Informes sobre spam y phishing

El spam en el primer trimestre de 2012

El antispam de Kaspersky Lab protege a usuarios de todo el mundo. En el laboratorio antispam cada día se procesa más de un millón de mensajes que caen en nuestros sistemas de recolección de spam. Para proteger a los usuarios se utiliza el filtrado de contenidos, el análisis de los encabezados técnicos, firmas gráficas únicas y tecnologías “en la nube”. Nuestros analistas crean nuevas firmas las 24 horas del día, 7 días a la semana.

Particularidades del trimestre

Números del trimestre

  • En general, el spam ha constituido el 76,6% del tráfico de correo. Es decir, un 3% menos que en el cuarto trimestre de 2011.
  • Como antes, la mayor cantidad de spam se sigue enviando desde Asia (44%) y Latinoamérica (21%).
  • La cantidad de mensajes con adjuntos maliciosos ha crecido en un 0,1% en comparación con el anterior trimestre y constituye el 3,3%.
  • El promedio de mensajes phishing ha sido del 0,02%.

Días festivos

El primer trimestre del año ha sido rico en días festivos. Y por supuesto, los spammers los han aprovechado. El Día de San Valentín, el carnaval, el día de San Patrick y, por último, la Pascua…, los spammers no han desaprovechado ninguno.

En la mayoría de los casos el “spam festivo” se limita, como de costumbre, a hacer publicidad de fármacos y réplicas de artículos de lujo camuflados según la fiesta (y se mencionan argumentos razonables de que este tipo de regalos es apropiado para la fiesta en cuestión) o bien es spam de los programas de afiliados que se activan en tiempos festivos, como por ejemplo los programas dedicados a la venta de flores.

La política en el spam ruso

Como suponíamos, en el primer trimestre de 2012 el spam político ha seguido manteniendo vigencia en el sector ruso de Internet. En la aplastante mayoría de los casos, al igual que el trimestre pasado, era de carácter extremista. Además, también se podía encontrar spam político del PCUS (o que pretendía serlo, en estos casos no se sabe a ciencia cierta).

Pero también había otras variantes. Así, en uno de los mensajes spam se le proponía al destinatario leer los detalles de la organización de un mitin. El mensaje tenía adjunto un fichero .doc que para abrirse exigía ciertos macros. Y si el usuario los ejecutaba, instalaban un programa troyano destinado a poner fuera de servicio el sistema operativo Windows.

No se puede decir a ciencia cierta si los delincuentes usaron el mitin porque era un tema popular o si se trataba de un ataque específico contra los usuarios simpatizantes de la oposición. Pero el rasgo característico del programa malicioso era que no tenía las funcionalidades típicas de los programas maliciosos comerciales: no robaba contraseñas, no instalaba bots, etc. Su única función era poner fuera de servicio el equipo infectado.

Métodos y trucos de los spammers

Envíos maliciosos masivos

No podemos dejar de mencionar que los propagadores de programas maliciosos en el spam son los más ingeniosos en lo que a ingeniería social se refiere. Además del envío de las “instrucciones” del mitin, hemos encontrado otros tipos de falsificación.

Después de hacer envíos masivos de una notificación falsificada de la Asociación Americana de Pagos Electrónicos NACHA, los spammers empezaron a falsificar mensajes de Better Business Bureau (BBB). BBB es una compañía privada que ofrece a los consumidores y empresarios de EE.UU. y Canadá datos sobre las compañías y les asigna una calificación (incluye opiniones, quejas, estadísticas y mucho más) para ayudar a tomar decisiones de compra e inversión.

El principal blanco del envío eran las pequeñas y medianas empresas. En el mensaje se notificaba sobre una supuesta queja y se usaba el método clásico de intimidación: si el usuario no contesta a la queja, estaría arriesgando su reputación en BBB. Pero en realidad, al seguir el enlace, el usuario acababa en un sitio web que contenía un script que lo remitía a un sitio malicioso que contenía el famoso exploit pack Blackhole.

