Informes sobre spam y phishing

El spam en enero de 2013

Enero en cifras

  • En enero la cantidad de spam en el tráfico de correo ha bajado un 7,7% quedando en el 58,3%.
  • En comparación con diciembre, la cantidad de mensajes phishing en el flujo total de spam se ha reducido a la mitad, con lo que su nivel es del 0,003%.
  • El 3% de los mensajes contenía ficheros maliciosos, es decir, un 0,15% menos que en el mes anterior.

Principales acontecimientos del mes

Días festivos

En enero Internet se vio invadido por numerosos envíos masivos que explotaban el tema del día de San Valentín. En las vísperas de la fiesta, en el spam en inglés se registraron las ya tradicionales publicidades de flores.


Los regalos con grabados y símbolos individuales que últimamente se ofrecen en los envíos de spam, en enero estuvieron dedicados al Día de los Enamorados.


Los spammers ponían títulos festivos incluso en los envíos con las acostumbradas ofertas de créditos, la publicidad de tabletas para adelgazar y las imitaciones de artículos de lujo.


Desde China con spam

Hace tiempo que China está entre los países líderes en el envío de spam. Los mensajes spam provenientes de China con ofertas de colaboración en negocios han invadido Internet. Las compañías de este país venden juguetes, gorras con linternas, dispositivos informáticos, ofrecen servicios de transporte, etc. El rasgo característico de estos mensajes es que el saludo no contiene el nombre del destinatario.

En enero recibimos un mensaje de China que llegó al buzón de Kaspersky Lab y ofrecía dispositivos informáticos. El remitente menciona la página del sitio oficial de la compañía dedicado a un antivirus para el SO Android. En el mensaje se enumeran todos los datos de contacto del remitente.


Este mensaje tiene la apariencia de una plantilla bien preparada, en la que el remitente sólo cambia el nombre y la página oficial del destinatario.

Distribución geográfica de las fuentes de spam

Según los resultados de enero, entre los países-fuente de spam propagado por todo el mundo, siguen a la cabeza China (28,8%) y EE.UU. (19,3%). La cantidad de spam enviado desde China ha disminuido en un 5,4%, mientras que el porcentaje de spam propagado desde EE.UU. ha aumentado en un 3,7%. En total, desde estos dos países en enero se envió el 48,1% del spam mundial.


Países- fuente de spam en el mundo

Entre los tres primeros de repente apareció Corea del Sur (+4,1%), mientras que India cayó al quinto puesto (-1,7%).

Rusia ha subido una posición en la estadística (+1,8%) y ocupado el cuarto puesto.

Alemania, que en diciembre ocupaba el séptimo lugar, en enero ha bajado al puesto 17 con un índice del 0,9%, a pesar de que el porcentaje de spam enviado desde este país no cambió de una manera tan significativa (-1,5%).

En enero el líder en propagar spam en Europa, al igual que en diciembre, fue China, a pesar de la significativa disminución de la cantidad de spam enviado desde este país a Europa (-18,6%). La cantidad de spam enviada desde Corea del Sur casi se ha quintuplicado (+18,7%) y como resultado el país ocupa el segundo puesto. El tercer puesto lo ocupa EE.UU. (-0,6%).


Países- fuente de spam en Europa

Asia continúa siendo el líder entre las regiones por propagación de spam (50,9%). Al igual que en diciembre, entre los primeros tres está América del Norte y Europa.


Países-fuente de spam

Adjuntos maliciosos en el correo

A pesar de que la cantidad de spam en el tráfico de correo en enero se redujo, la cantidad de envíos con adjuntos maliciosos sigue siendo muy alta. En enero el 3% de los mensajes contenía ficheros maliciosos, es decir, un 0,15% menos que en el mes anterior.


TOP 10 de programas maliciosos propagados en el correo

Entre el malware propagado con más frecuencia en el correo, en enero ha vuelto al primer lugar Trojan-Spy.HTML.Fraud.gen. Recordamos que el año pasado este programa malicioso se mantuvo largo tiempo en el primer lugar del TOP 10, pero en septiembre tuvo una bajada brusca y lo abandonó. Este troyano se dedica a robar datos de banca online, que los delincuentes informáticos usan para robar dinero de las cuentas de los usuarios.

En el TOP 10 hay dos programas maliciosos más destinados al robo de contraseñas de los usuarios. Pertenecen a la familia Tepfer y se encuentran en el noveno y décimo lugar de la lista.

Los gusanos de correo ocupan el segundo y tercer lugar. Mydoom simplemente se envía a sí mismo a los contactos del usuario y está destinado a recolectar direcciones de correo, mientras que Bagle además puede descargar al ordenador del usuario otros programas maliciosos.

Los puesto 4, 5 y 7 los ocupan programas maliciosos de la familia Andromeda. Su objetivo es descargar otros programas maliciosos al equipo del usuario, después de lo cual el fichero original se borra.


Distribución de las reacciones del antivirus de correo según países

En lo que se refiere a los países adónde se enviaron mensajes con adjuntos maliciosos, en general no han ocurrido cambios sustanciales.

En el primer lugar sigue estando EE.UU. Y esto no es nada sorprendente, porque EE.UU. también es el líder por la cantidad de usuarios de Internet. Además, muchos programas maliciosos están destinados al robo de contraseñas de banca online, que en EE.UU. está muy desarrollada y es muy popular.

Continúan los envíos de mensajes maliciosos camuflados como notificaciones de diferentes servicios. En enero los spammers atacaron el servicio de reserva de pasajes Lufthansa.com. En un mensaje falso, supuestamente procedente de online@booking-lufthansa.com había un archivo zip malicioso que contenía el fichero Flugscheindetails.PDF.exe, detectado por Kaspersky Lab como Trojan-Downloader.Win32.Andromeda.ply. Señalamos que en enero el troyano ocupó el puesto 12 en el TOP de programas propagados por correo.


Los delincuentes no se limitan a las notificaciones falsificadas de servicios. Así, uno de los mensajes maliciosos contenía supuestamente una lista de artículos pedidos, pero en realidad era un archivo zip malicioso con el fichero January Order.scr. Kaspersky Lab detecta este fichero como Trojan-Spy.Win32.Zbot.hviq.


Phising

La cantidad de mensajes phishing en el flujo total de spam se ha reducido a la mitad, con lo que su nivel es del 0,003%.


Categorías del TOP 100 de organizaciones atacadas por los phishers

La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, ya sean enlaces en mensajes de correo spam o en Internet.

El mes pasado han ocurrido cambios sustanciales en los cinco primeros puestos de la categoría de organizaciones atacadas por los phishers.

Las redes sociales han conservado su posición de líderes por la cantidad de ataques phishing. Su índice ha crecido en un 9,71% y alcanzado el 39,62%.

La cantidad de ataques phishing contra los sistemas de búsqueda (+3,6%) y las compañías TI (+1,2%) también ha aumentado. Los sistemas de búsqueda ocupan el segundo lugar según los resultados de enero.

Ha bajado sustancialmente la cantidad de ataques contra las tiendas online y las subastas en Internet (-5,8%) y las organizaciones financieras (-7%).

Los phishers siguen falsificando envíos de servicios populares, técnica que por lo visto ha resultado bastante efectiva. En otoño escribimos sobre las notificaciones falsas enviadas en nombre de booking.com que contenían adjuntos maliciosos. En enero se registró una nueva ola de envíos phishing enviados en nombre del conocido sitio de reserva de hoteles. Esta vez los phishers trataron de sacarles a los usuarios los datos de sus tarjetas de crédito.

En el mensaje se afirmaba que los datos de la tarjeta habían sido rechazados. Si el usuario no ponía los datos correctos, entonces, según las condiciones de la reserva indicados en el sitio, se retendría la comisión por la cancelación o el depósito. Los phishers recurrieron a un método antiguo, pero efectivo para asustar a sus víctimas potenciales. Podría parecer que los clientes asiduos del sitio booking.com se darían cuenta de inmediato de que se trataba de un engaño, pero para muchos este truco tuvo efecto.


El usuario atento pudo prestar atención a que la dirección del remitente de este mensaje no tenía nada que ver con el nombre de la compañía en nombre de la cual se había enviado el mensaje.

El phishing bancario sigue estando muy en boga en Internet. Los spammers usan activamente la tradicional notificación de que se ha sobrepasado el límite de intentos de entrada a la cuenta y la necesidad de instalar una protección adicional para remitir al usuario a las páginas phishing y robarles los números y contraseñas de sus tarjetas de crédito. He aquí uno de los mensajes:


En este mensaje, a diferencia del mensaje de más arriba enviado en nombre de booking.com, en el campo “De:” se pone la dirección real del banco , lo que puede ayudar a los delincuentes a engañar al usuario.

Conclusión

En enero la cantidad de spam, como habíamos pronosticado, ha bajado, lo que se explica por la tranquilidad de los primeros días de enero.

Ya a mediados de mes aparecieron envíos que explotaban las fiestas del 8 de marzo y el día de San Valentín. Estos envíos no son tan numerosos como los de Año Nuevo, pero no tienen nada que envidiarles por la variedad de artículos y servicios ofrecidos.

Los mensajes con adjuntos maliciosos disfrazados de tarjetas de felicitación por San Valentín estuvieron ausentes en enero: es tradición que el pico de los envíos de tarjetas maliciosas sea a principios de febrero.

Se conserva la tendencia de reducción en los flujos de spam de la cantidad de mensajes phishing y maliciosos, pero los delincuentes siguen aprovechándose de la popularidad de los servicios de reserva de pasajes y hoteles para robar información sobre las tarjetas de los destinatarios.

El spam en enero de 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada