Informes sobre spam y phishing

El spam en el primer trimestre de 2013

Índice

El trimestre en cifras

  • En comparación con el cuarto trimestre de 2012, el spam en el tráfico de correo ha subido un 0,5% y ha alcanzado una media del 66,5%.
  • La cantidad de mensajes phishing en el flujo total de spam se ha reducido en 4,25 veces, con lo que su nivel es del 0,004%.
  • El 3,3% de los mensajes electrónicos contenían adjuntos maliciosos, un 0,1% más que el trimestre anterior.

Particularidades del trimestre

En el primer trimestre han ocurrido varios sucesos importantes: murió el presidente de Venezuela Hugo Chávez, renunció a su cargo el Papa Benedicto XVI y el nuevo Papa Francisco asumió sus funciones en el Vaticano. Como de costumbre, los spammers no dejaron pasar de largo sucesos de tal magnitud. Fueron los propagadores de enlaces maliciosos y mensajes de estafas quienes más trataron de aprovechar el interés de los usuarios por los acontecimientos de importancia mundial. Pero los delincuentes tampoco olvidaron usar otros trucos de ingeniería social.

Noticias frescas con enlaces maliciosos

Después de la muerte del líder venezolano, aparecieron en el spam mensajes con un título sensacionalista: “¿La CIA “eliminó” a Hugo Chávez? Los autores del mensaje insinuaban que el gobierno de EE.UU. y la CIA estaban involucrados en la muerte de Hugo Chávez y le proponían al usuario seguir el enlace para ver un vídeo sobre el tema.


Los incautos usuarios que hacían clic en el enlace acababan en un sitio legítimo comprometido desde donde se les redirigía a un recurso malicioso que contiene javascript ofuscado.

Si el sistema operativo de la víctima potencial cumplía ciertos parámetros, se usaba un exploit (detectado de forma proactiva por Kaspersky Anti-Virus como HEUR:Exploit.Java.CVE-2012-0507.gen) para instalar un programa malicioso en el equipo del usuario.

Pero no sólo Hugo Chávez llamó la atención de los spammers este trimestre. En otro envío masivo con un texto sensacionalista y un enlace malicioso los delincuentes usaban el nombre del nuevo Papa para atraer la atención de los destinatarios. El envío masivo de spam fingía ser notificaciones de la BBC y la CNN y le ofrecía al destinatario leer noticias sobre el nuevo papa. Por ejemplo, uno de los titulares ofrecía comentar el posible juicio contra el papa por violencia sexual.


El esquema de infección del equipo mediante este envío masivo malicioso repetía el esquema usado en el envío masivo que contenía el enlace malicioso a la “noticia” de la muerte de Hugo Chávez: después de pulsar el enlace, se remitía al usuario a un sitio hackeado desde donde se descargaba a su equipo un exploit (por lo general del conjunto de exploits Blackhole) que infectaba el sistema con un programa malicioso.

Es curioso que a pesar de la aparente minuciosidad con que se habían falsificados las notificaciones, los delincuentes confundían con frecuencia los titulares: por ejemplo, dejaban en el campo “De” de los mensajes disfrazados de noticias de la CNN la palabra BBC.

El uso de las noticias de último momento junto con enlaces a fotografías y vídeos supuestamente escandalosos es uno de los trucos preferidos por los spammers que propagan programas maliciosos. Antes ya habíamos registrado envíos masivos similares que ofrecían ver las fotografías de Osama Ben Laden, leer documentos comprometedores contra Barack Obama y muchas otras cosas. A pesar de la variedad de los temas usados por los spammers, el resultado de seguir estos enlaces era siempre el mismo: un programa malicioso trataba de instalarse en el ordenador del usuario.

Los sucesos en Venezuela y el spam “nigeriano”

Los estafadores “nigerianos”, que siempre usan el factor de la inestabilidad en cualquier país, no dejaron pasar de largo los sucesos en Venezuela. Nuestra compañía ha registrado varios envíos masivos sobre este tema en diferentes idiomas.

El asunto de los mensajes en inglés es típico de las estafas “nigerianas”: el mensaje está escrito en nombre de una persona cercana a las altas esferas del gobierno y pide ayuda para transferir el dinero antes de que se lo quite el nuevo gobierno.


Vimos mensajes “nigerianos” con contenidos muy parecidos pero con otros nombres diferentes después de la muerte del líder libio Muamar el Gadafi y también después del encarcelamiento del presidente egipcio Hosni Mubarak.
En un envío masivo en alemán el autor escribe que fue amigo del difunto Hugo Chávez, que le había pedido que guardara 23 millones de dólares americanos para su amada secreta, que nunca apareció. Al destinatario se le ofrecía una sólida recompensa a cambio de tomar parte en la transferencia de este dinero.


El escenario de la interacción de los estafadores “nigerianos” con las víctimas potenciales es bien conocido. Si el destinatario contesta al mensaje, en la correspondencia posterior le pedirán que envíe a cierta cuenta una suma de dinero, pequeña en comparación con el honorario prometido, supuestamente para el pago de abogados, impuestos, etc. Al recibir el dinero los delincuentes dejan de ponerse en contacto con su víctima.

Falsificaciones sociales

Los spammers, sobre todo aquellos que quieren infectar el equipo del usuario con programas maliciosos, siguen usando las notificaciones falsificadas de diferentes servicios conocidos. Este trimestre, a los consabidos Facebook, Twitter y muchos otros, se ha sumado el servicio Foursquare. Se ha usado una regla simple: mientras mayor sea la popularidad del servicio, mayor será la probabilidad de que los spammers envíen notificaciones falsificadas en su nombre.


Con mayor frecuencia en estos mensajes los delincuente enviaban enlaces a conjuntos de exploits capaces de encontrar vulnerabilidades en el equipo del usuario y usarlas para instalar diferentes programas maliciosos.

El conjunto de exploits Blackhole goza de gran popularidad entre los spammers.

Es curioso que los spammers, al enviar mensajes maliciosos camuflados como notificaciones de uno u otro servicio, con frecuencia no se fijan en que el encabezado o el contenido del campo “De” correspondan con el contenido del mensaje. Merece la pena destacar que los delincuentes que envían noticias falsas en nombre de los gigantes CNN y BBC cometen el mismo error. Esto puede ser una señal de que es un sólo grupo de delincuentes el que está detrás de todos estos envíos masivos.


Trucos y métodos

No es ningún secreto que últimamente los spammers no pueden inventar nada nuevo: todos sus trucos ya han sido usados alguna vez de alguna forma. Como resultado los delincuentes han pasado a usar combinaciones de varios trucos, entre ellos algunos bastante conocidos, pero que con el tiempo han perdido su popularidad. Además, los spammers han estudiado las posibilidades de los servicios legales y ahora los usan para evadir los filtros antispam.

Uso de los servicios legales

En el primer trimestre de 2013 hemos detectado un envío masivo típico del spam que publicita medicamentos para hombres donde se usaban los siguientes trucos:

  1. El encabezado “Borrar cuenta de Instagram” es un típico ejemplo de ingeniería social. Para captar la atención del usuario se le dice que se borrará su cuenta en un servicio popular. Si el usuario tiene una cuenta en Instagram, lo más probable es que abra el mensaje en vez de borrarlo de inmediato.
  2. La dirección real a la que lleva el enlace malicioso está camuflada mediante dos métodos legales. Al principio los spammers usaron el servicio de enlaces cortos de Yahoo, y después procesaron el enlace obtenido en el traductor online Google Translate. Este servicio puede traducir las páginas web de los enlaces proporcionados por el usuario y generar un enlace propio para la traducción. La combinación de estos métodos hace que cada enlace del envío sea único y además, el uso de dos nombres de dominio conocidos contribuye a que el enlace le parezca legal al destinatario del spam.

Y para confundir aún más al usuario los spammers agregaron al final del enlace una petición sin sentido, formada por palabras al azar: «?/constitutional contextualization».


Los spammers usan con frecuencia los servicios de enlaces cortos. En primer lugar, de esta manera tratan de engañar a los filtros antispam, haciendo que en cada mensaje haya un enlace único. En segundo, el uso de servicios de enlaces cortos no les cuesta nada a los delincuentes, a diferencia de la compra de dominios o el hackeo de sitios legítimos. Por su parte, los grandes servicios de enlaces cortos tratan de hacer un seguimiento del contenido de los sitios a los cuales se remite a los usuarios y son rápidos en eliminar los enlaces maliciosos.

El regreso del “texto blanco”

De nuevo se ha vuelto popular el simple truco de enmarañamiento del contenido de mensajes conocido como “texto blanco”. En esencia, se trata de agregar al mensaje fragmentos de texto (en este trimestre fueron sobre todo fragmentos de noticias) de color gris claro sobre un fondo gris, separados del texto publicitario por una gran cantidad de saltos de línea. Este truco supone que, en primer lugar, los filtros antispam de contenidos tomarán este mensaje como envío de noticias y, en segundo lugar, el uso de fragmentos aleatorios de noticias hace que cada mensaje sea único, lo que dificulta su detección.


Estadística

Porcentaje de spam en el tráfico de correo

Durante el primer trimestre de 2013 la cantidad de spam en el tráfico de correo ha sufrido grandes fluctuaciones y alcanzado una media del 66,55%. Esto es un 0,53% más que el trimestre anterior.

 
Cantidad de spam en el tráfico de correo, primer trimestre de 2013

Uno de los mayores envíos masivos de este trimestre ha sido el envío de estafas según el método de “pump-dump”. Este es un tipo de fraude en la bolsa de valores, cuando los spammers compran acciones de compañías pequeñas y las hacen subir de precio de manera artificial haciendo envíos masivos de información positiva sobre éstas, para después venderlas a mayor precio. Es justo por este envío por lo que la primera semana de marzo ha marcado el record del trimestre en la cantidad de spam (73,4%).


El pico de este tipo de spam tuvo lugar en los años 2006-2007, después casi desaparecieron por varios años y sólo muy de vez en cuando aparecían en los flujos de spam. Es interesante que en los años en que este tipo de spam era popular, los envíos se caracterizaran por sus enormes dimensiones. Lo que pasa es que los estafadores tratan de realizar estos fraudes lo más rápido posible, en uno o dos días, antes de que se descubra el engaño. Y mientras más mensajes logren enviar en este corto periodo, más serán las víctimas potenciales que compren las acciones ofertadas.

Países-fuente del spam

En el primer trimestre de 2013 China (24,3%) y EE.UU. (17,7%) siguen siendo los líderes entre los países-fuente de spam. Corea del Sur ha ocupado el tercer puesto con un porcentaje bastante elevado (9,6%).

Es interesante que el spam de estos países está dirigido a diferentes regiones: la mayor parte del spam chino se envía a Asia, el spam de EE.UU. tiene como blanco sobre todo a Norteamérica (es decir, en su mayor parte se puede considerar spam interno), pero el spam proveniente de Corea tiene como blanco principal a Europa.


Distribución de las fuentes de spam por país, primer trimestre de 2013

Brasil (2,2%), que el año pasado ocupaba el quinto lugar, ha bajado al noveno: la cantidad de spam enviada ha bajado casi a la mitad. Esto guarda relación con que a finales de 2012 Brasil cerró en su territorio el puerto TCP 25, que es el puerto preconfigurado para el spam SMTP. Es precisamente mediante este puerto que se envía la mayor parte del spam que sale de los equipos infectados. El cerrar el puerto 25 es una práctica estándar entre los proveedores de Internet, pero en este caso el problema se resolvió a un nivel más alto.

Entre los cinco primeros países está India (4,4%), que el año pasado ocupaba el tercer lugar y Taiwán, cuyo índice creció más de dos veces, lo que le permitió subir del décimo al quinto puesto. Rusia (3,2%) tuvo el 1,2% y como resultado subió un puesto, ocupando el séptimo lugar.

Regiones-fuentes de spam

Asia sigue siendo la región que lidera por la cantidad de spam enviado, con un 51,8% del total de spam enviado. Le sigue Norteamérica con un índice del 18,3%.


Distribución de las fuentes de spam por regiones, primer trimestre de 2013

Ha crecido la cantidad de spam enviado desde Europa del Este (11,1%). A pesar de que en el primer TOP10 de países-fuente de spam hay sólo un país de Europa del Este (Rusia), en el segundo estos países ya son la mitad.
El aporte de América Latina a los flujos de spam ha disminuido debido a que los índices de Brasil, Perú y Argentina han bajado tanto que no entraron al TOP20.

Tamaño de los mensajes de spam


Tamaño de los mensajes spam, primer trimestre de 2013

En el primer trimestre de 2013 predominaron en el spam los mensajes muy cortos, de no más de 1Kb. El uso de mensajes compactos permite a los spammers enviar más mensajes gastando menos en tráfico. Además, al usar frases cortas que son completamente diferentes en cada mensaje, es más fácil hacer que sean únicos, lo que dificulta el funcionamiento de los filtros antispam.

Adjuntos maliciosos en el correo

La cantidad de mensajes con adjuntos maliciosos ha crecido en un 0,1% respecto al trimestre anterior y alcanzado el 3,3%.


TOP 10 de programas maliciosos propagados por correo en el primer trimestre de 2013

El programa malicioso más popular entre los delincuentes sigue siendo Trojan-Spy.HTML.Fraud.gen, que es una página html que finge ser un formulario de registro en un servicio de banca online. Los phishers la usan para robar información financiera a los usuarios.

En el segundo puesto está el gusano de la familia Bagle, que no sólo puede enviar copias de sí mismo a los contacto de la libreta de direcciones del usuario, sino que también puede recibir instrucciones remotas para instalar otros programas maliciosos.

El tercer puesto en el primer trimestre de 2013 lo ocupa Trojan-Banker.HTML.Agent.p. Al igual que Fraud.gen, este programa malicioso es una página html camuflada como formularios de registro de servicios de banca online u otros servicios de Internet.

Además de varios viejos gusanos de correo que dan vueltas todo el tiempo por Internet, en el TOP 10 de programas propagados en mensajes están Trojan.Win32.Bublik.aknd y varios backdoors de la familia Androm.
Bublik recopila en el equipo infectado las contraseñas de FTP, los datos de autorización en servicios de correo y certificados. Además, el troyano puede “ver” los formularios en los navegadores Mozilla Firefox y Google Chrome y extraer los logins y contraseñas guardados. El programa envía los datos encontrados a los delincuentes.

Los programas backdoor permiten al delincuente controlar el equipo infectado sin que el usuario se dé cuenta, por ejemplo, descargar otros programas maliciosos y ejecutarlos, enviar diferentes tipos de información desde el equipo del usuario y muchas otras cosas. Además, estos equipos se convierten con frecuencia en parte de botnets. En la mayoría de los casos los backdoors de la familia Androm se enviaban en mensajes falsificados enviados en nombre de los servicios Booking.com, DHL, British Airways y otros. Los programas troyanos de la familia ZeuS/Zbot usaban métodos similares para difundirse.


Distribución de reacciones del antivirus de correo según países, primer trimestre de 2013

La mayor cantidad de reacciones del antivirus de correo sigue correspondiendo a EE.UU. (13,2%) y Alemania (11,2%). En total, en estos dos países se envió casi la cuarta parte de todos los mensajes maliciosos. En el tercer puesto de la estadística tenemos a Italia (8,7%), país que no siempre logra ingresar al TOP10. Lo que pasa es que en febrero se dirigió a Italia un poderoso envío masivo que contenía Trojan-Banker.HTML.Agent.p y como resultado, subió al primer puesto del TOP 10.

El resto de la estadística de reacciones del antivirus por país casi no ha sufrido modificaciones.

Phishing

En el primer trimestre de 2013 la cantidad de mensajes phishing en el flujo total de spam se ha reducido 4,25 veces, con lo que su nivel es del 0,004%.


Distribución del TOP 100 de organizaciones atacadas por los phishers*, primer trimestre de 2013

*La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, ya sean enlaces en mensajes de correo spam o en Internet.

En este trimestre de nuevo se han vuelto frecuentes los ataques phishing a las redes sociales (37,6%). Los delincuentes hicieron muchas falsificaciones de las notificaciones de Facebook y LinkedIn. En el segundo lugar están los sistemas de búsqueda (16,2%). La alta posición de los motores de búsqueda se puede explicar porque las grandes compañías que son sus dueñas también ofrecen muchos otros servicios, como espacio en discos virtuales, correo electrónico, redes sociales y muchas otras cosas. Con frecuencia la contraseña de todos los servicios es la misma, por eso los sistemas de búsqueda son tan apetecidos por los delincuentes cibernéticos.

En el tercer puesto están las organizaciones financieras y de pagos (14,2%). Queremos destacar que, a diferencia de, por ejemplo las redes sociales, donde gran parte de los ataques corresponden a una o dos organizaciones, la distribución de los ataques a los bancos es más uniforme: se ataca una enorme cantidad de diferentes bancos, tanto grandes y famosos en todo el mundo, como pequeño y locales.


Distribución de los hostings de sitios phishing según países, primer trimestre de 2013

En lo que atañe a los países donde se hospedan los sitios phishing, en primer lugar está EE.UU. (25,4%), en el segundo Inglaterra (8,2%) y en el tercero Alemania (7,7%). Les sigue Rusia (6%) e India (5,2%).

Es interesante que en el TOP 10 de países donde se hospeda la mayor cantidad de sitios phishing esté Canadá (4,5%) y Australia (3,9%). Ambos países se consideran bastante seguros desde el punto de vista de la delincuencia cibernética, y la cantidad de spam proveniente de los mismo es mínima (menos del 1%).

Conclusión

En 2012 la cantidad de spam estuvo todo el tiempo en caída. En el primer trimestre de 2013 la cantidad de correo no deseado, a pesar de que fluctuó de mes en mes, casi no ha cambiado en comparación con el trimestre anterior. Esperamos que en el futuro la cantidad de spam se quede en el nivel actual o incluso que suba un poco, ya que últimamente se han hecho frecuentes los envíos masivos de millones de mensajes.

Los spammers tratan de captar la atención de los usuarios hacia sus mensajes: usan nombres célebres, sucesos mundiales, o simplemente falsifican los mensajes de notificaciones de recursos populares. Muchos mensajes similares contienen enlaces a programas maliciosos, entre ellos exploits. Queremos una vez más recordar a nuestros lectores que no hay que hacer clic en los enlaces de los mensajes, aunque nos parezcan conocidos. Es mucho más seguro escribir de forma manual en el navegador la dirección del recurso.

Es muy poco probable que los líderes de los países-fuente de spam (EE.UU. y China) abandonen sus posiciones, a no ser que grupos de iniciativa clausuren los centros de administración de botnets que operan en estos países. En el primer trimestre de 2013 Corea del Sur también estuvo entre los tres primeros, y el spam que produce se envía sobre todo a Europa.

Entre los adjuntos maliciosos enviados en el spam encontramos con más frecuencia programas usados para robar logins y contraseñas a los usuarios. Entre los delincuentes gozan de particular popularidad los troyanos dirigidos al robo de información de servicios de banca online. Además, muchos envíos masivos de spam contenían enlaces a conjuntos de exploits: en el primer trimestre de 2013 el más popular entre los delincuentes fue Blackhole.

El spam en el primer trimestre de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada