Informes sobre spam y phishing

El spam en julio de 2012

Julio en cifras

  • El spam en el tráfico de correo ha disminuido un 0,1% en comparación con junio y este mes ha alcanzado una media del 71,8%.
  • La cantidad de mensajes phishing en el flujo total de spam no ha cambiado en comparación con mayo, quedándose en el 0,01%.
  • En julio, el 4,4% de todos los mensajes electrónicos contenía ficheros maliciosos, un 50% más que el mes anterior.  

Principales temas del spam

Cupones peligrosos

Los servicios de cupones, proyectos en Internet que ofrecen a los usuarios rebajas colectivas, tienen una gran demanda tanto en Rusia como en otros países del mundo. Ya hemos mencionado el tema del uso de los cupones en el informe de spam del segundo trimestre de 2012, donde analizamos las principales tendencias del spam, relacionadas con el surgimiento de los servicios de cupones.

Un envío malicioso masivo realizado en julio nos ha hecho volver al tema del spam de cupones. En un mensaje camuflado de notificación de una nueva promoción del importante servicio de cupones Groupon, venía adjunto un archivo zip que contenía el ejecutable Gift coupon.exe. En realidad, el fichero era el programa malicioso Trojan.Win32.Yakes.aigd.

Es interesante que todos los enlaces en los mensajes con adjuntos maliciosos llevaban al sitio real de Groupon, donde no había ningún objeto peligroso. Es evidente que se trataba de un truco usado por los delincuentes para ganarse la confianza del usuario.

Ya hemos dicho que los spammers han empezado a usar el tema de los cupones para atraer la atención hacia sus envíos masivos tradicionales, como la publicidad de Viagra o las réplicas de artículos de lujo. También existe el spam de cupones propagado por pequeñas compañías de cupones que envían sus ofertas a usuarios que no se han dado de alta para abarcar más público. La aparición del spam malicioso que aprovecha el tema de los cupones era algo predecible, ya que estos servicios gozan de gran popularidad.

El spam en tiempos de crisis

A mediados del verano (en el hemisferio norte) ha crecido la cantidad de mensajes que explotan el tema de la crisis. En este momento la aplastante mayoría de las ofertas de esta rúbrica son publicidad de diferentes seminarios en los cuales se supone que se van a analizar cuestiones de gestión anticrisis.

En los flujos de spam se encuentra una gran cantidad de mensajes que explotan el tema de la crisis para dirigir la atención hacia mercancías “a precio de crisis”. Se han activado mucho las “rebajas anticrisis” usadas para anunciar réplicas de artículos de lujo.

Vale la pena mencionar que en el spam en español han aparecido mensajes que proponen invertir en bienes inmuebles para conservar el dinero durante la crisis.

Los estafadores también siguen aprovechando la difícil situación económica. En el spam en inglés hay una cantidad sin precedentes de ofertas de ganancias dudosas.  Nuestro sistema registra propuestas de “créditos rápidos” en casi todos los idiomas europeos. En los próximos meses la cantidad de estos mensajes crecerá, debido al aumento del desempleo en Europa.

Olimpiadas

Hace tiempo que en los flujos de spam está presente el spam olímpico. Quisiéramos una vez más prevenir a los usuarios que la gran mayoría de los envíos masivos que explotan el tema de las olimpiadas son mensajes fraudulentos sobre premios de lotería. El objetivo de estos mensajes es recibir dinero del usuario en forma de comisión por la transferencia de un fabuloso premio o de los impuestos sobre el mismo.

Otro tipo de spam olímpico son las ofertas de entradas a las competiciones. En la mayoría de los casos estos mensajes los envían delincuentes para obtener los datos financieros del usuario. En algunos casos las entradas pueden ser verdaderas, pero a un precio varias veces mayor.

Ramadán

A mediados de junio empezó el mes sagrado de Ramadán para los musulmanes. Durante este periodo es tradicional que aparezca en el tráfico una gran cantidad de envíos masivos relacionados. Principalmente son los restaurantes musulmanes los que más tratan de difundir su publicidad e invitar a sus clientes después de la oración vespertina. Además, hemos registrado mensajes que ofrecen diferentes bienes musulmanes, entre ellos el “Corán móvil”, para los fieles que no quieren separarse de su libro sagrado.

Análisis estadístico

Países-fuente del spam

A continuación presentamos la estadística de los países-fuente de spam que se envía a los usuarios de Europa y EE.UU.


Países-fuente del spam difundido en el territorio de Europa, julio de 2012 (TOP 20)

Según los resultados del mes, el cuarteto de países líderes en la propagación de spam en Europa no ha cambiado. En el primer lugar está China, cuya participación ha bajado en 4,4 puntos porcentuales. Le sigue India, desde donde se envió el 14% del spam total recibido por los europeos. En el tercer lugar está EE.UU., desde donde procede el 6,5% de todos los mensajes spam enviados a Europa. El último de los cuatro es Brasil, cuya participación casi no ha cambiado en comparación con junio. Un poco menos del 5% del spam europeo se ha enviado desde este país.

Los países asiáticos siguen siendo los que hacen el mayor aporte al envío de spam en el territorio de Europa. Según los resultados de julio, desde ellos se ha enviado el 62% del spam europeo.   

Adjuntos maliciosos en el correo

En julio, el 4,4% de todos los mensajes electrónicos contenía ficheros maliciosos, un 1,4% más que el mes anterior.  

Distribución de las reacciones del antivirus de correo según países


Distribución de las reacciones del antivirus de correo según países, julio de 2012

En la estadística de los países donde con más frecuencia se activa el antivirus de correo, al igual que el semestre anterior, sigue liderando EE.UU. En julio la cantidad de reacciones de Kaspersky Mail Antivirus en este país se redujo en un 0,75%.

Es el tercer mes consecutivo que Alemania ocupa el segundo puesto de nuestra estadística (+0,7%), y le sigue de cerca Inglaterra (+0,3%).

En julio, el cambio más importante ha sido el salto de Italia desde el séptimo al décimo puesto. La cantidad de las reacciones del antivirus de correo en el territorio de este país ha bajado en un 1,4%.

Los cambios de la participación de los demás países no superan el 1%.

TOP 10 de programas maliciosos propagados por correo


TOP 10 de programas maliciosos propagados por correo en julio de 2012

Según los resultados de julio, las detecciones del tradicional líder de nuestra estadística Trojan-Spy.HTML.Fraud.gen han bajado un 1,7%. Es decir, ha bajado un poco la cantidad de mensajes usados para propagar páginas html phishing camufladas de formularios de registro en organizaciones financieras o servicios online.  

En el segundo lugar de la estadística está el programa malicioso Trojan.JS.Iframe.aaz. Representa peligro porque para que el equipo se infecte sólo hace falta abrir el mensaje spam. Este programa es un script que se ejecuta directamente desde el mensaje, si se abre en formato html.  Insistimos en recomendar a los usuarios que venzan su curiosidad y no abran mensajes spam.

El empaquetador malicioso Packed.Win32.Katusha.o, que el mes pasado ocupaba el segundo lugar, en julio perdió popularidad entre los delincuentes. Le corresponden casi la mitad de reacciones del antivirus de correo que el mes anterior. Recordamos que  estos programas se utilizan para evitar que los antivirus detecten otros programas maliciosos y por lo general contienen antivirus falsos.

Los gusanos de correo siguen presentes en la estadística. Sin embargo, en julio sólo los tres programas más persistentes entraron en el TOP 10: Mydoom.m, NetSky.q y Bagle.gt. Las funcionalidades de los dos primeros gusanos se reducen a dos: recopilar direcciones de correo en el equipo infectado y enviarse a sí mismos a éstas. Bagle.gt también puede conectarse a Internet para descargar otros programas maliciosos.

Dos programas de la familia Trojan.Win32.Androm, que el mes pasado entraron a la estadística por primera vez, están de nuevo entre los diez programas maliciosos más detectados por el antivirus de correo. Estos programas maliciosos, al instalarse en el sistema del usuario, descargan de Internet otros programas maliciosos.

Phishing

La cantidad de mensajes phishing en el flujo total de spam no ha cambiado en comparación con mayo, quedándose en el 0,01%.


Categorías del TOP 100 de organizaciones atacadas por los phishers, julio de 2012 

La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, ya sean enlaces en mensajes de correo spam o en Internet.

Siguen en aumento los ataques contra las redes sociales, mientras en segundo plano disminuyen los ataques contra las organizaciones financieras. Según los resultados de junio, de todos los ataques phishing, el 25,8% fueron ataques contra las redes sociales y sólo el 22,2% contra organizaciones financieras. Al mismo tiempo, la cantidad de ataques phishing contra tiendas online se redujo en casi un 1% y constituye el 18,4%.

La red social más popular, Facebook, sigue estando en el centro de la atención de los delincuentes. Esto es una peculiaridad de la categoría “redes sociales”. Si bien en la categoría “Bancos” entra una gran cantidad de organizaciones, cada una de ellas representa solo el 1,5% del total de ataques phishing, mientras que en la categoría “Redes sociales” hay un claro líder. Esto no es sorprendente, ya que la mayoría de los usuarios de las redes sociales usan Facebook. Mientras que, entre las organizaciones bancarias no hay un banco cuyos servicios use la mayoría de los clientes.

Tendencias temáticas del spam


Categorías temáticas del spam en julio de 2012

Según los resultados de julio, el spam de la categoría “Finanzas personales” y “Fármacos” ha crecido en aproximadamente un 3% cada una, lo que ha hecho inevitable que la cantidad de spam de las demás temáticas se reduzca. La mayor parte de los envíos masivos en la temática “Finanzas personales” son ofertas de ganancias dudosas. Las razones de tan alto nivel de este spam son las mismas de antes. En primer lugar, debido a la compleja situación económica, el nivel de desempleo en Europa es muy alto, y los spammers por supuesto lo aprovechan. En segundo lugar, las actividades de los compradores todavía es baja porque continúa el periodo de vacaciones, lo que hace que sea poco ventajoso hacer publicidad de bienes y servicios. Suponemos que agosto traerá serios cambios en el tráfico de spam europeo cuando acabe el periodo de calma provocado por las vacaciones.

Conclusión

En el periodo de calma de verano los spammers tienen menos solicitudes de sus clientes. En consecuencia, propagan con más empeño spam de sistemas de afiliados, que también contiene spam malicioso. Por esto, y también por la influencia de la compleja situación económica, el tráfico de correo basura se hace cada vez más peligroso. La cantidad de adjuntos maliciosos en los mensajes ha crecido en un 50% el último mes. Y entre los programas maliciosos populares en el correo, en el segundo puesto hay un script que se ejecuta al abrir el mensaje. Subrayamos que, además del 4,4% del correo con adjuntos maliciosos, existe también spam malicioso que contiene enlaces maliciosos.

No son menos peligrosos los mensajes de estafadores, cuya cantidad está en constante aumento. Se trata tanto de los mensajes nigerianos, como de las ofertas de ganancias dudosas y créditos rápidos: todos estos mensajes tienen el objetivo de robarle dinero a los usuarios o de hacerlos participar en esquemas delictivos.

Agosto corre el riesgo de convertirse en el mes con la más alta peligrosidad del spam. El año pasado, la cantidad de mensajes con adjuntos maliciosos en el último mes de verano era de casi el 6%. Este año, todo parece indicar que esta potente explosión de envíos de código malicioso se va a repetir.

Insistimos en recomendar a los usuarios que no abran mensajes spam. Esta recomendación es siempre actual, pero ahora, con la evidente tendencia de aumento de la peligrosidad del tráfico de correo basura, hay que tomarla con especial seriedad.

El spam en julio de 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada