El spam en el tercer trimestre de 2010

Resumen del trimestre

• El porcentaje medio de spam en el tráfico de correo ha sido del 82,3%.
• Entre las organizaciones más atacadas por los phishers, PayPal ocupa el primer lugar, dejando muy por detrás a las demás. Entre los cinco líderes están la red social Facebook y el juego online WoW.
• El spam con adjuntos maliciosos ha constituido el 4,6% del tráfico de correo.
• El 8,4% de mensajes spam contenía adjuntos gráficos.
• Los spammers se han dedicado a la falsificación activa de páginas web populares.
• Europa es el líder entre las regiones fuente de spam, mientras que la cuota de América Latina se ha reducido considerablemente.

Introducción

El tercer trimestre de 2010 ha estado marcado por varios acontecimientos favorables para la industria antispam. El pasado agosto, gracias a las oportunas medidas adoptadas por un grupo de empresas, se cerró una docena de centros de administración de la botnet Pushdo/Cutwail, responsable de enviar el 10% del spam en el mundo. El peligro de esta botnet no sólo radica en el alto volumen de spam que distribuye en la red, sino también – y sobre todo – en que ella es la responsable de la propagación de programas maliciosos de particular peligrosidad, como Zbot (ZeuS y TDSS.

Tras el cierre de los centros que controlan la botnet, un gran número de robots ha quedado sin gestión y dejado de enviar spam. Sin embargo, no hay que hacerse ilusiones de que esta situación favorable se mantendrá por mucho tiempo. De hecho, como ha quedado demostrado por la clausura de las botnets McColo y Lethic, los atacantes suelen tardar más o menos un mes en reanudar las operaciones de una red zombi desmantelada, y luego los nuevos centros de administración se ponen en contacto con los bots y la cantidad de spam vuelve a su nivel anterior.

En septiembre, el programa de afiliados SpamIt anunció su propia clausura. Este programa de afiliados fue el responsable de la propagación de una gran cantidad de spam que publicitaba fármacos. En los sitios del programa, como Spamit.biz y Spamit.com, como razones de la clausura se argumentó una “larga serie de acontecimientos negativos acaecidos el último año” y la “gran atención que atrajo las actividades del programa de asociados”. De hecho, en el transcurso de 2010, SpamIt tuvo que afrontar una serie de circunstancias desfavorables, como la negativa de MasterCard a realizar operaciones relacionadas con el pago de fármacos vendidos mediante este programa de afiliados. Sin embargo, el cierre de un programa de afiliados, por más grande que sea, sólo produce una mejoría temporal en la frecuencia con que la asidua publicidad de viagra aparece en nuestros correos electrónicos: los spammers no abandonan un negocio que les proporciona grandes ganancias. Lo más probable es que los organizadores del programa de afiliados abran tan pronto como les sea posible un nuevo programa que por algún tiempo será ignorado por los antispam y los órganos de seguridad del gobierno.

Pero no todo son buenas noticias: el fenómeno del spam se está convirtiendo en algo cada vez más peligroso, ya que los mensajes enviados por los spammers contienen un número cada vez mayor de archivos adjuntos maliciosos y de vínculos que conducen a páginas web maliciosas infectadas. Por eso, sugerimos a los usuarios que en ningún caso abran los archivos adjuntos ni sigan los vínculos contenidos en los mensajes de spam.

Distribución porcentual del spam

La tabla de abajo, que abarca el spam detectado en el tráfico de correo durante el trimestre analizado, muestra con claridad cómo los buzones de los usuarios han sido invadidos por una cantidad relativamente baja de spam (1,5% menos que en agosto). Este es el resultado de la clausura de una parte de los centros de administración de la botnet Pushdo/Cutwail.

El spam por meses. Tercer trimestre de 2010

La tasa más baja (76,9%) se registró el 15 de septiembre. La mayor, del 90,1%, el 25 y 31 de julio. En el tercer trimestre de 2010 el porcentaje del spam en el tráfico de correo electrónico ha registrado un valor medio del 82,3%.

Las fuentes de spam

Distribución de las fuentes de spam por región

 
Distribución de las fuentes de spam por región. Tercer trimestre de 2010

El continente asiático sigue siendo la región geográfica que más correo no deseado envía.

América Latina, que había ocupado el segundo puesto de nuestro TOP20, ha caído al quinto lugar: su participación cayó del 16,3% al 10,7%.

Por el contrario, la “contribución” de Europa Occidental al volumen mundial de spam ha aumentado, alcanzando un valor equivalente al 23,1%, frente al 16,2% del segundo trimestre.

El incremento del spam atribuible a Europa Occidental ha hecho que también suba el porcentaje de toda Europa (en la clasificación de las fuentes de spam según territorios, esta región incluye a Europa Occidental, Europa Oriental y Rusia). Como resultado, en septiembre la cantidad de spam enviado desde los países de Europa ha sido mucho mayor que los valores registrados por la región de Asia. El índice general del trimestre muestra que el 40,7% del spam mundial lo enviaron los spammers de Europa, mientras que los de Asia enviaron sólo un 31,7%.

Spam enviado desde las regiones de Europa y Asia por meses

Es probable que el significativo aumento del spam europeo se deba a un envío masivo realizado en junio. Uno de los objetivos de este envío era conectar los equipos de los usuarios a una botnet. Los mensajes del envío se disfrazaban de comunicaciones oficiales de diverso tipo, supuestamente provenientes de recursos legítimos, como bancos, tiendas online y redes sociales. Los sitios seleccionados por los ciberdelincuentes gozan de gran popularidad entre los usuarios europeos de la red, y fueron sus ordenadores los que estuvieron bajo mayor riesgo de infección. Como resultado, al llegar septiembre, la cantidad de spam enviado desde Europa había aumentado.

Distribución de las fuentes de spam por países

 
Distribución de las fuentes de spam por países

Como ya es tradicional, EEUU está en el primer lugar de los países-fuente de spam. El segundo y tercer lugar, como en el trimestre pasado, lo ocupan India y Vietnam respectivamente.

Gran Bretaña, que se asentó en el cuarto lugar de la lista, merece una mención especial. Antes, este país ni siquiera ocupaba un puesto entre los 10 países que más spam envían.

Tipos de adjuntos en los mensajes spam

Porcentaje de mensajes spam que contienen adjuntos plain y html

Como de costumbre, en el tercer trimestre de 2010 la mayoría de los mensajes de spam contenía una parte en texto simple y otra en html. El porcentaje de correos compuesto por sólo texto simple fue un poco menor, y aún menor el que sólo contenía una parte en html.

Entre los tipos de adjuntos gráficos más usados, de nuevo el formato image/jpeg ocupa el primer lugar. Lo más probable es que esto se deba a la gran cantidad de mensajes autopublicitarios que los spammers usan para anunciar sus servicios, donde el contenido gráfico es un conjunto de imágenes puestas una junto a otra.

El cambio más significativo que hemos experimentado en lo que se refiere a la distribución de varios tipos de archivos adjuntos es el aumento de la cantidad de mensajes con adjuntos en el formato application/zip. Por lo general, el porcentaje de este tipo de mensajes es siempre inferior al 0,5%. En el trimestre analizado aquí, su proporción se ha mantenido en un promedio del 2,6%. Semejante cantidad de mensajes con archivos zip se explica por la masividad de los envíos de estos programas maliciosos.

Spam gráfico

La cuota del spam en imágenes ha sufrido una significativa disminución. Mientras que en el primer trimestre de 2010 el porcentaje de spam gráfico se había establecido en un valor medio del 11,7% y 10,3% en el segundo, el tercer trimestre cayó al 8,4%.

Es interesante señalar que los difusores de programas maliciosos han recurrido al uso de adjuntos gráficos que contenían imágenes de texto. Por ejemplo, el mensaje que se muestra a continuación contiene un archivo adjunto malicioso (Trojan.Win32.Oficla) cuya imagen no es sólo el logotipo eFax, sino también el texto “The fax messaje is attached to this e-mail”.

 
Ejemplo de mensaje con texto en forma de imagen adjunta

Phishing

Al igual que en el segundo trimestre del año, PayPal lidera la lista de las organizaciones más atacadas por los phishers, con un margen considerable respecto a otras empresas. Como de costumbre, el sistema de subastas eBay ocupa el segundo puesto. A continuación, en el tercer y cuarto lugar están Facebook y el banco HSBC, que han invertido sus posiciones respecto al trimestre anterior.

 
TOP10 de las organizaciones más atacadas por los fishers en el tercer trimestre de 2010

El cambio más significativo se refiere al lugar que ocupa en el TOP5 el popular juego World of Warcraft. Hemos venido registrando ataques contra los usuarios de esta plataforma a lo largo de este año, pero es la primera vez que WoW entra al TOP5.

La compañía Google ha caído del quinto al séptimo lugar de la lista. La cantidad de ataques dirigidos a los usuarios de los servicios de esta compañía ha bajado en casi un 1%. Sin embargo, las cuentas de Google siguen fascinando a los delincuentes informáticos. Cabe destacar que a los delincuentes les interesa tanto el correo de Google, gmail.com, como las cuentas de la red publicitaria Google AdWords y el sistema de pagos Google Checkout. Las últimas les interesa sobre todo a los “carders” (delincuentes que ejecutan operaciones usando tarjetas e información ajenas) porque contienen los datos de la tarjeta de crédito del usuario. De esta manera, el usuario incauto que envíe sus datos de registro de Google Checkout a los autores del mensaje phishing, corre el riesgo de que le roben su cuenta y su dinero.

El mensaje phishing más insólito y original enviado a los usuarios de Google en este trimestre fue el siguiente:

La peculiaridad de esta estafa phishing es que los atacantes no pusieron al final del mensaje las tradicionales amenazas de cerrar la cuenta o la exigencia de enviar su login y contraseña. El texto del mensaje repite las notificaciones oficiales provenientes de Google. Pero con una excepción: el enlace que se le propone pulsar al usuario no conduce a Google, sino a una página de phishing registrada en el dominio .gr (Grecia), donde se le pide su login y contraseña.

Adjuntos maliciosos en el correo

En el tercer trimestre de 2010 el porcentaje de mensajes electrónicos que contienen ficheros adjuntos maliciosos ha aumentado en más del doble, alcanzando un promedio de 4,6% (frente al 1,87% registrado en el trimestre anterior). Los valores registrados en agosto y septiembre han jugado un papel decisivo en el notable crecimiento de este índice.

Vale decir que en agosto la cantidad de ficheros maliciosos en el correo superó el 6,3%. Esto significa que los spammers, sin esperar a que sus clientes regresen de sus vacaciones de verano, han orientado sus actividades hacia los programas de afiliados, incluso con aquellos que son responsables de la propagación de malware.

A principios de septiembre la actividad de los atacantes ha comenzado a mostrar signos de decaimiento. Sin embargo, en la segunda quincena del mes volvieron a registrarse nuevos envíos masivos de malware. El valor medio de amenazas enviadas por correo ha alcanzado el 4,33%.

Al parecer, el significativo crecimiento de las actividades malignas en el correo de finales de septiembre está estrechamente relacionado con la clausura del programa de afiliados SpamIt, especializado en la distribución de spam que publicita fármacos. Con toda probabilidad, algunos de los spammers que participan en este programa han pasado a enviar programas maliciosos.

El siguiente gráfico muestra cómo, en términos porcentuales, durante el tercer trimestre se observaron siete picos de difusión de programas maliciosos por correo. De éstos, sólo uno se produjo en julio. Los seis restantes se distribuyeron de manera uniforme entre agosto y septiembre.

 
Porcentaje de spam con adjuntos maliciosos en el tercer trimestre de 2010

El pico más alto del diagrama coincide con el 20 de septiembre. En esa fecha se propagó en la red más del 4,5% del volumen total de mensajes electrónicos con ficheros adjuntos maliciosos enviados en el tercer trimestre de 2010.

Como regla, valores tan altos se registran cuando los creadores de virus publican una nueva versión de algún programa malicioso “popular”. Ciertos envíos masivos agresivos tienen por objetivo difundir el mayor número posible de copias del programa malicioso en un corto periodo, hasta que las compañías antivirus añadan el “identikit” del malware en cuestión a sus bases de datos.

El 20 de septiembre, Kaspersky Lab identificó casi el 90% del total de programas maliciosos recibidos por los usuarios a través del correo electrónico gracias sus sofisticados métodos de protección proactiva, es decir, métodos que permiten detectar las nuevas versiones de malware cuyos identikits todavía no se han incluido en las bases de datos antivirus.

Una contribución significativa al índice de actividad maliciosa se presentó el 3, 9 y 19 de agosto por la propagación de falsos antivirus (en particular, Trojan-Downloader.Win32.FraudLoad.xexa, que produjo el 66% de todas las reacciones del antivirus el 5 de agosto) y varias versiones de Trojan-Dropper.Win32.Zbot (ZeuS). Es interesante notar que el virus de correo electrónico ha detectado sobre todo nuevas variaciones de Zbot. En tan sólo dos semanas y media, desde el 2 al 20 de agosto, se propagó el 36,5% de todos los programas maliciosos del tercer trimestre.

Recordemos que Zbot es, en esencia, un programa desarrollado por los autores de malware para robar la información confidencial del usuario, y también para descargar otros programas maliciosos en el ordenador de la víctima. Los atacantes revenden la información así obtenida en el mercado negro. También hay que tener en cuenta que el sexto puesto del TOP10 de malware propagado por correo en el tercer trimestre lo ocupa una de las modificaciones “frescas” de Trojan-Dropper.Win32.Zbot. Éste último ha sido utilizado activamente por los spammers, sobre todo en agosto.

 
TOP10 de programas maliciosos propagados por correo electrónico

La primera posición de la lista la ocupa Trojan-Spy.HTML.Fraud.gen, un asiduo visitante de nuestra estadística de malware. Aprovechamos esta oportunidad para recordarles que se trata de un troyano que utiliza la tecnología de suplantación de identidad, implementada en forma de una página html. Al seguir el vínculo incluido en el mensaje, el usuario llega a una réplica falsa del sitio de un banco o sistema de pago, dónde se le pide ingresar su login y contraseña. Los datos puestos por el usuario se envían a los delincuentes. Esta tecnología difiere de los sistemas tradicionales utilizados por los phishers porque en la línea de direcciones del navegador no se muestra la dirección real del sitio al que ha llegado el usuario, sino una dirección falsa idéntica a la de la página web oficial. Esta tecnología permite engañar hasta a los usuarios más expertos y despabilados.

Trojan-Downloader.Win32.FraudLoad.hbf, el malware más activo a finales de septiembre, y el ya mencionado troyano Downloader.Win32.FraudLoad.hbf, ocupan el segundo y cuarto lugar de la tabla. Los programas de la familia Trojan-Downloader.Win32.FraudLoad instalan en el ordenador del usuario un antivirus falso que extorsiona a su víctima.

El quinto puesto lo ocupa el empaquetador Packed.Win32.Katusha.o, que los delincuentes usan con frecuencia para empaquetar antivirus falsos y Zbot.

La estadística de las reacciones del antivirus de correo según país es la siguiente:

 
Reacciones del antivirus de correo en diferentes países

Siete de los diez son países desarrollados de Europa, Asia y América. Este trimestre el líder son los EEUU: más del 11% del total de las reacciones del antivirus de correo tuvo lugar en este país.

Trucos y métodos

En el tercer trimestre de 2010 los spammers han enmascarado activamente sus mensajes, disfrazándolos de notificaciones oficiales, y este truco se adoptó incluso en las campañas de spam dirigidas a difundir programas maliciosos.

El spam más variado fue el que contenía vínculos a sitios infectados con código malicioso en Javascript (familia Trojan-Downloader.JS.Pegel), responsable de remitir a los usuario a servidores específicos utilizados por los spammers, desde los cuales se descargaba al ordenador del usuario el backdoor Bredolab, que a su vez, descargaba un paquete de programas troyanos, que entre otros contenía programas de la familia Zbot. Al mismo tiempo, se enviaba al usuario a un sitio diseñado para publicitar fármacos.

Estos mensajes de spam han imitado las notificaciones y comunicaciones de un número tan grande de recursos de la web legítimos que es difícil encontrar un usuario que no sea titular de una cuenta en alguno de estos sitios. Los spammers han falsificado notificaciones de recursos como Twitter, Facebook, WindowsLive, MySpace y diferentes tiendas online frecuentadas por los usuarios (tales como BestBuy y Zappa), sitios de alojamiento de fotos, grandes bancos, sistemas de pago y servicios de entrega.

 
Spam disfrazado de notificación oficial de Macy’s, la famosa cadena de tiendas

La calidad de las falsificaciones era muy alta:

 
Mensaje spam falsificado para tener la apariencia de una notificación de Twitter

Además de la apariencia del sitio, los spammers también falsificaron los encabezados técnicos:

 
Encabezados técnicos falsificados en uno de los mensajes de spam

Y como el usuario no ve estos encabezados, es lógico suponer que estas falsificaciones se hicieron para evadir los filtros antispam.

Como en todos los casos el esquema de inoculación de la infección era el mismo, se puede deducir que los mensajes de spam analizados en esta sección se enviaban usando un mismo motor software. Esto se puede demostrar aduciendo el hecho de que en algunos de los mensajes los encabezados eran incorrectos:

 
Ejemplo de mensaje spam con encabezado incorrecto

Ya habíamos observado un caso similar de spam con títulos incorrectos en los mensajes que publicitaban fármacos e imitaciones de artículos de lujo, también enviados mediante el mismo motor.

A finales de septiembre nos dimos cuenta de un aumento del spam destinado a imitar las notificaciones de conocidos sitios web. Esta vez la mira de los delincuentes se centró en la popular red de contactos profesionales LinkedIn. Los enlaces contenidos en las falsas notificaciones tenían los títulos “LinkedInUpdate”, “LinkedIn new Messages” y “LinkedIn Alert” y dirigían a sitios comprometidos o a dominios generados automáticamente en la zona .info. Al hacer clic en estos enlaces, los usuarios llegaban a un servidor creado por los delincuentes, desde donde se infectaba el ordenador del usuario con un troyano de la familia Zbot.

 
Mensaje spam falsificado para tener la apariencia de una notificación de LinkedIn

Particularidades temáticas del spam

 
Desglose del spam según categorías temáticas en el tercer trimestre de 2010

El primer puesto, según la cantidad de mensajes spam enviados, lo ocupa el spam de fármacos. Este tipo de spam, que durante los dos primeros trimestres de 2010 había perdido algunas posiciones en la clasificación, ha vuelto a ocupar el primer renglón de la lista. Es muy probable que esto se deba al anuncio de la clausura de SpamIt, que hemos mencionado más de una vez en este artículo. El cese de las actividades de esta asociación, previsto para octubre, ha hecho que los spammers traten de sacar la mayor ganancia posible en el tiempo que queda. A finales de septiembre todo indicaba que los spammers habían empezado a centrar su atención en otros programas de afiliados, lo que provocó una baja de la rúbrica “Fármacos” y el crecimiento de la cantidad de programas maliciosos en el correo.

Porcentajes de spam farmacéutico en el tercer trimestre de 2010

El porcentaje de publicidad de imitaciones de artículos de lujo, que por tradición suelen enviarse junto con el de Viagra, ha aumentado del 6,3% al 11%.

En comparación con el trimestre anterior, ha sufrido una caída brusca (del 14% al 4%) la tasa del índice de la categoría Ocio y viajes. Si bien en julio era del 6,4%, en agosto y septiembre no llegó al 3%.

Porcentaje de spam en la categoría Ocio y viajes, tercer trimestre de 2010

También se ha reducido el porcentaje atribuible a la categoría “Educación”. En general, es un caso bastante común: cada vez que aumenta la cantidad de spam enviado a través de programas de afiliación (Fármacos y Réplicas de artículos de lujo), disminuye la proporción del spam realizado “por encargo”.

 
Comparación de los porcentajes de diferentes temáticas (segundo y tercer trimestres de 2010)

Conclusión

En el tercer trimestre de 2010, igual que en el segundo, ha habido un aumento fuerte y repentino del número de adjuntos maliciosos en los mensajes de spam. Hace tiempo estamos informando sobre la criminalización del spam. Ahora podemos decir sin duda, que el spam ya no puede concebirse desconectado de los programas maliciosos. En el trimestre analizado, los mensajes nocivos constituyen el 4,6% del tráfico de correo. Durante toda la historia de las observaciones realizadas nunca se habían registrado valores similares.

Los intereses de los spammers y los autores de programas maliciosos están convergiendo de una forma cada vez más pronunciada. Al mismo tiempo, también se desarrollan nuevas tecnologías de ataque, entre ellas soluciones que constan de múltiples componentes. Los escritores de virus crean esquemas y modelos de infección particularmente sofisticados, que incluyen la conexión de los ordenadores a botnets que envía spam, descargan diferentes programas troyanos que roban información personal y muchas otras cosas. Los mensajes spam actuales pueden contener enlaces que conducen al mismo tiempo a una página publicitaria y (sin que el usuario se dé cuenta) a un sitio con exploits (haga clic aquí para más información).

Por supuesto, estas tendencias son alarmantes, porque en estos días el spam ya no sólo es molesto, sino también muy peligroso.

La otra cara de la moneda es positiva, porque tal situación puede hacer que los órganos legislativos presten más atención al fenómeno del spam. A finales de este trimestre, en Inglaterra y EEUU se arrestó a casi un centenar de personas sospechosas de haber utilizado el kit de ZeuS para cometer robo de dinero de cuentas online. (Kaspersky Lab detecta ZeuS como parte de la familia Zbot, que hemos mencionado más arriba en el capítulo de este informe dedicado a los archivos adjuntos maliciosos). Esperemos que esto sirva como un útil punto de partida para llevar a cabo una lucha sistemática contra el spam (o al menos contra el spam con malware) y que se inicie la colaboración internacional en este aspecto. Mientras tanto, aprovechamos esta oportunidad para instar una vez más a los usuarios a que nunca abran los mensajes de spam recibidos y sobre todo, los ficheros adjuntos. También es muy importante que nunca, bajo ninguna circunstancia, hagan clic en los enlaces contenidos en el correo electrónico no deseado.