El spam en febrero de 2014

Contenidos

    Peculiaridades del mes

    En febrero los spammers enviaron activamente publicidad relacionada con el día de San Valentín (14 de febrero). Los estafadores “nigerianos” también estuvieron presentes. El pretexto de turno para sacarles dinero a los usuarios fue la situación política en Ucrania y los sucesos trágicos que la acompañaron. Entre los envíos masivos que llamaron la atención este mes estuvo el sorteo de una operación con laser para mejorar la vista.

    Aventuras de los “turistas nigerianos” en Ucrania

    Los disturbios políticos rara vez transcurren sin que los estafadores les presten atención, por eso no nos sorprende que en febrero los suceso de Ucrania se encontraban con frecuencia en las cartas “nigerianas”. Esta vez los estafadores usaron los consabidos relatos de turistas que afirmaban que les habían robado todas sus pertenencias y pedían ayuda material.

    En uno de los envíos fraudulentos que detectamos, el autor del mensaje le decía al destinatario que su viaje de turismo familiar a Kiev se había convertido en una catástrofe cuando desconocidos, amenazándolo con una pistola, le habían robado todas sus cosas de valor, dejándole sólo el pasaporte. La policía local y la embajada no podían ofrecer ayuda a los turistas y el gerente del hotel no los dejaba salir porque no tenían dinero para pagar la cuenta. Y entonces los infortunados viajeros se vieron obligados a pedir ayuda a personas desconocidas, pero bondadosas, que pudieran socorrerlos financieramente. El dinero lo necesitaba urgente, ya que faltaba poco para el vuelo de regreso, pero los turistas prometían devolver la suma completa al llegar a casa.

    En otro mensaje “nigeriano” los timadores también se presentaban como un turista que había llegado a Ucrania con su familia y al cual le habían robado su maleta con todas sus cosas, incluido el pasaporte. La embajada le expidió un pasaporte temporal, pero el turista “nigeriano” no tiene dinero para comprar el pasaje y pagar la cuenta del hotel. A diferencia del mensaje anterior, en éste los estafadores pedían una suma concreta de dinero, pero también trataban de obligar al compasivo destinatario a que conteste de inmediato al mensaje, por que quedaba poco tiempo para volver a la patria y el banco necesitaba varios días para transferir el dinero a la cuenta del turista.

    La historia del turista asaltado, como algunas otras historias de estafa, es universal, ya que se las puede usar en relación a cualquier suceso de actualidad que esté ocurriendo en un momento dado en el mundo y que sea de conocimiento internacional. Pero todas estas historias que mencionan sucesos reales no son más que consabidas trampas de los estafadores y la víctima que accede a la petición en realidad no le ayuda a nadie y nunca recibirá su dinero de vuelta.

    El spam festivo

    En el spam en inglés que usa el tema del día de San Valentín hemos registrado envíos con publicidad de imitaciones de marcas de fama mundial y de oferta de flores y de dulces finos. Estos mensajes publicitarios tenían un diseño festivo. También detectamos un mensaje de estafa con una oferta de ganar una fuerte suma de dinero mediante una aplicación especial que se enviaba como regalo por el día de los enamorados.

    Pronosticamos que en marzo los spammers seguirán explotando las fiestas (día de San Patrick, etc.) para enviar mensajes indeseables con publicidad de todo tipo de bienes y servicios.

    Recuperación de la vista

    En el sector angloparlante de Internet los spammers han hecho mucha publicidad de la corrección de la vista mediante laser, que en ciertos casos prometían hacer con una gran rebaja e incluso gratis. El contenido de los mensajes enviados era una boleta de publicidad con un área clicable que después de una serie de redirecciones llevaba a una página de spam que ofrecía operaciones con laser para recuperar la vista y otros bienes y servicios. Era común que en el mensaje se mencionara el nombre de la clínica publicitada, que si el usuario interesado quería, podía encontrar usando un sistema de búsqueda. Para parecer más convincente, en algunos mensajes se podían leer recomendaciones de los agradecidos pacientes.

    Relleno de cartuchos de impresoras

    Otra interesante tema del mes pasado fueron las ofertas de rellenar cartuchos de impresoras y fotocopiadoras. El último uno o dos años el spam de esta temática ha crecido notablemente. Estos mensajes los hemos registrado en varios idiomas, pero la forma y diseño de los envíos eran bastante similares.

    Los envíos en inglés, sueco y otros idiomas ofrecían sobre todo rellenar los cartuchos. En la publicidad se indicaba de entrada los modelos de impresoras disponibles y los precios por rellenar sus cartuchos. En algunos mensajes la atención de los destinatarios se ganaba con cupones de descuento y promociones que duraban poco tiempo. En uno de los envíos cierto gerente de China, en cuyo nombre se enviaban los mensajes, se jactaba de la exitosa participación de su compañía en una feria temática internacional en Alemania y, para probar sus palabras, adjuntaba al mensaje una fotografía de la feria y ofrecía encargarle pedidos justo a él.

    Estadísticas

    Porcentaje de spam en el tráfico postal

    spamreport_february_06s

    Porcentaje de spam en el tráfico postal

    La cuota de spam en el tráfico de correo casi no ha cambiado durante el mes, con excepción de un leve crecimiento en la tercera semana. En promedio, la cantidad de spam en enero constituyó el 69,9%.

    Países fuente de spam

    Según los resultados de febrero de 2014, la lista de países fuente de spam difundido por todo el mundo es la siguiente.

    spamreport_february_07

    Países fuente de spam en el mundo

    En el primer lugar de nuevo está China (23%). El mes pasado este país ocupaba el segundo puesto, pero el aumento del 7% de la cuota de spam enviado le permitió a China encabezar la lista. Le siguen EE.UU. (19,1%). El mes pasado el que fuera líder en enero perdió un 2,8% y bajó al segundo puesto. El tercer puesto lo ocupa Corea del Sur (12,8%). La cantidad de spam enviada desde este país no sufrió cambios importantes.

    En el cuarto puesto está Rusia (7%), cuya cuota de spam creció en un 1,1%. En el cuarto puesto tenemos a Taiwán (5,1%), cuya cuota, por el contrario, bajó en un 1,1%.

    Se observó una reducción promedio del 0,2% del spam en India (3,4%), Vietnam (3%), Ucrania (2,3%) y Romania (2%).

    Japón ocupa el décimo puesto (1,8%). En comparación con el mes anterior, este país perdió el 0,3% y bajo un puesto en nuestra lista.

    Merece la pena destacar que cierto crecimiento de las actividades de los spammers se observó en Alemania (0,7%) e Inglaterra (0,7%), que según los resultados de febrero también entraron en nuestra lista.

    spamreport_february_08

    Países fuente de spam en Europa

    Entre los países fuente de spam en Europa, según los resultados de febrero, el primer puesto lo sigue ocupando Corea del Sur (48,6%). En comparación con el mes anterior, su índice aumentó en un 1,2%. Le siguen EE.UU. (8,2%), cuyo índice también creció en casi un 3%, lo que le permitió subir un puesto. Recordamos que en enero EE.UU. ocupaba el tercer lugar con un índice del 5,3%. Pero ahora en el tercer puesto se encuentra Taiwán (5,5%), cuyo índice de spam enviado se redujo en un 0,3%.

    En el cuarto puesto, habiendo subido una posición, se encuentra Rusia (5%). En diciembre su índice creció en un 2%. China subió seis posiciones (3,9%) y el índice de spam enviado desde este país creció en un 2,5%.

    También se observó un crecimiento del 0,5% en Ucrania (2,3%) y Vietnam (1,8%), pero si en la situación de la primera lista esto tuvo una influencia insignificante (Ucrania subió del octavo al séptimo puesto), en el caso de Vietnam el haber aumentado ocho puntos lo hizo ingresar en el TOP10.

    El décimo puesto de febrero lo ocupa India con un índice del 1,6%. El índice de Inglaterra y Alemania es un poco menor, 1,5% y 1,4% respectivamente.

    Italia abandonó el TOP10, al haber perdido siete posiciones (1%). La cantidad de spam enviado desde este país se redujo en más del 1%. También registramos una caída en la cantidad de spam enviado desde España (0,8%) y Argentina (0,7%). Con esto, España también abandonó el TOP10, a pesar de que el mes pasado estaba en el sexto puesto.

    spamreport_february_09

    Regiones-fuente de spam

    Asia sigue siendo la primera región por la cantidad de spam que propaga. Su índice fue del 54%, un 5% más que en enero. En la segunda posición está América del Norte (20%). La cantidad de spam enviada desde esta región ha bajado en un 3,2%. En el tercer lugar está Europa Oriental (16,2%), cuyo índice aumentó en un 1,2%. Mas adelante en la lista se ubican las regiones de Europa Occidental (4,5%), América Latina (2,7%) y Cercano Oriente (2,4%).

    Adjuntos maliciosos en el correo

    En febrero el TOP 10 de los programas maliciosos propagados por correo es el siguiente:

    spamreport_february_10s

    Hace ya varios meses que el primer puesto lo ocupa Trojan-Spy.HTML.Fraud.gen. Recordamos que este representante de la familia de troyanos Fraud.gen es una página HTML falsificada que se envía por correo electrónico camuflada como una notificación importante de los grandes bancos comerciales, tiendas online, compañías de software, etc.

    El segundo y noveno puesto lo ocupan Backdoor.Win32.Androm.bngy y Backdoor.Win32.Androm.bmvm. Los programas maliciosos de la familia Andromeda son backdoors que permiten a los delincuentes controlar el ordenador infectado sin que su dueño se dé cuenta. Con frecuencia estos equipos se convierten en parte de botnets.

    En el tercer puesto se ubica el gusano de red Asprox. Puede infectar automáticamente sitios web, descargar y ejecutar otros programas, recolectar información valiosa en el equipo, como contraseñas guardadas, datos de acceso a cuentas de correo y de FTP.

    El cuarto y quinto puestos respectivos los ocupan Trojan-Spy.Win32.Zbot.rpce y Trojan-Spy.Win32.Zbot.rpce. Zbot es un troyano que se especializa en el robo de información confidencial. Recordamos que este malware puede instalar Cryptolocker, un programa malicioso que exige dinero para descifrar los datos del usuario.

    Le sigue Email-Worm.Win32.Bagle.gt, un gusano de correo que se envía a sí mismo a todas las direcciones de correo electrónico encontradas en el equipo infectado. Además, el gusano puede descargar de Internet otros ficheros sin que el usuario se dé cuenta. Para enviar mensajes infectados, Email-Worm.Win32.Bagle.gt usa su propia biblioteca SMTP.

    El octavo puesto lo ocupa Trojan.Win32.Inject.hpdp, que es un espía y keylogger (Limitless Logger). El programa intercepta y roba las pulsaciones de teclas, información del sistema, datos de autorización en diferentes sitios web, contraseñas de servicios de correo y de programas de almacenamiento de contraseñas.

    El décimo puesto lo ocupa Trojan.Win32.Bublik.cbds, un pequeño troyano descargador que descarga y ejecuta troyanos de la familia Zbot.

    Peculiaridades del spam malicioso

    Montada en la ola de la celebración del día de San Valentín en febrero aumentó la cantidad de mensajes de búsqueda de pareja en Internet. A los mensajes de las bellas muchachas desconocidas que querían iniciar una relación por correspondencia se adjuntaban archivos donde en lugar de las fotografías prometidas había diferentes programas maliciosos, por ejemplo, Trojan.Win32.Reconyc.rb. Se trata de un Trojan-Dropper que instala en el sistema dos diferentes programas maliciosos: uno de ellos es un espía que roba del ordenador todos los documentos (*.docx, *.xlsx, *.pdf) y los envía a determinado buzón; el segundo es un bot-gusano IRC llamado ShitStorm que sabe hacer ataques DdoS contra sitios web y se envía mediante los servicios MSN y P2P. También se encontraron muchos programas maliciosos que pertenecen al grupo de los extorsionadores que bloquean el equipo del usuario y le piden dinero por desbloquearlo. A este grupo pertenece, por ejemplo, Trojan-Ransom.Win23.Gimemo.boyz.

    spamreport_february_11

    También nos topamos con mensajes sin texto cuya temática se podía adivinar por sus títulos, tales como “mira mis fotos desnuda en el adjunto”. En los archivos adjuntos a estos mensajes también se ocultaban programas maliciosos, en particular Backdoor.Win32.Androm.bnaf de la familia Andromeda que permiten a los delincuentes tomar el control del equipo infectado sin que el usuario se dé cuenta.

    Programas maliciosos similares se propagaban en febrero y por medios más comunes, en forma de notificaciones falsas enviadas en nombre de los representantes de redes sociales. Por ejemplo, en mensajes falsificados enviados en nombre de Facebook se decía que desde la última entrada del usuario en el sistema en las páginas de sus amigos habían ocurrido muchos sucesos interesantes y que la información sobre los mismos se podía leer en el archivo adjunto al mensaje. El archivo contenía el programa malicioso Backdoor.Win32.Androm.bmvv de la familia Andromeda mencionado más arriba.

    spamreport_february_12

    Phising

    Según los resultados de febrero, la lista de organizaciones atacadas por los phishers no sufrió cambios significativos.

    spamreport_february_13

    Categorías del TOP 100 de organizaciones atacadas por los phishers

    La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces dentro de mensajes de correo o en Internet.

    El primer puesto lo ocupan las redes sociales (27,3%). Su índice según los resultados del mes se ha reducido en sólo un 0,06%. El índice de los servicios de correo (19,34%) también ha bajado un poco y según los resultados de febrero esta categoría sigue ocupando el segundo puesto. Al tercer puesto han subido las organizaciones financieras y los sistemas de pago (16,73%). La cantidad de ataques phishing en este sector ha aumentado en un 1,1%.

    Los sistemas de búsqueda han bajado al cuarto puesto (16,51%) y su índice se ha reducido en un 0,4%. Al igual que en enero, los provedoores de Internet siguen ocupando el quinto puesto y las compañías TI el sexto (5,85%).

    Los delicuentes envían activamente mensajes phishing en nombre de grandes organizaciones financieras y sistemas de pago de diferentes países con el objetivo de robar información financiera personal. En febrero descubrimos notificaciones fraudulentas enviadas cuyo remitente supuestamente era el banco de Malasia HongLeong, para ser más exactos, el departamento técnico de esta organización. En el mensaje se comunicaba que el banco estaba introduciendo mejoras en la protección de datos y les pedían a todos los clientes confirmar los datos de sus cuentas bancarias siguiendo el enlace indicado en el mensaje. Al hacer clic en el enlace, el usuario llega a una página phishing idéntica a la página oficial de entrada al cabinete personal en el sitio del banco. Todos los datos ingresados se envían a los estafadores, que así reciben acceso ilimitado al cabinete personal de la víctima. Hacemos notar que la dirección en el campo del remitente delataba la falsificación, a pesar de que los estafadores usaban el nombre del banco y trataban de hacer que la víctima creyese que el mensaje lo había enviado una persona real, poniendo el apellido y las iniciales en el nombre del buzón de correo. Pero el nombre de dominio no se parecía en nada al dominio que pertenecía al banco. Se logró establecer que el nombre de dominio pertenecía a la universidad de Australia. Es posible que los estafadores hayan recibido acceso al buzón electrónico y lo usaran para hacer envíos phishing sin que el dueño se diese por advertido.

    Conclusión

    El spam en el tráfico de correo en febrero ha subido un 4,2% alcanzado un promedio del 69,9%. El crecimiento de este índice en comparación con enero está relacionado, entre otras cosas, con el periodo de calma de los primeros días del año.

    En febrero se envió a los usuarios del sector ruso de Internet ofertas festivas de bienes y servicios relacionados con el día de San Valentín. En cambio, en las “cartas nigerianas” los estafadores trataban de falsear las guardas de los usuarios mencionando los sucesos reales de Ucrania y se presentaban como turistas que se habían quedado sin dinero.

    Entre las cartas con adjuntos maliciosos se encontraban tanto notificaciones falsificadas standart, como mensajes de busqueda de pareja en Internet, cuya cantidad creció con el festejo del día de San Valentín.

    Según los resultados de febrero, las redes sociales siguen encabezando la estadística de organizaciones atacadas por phishers. El segundo puesto lo conservan los servicios de correo y el tercero lo han ocupado las organizaciones financieras y los sistemas de pago, cuyo índice ha crecido en un 1,1%.

    Publicaciones relacionadas

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *