El spam en el segundo trimestre de 2012

Números del trimestre

• En general, el spam ha constituido el 74,4% del tráfico de correo. Es decir, un 2,3% menos que en el primer trimestre de 2012.
• Como antes, la mayor cantidad de spam se sigue enviando desde Asia (53%) y Latinoamérica (14%).
• La cantidad de mensajes con adjuntos maliciosos ha crecido en un 0,3% en comparación con el anterior trimestre y constituye el 3%.

Cupones vs. spam: el spam pierde posiciones

En el segundo trimestre de 2012 la cantidad de spam ha seguido bajando y su media ha sido del 74,3%, es decir, un 2,3% menos que en el trimestre anterior.

Cantidad de spam en el tráfico de correo, segundo trimestre de 2012

La reducción observada en el tráfico de correo es, en cierta medida, un fenómeno estacional. Durante el verano, muchos de los ordenadores infectados por bots de spam están apagados, ya que sus dueños se van de vacaciones. Por otra parte, la reducción simultánea de la cantidad de spam y del tráfico de correo limpio puede significar que estamos ante una tendencia general y no sólo estacional.

Hace algunos años aparecieron nuevos servicios en Internet, sitios web de rebajas colectivas con cupones ofrecidos a los usuarios. El usuario compra el cupón, y al presentarlo durante la compra de un artículo o servicio recibe una rebaja. Los servicios de cupones se han hecho populares en todo el mundo: muchas compañías tratan de usarlos para expandir su base de clientes, y éstos a su vez, reciben ofertas ventajosas.

La aparición de una nueva arena publicitaria cuyas ofertas se difunden sobre todo por correo electrónico, también se ha reflejado en el spam.

En el correo basura de los países occidentales, como es sabido, domina el spam de los sistemas de afiliados. Y la mayor parte de envíos realizados por estos sistemas son publicidad de artículos o servicios ilegales. Pero en el tráfico de correo existe también el envío de sistemas de afiliados con publicidad de artículos legales (por ejemplo, souvenirs o flores) y mensajes de spam que no tienen ninguna relación con estos sistemas.

Los servicios de cupones han jugado un papel doble en el spam occidental. Por una parte, los spammers han empezado a usar la palabra “cupón” para que los envíos masivos capten la atención. Por otra parte, estas nuevas plataformas les han quitado al spam parte de la publicidad de bienes y servicios legales que solían difundir. Esto no nos sorprende, porque los servicios de cupones son plataformas legales de publicidad, más efectiva que el spam ya que no irrita a los usuarios que la reciben, los filtros antispam no la bloquean y se la envía a usuarios que están interesados en comprar. Debido a la reducción de la cantidad de compañías que publicitan en el spam, la cantidad de envíos masivos en el flujo de los países occidentales ha bajado un poco.

En los países donde los cupones son populares y el porcentaje del spam contratado supera al de sistemas de afiliados, los cupones han influido aún más sobre el spam. Muchas compañías que antes utilizaban el spam como principal instrumento de publicidad, si bien no se han orientado del todo a los servicios de cupones, no desprecian esta posibilidad legal. Así, podemos suponer que en Rusia las compañías turísticas casi han dejado de contratar servicios de spam y se han volcado al uso de cupones. Según los datos del segundo trimestre de 2012, la cantidad de mensajes en la temática “Ocio y viajes” en el sector ruso de Internet, a pesar del periodo de vacaciones, ha sido sólo un poco superior al 1%. Al mismo tiempo, cerca del 10% del total de ofertas de los servicios rusos de cupones provienen de compañías turísticas y agencias deviajes.

La constante aparición de cantidades cada vez mayores de estos proyectos también estimula a los publicistas a adoptar este nuevo tipo de publicidad: debido a la fuerte competencia, los servicios de cupones se ven obligados a ofrecer condiciones de colaboración cada vez más ventajosas.  Por otra parte, a veces los mismos servicios tienen que recurrir al spam como método de publicidad para ganar más clientes.

La reducción de la cantidad de spam en el tráfico también puede guardar relación con la compleja situación económica mundial.

El spam y la situación económica

Cambios en la composición temática del spam

El inusual bajo porcentaje de la temática “Ocio y viajes” en el spam ruso no solo se explica por el paso de los clientes a la plataforma legal de publicidad, lo que sin lugar a dudas es una tendencia positiva en el mundo del marketing en Internet, sino también una tendencia alarmante en el desarrollo económico del mundo. Y es que muchas pequeñas y medianas compañías turísticas en Rusia ya han empezado a naufragar en la nueva ola de la crisis económica, lo que inevitablemente conduce a la reducción de la cantidad de su publicidad, incluso en el spam.

También podemos observar otras señales de que la crisis económica, de una forma u otra, ya ha empezado a influir en el spam. Así, en el spam en inglés de mayo ha empezado a crecer la cantidad de mensajes de la temática “Finanzas personales”. En el último mes de primavera, esta temática ha constituido el 23,5% del total del spam en inglés y ya a principios de junio ha crecido más de tres veces, alcanzando el 73%. Al mismo tiempo, en junio la mayor parte de estos mensajes han sido propuestas de lucro ilegal. Un cuadro parecido se observa en el spam en alemán, donde en los últimos meses ha habido un aumento cada vez mayor de trabajos sospechosos. Durante la crisis de 2008-2009 ya observamos cambios similares.

En el spam en ruso, sobre el fondo de las reticencias sobre la crisis en Europa, en febrero de 2012 empezó a crecer la temática “Bienes inmuebles” (del 5,5% al 9,2%). Ya al mes siguiente constituía más del 15% del total del spam en el sector ruso de Internet y en abril se aproximó al 20%.

Dinámica de la cantidad de publicidad inmobiliaria en el spam, primer trimestre de 2012

La última vez que observamos un crecimiento inesperado de la cantidad de mensajes en la temática “Bienes inmuebles” en el sector ruso de Internet fue en los años 2008-2009, durante la crisis económica mundial. Entonces la coyuntura del mercado era un poco diferente a la actual y la cantidad de este spam creció del 2 – 3% al 7-8%.

El importante crecimiento de esta temática, a la par de la reducción de la cantidad del spam en el tráfico de correo confirma que han crecido significativamente los volúmenes de publicidad de bienes inmuebles en el spam en ruso. Hacemos notar que entre las ofertas de venta de bienes inmuebles prevalecen las viviendas en países con problemas económicos, como por ejemplo, en España. Esto se debe a que los pequeños inversores están tratando de vender los inmuebles cuyo precio, según los pronósticos, pronto caerá. Por su parte, en el sector ruso de Internet el spam sigue siendo la forma más barata de publicitar este tipo de bienes.

<!– p class=c>
Proporción del spam de sistemas de afiliados y el contratado por clientes en el sector ruso de Internet, segundo trimestre de 2012 </p –>

En el segundo trimestre de 2012, en el spam han aparecido mensajes que explotan el tema de la crisis para atraer la atención tanto hacia los tradicionales envíos masivos de sistemas de afiliados, como hacia la publicidad de dudosos créditos con bajas tasas de interés. Además, hemos registrado mensajes en inglés y en ruso de seminarios cuyo principal tema es la crisis económica en general o la crisis de la Zona Europea en particular.

Spam nocivo

Si durante la compleja crisis económica el spam se desarrolla según el escenario de los años 2008 – 2009, tendremos todos los fundamentos para temer el crecimiento de la cantidad del spam con estafas y malicioso en los próximos meses. Según este pronóstico, sería bueno prestar atención a algunos de los trucos usados por los delincuentes para enviar código malicioso. Quisiéramos hacer hincapié en que entre los métodos que analizaremos hay unos nuevos y otros tradicionales, pero también muy populares entre los delincuentes.

Spam para ataques drive-by

Como es sabido, en el spam se propagan no sólo los programas maliciosos en forma de adjuntos, sino también como enlaces maliciosos. Es importante entender que incluso el pulsar el enlace puede provocar que el ordenador se infecte, sin que el usuario se dé cuenta (los así denominados ataques drive-by). Esto es posible porque se remite al usuario a páginas con diferentes combinaciones de exploits.

En el segundo trimestre de 2012 ha habido muchos envíos masivos usados para lanzar ataques drive-by. Usaremos ejemplos reales para describir el esquema general de estos ataques:

1. El usuario recibe un mensaje camuflado de notificación de algún servicio popular, un mensaje oficial, un envío informativo o un mensaje personal donde le piden seguir un enlace. Con frecuencia en los mensajes hay frases que urgen a pulsar el enlace lo antes posible, por ejemplo, “as soon as possible” y “urgently”.




2. Al seguir el enlace, el usuario llega a un sitio con un script enmarañado (en el mensaje de arriba Kaspersky Anti-Virus detectaba el script como Trojan.Script.Generic). El objetivo del script es usar el tag iframe para remitir al usuario a un sitio malicioso.

Este es un fragmento del código fuente:

document.write (s) <iframe src=‘http://r*****d.su:8080/images/aublbzdni.php’ width=’10’ height=’10’ style=’visibility:hidden;position:absolute;left:0;top:0;’></iframe>

Pero en la página sólo se puede ver el texto “Loading… Please Wait…” (“Cargando… por favor espere”).

3. En este caso se remite al usuario a un sitio con el Phoenix exploit pack. En otros casos, los enlaces conducían también al Blackhole exploit pack. Después de llegar a estos sitios, exploits dirigidos a las vulnerabilidades en Java, Flash Player o Adobe Reader empiezan a atacar el ordenador del usuario.  Si la fortuna es propicia a los delincuentes (es decir, si el usuario usa una versión vulnerable o por lo menos una de las aplicaciones indicadas), se instala en su ordenador un fichero ejecutable que se conecta a un centro de administración y que a su vez instala otros programas maliciosos.

Scripts maliciosos en Wikipedia y Amazon

En el spam de abril aparecieron envíos masivos camuflados de notificaciones oficiales de Facebook. La peculiaridad de estos mensajes era que el enlace falsificado, que debía llevar al usuario a un sitio malicioso o de phishing, no llevaba a un dominio recientemente adquirido o a un sitio legítimo comprometido, sino a páginas especiales creadas en Wikipedia o Amazon. Sin embargo, todos los enlaces en los mensajes que nosotros hemos recibido no funcionaban ya después de unos minutos de su detección. Suponemos que los delincuentes pusieron los scripts maliciosos en páginas que crearon en Wikipedia, y también disfrazadas de publicidad de bienes de segunda mana en el sitio Amazon.com, pero que los equipos de solución de incidencias de ambos servicios reaccionaron rápido y los enlaces ya estaban desactivados durante la propagación del spam.

Malware viajero

Los delincuentes que propagan mensajes maliciosos siguen perfeccionando sus trucos de ingeniería social. Así, durante este trimestre registramos envíos masivos que en su conjunto son todo un “paquete turístico” al parecer preparado por los spammers especialmente para el periodo de vacaciones.

En primer lugar, se trata de enlaces maliciosos contenidos en notificaciones falsas de compañías aéreas sobre la posibilidad de registro online en el vuelo. Si bien en el trimestre pasado ya habíamos registrado este tipo de envíos en nombre de US Airways, este trimestre han aparecido notificaciones disfrazadas de mensajes de British Airways.

Además de los vuelos, los delincuentes han explotado el tema de las reservas de hoteles. Hemos detectado un envío supuestamente enviado por booking.com. En los mensajes que ofrecen confirmar la reserva de las habitaciones había un adjunto malicioso que Kaspersky Antivirus detectaba como Trojan-Spy.Win32.Zbot.

El mensaje tiene un aspecto no muy creíble y salvo el campo falsificado “De” no hay ninguna semejanza con los mensajes originales de booking. Sin embargo, durante el verano los sitios de reservas son muy populares y los usuarios, por desgracia, no siempre están atentos. Así que esta falsificación, sin duda hecha a la ligera, puede tener bastantes víctimas.

Recordamos que los grandes servicios nunca envían confirmaciones de reservas en archivos zip. En caso de surgir dudas sobre la autenticidad del mensaje, siempre es posible ponerse en contacto con la compañía, visitar su sitio oficial y usar el formulario de contacto, teléfono o correo electrónico allí presentes.

Temas candentes en el spam:

Spam presidencial

Podemos afirmar que en el segundo trimestre la persona más popular entre los spammers es Barack Obama. Hemos detectado muchos mensajes que mencionan al presidente norteamericano. Es curioso que la mayor parte de estos envíos sean mensajes con críticas de los nuevos proyectos de ley aprobados por el presidente. Los mensajes estaban bien formulados y contenían peticiones de firma contra las acciones de Obama. Además, en los mensajes se pedía enviar dinero a las cuentas de algunas organizaciones oficiales norteamericanas.

Es curioso que en EE.UU. el spam político y no comercial no esté prohibido por el acta CAN-SPAM. Es decir, las organizaciones oficiales pueden enviar mensajes como estos.

Pero también se han detectado envíos masivos prohibidos por esta ley que explotaban el nombre de Obama. El análisis de la publicidad de productos farmacéuticos ilegales o réplicas de relojes con el asunto “Obama cogido con las manos en la masa” nos hace recordar los mensajes de hace cuatro años. Entonces, después de que Obama fuese elegido presidente, su nombre se podía encontrar casi en todos los grandes envíos y los titulares con frecuencia ponían “Obama revela sus secretos” u “Obama es mujer”. Ahora los spammers al parecer han desempolvado sus cartas modelo en un intento de aprovechar la nueva ola de interés de los usuarios hacia Obama, esta vez provocada por la aproximación de las elecciones presidenciales en EE.UU., donde el actual presidente es de nuevo un candidato.

La carrera electoral en Francia también ha ejercido cierta influencia en la composición temática del spam. En el tráfico de correo se podía encontrar envíos de spam que, aunque no muy numerosos, estaban dedicados a los candidatos y el presidente actual. En particular, como ya hemos mencionado en el informe de abril, en los flujos de spam franceses había mensajes con ofertas de camisetas con textos de apoyo a Nicolas Sarkozy.  La agitación a favor del actual presidente François Hollande estaba prácticamente ausente en el spam.

Estafas temáticas

La inestable situación de Siria no deja en paz a los spammers nigerianos desde abril.  En nuestro blog ya hemos escrito sobre los mensajes enviados supuestamente en nombre de la mujer de Assar Bashar. Durante todo el trimestre hemos registrado mensajes con el mismo texto. Sin embargo, hay que reconocer que los spammers nigerianos tienen imaginación, porque no se han limitado a usar un sólo modelo de mensaje. En el spam se encuentran tanto cartas nigerianas de los “miembros de la familia y allegados de Assad”, como de ciudadanos de Siria comunes y corrientes.

Los spammers tampoco han dejado de lado la Eurocopa 2012. Desde el invierno en el spam supuestamente enviado por el Comité Olímpico de Londres los estafadores difunden mensajes sobre premios ganados en las loterías “olímpicas”, que se hacían más comunes al aproximarse las Olimpiadas.

Geografía del spam

Países-fuente del spam

En el segundo trimestre de 2012 la geografía de las fuentes de spam ha sufrido cambios significativos. En el primer puesto entre los países fuente de spam ha aparecido de forma inesperada China, desde donde se envió cerca del 19% del total de spam. Además, después de una larga ausencia, EE.UU. ha vuelto a estar entre los tres primeros, compartiendo con India el segundo y tercer lugar, ya que desde ambos países se ha enviado la misma cantidad de spam, 11,7%

Distribución de las fuentes de spam por país, segundo trimestre de 2012

El trimestre pasado escribimos sobre la redistribución de las botnets y los posibles cambios en la geografía del spam. Pero no esperábamos que los cambios fuesen tan bruscos. Hace unos años China ya había estado entre los líderes de la estadística de spam, pero después de que en 2006 se promulgara la ley antispam, la cantidad de spam enviado desde este país bajó ostensiblemente. Han pasado 6 años y al parecer los spammers se han olvidado de esta ley, ya que nunca se aplicó de forma activa.

En general, el regreso de China y EE.UU. es lógico: el acceso rápido a Internet y la gran cantidad de usuarios cuyos equipos se pueden infectar con bots para enviar spam atraen a los spammers.

A pesar de la redistribución de las fuentes de spam, las principales tendencias siguen vigentes: cada vez llega más spam de Asia y América Latina. Así, en el TOP20 del segundo trimestre han entrado 9 países asiáticos, 5 latinoamericanos y sólo un país de Europa Occidental (Inglaterra) y un país de Europa Oriental (Rusia).

Hacemos notar que en las diferentes regiones llega spam de diferentes países. Así, a los países de Europa Occidental la mayor parte del spam llega de China (en otras regiones el spam chino es mucho menor, y ha sido solo gracias al spam enviado a Europa Occidental que China llegó al primer puesto en la estadística mundial); a Europa Oriental – de India y a América del Norte – de EE.UU.

Distribución de las fuentes de spam por regiones

Distribución de las fuentes de spam por regiones, segundo trimestre de 2012

Como se puede ver en el gráfico, la mayor parte del spam en el mundo se envía desde los países de la región asiática. Esta región es desde hace tiempo líder en el envío de spam, pero este trimestre la cantidad de spam enviado desde Asia ha crecido notablemente. Esto ha sucedido, en particular, gracias a China, que este trimestre ocupa el primer puesteo en la estadística de países-fuente de spam.

Además, ha crecido la cantidad de spam enviado desde América del Norte. La absoluta mayoría del spam de esta región se envía desde EE.UU., otro antiguo líder de nuestra estadística. Han pasado ya dos años desde que se desactivaron varios centros de administración de grandes botnets y la cantidad de spam proveniente de estos países se ha reducido sustancialmente. Ahora los spammers de nuevo construyen botnets en EE.UU., lo que es lógico puesto que la cantidad de usuarios de Internet en este país es muy elevada. Por lo tanto, en EE.UU. se puede infectar una gran cantidad de ordenadores.

Dinámica de propagación de spam desde diferentes regiones, segundo trimestre de 2012

En lo que atañe a las demás regiones, podemos mencionar que sigue disminuyendo el tráfico de spam de Europa, tanto Occidental, como Oriental. América Latina sigue en el segundo puesto, a pesar de que en comparación con los trimestres anteriores la cantidad de spam enviado desde esta región se ha reducido.

Adjuntos maliciosos en el correo

En el segundo trimestre de 2012 la cantidad media de mensajes con adjuntos maliciosos ha bajado en un 0,3% en comparación con el anterior trimestre y constituye el 3%. En el gráfico de abajo vemos la distribución de este índice por meses.

Porcentaje de mensajes con adjuntos nocivos

Como se puede observar en el gráfico, durante todo el trimestre la cantidad de adjuntos maliciosos en el correo electrónico ha cambiado poco.

Recordamos que la baja cantidad de adjuntos en el correo no guarda relación con la reducción de la cantidad de envíos maliciosos en sí, porque en el correo no solo se propagan programas maliciosos en forma de adjuntos, sino también como enlaces a páginas web infectadas.

Distribución de ataques mediante correo por países

En el segundo trimestre de 2012 la distribución por países de las reacciones de nuestro antivirus de correo tiene el siguiente aspecto:

Distribución de reacciones del antivirus de correo según países, segundo trimestre de 2012

En general, en comparación con el trimestre anterior, la estadística de países según las reacciones del antivirus de correo casi no ha sufrido cambios: de diez países, nueve no han abandonado la lista medio año, pero sí han intercambiado puestos. La cantidad de ataques contra los países del TOP 10 también tiene pocos cambios. Para todos los países, excepto Hong Kong, estos cambios no superan el 2%.

Por su parte, Hong Kong, que ocupó el segundo puesto en el primer trimestre de 2012, en el segundo trimestre ya no está entre los cinco primeros y este mes le corresponde el 4,8% (-4%) de las reacciones del antivirus de correo.

En el primer puesto sigue EE.UU., que no ha bajado de esta posición en los últimos seis meses. En comparación con el trimestre anterior, la cantidad de detecciones del antivirus de correo en este país ha crecido en un 2%. El segundo y tercer puesto lo ocupan países occidentales, Inglaterra y Alemania, cuyo aumento ha sido del 2% y 1,4% respectivamente.

Programas detectados con más frecuencia en el correo

Según los resultados del segundo trimestre de 2012, el líder entre los objetos más detectados por nuestro antivirus de corre es de nuevo un programa malicioso.

Trojan-Spy.HTML.Fraud.gen se ha mantenido como el programa malicioso de mayor propagación en el primer trimestre de 2012. La cantidad de detecciones de este programa en comparación con el trimestre pasado ha bajado en un 2% y ha sido del 12.5%. Aquí hay más detalles sobre este programa malicioso Nos limitamos a recordar que este programa malicioso lo usan los phishers y es una página html falsificada para parecer un formulario de registro en una organización financiera o en algún servicio online.  Los datos de registro que se ingresen en esta página se envían a los delincuentes.

TOP 10 de programas maliciosos en el correo, segundo trimestre de 2012

Como antes, en el TOP 10 sigue habiendo muchos gusanos de correo. Email-Worm.Win32.Mydoom.m ha conservado su posición (segundo puesto). Al igual que su congénere Mydoom.l  (noveno puesto), este gusano de correo tiene sólo dos funciones: recopila direcciones de correo electrónico en los equipos infectados y se envía a sí mismo a estas direcciones. Email-Worm.Win32.NetSky.q, que ocupa el quinto puesto, tiene las mismas funciones.  Otro gusano de correo, Email-Worm.Win32.Bagle.gt (tercer puesto), en adición a las funciones tradicionales que acabamos de mencionar, se conecta a recursos de Internet para descargar desde allí programas maliciosos.

En el sexto puesto está el programa empaquetador Packed.Win32.Katusha.o, que en junio estaba en el segundo puesto. Los empaquetadores de esta familia entran con frecuencia en nuestra estadística. Se usan para evitar que los antivirus detecten otros programas maliciosos, por lo general antivirus falsos.

Phishing

Según los resultados del segundo trimestre de 2012, los ataques contra los usuarios de redes sociales han constituido más de la cuarta parte del total de intentos de robo de datos personales mediante phishing.

Distribución del TOP 100 de organizaciones atacadas por los phishers, según categorías
 Reacciones del antiphishing, segundo trimestre de 2012

La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, ya sean enlaces en mensajes de correo spam o en Internet. Se puede encontrar información más detallada sobre cada categoría aquí.

La categoría “Redes sociales” ha superado a la de “Organizaciones financieras” por la cantidad de ataques phishing soportados. El crecimiento de la cantidad de ataques contra las redes sociales está condicionado por la llegada de las vacaciones de verano. En este periodo muchos estudiantes y universitarios que suelen utilizar estos servicios se conectan a Internet. Por otra parte, es raro que este público tenga cuentas de banca online, y en general en verano bajan las actividades financieras, lo que hace que baje la cantidad de spam dirigido a las organizaciones financieras. Pero los ataques contra las organizaciones financieras siguen siendo los más lucrativos desde el punto de vista de los delincuentes, por eso su cantidad, a pesar de haberse reducido, sigue en un nivel muy alto.

Conclusión

La cantidad de spam sigue reduciéndose. Esto se debe a diferentes razones que influyen en el negocio del spam. Entre ellas están las estacionales (en vacaciones se apagan muchos equipos infectados por bots spams), las económicas (en el spam influye la atmósfera de angustia relacionada con la posible crisis económica) y de competencia (algunos clientes abandonan a los spamers para contratar servicios de cupones). Según nuestros pronósticos, si la situación económica sigue en el estado actual, o sobre todo si empeora, la cantidad de spam seguirá reduciéndose, incluso cuando termine el periodo de vacaciones. No excluimos la posibilidad de que poco a poco el spam baje al 65% durante este año.

Ha cambiado mucho la geografía de las fuentes de spam. Los delincuentes, interesados en la buena calidad de Internet y la gran cantidad de usuarios, han dirigido la potencia de sus botnets hacia China y EE.UU., desde donde actualmente se propaga la mayor cantidad de spam. A pesar de que habíamos pronosticado cambios en la distribución de las fuentes de spam, no esperábamos que llegasen a ser tan abruptos. Por otra parte, se ha mantenido la tendencia de crecimiento de la cantidad de spam procedente de Asia y América Latina.

No es casualidad que nos hayamos detenido en los detalles de algunas de las técnicas usadas por los spammers para propagar códigos maliciosos. La experiencia adquirida en el estudio del spam durante la crisis de 2008-2009 muestra que está prácticamente garantizado el crecimiento de la cantidad de código malicioso en el correo. De esta manera, el spam se hará mucho más peligroso. Hacemos hincapié en el hecho de que en los últimos años el arsenal de los delincuentes se ha expandido bastante y se actualiza con nuevos métodos de ingeniería social casi cada mes.