Informes sobre spam y phishing

El spam en enero de 2014

Peculiaridades del mes

En enero la atención de los spammers cambió de la Navidad y Año Nuevo ya pasados, para concentrarse en las fiestas que se avecinan. Un tema popular en enero ha sido la seguridad de los edificios corporativos mediante video vigilancia. Nos hemos topado con ofertas de estos servicios en ruso y en inglés.

Los estafadores “nigerianos” han seguido explotando la muerte de personas famosas (como Nelson Mandela y Ariel Sharón) para engañar a los usuarios y robarles dinero.

El spam festivo

Han quedado atrás las fiestas de fin de año y los spammers han dirigido su atención a otras, en particular al día de San Valentín. En el spam en inglés, no solo registramos los tradicionales envíos masivos de los vendedores de flores, publicidad de servicios de organización de cenas románticas y de viajes turísticos, sino también ofertas de regalos tan exóticos como una verdadera estrella en el cielo. 

En febrero no solo esperamos el aumento de la cantidad total de spam festivo, sino también de determinados envíos temáticos masivos. Además, pronosticamos que en febrero aumentará la cantidad de envíos masivos dedicados al día de San Valentín.  

Las esposas “nigerianas” de Nelson Mandela

Los “nigerianos” han usado los trágicos sucesos ocurridos estos últimos meses para crear nuevas historias en sus cartas de estafa. A principios de enero murió el ex primer ministro de Israel Ariel Sharón y en solo una semana registramos un envío masivo que explotaba este acontecimiento.  Pero la muerte de Ariel Sharón en enero no se usó con tanta frecuencia como otro suceso trágico, la muerte de Nelson Mandela. Encontramos los primeros envíos que mencionaban al difunto expresidente de África del Sur ya en diciembre.

En enero, como esperábamos, aparecieron nuevos mensajes. Como es de conocimiento público, Nelson Mandela estuvo casado tres veces, algo que no pasaron por alto los spammers, que esta vez usaron activamente los nombres de sus esposas para convencer a los destinatarios de la veracidad de las historias inventadas.

La "carta nigeriana" que descubrimos nosotros, cuyo supuesto autor era el abogado de la segunda esposa del difunto ex presidente, Winifred Zanyiwe Madikizela, no contenía detalles de la colaboración. En la carta se mencionaba que la esposa y su abogado no solo necesitaban ayuda para recibir una enorme suma de dinero y lingotes de oro, sino también en el futuro para hacer inversiones, y para esto estaban en busca de una persona honrada, pero que tenía que ser extranjera. En la carta había un número de teléfono celular para que el remitente se ponga en contacto para matizar los detalles del acuerdo. Un detalle interesante es que los estafadores le pedían a la víctima responder aunque no tuvieran interés en la propuesta y decían que en ese caso pedirían ayuda a otra persona. Este truco se usaba para inducir a la víctima a aceptar la proposición, ya que la sola idea de que una inmensa riqueza caiga en otras manos puede ser más fuerte que el sentido común.

Otro envío masivo llegó en nombre de la tercera mujer del presidente, Graça Machel. Esta vez los estafadores trataban de convencer a la víctima con un triste relato sobre la lucha intrafamiliar por los millones de Nelson Mandela y afirmando que de los demás ambiciosos parientes se podía esperar cualquier cosa. Para confirmar el relato, en la carta había un enlace a un artículo de una famosa publicación. Esperando que la inocente víctima se compadezca de la “desgraciada mujer del presidente”, los estafadores le pedían prestar su ayuda en la recepción y almacenamiento de dinero en la cuenta del destinatario de la carta.

Video vigilancia

Últimamente estamos registrando cada vez más envíos masivos con ofertas de compra e instalación de sistemas de video vigilancia para casas particulares y locales comerciales. Como regla, las ofertas de este tipo de servicios son bastante similares entre sí. Por lo general, se trata de mensajes spam enviados en nombre de representantes de diferentes compañías especializadas en sistemas de video vigilancia. Pero en las direcciones desde donde se enviaban estos mensajes ni siquiera se mencionaba el nombre de las compañías. Como remitente por lo general se indicaba un nombre o apellido que no siempre coincidía con el nombre del gerente que se había presentado en la carta.

En los mensajes en inglés se hacía hincapié en la seguridad personal y en la posibilidad de usar el sistema para vigilar a los cónyuges, niñeras y empleados que realizan pequeñas reparaciones en una casa privada. Además, en los mensajes en inglés lo más frecuente era poner un enlace al sitio de publicidad de una compañía contratista o a una tienda online que vende cámaras de video vigilancia en vez de un número de teléfono.

Distribución geográfica de las fuentes de spam

Porcentaje de spam en el tráfico postal

Porcentaje de spam en el tráfico postal

La primera semana del año nuevo se observó una pequeña reducción de la cantidad de spam en el tráfico de correo electrónico, relacionada con la reducción general de las actividades de los spammers en los días de fiesta. La situación cambió la segunda semana, cuando hubo un notable aumento de la cantidad de envíos de spam. En la segunda mitad del mes la situación volvió a la normalidad. El promedio de spam en el tráfico de correo de enero ha sido del 65,7%.

Países fuente de spam

Según los resultado de enero de 2014, han sucedido los siguientes cambios en la lista de países-fuente de spam.

Países fuente de spam

EE.UU. (21,9%) ha subido del segundo al primer lugar. La cantidad de spam enviado desde este país en enero ha crecido en casi un 3%. Le sigue el líder del mes anterior, China (16%) cuyo índice, por el contrario, ha bajado un 7%. El tercer puesto lo sigue ocupando Corea del Sur (12,5%), cuyo índice de spam enviado ha bajado casi un 1,5%.

Taiwán (6,2%) y Rusia (6%) han conservado el cuarto y quinto puesto respectivos. El décimo lugar lo ocupa Rumania, desde donde se envió el 2% del spam mundial, un 0,4% más que el mes anterior.

En enero se ha observado un pequeño crecimiento de la cantidad de spam en Italia (1,5%) y España (1%). Lo mismo ha ocurrido en los representantes de la región asiática, Hong-Kong (1%) y Filipinas (1,1%). Los demás países se han mantenido estables, tanto en sus puestos como en sus porcentajes.

Países fuente de spam en Europa

Según los resultados de 2014, el primer puesto entre los países-fuente de spam dirigido a Europa lo ocupa Corea del Sur (47,2%). En comparación con el mes anterior la cantidad de spam enviada desde este país se ha reducido en un 5,8%. Le sigue en la lista está Taiwán (5,8%), que el mes anterior estaba en el tercer puesto. Ahora en el tercer puesto está EE.UU. (5,3%), cuyo índice ha bajado un 2,1%.

El cuarto puesto lo ocupa Hong-Kong, con un 3% de spam enviado desde este país. En el quinto puesto, al igual que el mes anterior, está Rusia (3%) cuyo índice ha aumentado un 0,3%. También se ha observado un aumento en la cantidad de spam enviado desde España (2,4%) e Italia (2%). Cierra el TOP 10 Rumania (1,7%).

Según los resultados del mes, China (1,4%) ha bajado siete puestos y abandonado el TOP10 de países, con un índice que bajó en casi un 2%.

También tenemos que mencionar que en enero se ha observado un pequeño aumento de las actividades de los spammers en países como Inglaterra (1,4%), Alemania (1,3%) y Francia (0,9%).

Regiones-fuente de spam

En enero, Asia ha seguido siendo la primera región por la cantidad de spam que propaga (49%). Pero en comparación con diciembre del año pasado, la cantidad de spam enviado en esta región ha bajado en un 7,6%. En el segundo puesto esta América del Norte (22,7%), cuyo índice ha aumentado en un 2,8%. En el tercer puesto está Europa Oriental (15%). Aquí también se ha observado un aumento del 1,3% en la cantidad de spam enviado. Más abajo en la lista están Europa Occidental (5,8%) y América Latina (4%).

Adjuntos maliciosos en el correo

En enero el TOP 10 de los programas maliciosos propagados por correo es el siguiente:

TOP 10 de programas maliciosos propagados por correo electrónico

El líder en propagación sigue siendo el programa malicioso Trojan-Spy.HTML.Fraud.gen. Recordamos que este representante de la familia de troyanos Fraud.gen es una página HTML falsificada que se envía por correo electrónico camuflada como una notificación importante de los grandes bancos comerciales, tiendas online, compañías de software, etc.

En el segundo, tercero, cuarto, octavo y noveno puestos están Trojan-PSW.Win32.Fareit.amzb, Trojan-PSW.Win32.Fareit.anaq, Trojan-PSW.Win32.Fareit.annp, Trojan-PSW.Win32.Fareit.anai y Trojan-PSW.Win32.Fareit.amzs respectivamente. Todos estos programas maliciosos pertenecen a una sola familia y se dedican al robo de las contraseñas de los usuarios y las envían al servidor de administración de los delincuentes. También pueden llevar a cabo ataques DDoS, descargar y ejecutar cualquier tipo de software. Cada una de las muestras descarga y ejecuta troyanos de la familia Zbot desarrollados para atacar servidores y equipos personales e interceptar datos. A pesar de que este troyano puede ejecutar diferentes acciones maliciosas, se usa sobre todo para robar información bancaria. De la misma manera puede instalar CryptoLocker, un programa malicioso que exige dinero para descifrar los datos del usuario. Trojan-PSW.Win32.Fareit.anai también puede descargar un troyano que instala una extensión maliciosa para el navegador de Internet, que intercepta las solicitudes de búsqueda que el usuario hace en los grandes sistemas de búsqueda y suplanta los resultados para hacerlos coincidir con los intereses de los delincuentes. Los programas maliciosos de la familia Fareit también roban billeteras de Bitcoin y demás monedas cifradas (más de 30 diferentes).

La quinta posición la ocupa el gusano Asprox, que se dedica al envío de spam. Puede infectar automáticamente sitios web, descargar y ejecutar otros programas, recolectar información valiosa en el equipo, como contraseñas guardadas, datos de acceso a cuentas de correo y de FTP.

Email-Worm.Win32.Bagle.gt cierra el TOP10 de programas maliciosos propagados por correo electrónico. Este gusano de correo se envía a sí mismo a todas las direcciones de correo electrónico encontradas en el equipo infectado. Además, el gusano puede descargar de Internet otros ficheros sin que el usuario se dé cuenta. Para enviar mensajes infectados, Email-Worm.Win32.Bagle.gt usa su propia biblioteca SMTP.

Distribución de las detecciones del antivirus de correo por país

En la estadística de países donde ha ocurrido la mayor cantidad de reacciones del antivirus de correo, en enero EE.UU. ha ocupado el primer lugar (+3,5%), desplazando a Inglaterra al segundo (-3,41%). La tercera posición la sigue ocupando Alemania (-0,39%).

La cantidad de reacciones del antivirus de correo en el territorio de Rusia ha aumentado en comparación con diciembre y constituido el 2%. Han tenido un crecimiento notable las reacciones del antivirus de correo en México y África del Sur. Estos países han entrado en el TOP20 y ocupado los puestos 17 y 18 respectivamente.

Peculiaridades del spam malicioso

El mes pasado la atención de los delincuentes se concentró en los usuarios del sistema de mensajes instantáneos para smartphones WhatsApp, que está ganando gran popularidad entre los usuarios de todo el mundo. El mensajero permite enviar mensajes de texto y compartir fotos, video y audio. El que en este momento WhatsApp se pueda instalar sólo en los smartphones y que para crear una cuenta en el servicio no se necesite una dirección de correo no ha impedido que los delincuentes hagan envíos masivos de notificaciones por correo electrónico.

Hemos detectado mensajes que son notificaciones falsificadas de WhatsApp, en las que se afirmaba que uno de los amigos o un simple “conocido” había enviado una fotografía o imagen. En realidad, el adjunto contenía un programa malicioso detectado por Kaspersky Lab como Backdoor.Win32.Androm.bjkd. Se trata de un backdoor conocido, cuya principal función es descargar en el ordenador del usuario otros programas maliciosos.

Phishing

Según los resultados de enero, la lista de organizaciones atacadas por los phishers no ha sufrido cambios significativos.

Categorías del TOP 100 de organizaciones atacadas por los phishers

La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces dentro de mensajes de correo o en Internet.

La primera posición la ocupan las redes sociales (27,3%). Según los resultados del mes, su índice ha crecido en un 0,9%. Los índices de los servicios de correo (19,7%) y los sistemas de búsqueda (16,9%) también han crecido un poco, lo que ha hecho que estas organizaciones conserven el segundo y tercer puesto en la estadística.

El índice de las organizaciones financieras y de pagos (15,7%) ha bajado en un 0,2% y esta categoría ocupa el cuarto puesto.

Los índices de los proveedores de telefonía e Internet (8,29%) y de los vendedores de TI (5,93%) han bajado levemente, pero esto no les ha impedido conservar el quinto y sexto puesto.

En enero los phishers enviaron notificaciones falsas en nombre de tiendas online populares. Así, al destinatario de los mensajes de estafa firmados por un "gerente" de la compañía estadounidense Walmart se le comunicaba que su pedido no había sido entregado y que para resolver este problema era necesario rellenar un formulario y enviarlo en el plazo de una semana. Para convencer al usuario de la legitimidad del mensaje, los estafadores lo escribieron usando el diseño oficial del sitio web, el logotipo de la compañía y pusieron una firma automática al final del mensaje. Pero el usuario tendría que sospechar por que en ningún momento se mencionaba el nombre del destinatario y se enumeraban al mismo tiempo varios motivos de que no se hubiese entregado el pedido.   

En enero también detectamos un envío de phishing en idioma alemán supuestamente hecho por la tienda Amazon. En el mensaje se le decía al destinatario que el servicio había registrado una entrada a su cuenta desde un equipo ajeno y le pedían confirmar la información sobre la cuenta en el plazo de 48 horas, y que si no lo hacía, se la bloquearía. En el final del mensaje los delincuentes pusieron un enlace a una página de phishing. Hacemos notar que el diseño del mensaje no se parecía en nada a un mensaje verdadero. Por lo visto, los estafadores apostaron por la falta de experiencia y de atención del destinatario, usando en el campo del remitente la dirección, a primera vista correcta, de la tienda.

Conclusión

La cantidad de spam en el tráfico mundial en enero ha bajado en un 7,6% quedando en el 65,7%. Tal y como habíamos pronosticado, la baja del spam estuvo influenciada por la calma de principios de mes, cuando la intensidad de las actividades de negocios se reduce y una gran cantidad de botnets está desactivada.

Los envíos masivos de spam contenían publicidad de diferentes regalos, y de servicios de organización de eventos y viajes turísticos. Otra fiesta, el día de San Valentín, se explotó tanto en el spam en inglés, como en ruso.  Hemos registrado envíos masivos tradicionales de tiendas de flores, publicidad de servicios de organización de cenas románticas y numerosas ofertas de adquirir regalos para la fiesta. 

Como habíamos pronosticado, los spammers siguieron enviando “cartas nigerianas” que explotaban la muerte de Nelson Mandela. Esta vez los estafadores se presentaron como las esposas o los ayudantes de las esposas del difunto presidente. Además, en enero los estafadores también usaron la muerte de Ariel Sharon para engañar a los usuarios.

Otro suceso importante que capturó la atención de los spammers fue la Olimpiada en Sochi. En enero registramos envíos con publicidad de reproducciones de artículos de lujo y accesorios con el logotipo de los juegos olímpicos.

Según los resultados de enero, la estadística de las organizaciones atacadas por los phishers no ha sufrido grandes cambios. El primer puesto lo ocupan las redes sociales, cuyo índice ha subido en un 0,9%. Le siguen los servicios de correo y los sistemas de búsqueda, cuyos índices también han crecido levemente.

Entre las notificaciones falsas que contienen software malicioso siguen liderando las redes sociales populares en todo el mundo y las aplicaciones para intercambio de mensajes instantáneos. En enero los delincuentes han enviado notificaciones maliciosas en nombre del mensajero multiplataforma para smartphones WhatsApp.

El spam en enero de 2014

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada