Informes sobre spam y phishing

El spam en febrero de 2013

Febrero en cifras

  • El spam en el tráfico de correo en febrero ha subido un 12,8% alcanzado una media del 71,1%.
  • La cantidad de mensajes phishing en el flujo total de spam no ha cambiado en comparación con enero, quedándose en el 0,003%.
  • El 2.8% de todos los mensajes electrónicos contenía ficheros maliciosos, un 0,2% menos que el mes anterior.  

Mándame spam en San Valentín

En febrero, los envíos masivos de publicidad de flores fueron muy activos en el sector anglófono de Internet.


Merece la pena destacar que no se cumplieron nuestros pronósticos de que en el tráfico de spam aparecerían tarjetas de San Valentín con adjuntos maliciosos. El mes pasado no hemos detectado envíos masivos de tarjetas maliciosas.

Los spammers recurren a diferentes trucos para captar la atención del usuario. En febrero el spam usó el tema del día de San Valentín solo para publicitar regalos y servicios relacionados con esta fiesta. Por ejemplo, con frecuencia nos topábamos con spam que tenía como asunto “encontrar pareja” en diferentes servicios. En estos mensajes no sólo se enviaba spam gráfico, que contenía fotografías de “corazones solitarios” y un campo para buscar pareja, sino también mensajes de texto comunes y corrientes con relatos de la supuesta “media naranja” y enlaces a sitios de búsqueda de pareja. A veces, al seguir el enlace a sitios de pareja contenido en el mensaje se abría una página de una temática completamente diferente. Este es uno más de los trucos de los spammers para ofrecer diferentes bienes y servicios.


Los spammers, como era de esperar, en febrero también utilizaron el tema de la Pascua para dirigir la atención de los usuarios a los mensajes de publicidad. Ya a principios de mes descubrimos varios envíos masivos con publicidad de reproducciones de artículos de lujo en mensajes cuyos temas mencionaban de alguna manera la Pascua.


Estos mensajes de spam se detectaron sólo en inglés.

Distribución geográfica de las fuentes de spam

En febrero EE.UU. ocupó el primer lugar entre los países fuentes de spam (16,9%). La cantidad de spam enviada desde China se redujo a la mitad hasta el 14,4% y ahora este país ocupa el segundo lugar. En total, desde estos dos países en febrero se envió cerca del 31,3% del spam mundial.


Países- fuente de spam en el mundo

Corea del Sur, cuyos índices aumentaron en un 6,9%, ocupa el tercer puesto (13,7%), el mismo que en enero. Rusia (3,3%) bajó un 1,6% y pasando del cuarto al séptimo puesto. Taiwán (5,1%) también está entre los cinco primeros y en comparación con enero casi ha triplicado su índice. Alemania (2,1%), que ocupaba el puesto 17, en febrero aumentó un 1,2% y ocupa el décimo puesto.


Países- fuente de spam en Europa

En febrero el líder de los países fuentes de spam en Europa fue Corea del Sur, cuyo índice subió en un 27,6% y alcanzó el 50,9%. En cambio la cantidad de spam del líder anterior, China, bajó sustancialmente hasta el 3%, un 36,6% menos que en enero. Como consecuencia, este país bajó del primer al sexto puesto. Es posible que cambios tan grandes en los índices de ambos países estén relacionados con el hecho de que algún grupo de spammers haya empezado a enviar spam desde otra botnet.

EE.UU. (9,2%) sigue estando entre los tres primeros, pero en febrero, a pesar de haber bajado un 0,14%, subió del tercer al segundo puesto, que finalmente lo ocupó Italia (5,3%).


Regiones-fuentes de spam

Asia sigue siendo la primera región por la cantidad de spam que propaga (50,4%). Como en enero, entre los tres primeros están Norte América y Europa del Este.

Adjuntos maliciosos en el correo

La cantidad de mensajes con adjuntos maliciosos sigue bajando en el tráfico de correo mundial. En comparación con enero ha bajado en un 0,2% y constituye el 2,8% del tráfico de correo.


TOP 10 de programas maliciosos propagados por correo electrónico

El programa malicioso más popular sigue siendo Trojan-Spy.html.Fraud.gen (11%) pero en comparación con enero ha bajado en un 2,2%. En el segundo lugar está Trojan-Banker.HTML.Agent.p (7,8%). Ambos programas maliciosos son páginas html que fingen ser formularios de bancos online y otros servicios en Internet. Con su ayuda los delincuentes tratan de robar a los usuarios sus datos de acceso a sistemas de banca online.

Es curioso que Backdoor.Win32.Androm.phh haya ocupado el tercer puesto. Los programas backdoor permiten al usuario controlar el equipo infectado, por ejemplo, descargar otros programas maliciosos y ejecutarlos, enviar diferentes tipos de información desde el equipo del usuario y muchas otras cosas. Además, con frecuencia estos equipos se convierten en parte de botnets.

En total, en febrero descubrimos 85 distintas modificaciones del programa Backdoor.Win32.Androm. Su índice constituye el 12% del total de programas maliciosos enviados por correo electrónico. Es interesante que en la mayoría de los casos el backdoor se propagaba en mensajes falsificados enviados en nombre de Booking.com, DHL, British Airways y otros. Los programas troyanos de la familia ZeuS/Zbot usaban métodos similares para difundirse.

En el cuarto puesto de nuestra estadística está Trojan-Downloader.HTML.Iframe.ahh. El propósito de estos programas es, sin que el usuario se percate, abrir en el navegador páginas web que descargan programas maliciosos o que remiten al usuario a los sitios de programas de afiliados.


Distribución de las reacciones del antivirus de correo según países

Italia ocupa el primer puesto de los países destinatarios de mensajes con adjuntos maliciosos, habiendo desplazado al sempiterno líder de nuestra estadística, EE.UU. El índice de este país ha crecido en un 9,4% y alcanzado el 14,4%. Hacemos notar que ha sido justo en Italia donde registramos la aplastante mayoría de ataques que usaban Trojan-Banker.HTML.Agent.p, que en febrero ocupó el segundo puesto en el TOP-10 de programas maliciosos.

En el resto de la lista de países atacados casi no han ocurrido cambios.

Uno de los instrumentos más populares entre los delincuentes que propagan programas maliciosos en el correo siguen siendo los mensajes falsificados de notificaciones oficiales de diferentes institutos financieros. Por ejemplo, los delincuentes recurren al famoso cuento de que la cuenta bancaria del usuario ha sido capturada y como resultado todo el dinero está congelado y la cuenta bloqueada. Para recibir información sobre lo sucedido, piden al usuario abrir el fichero adjunto al mensaje.

En uno de estos mensajes falsificados que descubrimos en febrero había un archivo zip con el fichero FraudReport_acoountid_43753985724.exe. Kaspersky Lab detecta este fichero malicioso como Backdoor.Win32.Androm.phf y es una de las modificaciones del backdoor Backdoor.Win32.Androm, que ya hemos mencionado antes.


Entre las compañías cuyos nombres usan los delincuentes una de las más populares es Google. En febrero registramos un envío masivo de mensajes hecho en nombre de Google que decían que la compañía analiza los currículos enviados por los usuarios y lo coteja con una lista de vacantes abiertas. Para evitar posibles confusiones, recomendaban al usuario abrir el fichero adjunto al mensaje y revisar que el currículo era correcto. En el mensaje estaba adjunto un archivo zip con el fichero Document.chm.exe. Al tratar de abrir el currículo, el troyano detectado por Kaspersky Lab como Trojan-Dropper.Win32.Typic.bea trataba de instalar malware que robaba contraseñas y otros datos confidenciales.

Para convencer al usuario de que el mensaje era legítimo, los delincuentes pusieron en el campo “remitente” una dirección que parecía real (resume-thanks@google.com) y adornaron el mensaje con el logotipo de la compañía.


Phishing

La cantidad de mensajes phishing en el flujo total de spam no ha cambiado en comparación con enero, quedándose en el 0,003%.


Categorías del TOP 100 de organizaciones atacadas por los phishers

*La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, ya sean enlaces en mensajes de correo spam o en Internet.

El mes pasado no ha habido cambios importantes en los tres primeros puestos de las categorías de organizaciones atacadas por los phishers. Las redes sociales han conservado los primeros puestos por la cantidad de ataques phishing. Su índice ha crecido muy poco (+0,8%) y alcanzado el 38,8%. Entre los tres primeros también están los sistemas de búsqueda (16,9%) y las organizaciones financieras y de pagos (12,3%), que ocupan el segundo y tercer puesto respectivamente.

Conclusión

En febrero la cantidad de spam en el tráfico de correo ha crecido en un 12,8% y alcanzado el 71,1%. Remarcamos que este índice es mayor que el promedio de spam en el tercer trimestre de 2012 (65,6%).

Entre los países-fuente de spam desde principios de 2013 está ocurriendo una redistribución de las fuentes de spam. En los primeros dos meses la cantidad de spam enviada desde China a todo el mundo ha bajado en un 19,9%. Al mismo tiempo, la participación de Corea del Sur ha crecido en un 11,1%. Estos cambios son aún más notables en el spam dirigido a los países europeos: la cantidad de spam proveniente de China ha bajado del 58,2% en diciembre al 14,4% en febrero, mientras que la cantidad de spam de Corea del Sur ha crecido del 5% al 51%. Es evidente que esto guarda relación con el hecho de que cierto grupo de spammers ha empezado a usar otra botnet para hacer los envíos masivos.

En la estadística de malware enviado por correo lideran las páginas html adjuntas a los mensajes. Los datos personales que los usuarios ingresan en los formularios de estas páginas falsificadas caen en manos de los delincuentes. Una de estas páginas phishing, detectada como Trojan-Banker.HTML.Agent.p se enviaba sobre todo a Italia.  Como resultado, en febrero Trojan-Banker.HTML.Agent.p ocupó el segundo puesto en la estadística de adjuntos maliciosos e Italia acabó en el primer puesto entre los países afectados por los envíos maliciosos.

A pesar de los pronósticos, este año no se registraron tarjetas de San Valentín, pero los spammers usaron el tema del día de los enamorados y la Pascua para dirigir la atención de los usuarios a la publicidad de bienes y servicios.

El spam en febrero de 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada