El spam en el tercer trimestre de 2012

• El trimestre en cifras
• Señales de los tiempos: política y religión en el spam
• Nuevos escenarios publicitarios: pros y contras
• Disminuye el porcentaje de spam
• Las “áreas grises”
• Programas maliciosos camuflados como servicios de cupones
• Variedad en los envíos maliciosos
• Estadísticas
• Adjuntos maliciosos en los mensajes de correo
• Detección de spam por país
• Top 10 de programas maliciosos propagados por mensajes de correo
• Tamaño de los mensajes spam
• Fuentes de spam por país y por región
• Phishing
• Conclusiones y predicciones

El trimestre en cifras

• El porcentaje de spam en el tráfico total de correo disminuyó en un 2,8% en el tercer trimestre del año, quedando en el 71,5%.
• El porcentaje de mensajes de correo con adjuntos maliciosos aumentó en un 0,9%, alcanzando el 3,9%.
• El 27% de los ataques phishing se lanzaron contra redes sociales.
• El 26,7% de todo el spam en el tercer trimestre de 2012 provino de EE.UU..

Señales de los tiempos: política y religión en el spam

La personalidad más popular en estos últimos tres meses fue Barack Obama, Presidente de EE.UU. Su nombre apareció en mensajes de correo con una variedad de asuntos: desde los clásicos avisos de “relojes como el del presidente” hasta denuncias contra la administración del presidente urgiendo a los ciudadanos norteamericanos a desafiar sus actuales políticas (por lo general, este tipo de mensajes de correo también contenía solicitudes de donaciones para financiamiento). También se detectaron mensajes fraudulentos y maliciosos que usaban el nombre del presidente de EE.UU.

A finales de septiembre, había disminuido la cantidad de mensajes en inglés invocando a los ciudadanos norteamericanos a cambiar las actuales políticas del gobierno. Es evidente que la campaña electoral se acercaba a su fin: las elecciones presidenciales de EE.UU. de este año se fijaron para el 6 de noviembre. Los mensajes políticos incluían críticas a las acciones de Barack Obama pidiendo el voto por Mitt Romney.

Vale la pena mencionar que en EE.UU., según la ley CAN-SPAM Act de 2003, sólo cuentan como spam los mensajes comerciales (es decir, publicidad), pero no así los mensajes masivos políticos.

Los estafadores también se aprovecharon de la popularidad de Barack Obama para sus propios fines. No sólo enviaron mensajes fraudulentos usando su nombre, sino que también usaron el nombre de su esposa, Michelle Obama. El objetivo de los estafadores nigerianos al enviar mensajes supuestamente a nombre de la primera dama, era ganarse la confianza de los destinatarios: estos mensajes prometían millones de dólares a cualquiera que le enviara a “ella” su dirección, teléfono y 240 $.

Además de la política, la religión fue otro tema muy común en el spam en el tercer trimestre de este año. Estos mensajes propagaban un enlace a You Tube para mirar la escandalosa y controvertida película “La inocencia de los musulmanes”.  En este tipo de mensajes, los usuarios maliciosos suelen explotar el interés del público en temas controversiales añadiendo enlaces a recursos maliciosos. Sin embargo, en este caso en particular, los enlaces en los mensajes llevaban directamente al video en You Tube y no se propagaron programas maliciosos.

A pesar de ello, algunos ciberdelincuentes se aprovecharon de la controversia generada por esta película y enviaron mensajes maliciosos con enlaces a, supuestamente, las últimas noticias:

Los enlaces en estos mensajes conducían a los usuarios a un sitio web malicioso para después desviarlos hacia un recurso malicioso: pillsearnings.nl. Se trataba del mismo destino usado en los mensajes que se aprovechaban del nombre del presidente norteamericano y se referían a las elecciones presidenciales:

Nuevos escenarios publicitarios: pros y contras

Disminuye el porcentaje de spam

En el segundo trimestre del año, observamos que la publicidad migraba del spam hacia otros escenarios: banners, redes sociales, avisos contextualizados, y servicios de cupones. En el tercer trimestre de 2012, se mantuvo esta tendencia, y el porcentaje de spam en el tráfico total de correo volvió a caer, esta vez en un 2,8%.

El cuadro de arriba muestra la reducción del spam en el verano, seguida del habitual incremento en septiembre. Casi todos los años se observa un incremento en el otoño; a medida que las vacaciones de verano terminan, la gente vuelve a sus rutinas en Internet, y los anunciantes colocan más avisos, incluso en spam. Sin embargo, persiste una clara disminución en la cantidad de spam.

Las “áreas grises”

Acaban de aparecer en Internet varios servicios de cupones y descuentos que ofrecen a los usuarios descuentos de grupo. Estos servicios aprovechan la demanda en el mundo y están atrayendo la atención de los publicitas que lo prefieren al spam. Por una parte, es un proceso positivo. Por otra, no todos estos servicios publican sus avisos cumpliendo las regulaciones legales. En consecuencia, estamos frente a la aparición de las llamadas “áreas grises” en el spam.

Algunos servicios de cupones envían mensajes spam para promocionarse y atraer a nuevos clientes, y una parte de sus mensajes llegan a suscriptores y a una muy amplia base de datos de direcciones. Entonces, si el destinatario no es suscriptor, resulta que el mensaje es spam, incluso si contiene noticias, artículos de actualidad, o cualquier otra información relevante, además de descarada publicidad. Ahora que muchos países ya cuentan con medidas legales o con una legislación específica para el spam, estos anunciantes se les podrían llevar a juicio. 

Es decir, cualquier persona puede presentar una denuncia contra un anunciante deshonesto que envíe mensajes spam. Mientras que en el caso del spam clásico, en el que el remitente es anónimo, puede ser muy difícil identificar y denunciar al responsable, el proceso es mucho más simple en situaciones relacionadas con estas “áreas grises”.

Programas maliciosos camuflados como servicios de cupones

Los spammers se aprovechan de la creciente popularidad de los nuevos escenarios legítimos de publicidad. Lo hacen, en principio, al enviar mensajes maliciosos que imitan a notificaciones oficiales. Kaspersky Lab sigue detectando cada vez más y más mensajes spam maliciosos que imitan el diseño de las notificaciones de los servicios de cupones.

Kaspersky Lab ya se refirió al uso de cupones en mensajes spam en su informe sobre el spam en el segundo trimestre de este año. Volvemos a plantear el tema del spam de cupones en este informe debido a la aparición de mensajes maliciosos que imitan a las notificaciones del famoso servicio de cupones Groupon.

Los expertos de Kaspersky Lab ya previeron la aparición de este tipo de spam ya que los cupones son muy populares entre los usuarios de Internet, quienes confían en estos servicios. Un mensaje de un servicio de cupones es el camuflaje perfecto para los ciberdelincuentes.

Kaspersky Lab detectó estos mensajes por primera vez en el mes de julio. En ese caso, el mensaje imitaba a una notificación de una nueva promoción de un importante servicio de cupones, e incluía un adjunto ZIP con el nombre de Giftcoupon.exe (un archivo ejecutable). De hecho, el archivo contenía el programa malicioso Trojan.Win32.Yakes.aigd. Todos los enlaces en mensajes de correo con adjuntos maliciosos conducían al sitio web de Groupon que no contenía ningún objeto malicioso. Se trataba, claramente, de una jugada del ciberdelincuente para ganarse la confianza del usuario.

Pero en septiembre la situación fue completamente diferente. Kaspersky Lab observó que los nuevos mensajes supuestamente enviados por Groupon ya no incluían un adjunto, pero todos los enlaces en los mensajes conducían directamente a recursos online maliciosos con exploits.

Como ya hemos mencionado más arriba, la aparición de spam de cupones malicioso no fue una sorpresa, ya que estos servicios son cada vez más populares. En estas circunstancias, nuestros expertos aconsejan a nuestros lectores lo siguiente:

Antes que nada, los servicios de cupones nunca incluyen adjuntos en sus mensajes, especialmente en forma de un archivo ZIP o un ejecutable.

En segundo lugar, los usuarios pueden y siempre deberían asegurarse de que un mensaje que aparentemente proviene de un servicio reconocido, lo menos tenga el nombre correcto del remitente en el campo DE, y que todos los enlaces conducen de verdad al sitio anunciado (esto se comprueba pasando el cursor sobre el enlace).

En el sitio de Kaspersky Lab ofrecemos más consejos útiles.

Variedad en los envíos maliciosos

Vale la pena mencionar que en este último trimestre, Kaspersky Lab también registró una enorme variedad de mensajes maliciosos. Casi todos ellos imitaban a notificaciones oficiales: nuestro tráfico de spam incluyó cartas fraudulentas supuestamente enviadas por servicios de hosting, entidades bancarias, redes sociales, tiendas online, y otros servicios.

Por cierto, hace algún tiempo la mayoría de los ciberdelincuentes se dedicaba a enviar falsas notificaciones a nombre de líneas aéreas. Hoy en día, el camuflaje de moda parece ser las notificaciones de confirmación de hoteles.

En algunos casos, los ciberdelincuentes combinan dos tácticas de ingeniería social: para lograr que los usuarios activen sus enlaces, usan falsas notificaciones supuestamente enviadas por reconocidas entidades que ofrecen regalos.

Dada la cantidad y la calidad de mensajes fraudulentos con enlaces maliciosos, los usuarios de Internet necesitan ser muy precavidos: ¡hoy en día, cualquier mensaje puede representar una amenaza!

Estadísticas

Adjuntos maliciosos en los mensajes de correo

Aunque durante el último trimestre se redujo el porcentaje de adjuntos maliciosos en el tráfico de correo, al final del trimestre el porcentaje promedio de los mensajes con un adjunto malicioso aumentó en un 0,9% en comparación al anterior trimestre, alcanzando el 3,9%. El siguiente gráfico ilustra esta tendencia a la baja, mes a mes.

Porcentaje de adjuntos maliciosos en el tráfico de correo, tercer trimestre de 2012

Detección de spam por país

El cambio más notable en el Top 10 de países en los que se detectó spam en el tercer trimestre de 2012, fue la inesperada alza de Alemania hasta llegar al primer lugar (+3,8%).

Clasificación de la detección de spam por el componente antivirus por país en el tercer trimestre de 2012

EE.UU., que había encabezado la clasificación por ocho meses consecutivos, cayó de repente al 8? lugar en septiembre, lo que afectó los resultados finales del trimestre. En consecuencia, el porcentaje de spam detectado en EE.UU. cayó en un 5,2% desde el segundo trimestre, y se colocó en el 2? lugar, apenas por detrás de Alemania.

El porcentaje de spam detectado en Reino Unido cayó en un 1,7% (5? lugar), y el spam detectado en Italia también cayó en un 1,6%, lo que sacó a este país del Top 10. El porcentaje de spam detectado en los otros países del Top 10 no sobrepasó el 1,5%. Los cambios en la propagación de códigos maliciosos en Vietnam y en Australia resultan curiosos, ya que son casi los mismos que los de hace tres meses.

Porcentaje de spam detectado en Australia y Vietnam: Julio – septiembre de 2012

Top 10 de programas maliciosos propagados por mensajes de correo

A pesar de que el troyano Trojan-Spy.HTML.Fraud.gen cayó en la clasificación a fines de septiembre, esta amenaza se mantuvo en el 1? lugar en el trimestre, dejando muy atrás a los otros programas maliciosos. Este troyano representó más de un quinto de todas las detecciones antivirus de correo en el tercer trimestre de 2012. Recordemos que Trojan-Spy.HTML.Fraud.gen es un programa malicioso que se ejecuta como una página HTML que supuestamente pertenece a una organización financiera o a algún otro tipo de servicio online. Los datos de registro ingresados en los campos se envían a los ciberdelincuentes. El uso de esta particular amenaza es una de las tácticas que los phishers suelen emplear.

Top 10 de programas maliciosos propagados por mensajes de correo en el tercer trimestre de 2012

Los gusanos de correo Bagle.gt, Mydoom.m y Mydoom.I ocuparon el segundo, tercer y cuarto lugares, respectivamente, en la clasificación de este trimestre, mientras que el gusano Netsky.q cayó al 6? lugar. Recordemos que la función estándar de un gusano de correo consiste en recopilar direcciones de correo del ordenador infectado y enviar mensajes spam a esas direcciones. Bagle.gt es el único de estos cuatro gusanos que está equipado con la función adicional de conectarse a Internet y descargar otros programas maliciosos en el ordenador infectado.

La familia Androm que por primera vez apareció en el Top 10 en julio, mantuvo su posición durante todo el verano, y una de las modificaciones en esta familia, Androm.kv, llegó a la primera posición en septiembre. Según los resultados del tercer trimestre, esta modificación ocupó el 5? lugar en el trimestre. Otro representante más de esta familia ocupó el 10? lugar. Una vez que se instalan en el ordenador atacado, estas amenazas descargan otros programas maliciosos en el sistema, incluyendo spamboots.

Trojan-Ransom.Win32.PornoAsset.aauh ocupó el 7? lugar en el Top 10 del tercer trimestre. Se trata de un chantajista que bloquea el sistema operativo y le exige al usuario que pague para desbloquearlo. Estos programas se encontraban entre los más notables en septiembre: cuatro de los programas maliciosos del Top 10 en el primer mes del otoño eran modificaciones de esta familia.

Tamaño de los mensajes spam

Tamaño de los mensajes spam en el tercer trimestre de 2012

En el tercer trimestre de 2012, los mensajes spam fueron bastante livianos (1 KB o menos). Por lo general, el cuerpo de estos mensajes contenía una frase corta y un enlace a un sitio web. En septiembre observamos un aumento en la cantidad de mensajes más pesados (2 a 5 KB). Esto se debe a que en otoño suele producirse un aumento en la cantidad de mensajes spam pagados por PYMES, y este tipo de spam generalmente contiene más información en el cuerpo del mensaje. El spam afiliado siempre contiene un enlace, ya que la ganancia del spammer depende de la cantidad de pulsaciones en sus mensajes de correo.

Fuentes de spam por país y por región

En el tercer trimestre de 2012, el porcentaje de mensajes spam provenientes de China y EE.UU. aumentó considerablemente (+6,7% y +15%, respectivamente). En total, estos dos países son responsables de más de la mitad de todo el spam que circula en el mundo.

El porcentaje de los otros países disminuyó en forma más o menos proporcional.

Fuentes de spam por país en el tercer trimestre de 2012

El spam proveniente de China se dirigió principalmente a la región Asia-Pacífico, Australia y Europa occidental, mientras que el spam proveniente de EE.UU. se envió al continente americano, la región Asia-Pacífico y Australia. En cuanto a Europa oriental, la mayor cantidad de spam provino de India y Vietnam. El spam proveniente de India tiene como blanco principal a Europa occidental, donde este país ocupó el 2? lugar en el Top 10 de las fuentes de spam.

En cuanto a las regiones de donde proviene el spam, gracias a EE.UU., el porcentaje de la región de Norteamérica aumentó considerablemente (+15%), mientras que el de la región de Asia se mantuvo elevado, y casi la mitad del spam se enviaba desde ordenadores localizados en esta región. Europa occidental superó a Europa oriental y se colocó en el 4? lugar, acercándose a las cifras de Sudamérica.

Fuentes de spam por región en el tercer trimestre de 2012

Phishing

Top 100 de compañías atacadas por phishers, por categoría, en el tercer trimestre de 2012

Esta clasificación se basa en las detecciones registradas por el componente antiphishing de Kaspersky Lab cada vez que un usuario activa un enlace phishing, tanto si se encuentra en un mensaje spam o en un sitio web.

A fines del trimestre, las redes sociales se colocaron a la cabeza del Top 100 de las compañías atacadas por phishers con el 26,5% de todos los ataques, o un 0,6% más que en el trimestre anterior. Las organizaciones financieras ocuparon el segundo lugar, con el 22% de todos los ataques phishing, o un 1,6% menos que en el trimestre anterior.

Hay que destacar que, a pesar del reducido número de ataques phishing contra los juegos online, durante los tres últimos meses Kaspersky Lab ha registrado mensajes diseñados para robar los datos de los usuarios de Batlle.net. Esto nos lleva a pensar que los phishers renovaron su interés por las cuentas de juegos de Blizzard debido al reciente lanzamiento de WoW: Mists of Pandaria.

Conclusiones y predicciones

En el tercer trimestre de 2012, los expertos de Kaspersky Lab detectaron numerosos mensajes con temas políticos que siguieron aumentando hasta las elecciones presidenciales de EE.UU. el 6 de noviembre. También se incrementó la cantidad de mensajes maliciosos que se aprovechaban del interés del usuario de Internet en las elecciones.

La migración de anunciantes del spam hacia otros medios se debe en parte a la creciente penalización del spam, con una gran cantidad de anuncios de artículos prohibidos, y de mensajes fraudulentos y maliciosos. Durante el año pasado, los expertos de Kaspersky Lab observaron dos tendencias paralelas: Una disminución en el porcentaje de spam y un leve descenso en el porcentaje de mensajes maliciosos. Es muy probable que ambas tendencias se mantengan, ya que el porcentaje del spam está disminuyendo debido a la migración de los anunciantes de artículos y servicios legítimos hacia otros medios.

En cuanto a las fuentes del spam, la cantidad de spam proveniente de EE.UU. aumentó considerablemente, pero es poco probable que permanezca en ese nivel y se espera que decaiga levemente en el próximo trimestre. Asia sigue siendo la región donde se origina la mayor cantidad de spam en el mundo.