Informes sobre spam y phishing

El spam en el segundo trimestre de 2013

El segundo trimestre en cifras

  • El porcentaje de spam en el total del tráfico de correo aumentó en un 4,2% con relación al primer trimestre de 2013, alcanzando el 70,7%.
  • El porcentaje de mensajes de correo phishing en el total del tráfico de correo disminuyó en un 0,0016%, y queda en el 0,0024%.
  • Se detectó un 2,3% de adjuntos maliciosos en el total del tráfico de correo, lo que significa un 1% menos que en el primer trimestre del año.

Métodos y trucos de los spammers

Diferentes tipos de spam generan diferentes cantidades de ingresos para los spammers. Los típicos anuncios de pequeñas empresas mediante mensajes de correo generan cierta cantidad de dinero, mientras que los anuncios de Viagra, por los que los spammers ganan una comisión por cada cliente que activa el enlace incrustado en el mensaje y realiza una compra, pagan una cantidad distinta. Sin embargo, las mayores ganancias provienen del spam malicioso. Un ordenador infectado vale mucho más que una compra de Viagra. A los spammers les interesa sobre todo asegurarse de que sus programas maliciosos lleguen al ordenador del usuario; quizás sea por eso que el spam malicioso suele recurrir a una variedad de tácticas y a la ingeniería social.

Mensajes de correo maliciosos apuntan a usuarios corporativos

En el último trimestre se han enviado a usuarios corporativos muchos mensajes de correo con adjuntos maliciosos .

Absolutamente todos estos tipos de mensajes de correo estaban camuflados como respuestas automáticas, como notificaciones por falla en la entrega de mensajes, notificaciones por la llegada de mensajes, fax o análisis.

Estos mensajes no utilizan ninguna táctica de ingeniería social (amenazas o promesas de grandes sumas de dinero si el usuario abre el adjunto). Pero esto es exactamente lo que hace que estos mensajes levanten menos sospechas. Los ciberdelincuentes apuestan a que los empleados corporativos obvien los detalles, asuman que se trata de un mensaje legítimo y procedan a abrirlo, lanzando así un programa malicioso.

Supuestamente, el mensaje proviene de un servidor de correo y está diseñado como una notificación de falla en la entrega de un mensaje.

 

Asimismo, suponen que el mensaje fue generado por el MAILER-DAEMON del dominio de correo del destinatario, y todo parece indicar que se trata de una notificación estándar. El mensaje en cuestión le pide al usuario que escriba un mensaje a postmaster@ para cualquier consulta. Mientras tanto, el adjunto contiene un archivo ejecutable cuyos nombres pueden variar: instruction.exe, mail.scr, etc.) y que Kaspersky Lab detecta como Email-Worm.Win32.Mydoom.m.

Muchos otros mensajes de correo maliciosos eran notificaciones falsas de la llegada de un nuevo análisis o un documento por fax.

 

 

Por supuesto que los adjuntos en estos mensajes también contenían una variedad de programas maliciosos. Curiosamente, varios de estos mensajes falsos imitaban a los mensajes de un dispositivo HP, o al servicio JConnect, un programa bastante común en el ambiente empresarial. Los mensajes de correo se enviaban a direcciones corporativas en lugar de direcciones de correo gratuito. Y, en realidad, el empleado corporativo no sospecha de un mensaje de correo si la compañía para la que trabaja utiliza esa marca de equipos o proveedor de servicios.

A continuación tenemos el caso de otro sofisticado truco de los spammers para conseguir los datos de seguridad. Uno de los mensajes que Kaspersky Lab interceptó en este último trimestre imitaba un mensaje de Citigroup que comunicaba a sus destinatarios que se les enviaba adjunto un mensaje codificado.

 

Pero el adjunto no contenía un mensaje, sino un troyano que Kaspersky Lab detecta como Trojan-PSW.Win23.Tepfer.nblo.

Estos mensajes no parecen nada extraordinarios, por lo que no despiertan ninguna sospecha, especialmente en los agotados empleados multitarea corporativos. Sólo la extensión del adjunto .exe debería llamar la atención de los destinatarios y y hacer que tomen medidas de seguridad.

Recordemos que los programas maliciosos dirigidos a usuarios corporativos se propagan mediante tácticas variadas. Los empleados corporativos deben tener presente que los códigos maliciosos pueden incrustarse en documentosš de Office y que deben tener mucho cuidado con los adjuntos en los mensajes de correo.

Mensajes de correo de recursos conocidos

Ya hemos escrito sobre mensajes de correo que imitan notificaciones de redes sociales, tiendas online, aerolíneas, etc. Muchos de estos mensajes siguen circulando en Internet. Y avisamos a nuestros lectores que Walmart está ahora en la lista de las tiendas plagiadas por los spammers en sus falsos mensajes de notificación.

 

Estos falsos mensajes de correo informan al destinatario sobre supuestas compras recientes en esta tienda. Los enlaces en los mensajes conducen a los usuarios a sitios pirateados que a su vez los envían a un sitio web malicioso que contiene exploits.

Tarjetas electrónicas maliciosas

Antes šlos ciberdelincuentes enviaban tarjetas electrónicas con adjuntos maliciosos en ocasión de celebraciones importantes, pero últimamente las detecciones de las tarjetas electrónicas han disminuido de forma notable. Sin embargo, en este último trimestre, Kaspersky Lab nuevamente ha detectado estos envíos maliciosos que atacan a la famosa compañía norteamericana de tarjetas de ocasión Hallmark.

 

Kaspersky Lab detectó este adjunto como Trojan.Win32.Buzus.liez.

Textos aleatorios

Además de las tarjetas electrónicas maliciosas, en este último trimestre Kaspersky Lab también detectó otra táctica que había caído en el olvido. En el primer trimestre de este año, uno de los trucos que los spammers usaron fue el “texto blanco”, que consiste en un texto aleatorio añadido al final del mensaje, en el que el color del texto es del mismo color que el fondo. En el último trimestre, los spammers usaron un truco similar: añadieron un texto aleatorio, pero esta vez no se molestaron en hacerlo “invisible”, sino que se limitaron a separarlo del cuerpo principal de texto con una gran cantidad de líneas vacías. Todos los textos correspondían a distintas noticias. Por ejemplo, un mensaje comenzaba con una llamativa fotografía anunciando un determinado artículo o servicio, y si el destinatario llegaba hasta el final encontraba el fragmento de una noticia sobre Hugo Chávez, el Maratón de Boston o la guerra en Corea en letras pequeñas.

 

 

Datos estadísticos

Porcentaje de spam

El porcentaje de spam en el total de tráfico de correo durante el segundo trimestre de este año alcanzó el 70,7%, o un 4,2% más que en el primer trimestre. Sin embargo, no podemos considerar este incremento como el inicio de una tendencia; el porcentaje en el primer trimestre fue una excepción a la regla, con solo el 58,3% en enero, mientras que en otros meses los indicadores de spam eran de un 70% más o menos.

 
Porcentaje de spam en el tráfico de correo en el primer semestre de 2013

Estos leves cambios en el porcentaje de spam en el tráfico de correo apuntan a cierto nivel de equilibrio después de los agudos aumentos y disminuciones que se vieron en los últimos años.

Fuentes de spam

 
Clasificación de las fuentes de spam por país en el segundo trimestre de 2013

Los países que son las principales fuentes de spam son los mismos que antes, aunque su participación ha cambiado un poco: China disminuyó en un 1,2%, EE.UU. lo hizo en un 0,9%, y Corea del Sur en un 3%.

La cantidad de spam proveniente de Taiwán y Vietnam creció levemente (1,6% y 1,1%, respectivamente), lo que los colocó en la cuarta y quinta posiciones.

La situación con algunos países de la ex Unión Soviética resulta interesante. En tres de ellos, Ucrania, Kazajistán y Bielorrusia, aumentó el porcentaje de spam enviado por lo que en el segundo trimestre ocuparon la sexta, séptima y octava posiciones en el Top 20 de las fuentes de spam, desplazando a Rusia. Asimismo debemos señalar que estos tres países no sólo mostraron un incremento en el spam que originan al mismo tiempo, sino que la dinámica de estos aumentos también fue muy similar, alcanzando un pico en el mes de mayo.

 
Cambios en los porcentajes de spam proveniente de Bielorrusia, Ucrania y Kazajistán durante el primer semestre de 2013

Esto podría indicar la aparición de nuevas redes zombi en estos países o la infección de los servicios de web hosting desde donde se envía el spam.

Curiosamente, cuando vemos las fuentes de spam por región en lugar de por país, la geografía cambia por completo. En Europa, gran parte del spam proviene de Corea del Sur (47,9%), mientras que el porcentaje de spam enviado desde este mismo país hacia otras regiones es bastante bajo. Desde China, la mayoría del spam se envía a Asia-Pacífico (64%), y EE.UU (21,2%), mientras que en Europa y Rusia casi no se recibe spam proveniente de China. La mayor parte del spam proveniente de EE.UU. se dirige a este mismo país (51,6%), mientras que en Rusia se recibe spam proveniente de Taiwán (12,2%), Vietnam (9,4%) y Ucrania (9%).

Fuentes de spam por región

 
Clasificación de las fuentes de spam por región en el segundo trimestre de 2013

En cuanto a las principales fuentes de spam por región, la clasificación no muestra cambios significativos respecto al primer trimestre, aunque los porcentajes por regiones específicas sufrió algunas modificaciones. El porcentaje de Asia aumentó en un 4,5% y sigue siendo la primera fuente regional de spam. El porcentaje de Europa oriental aumentó en un 2,6% debido principalmente a una mayor actividad en Ucrania y Bielorrusia.

El porcentaje de spam proveniente de Europa occidental bajó en un 3,7%, también bajó el de Sudamérica, en un 2,4%, lo que marcó un nuevo récord de baja. Recordemos que hace apenas un par de años Sudamérica ocupaba la segunda posición por la cantidad de spam que generaba. Otras regiones que mostraron cambios son el Oriente Próximo (-0,2%), África (-0,6%), y Australia y Oceanía (-0,04%).

Tamaño de los mensajes de correo spam

 
Tamaño de los mensajes de correo spam en el segundo trimestre de 2013

El tamaño de la mayor parte de los mensajes de correo spam, sigue siendo muy pequeño, con menos de 1Kb. La cantidad de estos mensajes más pequeños aumentó en un 4,8% en relación al primer trimestre, alcanzando el 73,8% del total de mensajes spam. A propósito, también se dio un leve aumento (+0,94%) en el porcentaje de mensajes con un tamaño de entre 50 y 100 Kb. Los spammers prefieren este tamaño para los mensajes con adjuntos, incluyendo los adjuntos maliciosos.

Adjuntos maliciosos en el correo electrónico

La cantidad de adjuntos malicioso en el segundo trimestre fue menor que en el primero en un 1%, alcanzando el 2,3% del total del tráfico de correo.

 
Top 10 de programas maliciosos propagados por correo en el segundo trimestre de 2013

El principal programa malicioso propagado por correo en el segundo trimestre de este año fue el mismo que en el primero: Trojan-Spy.HTML.Fraud.gen. Recordemos que este programa malicioso está diseñado para parecerse a una página html formulario para registrarse es servicios de banca online. Los phishers lo usan para robar los datos financieros de sus víctimas.

Email-Worm.Win32.Bagle.gt ocupa el mismo segundo lugar que en el primer trimestre. Este gusano de correo, a diferencia de otros, puede enviar sus propias copias a las direcciones en la lista de contactos del usuario, y también puede recibir comandos remotos para instalar otros programas maliciosos.

Una de las modificaciones del famoso programa ZeuS/Zbot (Trojan-Spy.Win32.Zbot.lbda) que ocupó la tercera posición en el segundo trimestre. ZeuS/Zbot está diseñado para robar diferentes tipos de datos confidenciales desde los ordenadores de sus víctimas, incluyendo datos de tarjetas de crédito.

Trojan-PSW.Win32.Tepfer.hjva ocupó el cuarto lugar. Este programa malicioso está diseñado para robar las contraseñas de las cuentas de las víctimas.

Más abajo en la clasificación encontramos a varios gusanos de correo y otras dos modificaciones del troyano ZeuS/Zbot. Otro programa malicioso que se encuentra en el Top 10 es Backdoor.Win32.Androm.pta. Este tipo de programas maliciosos permite que los ciberdelincuentes controlen los ordenadores infectados sin que sus víctimas se den cuenta. Por ejemplo, pueden descargar otros archivos maliciosos y ejecutarlos, enviar una serie de datos desde el ordenador de una víctima, y otras acciones maliciosas. Además, los ordenadores infectados con estos programas suelen incorporarse a redes zombi.

Hay que notar que algunos programas maliciosos tienen muchas modificaciones, aunque sus acciones no difieran entre sí. Es por ello que Kaspersky Lab también publica gráficos de las principales familias de programas maliciosos con el fin de mostrar claramente la clasificación de los adjuntos maliciosos propagados por mensajes de correo.

 
Top 10 de familias de programas maliciosos propagadas por correo en el segundo trimestre de 2013

Más del 40% de los programas maliciosos que se envían por correo están diseñados para robar datos personales, incluyendo los financieros.

La lista de países más atacados por estos mensajes maliciosos ha sufrido algunos cambios respecto al primer trimestre del año.

 
Clasificación de detecciones de correo antivirus por país en el segundo trimestre de 2013

A pesar de un porcentaje ligeramente menor (-1,2%), EE.UU. conserva el primer lugar. Mientras tanto, Rusia se disparó del séptimo al segundo lugar (+8,3%) en lo que respecta al porcentaje de las detecciones antivirus de correo que se han multiplicado en este país. Este notable aumento tuvo lugar en junio, cuando el porcentaje de detecciones antivirus de correo en Rusia alcanzó el 29,3%. Las familias maliciosas más detectadas en Rusia resultaron ser Net-Worm.Win32.Kolab y Trojan-GameThief.Win32.Magania. Kolab es una familia de programas maliciosos que funciona como un troyano puerta trasera que evita las detecciones antivirus y recibe comandos remotos de los ciberdelincuentes. Los programas de la familia Magania están diseñados para robar nombres de usuario y contraseñas para el juego online Maple Story, pero también puede funcionar como un gusano y propagarse mediante dispositivos USB.

Como resultado del significativo aumento en la participación rusa, Alemania descendió del segundo al tercer lugar (-1,9%). India y Australia mantuvieron las posiciones que tenían en el primer trimestre, aunque sus porcentajes fueron levemente menores (-0,9% y 1,1%, respectivamente). El porcentaje de detecciones antivirus de correo en otros países registró cambios muy superficiales.

Phishing

El porcentaje de mensajes phishing en el total de tráfico de correo durante el segundo trimestre de este año disminuyó en un 0,0016%, quedando en el 0,0024%.

 
Clasificación de las Top 100 organizaciones más atacadas por phishers, por categoría* en el segundo trimestre de 2013

* Esta clasificación se basa en las detecciones del componente antiphishing de Kaspersky Lab, que se activan cada vez que un usuario intenta pulsar un enlace phishing, ya sea que éste se encuentre en un mensaje de correo spam o en una página web.

La clasificación general de las organizaciones atacadas por los phishers no registró cambios notables respecto al primer trimestre. La cantidad de ataques lanzados contra las redes sociales disminuyó en un 3,3%, y el porcentaje de ataques contra organizaciones financieras aumentó en un 1,2%, lo que hizo que esta categoría ascienda a la segunda posición en la clasificación.

El porcentaje de ataques contra proveedores de Internet se incrementó en un 1,8%, y los ataques contra proveedores de correo lo hizo en un 2%. Podemos notar que el aumento trimestral en los ataques phishing lanzados contra los servicios de correo está relacionado con el significativo aumento de la cantidad de ataques lanzados en junio, que alcanzó el 13,2%. El porcentaje de ataques contra otras organizaciones varió en menos del 1%.

Hoy en día es más frecuente que los phishers prefieran depender solamente del factor humano y no quieren esperar a que el usuario ingrese sus datos. En lugar de ello, los ciberdelincuentes están enviando mensajes maliciosos con troyanos incrustados diseñados para robar nombres de usuario y contraseñas, incluyendo las de las cuentas bancarias online de sus víctimas.

Los adjuntos maliciosos no sólo se encuentran en los mensajes camuflados como formularios de Facebook y otros recursos online populares, sino que también se pueden encontrar en mensajes camuflados como notificaciones oficiales de bancos.

 

Este mensaje se armó con descuido; basta notar los sinónimos en paréntesis, que constituye un típico error de los programas spam. Sin embargo, el resto del texto no levanta mayores sospechas entre los usuarios. Incluso el archivo adjunto no posee una extensión .exe ni un archivo comprimido .exe, que es lo primero que los usuarios precavidos observan como sospechoso. Pero el aparentemente inofensivo archivo .doc contiene un exploit que Kaspersky Lab clasificó como Exploit.MSWord.Agent.dj, que explota una vulnerabilidad que permite infiltrarse en el sistema de seguridad del ordenador atacado y descarga programas maliciosos diseñados para robar los datos personales de la víctima.

Conclusión

Desde febrero de 2013, el porcentaje de spam en el tráfico de correo no ha experimentado cambios notables. Este fue el primer periodo en el que Kaspersky Lab observó un equilibrio en el tráfico de correo, tomando en cuenta las significativas fluctuaciones observadas en los volúmenes de spam en los últimos años. Kaspersky Lab estima que el porcentaje de spam mantenga el mismo nivel en el futuro.

Algunos cambios tuvieron lugar en la clasificación de países fuente de spam. El porcentaje de spam proveniente de Ucrania, Bielorrusia y Kazajistán aumentó considerablemente. Este aumento apunta a nuevas redes zombi o servicios de web hosting infectados en estos países, y cada vez detectamos más y más spam proveniente de estos servicios.

Entre las amenazas que se propagan por medio del correo electrónico, las familias más notables son las que están diseñadas para robar los datos de acceso a las cuentas del usuario atacado (nombres de usuario y contraseñas), especialmente las de servicios de banca online. La cantidad de mensajes de correo con adjuntos maliciosos dirigidos a los usuarios en Rusia también experimentó un considerable aumento.

Últimamente, los spammers han comenzado a enviar mensajes de correo con adjuntos maliciosos diseñados para imitar notificaciones automáticas de falla de entrega de mensajes que los servidores suelen enviar al usuario. Otro truco común consiste en camuflar los mensajes maliciosos como notificaciones provenientes de recursos online reconocidos y que incluyen enlaces a sitios web maliciosos. Kaspersky Lab recomienda a sus usuarios que siempre actúen con cautela, incluso cuando se trata de mensajes de correo aparentemente legítimos.

El spam en el segundo trimestre de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada