Informes sobre spam y phishing

El spam en enero de 2011

Enero en cifras

  • La cantidad de spam en el tráfico de correo ha aumentado un 0,5% en comparación con diciembre y alcanzado el 77,6%.
  • Los mensajes phishing han constituido un 0,03% de todo el correo, lo que es un 0,03% menos que en diciembre.
  • En diciembre el 2,75% de los mensajes electrónicos contenían ficheros maliciosos, es decir, un 1% menos que en el mes anterior.

Estudio de los principales sucesos del mes

Vacaciones de invierno

A principios de enero el principal factor que influyó sobre el contenido del spam fueron las vacaciones de invierno. Es posible que esto suene raro, pero el spam también se fue de vacaciones. En el gráfico de abajo vemos que desde el 1 hasta el 10 de enero la cantidad de spam en el tráfico de correo fue considerablemente menor que de costumbre.


Cantidad de spam en el tráfico de correo en enero de 2011

No hay que perder de vista que cuando hablamos de la cantidad de spam no nos referimos a los índices absolutos, sino a los relativos, que no solo dependen del volumen del tráfico de spam, sino también del porcentaje de correo limpio. Si hablamos de la reducción del volumen de spam de los primeros días de enero en cifras absolutas, entonces la cantidad de mensajes spam se ha reducido en cinco-seis veces.

Podemos decir que la principal causa de esta caída se debe a la reducción de las actividades de las botnets. Es sabido que la absoluta mayoría de los mensajes spam se envían desde estas redes zombi. Durante las vacaciones, la mayoría de los equipos infectados estaba apagada y por eso no podían enviar spam. El que las “vacaciones” de las botnets hayan coincidido con las fiestas de fin de año y no con la Navidad en los países occidentales confirma la suposición de que las compañías ilegales rusas, o mejor dicho, las del espacio postsoviético juegan un papel muy importante en el spam mundial. Es bastante común la idea de que detrás de muchas botnets y programas de afiliados están ciudadanos de la ex URSS. En lo que a spam se refiere, la calma de principios de enero habla a favor de esta versión. Lo más probable es que los dueños de botnets y los de programas de afiliados hayan tomado vacaciones.

Desde mediados de enero, el volumen de spam volvió al nivel de antes de las fiestas.

Dos meses de calma

Como recordamos, en la segunda mitad de 2010 el mundo sufrió varios sucesos extraordinarios, que ejercieron una seria influencia en el volumen del spam, su composición temática y la geografía de sus principales fuentes de propagación. Sin embargo, para los spammers diciembre y enero fue un tiempo de esperada calma: no hubo sucesos importantes ni grandes juicios contra ellos.

La reducción de la presión ejercida contra los spammers no tardó en notarse. Así, en enero EEUU volvió a ingresar en el TOP20. Con toda probabilidad, esto se debe a que el negocio del spam ha empezado a recuperar terreno en este país.

Recordamos que EEUU fue líder del spam mundial durante mucho tiempo. Por ejemplo, en agosto de 2010 desde este país se envió el 15,5% del spam. El volumen de correo basura enviado desde EEUU empezó a reducirse en septiembre. En octubre, EEUU y estaban en el puesto 18 (1,6%). Y en noviembre y diciembre no estuvo en el TOP20, porque en estos meses desde su territorio se envió menos del 1,5% del spam mundial. En enero EEUU de nuevo volvió al TOP20, ocupando el puesto 14.

Además, creció también el porcentaje de las reacciones del antivirus de correo en el territorio de EEUU, lo que es un indicio de que este país se ha vuelto a poner en la mira de los propagadores de código malicioso. Es curioso que en India, después del abrupto aumento de las reacciones del antivirus de correo, siguió un aumento de la cantidad de spam enviado desde su territorio. Es evidente que esta secuencia de sucesos está relacionada con la propagación de programas maliciosos que “reclutan” los equipos de los usuarios para integrarlos en botnets dedicadas al envío de spam. Es posible que la gran frecuencia de reacciones del antivirus de correo en EEUU refleje los intentos de los delincuentes de restablecer las antiguas botnets o construir nuevas en este país, lo que a corto plazo conduciría a que el nivel del tráfico de spam generado por este país vuelva a sus niveles anteriores. Pero esto no significa que el que fuera constante líder de nuestras anteriores estadísticas vuelva al primer puesto.

El segundo índice de la estabilización del negocio del spam en enero es el restablecimiento gradual del spam médico. Recordemos que los programas de afiliados farmacéuticos eran la fuente más estable de ganancias de los spammers, pero la constante atención que le prestaban los órganos de seguridad del estado y la lucha contra el spam en los últimos meses de 2010 provocó una caída brusca del porcentaje de este tipo de spam.

En el tráfico de spam de enero aumentó de nuevo el porcentaje de publicidad de Viagra. En enero se observó un aumento brusco del spam que publicitaba fármacos, que alcanzó casi el 60% del tráfico de spam. Pero hay que considerar que a principios del año bajaron las actividades en general de los spammers. Es muy probable que el embate de la publicidad de fármacos haya sido condicionado por las vacaciones de los dueños de las botnets. Parece que muchos propietarios de botnets, al irse de vacaciones, instruyeron a sus bots para que enviaran el tradicional spam farmacéutico, para no complicarse la vida buscando otras soluciones o clientes.


Cantidad de spam con publicidad de Viagra, diciembre 2010 – enero 2011

Y en efecto, a final del mes este spam constituyó el 45% del total, pero incluso esta cifra es un 15% superior al índice medio de diciembre. Según los resultados del mes, el spam farmacéutico volvió al primer lugar en la estadística de los temas más populares del spam.

En general, en comparación con diciembre el porcentaje de mensajes spam creció un poco. Esto sucedió a pesar de la notable reducción de los volúmenes de tráfico spam a principios de mes. Si no tomamos en cuenta la calma de las vacaciones de principios de año, el índice medio de spam en el tráfico de correo del 10 al 31 de enero fue del 79,1%, un 2% más que en diciembre. Esto también puede ser un indicio de que la situación del negocio del spam se está estabilizando.

Las primeras tarjetas del día de San Valentín

El 14 de febrero la gente de todo el mundo celebra el día de San Valentín. Un mes antes, el siete de enero, nuestro laboratorio antispam registró los primeros mensajes relacionados con el día de los enamorados.

Los mensajes de este tipo enviados en enero eran bastante tradicionales: anuncios de regalos exóticos, flores, imitaciones de artículos de lujo y fármacos para aumentar la potencia masculina.

 

Claro está que mientras más se acercaba el 14 de febrero, aumentaban estos mensajes.

Recomendamos a los usuarios que presten especial atención a los mensajes recibidos en este periodo. Los mensajes escritos por remitentes desconocidos pueden no contener tiernas declaraciones de amor, sino códigos maliciosos o enlaces a sitios infectados.

Análisis estadístico

Cantidad de spam en el tráfico de correo

La cantidad de spam en el tráfico de correo ha aumentado un 0,5% en comparación con diciembre y alcanzado el 77,6%. El nivel mínimo del mes tuvo lugar el 5 de enero, con un 60,7%. Los usuarios recibieron la mayor cantidad de spam el 23 de enero, que alcanzó el 87,7%.

Países-fuente de spam

Los líderes en el envío de spam, como en diciembre, son India, Rusia e Italia. Casi no han cambiado sus índices. Así, desde el territorio de India (primer puesto) se envió el 9,01 del spam mundial (-0,88%). En el segundo lugar de nuevo está Rusia, desde cuyo territorio en enero se envió un 0,3% menos de spam que el mes anterior. Desde el territorio de Italia se envió un poco más de spam que en diciembre, un 5,07% (+0,27%).

 
Países-fuente de spam en enero de 2011

En enero no hubo grandes cambios en la geografía de las principales fuentes de spam y sus porcentajes. El aporte de cada país en comparación con diciembre cambió en un máximo del 1%. La única excepción fue Vietnam, que bajó del cuarto puesto al décimo (-1,75%).

Ya hemos hecho notar que el regreso de EEUU al TOP20 de países-fuente de spam puede considerarse una señal. A pesar de que en enero desde EEUU se envió el 2,07% del spam, su presencia en el puesto 14 puede significar que los delincuentes ya han dado sus primeros pasos en el restablecimiento de las botnets ubicadas en EEUU.

Adjuntos maliciosos en el correo

En enero el 2,75% de los mensajes electrónicos contenían ficheros maliciosos, es decir, un 1% más que en el mes anterior.

 
Reacciones del antivirus de correo según países en enero de 2011

Nuestro antivirus de correo descubrió la mayor parte de los adjuntos maliciosos, al igual que el mes anterior, en India, Rusia y Vietnam. EEUU e Inglaterra se acercaron a la cima de la estadística. Como ya hemos dicho, esto puede explicarse porque, tan pronto como los órganos de seguridad del estado redujeron la presión ejercida sobre la industria del spam, los delincuentes empezaron a restablecer las botnets afectadas. En Ucrania, nuestro antivirus de correo tuvo más del 4% de reacciones en diciembre, pero en enero no llegó a formar parte del TOP10.

 
TOP 10 de programas maliciosos propagados por correo en enero de 2011

Trojan-Spy.HTML.Fraud.gen de nuevo estuvo a la cabeza del TOP10 de programas maliciosos.

Es una página web, fiel imitación de la página de un popular banco o sistema de pagos. Los delincuentes lo usan para engañar a los clientes para robarles su información confidencial.

Este es el segundo mes consecutivo que la mayor parte del TOP10 de los programas maliciosos propagados por correo son gusanos de correo, es decir, programas que rastrean el sistema en busca de direcciones de email para enviarse a sí mismo a esas direcciones.

En enero se agregó una modificación más de Email-Worm.Email-Win32.Mydoom, Email-Worm.Worm.Win32.Mydoom.l a la lista TOP10 de programas maliciosos enviados por correo Ambas versiones del gusano Mydoom se agregaron a la base antivirus de Kaspersky Lab en 2004. Los mensajes enviados por estos programas maliciosos tienen todo el aspecto de notificaciones del sistema de correo sobre que el mensaje no ha llegado a su destinatario. En este caso la principal función del programa es la recopilación de direcciones de email. Aquí y aquí puede leer más sobre estos programas maliciosos.

Otros dos gusanos de correo que ingresaron al TOP10 son Email-Worm.Win32.Agent.gnd y Email-Worm.Win32.Agent.gnl. La modificación Agent.gnd era parte del TOP10 de diciembre. Estos programas maliciosos tienen funcionalidades más complejas que las de los gusanos descritos. Además de recolectar direcciones de correo electrónico y enviarse a sí mismos por este medio, al penetrar en el equipo instalan otros programas maliciosos en el sistema. Por lo general, de esta manera ingresan programas troyanos-descargadores, que de inmediato tratan de conectarse a ciertos sitios de Internet desde los cuales descargan nuevos programas maliciosos en el equipo del usuario.

El gusano de correo Email-Worm.Win32.Bagle.gt es aún más complejo, en comparación con los gusanos de correo comunes y corrientes. No instala en el sistema programas descargadores, sino que por su propia cuenta se conecta a determinados nodos para descargar programas maliciosos desde ellos. Por supuesto, el gusano también busca direcciones de correo electrónico en el sistema para enviarse a sí mismo.

Tendencias temáticas del spam

Como ya hemos mencionado, en enero el spam medicinal volvió al primer puesto de la estadística de las temáticas más populares del spam. El segundo lugar lo ocupan los mensajes relacionados con las finanzas personales de los usuarios, en particular, ofertas de créditos baratos y la publicidad de los sitios que ofrecen puestos de trabajo. La ola de ofertas de este tipo en el spam guarda relación con la llegada del nuevo año, cuando muchas personas experimentan dificultades con la devolución de los créditos o están en paro.

La publicidad de imitaciones de artículos de lujo, que en diciembre ocupó el primer lugar, en enero cayó al tercer puesto.

Conclusión

Enero, al igual que diciembre, fue el tiempo cuando los spammers poco a poco restablecieron su capacidad de envíos masivos de spam, que había sido afectados por las últimas campañas de lucha contra el correo no deseado y las botnets. Por desgracia, una serie de indicios muestran que los spammers están alcanzando determinado éxito en la reanimación de sus botnets, y si en el futuro próximo no hay nuevos sucesos que afecten el mundo del spam, al llegar la primavera su volumen puede acercarse a los índices de verano de 2010.

De ninguna manera se puede considerar derrotado al spam farmacéutico, cuya porcentaje se redujo después de los ataques contra las botnets ocurridos en enero: ahora es evidente que los spammers no dejarán de lado este campo, salvo que se repitan los ataques y se dé un golpe definitivo. El envío masivo de spam farmacéutico empezará con nuevas fuerzas ya en febrero, en las vísperas del día de San Valentín.

Es probable que el volumen de spam enviado desde el territorio de EEUU también se recupere, ya que este país, sobre todo gracias a su alto nivel de computarización, sigue siendo interesante para los delincuentes como lugar de creación de botnets.

Una vez más queremos decir a los usuarios que, además de un antivirus, es imprescindible estar atentos y ser prudentes al navegar por Internet.

El spam en enero de 2011

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada