antes ya habíamos recibido mensajes similares, en los cuales con frecuencia se encontraban diferentes modificaciones de este empaquetador.

 open in new window
Malware found in spam messages during December 2009

En comparación con el programa malicioso que ocupa el primer lugar en el TOP10, el número de los demás miembros es mucho menos impresionante. Por ejemplo, a pesar de que en el TOP10 de diciembre hay al mismo tiempo tres modificaciones del programa malicioso Backdoor.Win32.Bredolab (Backdoor.Win32.Bredolab.aug, Backdoor.Win32.Bredolab.blm y Backdoor.Win32.Bredolab.bky), en total no llegan ni siquiera al 8%. Recordamos que Backdoor.Win32.Bredolab es un programa troyano perteneciente a la familia de los backdoors. Al ejecutar el troyano en el ordenador, la víctima se convierte en parte de la botnet. Después de solicitar datos al centro de administración, el programa malicioso descarga desde Internet módulos adicionales que son o bien falsos antivirus o programas espía que roban las contraseñas del usuario. En noviembre los programas maliciosos de esta familia ya habían entrado en nuestro TOP10 en cantidades impresionantes.

Email-Worm.Win32.NetSky volvió a los primeros lugares de la lista TOP10. La última vez que lo vimos en la cima fue en agosto de 2009. Este mes, dos modificaciones de este gusano (Email-Worm.Win32.NetSky.q y Email-Worm.Win32.NetSky.d) ocupan el tercer y cuarto lugar respectivamente. Email-Worm.Win32.NetSky es un virus-gusano que se propaga por Internet en los datos adjuntos de los mensajes de correo infectados. Los mensajes infectados se envían a todas las direcciones de correo electrónico encontradas en el ordenador. El gusano se activa si el usuario ejecuta el fichero infectado (haciendo doble click en el adjunto). Después, el gusano se instala a sí mismo en el sistema y empieza a propagarse.

También es interesante destacar la aparición en la lista de un troyano para bancos, Trojan-Banker.Win32.Bancos.kcx. Este troyano, presente en el 1,04% de todo el correo infectado, sirve para robar las contraseñas de WebMoney.

Por lo demás, hemos registrado un curioso envío masivo navideño que difundía programas maliciosos no en el adjunto, sino mediante un enlace malicioso:

 open in new window

En el mensaje el usuario descubría una felicitación por Navidad y un enlace a una “tarjeta postal electrónica”. Al pulsar el enlace, llegaba a esta página navideña:


Mientras el usuario, sin sospechar nada, miraba la postal, se descargaba a su ordenador Trojan-Dowloader.JS.Shadraem.a.

Fue precisamente sobre estos envíos que advertimos a los usuarios cuando escribimos que en diciembre sería común recibir mensajes ofreciendo hermosas postales electrónicas, pero que en realidad descargaban en el ordenador del usuario un programa nocivo.

Phishing

En diciembre los líderes del TOP10 de las organizaciones más atacadas son PayPal (-8,84) y eBay (-1,99). Al igual que el mes anterior, el tercer puesto le pertenece a la red Facebook, contra la cual la cantidad de ataques aumentó en más de un 1%.

 open in new window
Organizaciones víctimas de ataques phishing en noviembre de 2009

En comparación con el mes anterior, ha aumentado casi dos veces la cantidad de ataques contra la organización fiscal IRS, pero en el TOP10 han aparecido dos apetitosas (para los phishers) figuras, VISA y America Express, lo que es completamente lógico si se toma en cuenta que en el alboroto prenavideño es más fácil asustar a los usuarios con la amenaza de bloquear sus tarjetas de crédito que con sus impuestos impagos.

Los usuarios recibieron mensajes parecidos a los oficiales, que sin embargo contenían enlaces a sitios de phishing.

 open in new window
Organizations targeted by phishing attacks in December 2009

Además, se detectaron varios grandes ataques al banco HSBC, que bajó un puesto en la lista (-0,66%). Los ataques se realizaron usando un popular método de ingeniería social: aparte de pedirle al usuario que verificara sus datos, le notificaban que había recibido en su cuenta una transferencia no autorizada y que debía visitar el sitio web del banco para confirmarlo. Si el usuario, entusiasmado con los milagros prenavideños, introducía sus datos, éstos caían de inmediato en las garras de los phishers.

 open in new window

Una vez más los phishers han dirigido su mirada a los dueños de cuentas en WOW, lo que nos obliga a aconsejar a los aficionados a este juego online que sean atentos y tengan cuidado. Los delincuentes son muy sutiles para falsificar las direcciones de páginas y mensajes destinados a obtener los datos de los usuarios.

Países—fuentes de spam:

 open in new window
Países—fuentes de spam:

En diciembre ambos líderes del TOP20 de países-fuentes de spam han conservado sus posiciones. Se trata de EEUU, desde cuyo territorio se envió casi un 3% más de spam que en noviembre, y Rusia, desde cuyo territorio se envió un 1% menos de spam que en el mes anterior. India ha abandonado el tercer lugar para ocupar el quinto, por haber propagado 1,3% menos spam que antes. La tercera posición pertenece a Brasil, a pesar que la cantidad de spam propagada desde el territorio de este país sudamericano es estable (-0,16%). En el cuarto lugar del TOP20 se encuentra Vietnam, desde cuyo territorio se envió un 1,05% más spam que en el mes anterior.

Merece la pena destacar los cambios de posición protagonizados por Ucrania y China. Ambos países subieron en la lista (al séptimo y noveno lugar respectivamente) al haber propagada una media del 1% más spam que en noviembre.Desde el territorio de España, en diciembre se propagó el 1,590% del total de spam, mucho menos que el mes anterior.

Los temas del spam

En diciembre el tema líder en el flujo de los países occidentales siguen siendo los medicamentos: su cantidad es superior al 35%. Los spammers usaron activamente el tema de Navidad para publicitar dudosos medios de aumentar la potencia sexual:

 open in new window

El enlace conduce a un sitio que también decorado con símbolos navideños:

 open in new window

En las vísperas de Navidad y Año Nuevo esperábamos un embate de los estafadores, que efectivamente ocurrió: en el tráfico occidental el spam de estafas aumentó casi en un 5%. Este spam superó a la publicidad de imitaciones de artículos de lujo y los mensajes de la temática “estafas informáticas” y ocupó en diciembre el segundo puesto en el tráfico occidental.

Los estafadores también fueron activos en el uso del tema de la Navidad, algo que sobre todo se notó en las diferentes “cartas nigerianas” y los mensajes sobre “has ganado la lotería”. Por ejemplo en el mensaje de abajo se notifica al usuario que ha ganado en un sorteo navideño:

 open in new window

Es interesante destacar que el “agente” en el “programa de premios de EEUU” es un tal Dmitry Volkova, cuyo nombre suena bastante gracioso porque Dmitry es un nombre masculino y el apellido Volkova tiene terminación femenina según las desinencias del idioma ruso.

La publicidad de imitaciones ha bajado un poco en comparación con el mes anterior, pero esta fluctuación es despreciable. Los vendedores de imitaciones de artículos de lujo trataron de convencer a los usuarios de que el mejor regalo es una copia barata de un reloj Rolex.

 open in new window

En diciembre creció notablemente la cantidad de mensajes de la temática “Demás bienes y servicios”. Su cantidad superó el 5% en el tráfico occidental. Este crecimiento está relacionado en gran parte con la publicidad de diferentes regalos de año nuevo. Por ejemplo, ha sido muy activo el envío masivo de mensajes de árboles de navidad:

 open in new window

Como de costumbre, los populares mensajes en el spam europeo sobre casinos y software barato también se hicieron recordar en las fiestas invernales: la brillante decoración navideña de los sitios web y los atractivos descuentos, en la opinión de los spammers, no debían dejar indiferentes a los usuarios.

 open in new window

 open in new window

Además, ha crecido un poco la cantidad de spam en la categoría “para adultos”. Por lo visto los spammers se aprovechan de que la Navidad y el Año Nuevo no sólo son ruidosas fiestas familiares, sino también una época en que las personas solitarias se sienten aún más abandonadas.

Los métodos y trucos de los spammers

En diciembre hubo un envío masivo de gran envergadura que contenía varios trucos al mismo tiempo: en primer lugar, se había puesto en el mensaje un fragmento de texto compuesto por palabras y expresiones incoherentes. En segundo lugar, la información de spam estaba en una imagen que contenía “ruido” generado por dos métodos: el fondo de la imagen eran numerosas figuras geométricas al azar y la misma imagen estaba deformada en forma de olas que cambiaban de forma de mensaje en mensaje.

 open in new window

Conclusión

En diciembre, como suponíamos, los delincuentes usaron postales electrónicas para obligar a los usuarios a descargar programas maliciosos. En la mayoría de los casos estas “postales” se ubicaban en sitios web maliciosos. Y al mismo tiempo la cantidad de spam con adjuntos maliciosos se ha reducido notablemente. Según nuestros pronósticos, la cantidad de adjuntos maliciosos conservará su bajo nivel en enero.

Lo más probable es que en enero la cantidad de mensajes phishing se estabilice por cierto tiempo. De todos modos, a pesar de que ha pasado el pico de los envíos masivos de phishing, no es prudente esperar que los delincuentes cibernéticos dejen de usarlos para lucrar.

El spam en diciembre de 2009

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada