Informes sobre spam y phishing

El spam en julio de 2013

Julio en cifras

  • El porcentaje de spam en el tráfico de correo en el mes de julio aumentó en sólo un 0,1%, alcanzando el 71,2%.
  • El nivel de mensajes phishing disminuyó más de la mitad en relación al mes de junio, quedando en el 0,0012%.
  • Se detectaron adjuntos maliciosos en el 2,2% de todos los mensajes de correo, lo que significa un aumento del 0,4% en comparación al mes anterior.

Actualidad spam

Temas candentes en el spam

En julio los spammers continuaron realizando envíos masivos en los que explotaban el interés público en los principales sucesos del mes.  Por ejemplo, los spammers no desaprovecharon el tan anticipado nacimiento del bebé real en Gran Bretaña y el escándalo de espionaje provocado por Edward Snowden, y siguieron la tradición de enviar mensajes de correo con enlaces maliciosos que imitaban mensajes de noticias con enlaces a los acontecimientos de última hora.

Además, explotaron el interés del público en estos sucesos para desviar su atención hacia publicidad spam. Por ejemplo, aprovecharon ampliamente la agitación alrededor del nacimiento del futuro heredero de la corona británica para publicar avisos de servicios de imprenta y equipo de publicidad. En honor a ocasión, la compañía ofrecía descuentos por la impresión de carteles desplegables.

 

Y utilizaron el escándalo relacionado con el ex miembro de la inteligencia norteamericana Edward Snowden para publicitar productos de adelgazamiento. El truco consistía en que estos artículos ni siquiera se mencionaban en el asunto del mensaje de correo, y el texto del mensaje ofrecía detalles del caso Snowden en lugar de métodos de adelgazamiento. Sin embargo, el enlace a la “información” incrustado en el mensaje conducía a una página publicitaria.

Un envío masivo de correo en alemán utilizó apropiadamente el nombre de Edward Snowden para promover soluciones de seguridad informática. En este mensaje se instaba a los usuarios a comprar el producto publicitado a raíz de que las revelaciones de Snowden evidenciaban que el espionaje en Internet era una realidad.

 

Ramadán

En 2013, el mes sagrado musulmán del Ramadán comenzó a principios de julio. Cada año se registran envíos masivos que explotan este tema. Y este año no fue la excepción ya que se detectaron varios envíos masivos en inglés que incluían no sólo la tradicional publicidad propicia para esta época, como restaurantes nocturnos y alimentos, sino también publicidad de automóviles y vacaciones de verano para niños.

 

Nuevos protagonistas en las cartas nigerianas

Los autores más conocidos de las cartas nigerianas suelen ser parientes o asociados de personajes ricos y famosos que murieron o que se encuentran en dificultades. En julio, fue derrocado el presidente egipcio Mohammed Morsi. A pocos días de este hecho, un envío masivo fraudulento explotaba esta historia.

El mensaje, supuestamente redactado por el ex secretario del presidente derrocado, decía que todas las cuentas de Morsi se habían congelado y que tanto el ex presidente como su secretario estaban bajo arresto domiciliario, y que Morsi buscaba un musulmán que pudiera transferir los fondos del presidente desde un banco europeo a su propia cuenta. La recompensa, por supuesto,  era una tentadora suma de dinero. Sin embargo, la tradición de las cartas nigerianas demuestra que las víctimas no sólo se decepcionan cuando los supuestos ricos no aparecen, sino que es muy probable que los estafadores les sonsaquen su propio dinero bajo falsos pretextos.

 

Una rara variedad de fraude

En julio recibimos un mensaje de correo que portaba una muy rara variedad de fraude. Los usuarios recibieron una notificación supuestamente enviada por el grupo bancario Australia and New Zealand Banking Group informándoles que se les había restringido el acceso a sus cuentas. Para recuperar su acceso, los destinatarios debían llamar al número telefónico incluido en el mensaje. Los riesgos eran obvios: podría tratarse de un número comercial que drena el dinero de la cuenta de las víctimas, o podría ser un intento de extorsión telefónica para obtener información bancaria.

 

Spam malicioso estival

En el verano, el spam turístico es muy popular y seguimos detectando mensajes maliciosos enviados supuestamente por varias aerolíneas. En julio registramos una falsa notificación de parte de "United Airlines”. Este mensaje informaba a los usuarios que habían cambiado los números de asientos de un inminente vuelo y que la información actualizada sobre el vuelo se encontraba en el archivo comprimido adjunto “flight document upgrade.doc.zip”. Este archivo comprimido contenía un archivo ejecutable bajo ese nombre (actualización de información del vuelo) que Kaspersky Lab detecta como Backdoor.Win32.Vawtrak.a.

 

Los ciberestafadores utilizan este troyano puerta trasera para robar las contraseñas almacenadas en los navegadores, así como las contraseñas para FTP y clientes de correo. Este programa malicioso también envía capturas de la pantalla del escritorio del usuario y permite a los ciberdelincuentes el acceso completo al equipo infectado y así poder descargar y ejecutar varios archivos.

Artículos y servicios para mascotas

En julio se registraron envíos masivos con publicidad de artículos y servicios para mascotas. Todo el mundo trata a sus mascotas como parte de la familia, por lo que la demanda de artículos y servicios para estos animalitos es considerable. Esta demanda genera ofertas que suelen promocionarse a través de mensajes spam en ruso y en inglés.

Los mensajes spam en inglés suelen publicitar artículos y alimento para mascotas a bajo precio.

 

Distribución geográfica de las fuentes de spam

En julio no se presentaron cambios significativos entre las principales fuentes de spam en todo el mundo.

 
Fuentes de spam en el mundo, por país

China mantuvo la primera posición con el 23,4% de todo el spam enviado, lo que evidencia una pequeña disminución respecto al mes anterior (23,9%). El segundo lugar correspondió a EE.UU., con el 18% del flujo mundial de spam, es decir, un aumento del 0,8% en relación a junio. Corea del Sur se colocó en el tercer puesto con un leve aumento del 0,4%, alcanzando el 14,9%. En total, estos tres líderes fueron responsables de más de un tercio del spam que circula en todo el mundo.

En julio, India trepó de la décima a la séptima posición (3%) al aumentar su participación en el flujo mundial de spam en un 0,4%. Japón redujo su contribución en casi tres veces, del 2,7% al 0,96%, (un 1,74%), lo que hizo que este país cayera a la 16? posición desde la 9? que ocupaba en junio. Rusia volvió al Top 10 con el 2,3% de spam de participación en el flujo de spam.

Curiosamente, la participación de Rumania creció en un 0,6%, alcanzando el 1,9%, lo que le valió saltar de la 14? posición a la 11?.

En julio, el Top 20 de las fuentes de spam dirigido a los usuarios en Europa se veía así:

 
Fuentes de spam en Europa, por país

En julio se registraron pocos cambios entre los líderes de esta clasificación. Corea del Sur se mantuvo como la principal fuente del spam enviado a los usuarios europeos (57,4%): su participación aumentó en un 2,1%. Es probable que esta tendencia de crecimiento se mantenga en el mes siguiente. Taiwán (4,3%) y Estados Unidos (4%) se posicionaron en el segundo y tercer lugar, respectivamente.  

Italia (1,9%) cayó de la segunda a la octava posición: en julio, este país produjo un 4,8% menos de spam en comparación con el mes de junio.

Alemania volvió a la lista: con una participación del 1,6% en el spam enviado a los usuarios en Europa, y ascendió a la décima posición en la clasificación de julio.

 
Fuentes de spam por región

Asia, con el 55,2%, se mantuvo como la principal fuente de spam por región, a pesar de tener una disminución del 2,1% respecto al mes anterior. Tal como sucedió en el mes anterior, el Top 3 también incluyó a Norteamérica (19,4%) y Europa oriental (14%): el volumen de spam generado en estos países creció en un 0,7% y un 1,1%, respectivamente.

Adjuntos maliciosos en el correo electrónico

En julio se detectaron adjuntos maliciosos en el 2,2% de los mensajes de correo, lo que significa un aumento del 0,4% respecto a junio.

 
Top 10 de programas maliciosos propagados por correo electrónico en julio de 2013

En julio, Trojan-Spy.html.Fraud.gen se mantuvo como el programa malicioso más propagado con  el 2,9%. Este programa malicioso aparece como páginas HTML que imitan los formularios de registro de varios bancos o sistemas de pago electrónico conocidos, y los phishers los usan para robar los datos del usuario de sistemas de banca online.

Seis de las diez posiciones de la clasificación correspondieron a representantes de la familia ZeuS/Zbot. Este es uno de los troyanos espía más populares y sus modificaciones se han propagado masivamente mediante mensajes de correo en los últimos años. Este troyano está diseñado para robar los datos confidenciales del usuario, incluyendo la información de su tarjeta de crédito.

Los ciberestafadores suelen usar Zbot en falsas notificaciones supuestamente enviadas por bancos, tiendas online, sitios de redes sociales o reconocidos servicios de entrega a domicilio. Estas notificaciones están diseñadas para inducir al destinatario a abrir el adjunto malicioso.

 

Las modificaciones en la familia Zbot suponen el 23,4% de todos los programas maliciosos propagados por mensajes de correo en el mes de julio.

Email-Worm.Win32.Bagle.gt. se colocó en la tercera posición, una menos que en el anterior mes, debido a una caída del 0,1% en su participación. Como la mayoría de los gusanos de correo, se autoenvía a las direcciones de la lista de contactos de la víctima. También puede ponerse en contacto con un centro de comando y descargar otros programas maliciosos en el equipo del usuario.

Email-Worm.Win32.Mydoom.m ocupó la octava posición gracias a un aumento del 0,14% en su participación. Además de su capacidad de autoenviarse, también envía peticiones de búsqueda a motores de búsqueda como Google, Yahoo, Altavista y Lycos. El gusano compara las direcciones de los sitios que aparecen en la primera página de los resultados de la búsqueda, con las direcciones que ha descargado desde los servidores de los ciberdelincuentes. Tras encontrar coincidencias, abre el enlace en la página del motor de búsqueda para aumentar el tráfico hacia el sitio y la posición del sitio en los resultados de búsqueda.

Trojan-Dropper.Win32.Dorifel.afpu. completa el Top 10. Su principal función es ejecutar los comandos enviados desde un servidor remoto y descargar y ejecutar otros programas maliciosos.

Curiosamente, SMS-Flooder.AndroidOS.Didat.a ocupó la 15? posición. Esta fue la primera vez que un programa malicioso para Android aparecía tan alto en la clasificación. La función de SMS-Flooder.AndroidOS.Didat.a le permite lanzar envíos masivos de mensajes SMS. Se preveía un aumento en la cantidad de programas maliciosos para Android y coincide con la previsión de crecimiento de este tipo de programas maliciosos.

 
Clasificación de detecciones de correo antivirus por país

Después de la anomalía en junio, los líderes habituales recuperaron sus posiciones: Estados Unidos ocupó el primer lugar, con un aumento del 4,1%, seguido por Alemania, con un alza del 1,7%, e India, con un incremento del 0,8%.

Reino Unido subió de la octava a la cuarta posición, desplazando a Australia al quinto lugar.

El porcentaje de detecciones antivirus para otros países no mostró cambios notables.

Phishing

El porcentaje de mensajes de correo phishing en el flujo mundial de spam disminuyó en más de la mitad en relación al mes de junio, quedando en el 0,0012%.

 
Clasificación de las Top 100 organizaciones atacadas por phishers, por categoría*

Esta clasificación se basa en las detecciones del componente antiphishing de Kaspersky Lab, que se activan cada vez que un usuario intenta pulsar un enlace phishing, tanto si se encuentra en un mensaje de correo spam como en una página web.

En julio, los usuarios de los sitios de redes sociales siguieron siendo el blanco más codiciado de los ataques phishing, aunque se registró un descenso del 1,7%, quedando en el 29,6%.

El volumen de los ataques en la categoría Servicios de correo y mensajería instantánea aumentó en un 4,4%, lo que la llevó del cuarto al segundo lugar. Tanto la categoría Motores de búsqueda, con el 15,5%,  como la categoría Servicios financieros y de pago online, con el 13,3%, cedieron un lugar, cayendo al tercero y cuarto, respectivamente.

La lista de organizaciones que ocuparon del quinto al octavo lugar permaneció invariable: la participación de Vendedores IT, con el 8,5%, y Proveedores de Internet, con el 7,1%, cayó en apenas un 1% desde el mes de junio, mientras que la de Tiendas Online, con el 6,4%, y Juegos Online, con el 0,83%, aumentó levemente.

En julio, el sistema de crédito británico Wonga se usó como base para un clásico ataque phishing. Una falsa notificación, enviada supuestamente por la compañía, informaba a los destinatarios sobre un problema con la base de datos de la cuenta, y  que si no actualizaban sus cuentas, éstas se bloquearían. Estas actualizaciones podían hacerse en cualquier oficina de la compañía o descargando y completando el formulario adjunto para después enviarlo por correo electrónico. El mensaje contenía el documento html adjunto en el que los usuarios debían ingresar su dirección de correo y la contraseña de su cuenta. Esta información les proporcionaba a los ciberestafadores el acceso a estas cuentas, y al dinero de las víctimas.

 

El grupo Alibaba de compañías online fue un nuevo blanco en julio. Se enviaron falsas notificaciones en nombre de esta compañía a proveedores de los artículos ofrecidos en la tienda online Alibaba Showroom. El mensaje decía que había clientes interesados en los artículos ofrecidos en el sitio. Para acceder a un documento importante, el destinatario debía ingresar mediante el enlace incorporado en el mensaje. En realidad, el enlace conducía a una página phishing fraudulenta con campos para la dirección de correo y contraseña de la víctima.

 

Conclusión

En julio, la participación de los mensajes en el tráfico de correo superó el 70%.

El verano es una época de vacaciones en la que decae la actividad en Internet, tanto de parte de los usuarios como de los anunciantes. Como es habitual en esta época, los spammers suelen recibir pocos pedidos. Es por eson que reorientan sus actividades a la distribución de spam de partners que incluye mensajes maliciosos.  En julio, la proporción de adjuntos maliciosos en el tráfico de correo superó el 2%.  Al mismo tiempo, los troyanos espía diseñados para robar la información financiera de sus víctimas fueron los programas maliciosos más populares distribuidos mediante mensajes de correo: por ejemplo, las modificaciones en la familia Zbot supuso el 23,4% de todos los programas maliciosos propagados por mensajes de correo en el mes de julio.

En el Top 20 de julio, un programa malicioso para Android ocupó la 15? posición. Esta fue la primera vez que un programa malicioso para esta plataforma móvil llegaba tan alto en la clasificación. La cantidad de smartphones con plataforma Android sigue aumentando. Prevemos que la cantidad y diversidad de los programas maliciosos para Android seguirá aumentando en los mensajes de correo. Lo más probable es que muy pronto a los programas que envían mensajes de texto se unan troyanos diseñados para robar información confidencial. Recomendamos a los usuarios que tomen ahora las medidas necesarias para proteger sus ordenadores de escritorio y sus dispositivos móviles.

Julio fue abundante en noticias de interés mundial. Como es habitual, los spammers explotaron el interés del público en estos sucesos enviando mensajes de correo que contenían enlaces maliciosos camuflados como noticias. Los ciberestafadores no dejaron escapar la oportunidad de aprovecharse de los sucesos mundiales más importantes: se detectaron las clásicas cartas nigerianas escritas por supuestos seguidores de Mohammed Mursi, el depuesto presidente egipcio. 

La disminución de la actividad en Internet durante los meses estivales probablemente contribuyó a la reducción del volumen de mensajes phishing en el tráfico de correo. Entre las organizaciones más atacadas por los phishers se observó un aumento en los Servicios de correo y mensajería instantánea, aunque no de forma tan dramática como en junio. Seguramente se trata de algo temporal y se debe a la época de vacaciones de verano. Es posible que en agosto permanezcan en un nivel alto los ataques a los Servicios de correo y mensajería instantánea, pero esta situación puede cambiar en septiembre.

El spam en julio de 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada