El spam en enero de 2010

Particularidades del mes

• El spam en el tráfico de correo ha subido un 3,5% en comparación con diciembre y este mes ha alcanzado una media del 86,1%.
• Se han encontrado vínculos a sitios phishing en el 0,81% de todos los mensajes electrónicos, lo que representa una disminución del 0,03% en comparación con diciembre.
• El 0,07% de los mensajes contenía ficheros maliciosos, es decir, un 0,09% menos que en el mes anterior.

Porcentaje de spam en el tráfico postal

En enero de 2010 el porcentaje medio de spam en el tráfico de correo ha sido del 86,1%. El porcentaje más bajo del mes se registró el día siguiente después de la Navidad Ortodoxa, es decir, el 8 de enero (78,9%). Los usuarios recibieron la mayor cantidad de spam el 24 de enero (89,7%).

Porcentaje de spam en enero de 2010

Programas maliciosos en el spam

El 0,07% de los mensajes contenía ficheros maliciosos, es decir, un 0,09% menos que en el mes anterior.

 
Programas maliciosos en el correo, enero de 2010

La cantidad de mensajes que contenía ficheros comprimidos por Packed.Win32.Krap.x, ha decrecido sustancialmente en comparación con diciembre, pero sigue estando en un nivel bastante alto. Estos mensajes ocuparon el 11,66% de todo el correo infectado, haciendo que este programa de compresión ocupe el segundo lugar entre los 10 programas nocivos más extendidos en el correo electrónico. Recordamos que esta modificación de Krap se usa por lo general para empaquetar a Zbot, FraudTools y Iksmas.

Otra modificación de Krap, Packed.Win32.Krap.ah también está entre los 10 primeros. En el 2,35% de todos los mensajes se encontraban ficheros procesados con este empaquetador.

En el primer lugar de la lista de los primeros 10 se encuentra Trojan-Spy.HTML.Fraud.gen. Se trata del único representante de la plataforma HTML en el TOP10 de los últimos meses. Todos los demás programas maliciosos se ejecutan en la popular plataforma Win32. Para consultar información más detallada sobre este programa malicioso visite esta página.

En el cuarto y octavo lugares del TOP10 se encuentran Trojan-Downloader.Win32.Agent.dadz y su “compañero de armas” Trojan-Dropper.Win32.Agent.blhj. A pesar de que estos troyanos pertenecen a diferentes familias (uno de ellos a la de Trojan.Downloader y el otro a Trojan-Dropper), esto no es óbice para que ambos instalen en el ordenador infectado el mismo programa malicioso, que nuestra compañía detecta como Trojan.Win32.Fregee.h. La única diferencia es que Trojan-Downloader.Win32.Agent.dadz, después de instalar el otro programa malicioso, trata de conectarse a Internet para descargar otros programas.

En el tercer puesto está Worm.Win32.Mabezat.b.

Merece la pena destacar que 3 de los 10 programas de la lista fueron detectados en el envío masivo efectuado en nombre de DHL (más abajo mostramos un ejemplo de este envío). Nos referimos a Packed.Win32.Krap.x, Trojan-Downloader.Win32.Piker.brn, que descarga al sistema varios ficheros indeseables, y Trojan-Downloader.Win32.Agent.dadz. En algunos de los mensajes de correo se adjuntaba Backdoor.Win32.Bredolab.bvb.

Además, en enero detectamos un envío masivo que contenía un archivo protegido con contraseña. Los mensajes se enviaban con el tema “ALERT”, y en el cuerpo del mensaje se decía que para evitar la fuga de información confidencial todos los datos habían sido enviados en el archivo adjunto. La contraseña del archivo estaba en el mismo mensaje.

Una vez más recordamos que últimamente se están haciendo envíos masivos de tarjetas falsificadas que remiten a virus. La cercanía del día de San Valentín, por lo visto, no será una excepción, por lo que de nuevo aconsejamos a nuestros usuarios no abrir felicitaciones de remitentes desconocidos:

Phishing

En enero se han encontrado vínculos a sitios phishing en el 0,81% de todos los mensajes electrónicos. Las organizaciones atacadas con más frecuencia por los phishers siguen siendo PayPal (+21.68%) y eBay (-6.81%).

 
Organizaciones víctimas de ataques phishing en enero de 2010.

En comparación con el mes anterior, los ataques contra Facebook se han reducido (-6.58%), haciendo que esta popular red social baje al cuarto puesto, dejando el tercero al banco HSBC. La cantidad de ataques contra este banco ha crecido más de dos veces (+4,5%). En uno de los envíos masivos detectados por nuestra compañía y que estaba dirigido a los clientes de HSBC, se le proponía al cliente seguir un enlace para reiniciar su programa de banca online. Para el “reinicio” se le pedía que pusiese sus datos personales y contraseña en un formulario diseñado por los phishers.

El mismo truco (proponer al cliente reintroducir sus datos) lo usaron los phishers que dirigieron su ataque contra el banco Chase:

Países—fuentes de spam:

 
Países—fuentes de spam

En enero el líder de los países desde los cuales se envía spam fue EEUU, desde cuyo territorio se envió un 2,3% menos de spam que el mes anterior. Brasil y Rusia han vuelto a intercambiar puestos: ahora les corresponden el segundo y tercer puesto respectivamente. Con anterioridad se esperaba una leve reducción de los envíos de spam desde el territorio de Rusia, puesto que la mayoría de las redes botnet ubicadas en Rusia están desactivadas durante los muchos días festivos que hay a comienzos de enero. Sin embargo, a juzgar por el hecho de que la cantidad de spam enviada desde Rusia creció un poco en enero (+0,1%), en la segunda mitad del mes los spammers recuperaron el tiempo perdido.

China de nuevo ha subido en la lista. Esta vez envió un 0,5% más de spam que en diciembre y ocupó la sexta posición.

En enero, desde el territorio de Ucrania se envió sólo el 1,63% del total de spam, lo que es un 2,5% menos que en el mes pasado.

Es interesante que este mes Colombia haya entrado en el TOP10. Desde el territorio de este país se envió un 1,2% más spam que en diciembre.

España en el primer mes de 2010 ocupa el puesto 15, porque desde su territorio se envió el 1,64% de todo el spam.

Los temas del spam

En el tráfico de los países occidentales el líder invariable es el spam que publicita diferentes fármacos. Este es el segundo mes que este tipo de spam ocupa el 35%. Hacia finales de enero los spammers empezaron a prepararse con toda seriedad para el día de San Valentín, por lo que la publicidad de su “filtro amoroso” recibió un diseño festivo:

 
Распределение тематик спама в Рунете в январе 2010 г.

En el spam occidental de enero ha habido cierto aumento en la cantidad de publicidad de seminarios y ofertas de estudio en las mejores universidades europeas. De esta manera, se puede obtener educación universitaria en Internet, sin apartarse del ordenador:

Estudios en España, captura de pantalla

El spam de estafas ha aumentado un 3% y a finales de mes fue del 22%. Una parte de los mensajes-estafa de enero mencionaba lo sucedido e Haití, donde hubo un terremoto a principios del mes. Los delincuentes proponían hacer donaciones a un fondo de ayuda a las víctimas de la catástrofe. Por supuesto, ningún haitiano verá nunca el dinero que los compasivos usuarios enviaron a los spammers:

A pesar de que la publicidad que se hacen los spammers a sí mismos está prácticamente ausente en el spam en inglés, en los envíos masivos en castellano, italiano y francés esta temática ha estado presente durante los últimos meses y continúa prosperando:

La cantidad de mensajes que publicitan diferentes bienes y servicios del sector real de la economía ha disminuido un poco y en el tráfico occidental fue del 4%. Esto se debe a que muchos envíos masivos que clasificamos como “Demás bienes y servicios” se hacen por temporadas. En diciembre estos mensajes solían anunciar regalos de año nuevo. En enero se hizo más activa la publicidad de regalos para el día de San Valentín.

Es divertido que el enlace “Top Ten Valentine Gifts for men and women” del mensaje de arriba conduce a los usuarios a un sitio web de lotería instantánea.

Conclusión

Como suponíamos, la cantidad de adjuntos maliciosos en el correo electrónico sigue estando en un nivel bajo. Los spammers no están inventando nuevos trucos para enviar programas maliciosos, sino que usan el viejo (y efectivo) truco de mandar mensajes falsificados en nombre de DHL.

También se han confirmado nuestras suposiciones de que la cantidad de phishing se estabilizaría. Todo parece indicar que la situación se mantendrá un par de meses más.

Un rasgo importante de los últimos meses ha sido el crecimiento de la cantidad de mensajes de estafa. Esta rúbrica reúne los mensajes de phishing, las cartas nigerianas, las falsas notificaciones sobre premios de lotería, etc. En enero el porcentaje de estos peligrosos mensajes sobrepasó el 20% del spam en su totalidad.