Un esquema parecido se usó en otro envío masivo, disfrazado de un mensaje de una compañía aérea, que le proponía al usuario registrarse online en un vuelo de US Airways.

El enlace conducía al usuario a un sitio con un script que a su vez lo llevaba a un sitio malicioso con el exploit pack Blackhole. Si los exploits lograban encontrar un programa vulnerable en el equipo del usuario se instalaba una de las modificaciones del programa troyano ZeuS/Zbot.

Además, los envíos maliciosos masivos se disfrazaban de noticias financieras, ofertas de trabajo, notificaciones de giros bancarios, notificaciones de redes sociales, etc.

Estafas

Este trimestre los estafadores también han hecho uso de su imaginación. Los spammers “nigerianos” de nuevo ofrecen millones a los usuarios, esta vez los del difunto Gadafi. También se presentaban como el director de la FBI y trataban de sacarles a los usuarios sus datos personales.

Pero sobre todo nos pareció interesante un envío masivo que supuestamente provenía del grupo Anonymous. En el mensaje, redactado en el estilo que lo caracteriza y usando algunas frases típicas del grupo, los falsos Anonymous le proponían al usuario apoyar su protesta contra los actos de los gobiernos de diferentes países. Para esto, el usuario sólo tenía que enviar a la dirección indicada en el mensaje su nombre, país y número de teléfono móvil.

En este caso, los estafadores juegan con la popularidad del grupo de hackers. El que le pidan su nombre y número de teléfono puede parecerle al usuario algo inofensivo, pero los delincuentes pueden darle a estos datos un destino muy desagradable, por ejemplo, darlo de alta en un servicio de pago.

Hacemos notar que en el campo From de este envío figura el dominio de la organización Nacha. Es poco probable que los estafadores hayan querido que se los relacione con las actividades de esta organización. Es más probable la versión de que las personas que enviaron estos mensajes habían hecho antes otros envíos maliciosos disfrazados de Nacha y simplemente olvidaron cambiar el campo From en la plantilla que enviaron a los bots.

Estadística del spam

Porcentaje de spam y clausura de botnets

El spam en el primer trimestre de 2012 ha constituido el 76,6% del tráfico de correo. Es decir, un 3% menos que en el cuarto trimestre de 2011.


Cantidad de spam en el tráfico de correo, primer trimestre de 2012

Una de las razones de la reducción del porcentaje de spam en el correo guarda relación con el hecho de que Kaspersky Lab, junto con los grupos de investigación CrowdStrike Intelligence Team, HoneyNet Project y Dell SecureWorks, puso fuera de combate Según nuestros datos, en la botnet había más de 100.000 equipos infectados. Hlux fue detectado por primera vez en diciembre de 2010, justo después de la clausura de los centros de administración de botnets tan grandes como Pushdo/Cutwail y Bredolab. En septiembre de 2011 se neutralizó su primera modificación, pero los delincuentes no tardaron en crear una nueva versión del bot y a finales del mismo mes apareció una nueva modificación de la botnet, pero con más funcionalidades. Fue esta la versión neutralizada en marzo de 2012.

Geografía del spam

Distribución de las fuentes de spam por regiones

En lo que concierne a las fuentes geográficas del spam, hemos observado que continúa la tendencia iniciada en 2011: lenta, pero segura crece la cantidad de spam de los países de Asia (+3,83%) y América Latina (+2,66%). Además, está creciendo la cantidad de spam proveniente del África (+0,67%) y del Cercano Oriente (+1,09%). Y a pesar de que el volumen de spam que proviene de estas regiones todavía es pequeño, su dinámica de crecimiento es notable. La cantidad de spam enviado desde África ha crecido en comparación con el trimestre anterior en un 20% y desde el Cercano Oriente en un 29,6%.


Distribución de las fuentes de spam por regiones, 4? trimestre de 2011 y 1? trimestre de 2012

La participación de Europa Occidental y Oriental sigue bajando y en el primer trimestre de 2012 fue del 23,43% del total de spam enviado (-8,35%). Después de la neutralización de la botnet Hlux, podemos esperar más cambios en la distribución geográfica de las fuentes de spam.

Países-fuente del spam

Durante el primer trimestre de 2012, India se mantuvo como el propagador más activo de spam. A continuación estaban Indonesia y Brasil. La figuración de los países en el Top 20 no ha cambiado apenas pues las fluctuaciones no sobrepasaron el 1%.


Fuentes de spam por país en el primer trimestre de 2012

Curiosamente, aunque los países de una misma región suelen compartir picos y comportamientos similares en la propagación de spam, cada país asiático parece tener su propia dinámica. Por ejemplo, Corea del Sur y Vietnam, ambos entre los Top 5 propagadores, mostraron tendencias casi opuestas.


Dinámica de la propagación de spam desde Corea del Sur y Vietnam (primer trimestre de 2012)

Esto deja entrever que los ordenadores infectados en estos países responden a diferentes redes zombi. Algo que, en principio, no sorprende: siendo Asia una atractiva región para los dueños de redes zombi, redes completamente diferentes pueden secuestrar ordenadores de una misma región.

Distribución temática del spam

Más de la mitad del spam del sector ruso de Internet pertenece a tres categorías temáticas: educación, fármacos y bienes raíces. La rúbrica más popular, “educación” ha superado un poco al clásico spam “médico”. La rúbrica “bienes raíces” ha ocupado el tercer lugar, sobre todo gracias a marzo, cuando representó el 15,1% de todo el spam.

q1_spam_pic13s

Distribución temática del spam en el sector ruso de Internet, primer trimestre de 2012

Como antes, el spam “a pedido” y el de sistemas de afiliados se envía de forma alternada:


Proporción del spam “a pedido”, de sistemas de afiliados y de autopublicidad de los spammers,
octubre-marzo de 2012

En el gráfico se puede observar que en enero la cantidad de spam “a pedido” y de sistemas de afiliados eran iguales, debido a que el spam “a pedido” bajó sustancialmente y el de sistemas de afiliados, por el contrario, subió. Esto estuvo condicionado por el hecho de que el spam “a pedido” estuvo casi ausente en la semana de las vacaciones de fin de año. Cuando los spammers no tienen pedidos, dedican sus esfuerzos a los sistemas de afiliados: en la primera semana del año la cantidad de spam “afiliado” alcanzó el 79% del total.

Es curioso que, a pesar de las contradictorias tendencias y en el spam “afiliado” y “a pedido”, la cantidad de spam de las rúbricas más populares de ambos tipos cayó a fin de trimestre.


Proporción de las categorías “fármacos” y “educación” en el spam, primer trimestre de 2012

Al mismo tiempo ha crecido considerablemente las rúbricas “bienes raíces” y “demás artículos y servicios”, lo que hizo subir las cifras del spam “a pedido”.

Mensajes con adjuntos nocivos

Porcentaje de mensajes con adjuntos nocivos

En el primer trimestre de 2012, la proporción de mensajes de correo con adjuntos maliciosos aumentó en un 0,1%, alcanzando el 3,3%. El siguiente gráfico muestra la propagación de spam malicioso por mes.


Porcentaje de mensajes con adjuntos nocivos, primer trimestre de 2012

Como se puede apreciar, en enero se produjo un pico: más del 4% de todos los mensajes de correo contenían un adjunto malicioso. En febrero y marzo, la proporción de spam malicioso representó el 2,8%.

El pico de enero puede deberse al largo receso de fin de año en Rusia y al bajo nivel de actividad comercial en las tres primeras semanas de enero. Lógicamente, la escasez de pedidos pudo haber llevado a muchos dueños de redes zombi a propagar mensajes spam para programas asociados, dando preferencia a medicamentos y otros códigos maliciosos.

Quizás la disminución de códigos maliciosos en el tráfico registrado en febrero y marzo sea temporal y podemos asumir que en el segundo trimestre aumentará la proporción de mensajes maliciosos. Vale la pena recordar que para propagar programas maliciosos, los spammers recurren a adjuntos y enlaces maliciosos. Entonces, la disminución de los adjuntos maliciosos en el tráfico de correo no siempre significa una reducción en la proporción de mensajes maliciosos.

Países víctimas de los envíos maliciosos masivos

Los índices de detección antivirus en mensajes de correo por países en el primer trimestre de 2012 fueron:


Niveles de detección antivirus en mensajes de correo en el primer trimestre de 2012

La cantidad de detecciones antivirus en mensajes de correo registrada en el territorio del líder del año pasado, Rusia, representó apenas el 2%, por lo que ya no está en el Top 10 del primer trimestre de 2012. EE.UU. encabezó la clasificación, aunque apenas hubo modificacionessignificativas en el nivel de detecciones antivirus (apenas en un 0,5%). Hong Kong duplicó sus resultados anteriores, por lo que trepó hasta la segunda posición de la clasificación.

En nuestro informe anual sobre la situación del spam en 2011, mencionamos que en ese año las detecciones antivirus en EE.UU. e India se daban en ciclos inversos: cuanto más mensajes maliciosos se detectaban en EE.UU., menos se registraban en India, y viceversa. Sin embargo, en el primer trimestre de 2012, esta relación ya no fue tan evidente.

En nuestro informe sobre la situación del spam en el tercer trimestre de 2011, señalamos que los índices de detección en EE.UU. y Australia estaban más o menos sincronizados, lo que puede explicar las similares situaciones en el Internet de ambos países. Esta tendencia se mantuvo en el primer trimestre de 2012.


Detección antivirus en mensajes de correo en EE.UU. y Australia
entre diciembre de 2011 y marzo de 2012

Un análisis más detenido reveló una estrecha correlación entre los picos locales en las detecciones antivirus en mensajes de correo en estos países durante marzo.


Detección antivirus en mensajes de correo en EE.UU. y Australia por día (marzo 2012)

Estadística de los programas maliciosos en el correo

Trojan-Spy.HTML.Fraud.gen se mantuvo como el programa malicioso de mayor propagación en el primer trimestre de 2012, con el 14% de todas las detecciones. Este troyano usa la tecnología conocida como spoofing y aparece como una página HTML. Los datos de registro que se ingresen en esta página se envian a los delincuentes.


Top 10 de programas maliciosos propagados por tráfico de correo en el primer trimestre de 2012

Email-Worm.Win32.Mydoom.m volvió a ocupar la segunda posición. Este gusano, al igual que Mydoom.l (en la 8o posición), sólo cumple dos funciones: recopilar direcciones de correo y enviar sus propias copias a estas direcciones. Los tres representantes de la familia Email-Worm.Win32.NetSky fueron 6o, 7o y 9o, respectivamente. Comparten las mismas funciones, mientras que Bagle.gt, otro gusano malicioso de correo, fue 4o. Este gusano, además de sus funciones habituales, también es capaz de descargar programas maliciosos desde Internet.

La propagación de gusanos de correo escapa por completo a todo control, pues su mecanismo no está relacionado con ningún comando proveniente de sus “dueños”. Las familias presentes en la clasificación se han estado propagando por correo desde hace varios años y es muy posible que hayan dejado de ser rentables para sus dueños hace ya mucho tiempo. Además del troyano phishing Trojan-Spy.HTML.Fraud.gen, los ciberdelincuentes están propagando nuevas modificaciones de varios troyanos descargadores o troyanos tipo dropper.

Muy a menudo, los mensajes maliciosos ingresan tan rápido que las entradas apropiadas no tienen tiempo para aparecer en las bases de datos antivirus. En este caso, el componente Email Anti-Virus bloquea el adjunto malicioso con la ayuda de los métodos proactivos. En el primer trimestre de 2012, el 11% de los programas neutralizados por el componente Email Anti-Virus se detectó de forma proactiva.

Además, es importante recordar que para propagar programas maliciosos, los spammers utilizan no solo adjuntos, sino también vínculos maliciosos.

Phising

En el primer trimestre de 2012, el volumen de los mensajes phishing decayó levemente, llegando a representar apenas el 0,02% del tráfico de correo.


Porcentaje de mensajes phishing en el tráfico de correo en el primer trimestre de 2012

Este año se lanzó la nueva clasificación de Kaspersky Lab: Top 100 de organizaciones más atacadas por mensajes phishing, por categorías. Hemos agrupado en categorías el TOP100 de organizaciones cuyos clientes fueron atacados por phishers. Aquí puede ver información más detallada sobre cada categoría.


Top 100 de organizaciones, por tipo de actividad, atacadas por phishers en el primer trimestre de 2012
(en base a las detecciones del componente anti-phishing*)

Esta clasificación se basa en las detecciones de nuestro componente anti-phishing, que se activa cada vez que un usuario pulsa un enlace phishing, tanto si aparece en un mensaje spam como en una página web. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, sean enlaces en mensajes de correo spam o en Internet.

En el primer trimestre de 2012 la clasificación de ataques phishing por organización fue relativamente estable. Entre los cambios sobresalientes está el aumento de ataques contra Amazon en enero. En el primer mes del año la categoría Tiendas y subastas online ocupó el segundo lugar. Sin embargo, en febrero fue sustituida por la categoría Sitios de redes sociales, que trepó hasta esa posición gracias a la ola de ataques contra Facebook. Esta red social ha sido el sitio individual más atacado en los dos últimos meses.

Sin embargo, en febrero fue sustituida por la categoría Sitios de redes sociales, que trepó hasta esa posición gracias a la ola de ataques contra Facebook. Esta red social ha sido el sitio individual más atacado en los dos últimos meses. Según KSN, un 70% de los enlaces phishing se activa en los clientes de correo, lo que significa que el correo sigue siendo el principal canal de propagación de estos enlaces.

Conclusión

La cantidad de spam en el tráfico de correo está en declive, lo cual es un alivio. Esto se debe en gran medida a las activas campañas anti-redes zombi lanzadas por varias organizaciones independientes. Sin embargo, la experiencia demuestra que el simple cierre de estas redes no es suficiente en la lucha contra las amenazas cibernéticas. Se necesitan esfuerzos conjuntos con las autoridades, así como procedimientos legales e investigaciones. Es agradable ver que está trabajando en este sentido. Por ejemplo, varias instituciones financieras en EE.UU. junto a Microsoft, presentaron una demanda legal contra los dueños de la red zombi ZeuS acusándolos de violar varias leyes CAN-SPAM (legislación antispam estadounidense) y la ley RICO.

La geografía del spam no sufrió modificaciones en comparación al trimestre anterior. Sin embargo, no esperamos que continúe así: en general, el cierre de redes zombi cambia drásticamente la geografía de las fuentes de spam, ya que los ciberdelincuentes proceden a organizar nuevas redes en lugares más seguros (y más rentables).

Aunque el porcentaje de adjuntos maliciosos en mensajes spam ha disminuido, sigue siendo elevado. Además, muchos mensajes maliciosos tienen, en lugar de adjuntos, enlaces a sitios que contienen exploits usados en los ataques tipo drive-by. Estos enlaces se valen de desvíos a sitios que albergan paquetes de exploits destinados a encontrar vulnerabilidades en aplicaciones populares como Java, Flash Player y Adobe Reader, instaladas en el ordenador del usuario. Los responsables de estos mensajes spam suelen ser muy creativos, recurriendo a una variedad de métodos de ingeniería social.

Recordamos a los usuarios que puede ser muy peligroso activar el link en un mensaje spam y abrir un archivo adjunto (incluso si se trata de un documento de texto). Además, algunos modernos programas maliciosos están diseñados de tal manera que resulta peligroso incluso abrir un mensaje spam. Por eso recomendamos actualizar el software instalado en sus ordenadores y eliminar los mensajes spam sin abrirlos.

El spam en el primer trimestre de 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada