Informes sobre spam y phishing

El spam en diciembre de 2013

Peculiaridades del mes

En diciembre los spammers, como ya es tradición, trataron de llamar la atención de los clientes con las más diversas y raras ofertas de regalos y ocio invernal, aprovechando la proximidad de las fiestas de fin de año. Tampoco olvidaron los bienes y servicios de la correspondiente estación del año. El mes pasado la muerte de Nelson Mandela fue también un pretexto para enviar mensajes de estafa.  

Otro tema que los spammers explotaron activamente en diciembre fue la crisis financiera. Con el fondo de las noticias sobre las posibles consecuencias de la crisis, los spammers trataron de mostrar los servicios que publicitan desde un mejor ángulo y obtener clientes potenciales.

Spam de Año Nuevo

En diciembre, cuando millones de personas están ocupadas buscando y comprando regalos para sus familiares y amigos, crece abruptamente la demanda de artículos y servicios temáticos. Para conseguir nuevos clientes y aumentar las ventas, algunas compañías y personas particulares recurren a los envíos masivos de spam.

En las vísperas de la celebración de la Navidad hemos seguido registrando ofertas de rebajas de artículos y servicios, además de publicidad de cartas de Papa Noel para los niños. La publicidad de flores con rebajas, que suele enviarse el día de San Valentín y del día de la madre, en diciembre estuvo sorprendentemente dedicada a la Navidad. También estuvo presente la publicidad de servicios de grabados de textos e imágenes individuales en los recuerdos, pero en diciembre los spammers ofrecían decorar de esta forma los adornos navideños.

 

Las compañías que prestan servicios de envíos masivos de mensajes electrónicos y promoción de sitios web en diciembre seducían a los nuevos clientes con rebajas por Navidad.

 

El abogado “nigeriano” de Nelson Mandela.

A principios de diciembre, a los 96 años murió el octavo presidente de Sudáfrica, Nelson Mandela. Los estafadores utilizaron este trágico suceso y a mediados del mes registramos el primer envío masivo "nigeriano". En un mensaje escrito en nombre del abogado personal del difunto presidente, los estafadores usaron las trampas de costumbre para engatusar al destinatario: pedían ayudar a invertir millones de dólares, prometían grandes recompensas y citaban enlaces de prestigiosas agencias de noticias. Prometían a la víctima revelar todos los detalles después de que ésta contestara al mensaje recibido. Como contacto usaban una dirección de correo electrónico registrada en un servicio gratuito.

 

Spam anticrisis

La situación económica en muchos países es ahora inestable, y la palabra “crisis” se puede encontrar a menudo en los artículos analíticos de los medios de información. El mes pasado los autores de diferentes envíos de spam usaron justo esta temática para tratar de especular. En los mensajes en inglés se usó la crisis como pretexto para comprar réplicas baratas de relojes de marcas famosas. En estos mensajes había un enlace a un dominio recién creado que casi siempre contenía en su nombre el fragmento “luxurywatch” y que remitía al sitio de una tienda online de relojes falsos.

 

Visados y viajes

Para aquellos que no alcanzaron a planear y organizar sus vacaciones de invierno con anticipación, los spammers enviaban ofertas de recibir visas a cualquier país en plazos muy cortos sin que el cliente se presente a una entrevista en la embajada.

 

Los autores de mensajes en inglés ofrecían diferentes formas de simplificar el trámite de visado, incluyendo la compra de un tour de última hora o la participación en una lotería. Al mismo tiempo estos mensajes los enviaban organizaciones que no tenían nada que ver con las embajadas oficiales de los países.

Distribución geográfica de las fuentes de spam

Porcentaje de spam en el tráfico postal

Porcentaje de spam en el tráfico postal

La mayor cantidad de spam la registramos a principios de la segunda quincena del mes, cuando la actividad de los spammers alcanzó su apogeo gracias a la proximidad de las fiestas. A finales de mes ya observábamos que bajaba su intensidad y como resultado en diciembre la cantidad de spam alcanzó un promedio del 73,3% del tráfico de correo.

Países fuente de spam

 

Países fuente de spam

A finales de año en el volumen del spam mundial y su distribución geográfica se conservó el statu quo. Tampoco sufrieron cambios significativos ni la lista de países-fuente de spam ni la cantidad de correo no solicitado enviado desde ellos. Según los resultados de diciembre de 2013, China sigue estando en el primer puesto (23,1%). El segundo puesto lo ocupa EE.UU. (19%). El tercer puesto le pertenece a Corea del Sur (13,9%). En general, el mes pasado desde estos tres países se envió el 56% del spam mundial.

En el cuarto puesto, como en noviembre, se encuentra Taiwán (6,5%). Le sigue Rusia, desde donde se envió el 5,4% del spam. Cierra el TOP 10 Rumania (1,6%).

Se redujo a la mitad la cantidad de spam enviado desde Canadá (0,8%), por lo que el país perdió cuatro puntos y bajó al puesto 14.

Por el contrario, subió un poco la cantidad de spam en España (0,7%) e Israel (0,7%), que en diciembre ingresaron en nuestra lista.

Países fuente de spam en Europa

Según los resultados de diciembre entre los países-fuente de spam en Europa el primer lugar lo ocupa Corea del Sur (53,1%). En comparación con el mes anterior su cuota se redujo en casi un 3%. En el segundo puesto está EE.UU. (7,4%). La cantidad de spam enviado desde este país, por el contrario, creció en casi un 2%, lo que le permitió subir un puesto.  Recordamos que según los resultados de noviembre, EE.UU. estaba en el tercer puesto, que ahora ocupar Taiwán (6%).

El aumento de la cantidad de spam enviado desde China (2,1%) le permitió subir siete puestos y ubicarse en el cuarto. Rusia sigue ocupando el quinto puesto (2,7%).

Vietnam ocupa el décimo puesto (1,4%). Hemos observado una pequeña reducción de la cantidad de spam enviado desde este país, del 0,9%.

En Italia registramos un pequeño aumento de las actividades de los spammers, donde la cantidad de correspondencia no solicitada fue del 1,4%. También merece la pena mencionar el pequeño aumento de la actividad del spam en España: en diciembre este país entró en nuestra lista con un porcentaje del 1,3%.

Regiones-fuente de spam

Entre las regiones, la líder en la propagación de spam sigue siendo Asia (56,6%). En comparación con el mes anterior, su índice se redujo en un 2%. Después, con un pequeño aumento del 0,3 le sigue América del Norte (19,9%). El tercer lugar lo ocupa Europa Oriental (13,7%). Más abajo en la lista están Europa Occidental (4,4%) y América Latina (2,5%). La cantidad de spam en el Cercano Oriente es del 2,4%.

Adjuntos maliciosos en el correo

En diciembre el TOP 10 de los programas maliciosos propagados por correo es el siguiente:

TOP 10 de programas maliciosos propagados por correo electrónico

Sigue sin cambios la posición del programa malicioso Trojan-Spy.HTML.Fraud.gen, que durante muchos meses no abandona el primer puesto. Recordamos que este representante de la familia de troyanos Fraud.gen es una página HTML falsificada que se envía por correo electrónico camuflada como una notificación importante de los grandes bancos comerciales, tiendas online, compañías de software, etc.

En el segundo, cuarto y sexto puestos respectivamente están Trojan-PSW.Win32.Tepfer.stlj, Trojan-PSW.Win32.Tepfer.swrz y Trojan-PSW.Win32.Tepfer.sugm, programas espía que roban cookies y contraseñas de los navegadores, contraseñas de clientes FTP y programas de correo y se los envían a los delincuentes.

La tercera posición la ocupa Trojan.Win32.Inject.gxgh. Este programa malicioso instala en el equipo de la víctima una extensión maliciosa para los navegadores Google Chrome y Mozilla Firefox. La extensión intercepta las solicitudes de búsqueda enviadas a una gran cantidad de servicios de búsqueda, y envía el texto de la solicitud al servidor del delincuente, que a su vez suplanta la respuesta, es decir, no muestra al usuario los resultados reales de la búsqueda, sino los creados por los delincuentes.

En el quinto puesto está el bien conocido Email-Worm.Win32.Bagle.gt, un gusano de correo que se envía a todas las direcciones de correo electrónico que encuentre en el equipo de la víctima. Además, el gusano puede descargar de Internet otros ficheros sin que el usuario se dé cuenta. Para enviar mensajes infectados, Email-Worm.Win32.Bagle.gt usa su propia biblioteca SMTP.

El octavo y décimo puesto en la lista de los programas maliciosos de correo en diciembre lo ocupan Net-Worm.Win32.Aspxor.apo y  Net-Worm.Win32.Aspxor.app. Aspxor es un gusano de correo que envía spam. Puede infectar automáticamente sitios web, descargar y ejecutar otros programas, recolectar información valiosa en el equipo, como contraseñas guardadas, datos de acceso a cuentas de correo y de FTP.

En el noveno puesto de diciembre está Trojan-Spy.Win32.Zbot.qvpu. La familia Zbot/Zeus son troyanos creados para realizar ataques contra servidores, equipos de los usuarios e intercepción de datos. A pesar de que este troyano puede ejecutar diferentes acciones maliciosas, con mayor frecuencia se lo usa para robar información bancaria. De la misma manera puede instalar CryptoLocker, un programa malicioso que exige dinero para descifrar los datos del usuario.

Distribución de las reacciones del antivirus de correo según países

En la estadística de los países con más reacciones del antivirus de correo, empezando desde noviembre, en el primer lugar se mantiene Inglaterra (14%). En diciembre su índice creció en un 1,7%. La cantidad de reacciones en EE.UU. (13,2%) también creció en un 3,1%, gracias a lo cual este país subió al segundo puesto. Como resultado, Alemania, cuyo índice bajó en un 1%, quedó en tercer puesto.

La cantidad de las reacciones del antivirus de correo en Rusia ha bajado en un 1,7%. La cantidad de reacciones del antivirus de correo en otros países no ha sufrido cambios significantes en diciembre.

Peculiaridades del spam malicioso

Con cada vez más frecuencia los estafadores que envían mensajes maliciosos usan como remitente los nombres de compañías famosas que venden artículos electrónicos o software. El cálculo de los delincuentes es sencillo: al recibir una notificación de una compañía de la que en realidad puede ser cliente, se interesará y es alta la probabilidad de que abra el archivo con el programa malicioso.

El mes pasado registramos muchos mensajes enviados en nombre del famoso fabricante de aparatos de telecomunicación, electrodomésticos, aparatos de audio y video, la compañía Samsung, y en nombre del productor estadounidense de software, Adobe Systems Inc.

 

En nombre de Samsung los delincuentes enviaban mensajes supuestamente escritos por uno de los gerentes de la compañía. En el mensaje el “gerente” comunicaba que le era indispensable organizar envíos urgentes de ciertos productos y después de largas búsquedas de intermediarios, había elegido al destinatario del mensaje y su compañía. Se le pedía abrir un fichero adjunto para ver la lista del pedido de envío de los artículos.  También se indicaba la fecha de entrega del pedido antes de la cual se debían resolver todas las formalidades relativas a documentos y pagos. En el mensaje figuraba la firma automática del gerente con todos los datos de contacto. En realidad el fichero del archivo adjunto era un programa malicioso detectado por Kaspersky Lab como Trojan-Spy.Win32.Zbot.qzpl. Se trata de un troyano espía de la familia Zbot/Zeus, destinado al robo de información confidencial del usuario.

 

Los mensajes en nombre de Adobe fingían ser confirmaciones de compra de software de la compañía y supuestamente contenían la clave de licencia para su activación. Durante la revisión resultaba que en vez del código de registro, en el archivo adjunto había un gusano detectado por Kaspersky Lab como Net-Worm.Win32.Aspxor.apo. Es un gusano de la familia Net-Worm.Win32.Aspxor, usado por los delincuentes para enviar spam. También puede infectar sitios web, descargar y ejecutar software y robar datos del equipo del usuario.

Phishing

Según los resultados de diciembre, la lista de organizaciones atacadas por los phishers no sufrió cambios significativos.

Categorías del TOP 100 de organizaciones atacadas por los phishers

La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces dentro de mensajes de correo o en Internet.

El primer puesto lo siguen ocupando las redes sociales (26,9%), cuyo índice sigue bajando (-0,4%.). El índice de los servicios de correo (19,5%) y los sistemas de búsqueda (16,6%) ha crecido un poco y según los resultados de diciembre, estas categorías han seguido conservando el segundo y tercer puesto respectivamente.

El índice de las organizaciones financieras y de pagos (15,8%) ha bajado en un 0,3% y según los resultados del mes esta categoría ha conservado el cuarto puesto.

La categoría “Proveedores de telefonía y de Internet” de nuevo ha intercambiado puesto con la de “Vendedores TI” y en diciembre ambas categorías ocuparon el quinto y sexto puesto respectivamente. El índice de los Vendedores TI (6%) ha bajado y el de los proveedores de telefonía e Internet (8,5%), por el contrario, ha crecido en un 2,4%.

Los índices de los juegos online, organizaciones estatales y medios de comunicación han bajado ligeramente, en diciembre estas categorías han ocupado los puestos 8, 9 y 10 respectivamente.

Algunas organizaciones bancarias se convierten en blanco de los phishers con una tenacidad envidiable. Así, en diciembre los delincuentes una vez más enviaron notificaciones falsificadas en nombre del banco indio ICICI. En el mensaje se afirmaba que la defensa del sistema de banca online había sido mejorada y ahora el usuario tenía que autorizarse en el sistema y constatar que la renovación había pasado con éxito. Más adelante se ofrecía una instrucción paso por paso en la que se le exigía al usuario abrir un adjunto HTML, ingresar la información necesaria y confirmarla. Remarcamos que en el mensaje había dos de estos adjuntos, destinados a usuarios corporativos y particulares, pero los campos que había que rellenar eran idénticos. Después, la información ingresada en las páginas HTML se enviaba a los delincuentes, que obtenían el control total de la cuenta del usuario.

 

Para convencer al usuario de que el mensaje era verdadero, los delincuentes usaban una dirección de remitente parecida a la oficial, y en el texto del mensaje había instrucciones detalladas de activación, algo que es raro encontrar en los mensajes phishing. El diseño de las páginas adjuntas al mensaje también era similar a la del sitio oficial del banco.

Conclusión

La cantidad de spam en el tráfico mundial de correo en diciembre ha crecido en un 0,8% y alcanzado el 73,3%. Suponemos que en enero la cantidad de spam bajará, ya que el principio de este mes es tiempo de calma en el spam: en el periodo de fiestas una gran cantidad de botnets se desactiva y las actividades de los usuarios baja.

Como habíamos pronosticado, la cantidad de spam de fiestas alcanzó su apogeo en diciembre. En 2013 el spam de Navidad y Año Nuevo fue todavía más diverso y aparecieron nuevas ofertas. Al mismo tiempo se conserva la tendencia de crecimiento del spam grafico dedicado a las fiestas de fin de año. 

La muerte de Nelson Mandela en diciembre fue un pretexto más para enviar “cartas nigerianas” en nombre del difunto presidente para engañar a los usuarios. Suponemos que en enero continuarán los envíos masivos de mensajes de estafa dedicados a este trágico suceso.

Según los resultados de diciembre, la categoría “Redes sociales” sigue conservando el primer puesto en el TOP 100 de organizaciones atacadas por los phishers, con un índice que bajó en un 0,4%. Más abajo están los servicios de correo y los sistemas de búsqueda, cuyos índices han crecido levemente. El índice de las organizaciones financieras que ocupan el cuarto puesto, por el contrario, ha bajado hasta el 15,8%. En enero en esta lista, según parece, no habrá cambios sustanciales.

En lo que atañe a los envíos maliciosos, en diciembre los estafadores usaron como disfraz no solo los nombres de organizaciones financieras y redes sociales, sino también los nombres de compañías famosas de electrónica y software, cuyos productos se usan en todo el mundo.

El spam en diciembre de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada