Peculiaridades del mes
El spam festivo de julio estuvo dedicado al mes sagrado de los musulmanes, el Ramadán. En los mensajes indeseables se encontraban ofertas de envío de publicidad a los teléfonos y buzones de los usuarios de Internet, como también mensajes fraudulentos que pedían ayuda en la inversión de dinero. En el tráfico de spam de julio también se encontraban ofertas de artículos y servicios de belleza.
Ramadán
En julio los spammers siguieron explotando el mes sagrado de Ramadán para hacer publicidad de servicios de organización y realización de envíos masivos por correo electrónico y mensajes de texto. Los mensajes estaban escritos en inglés, y el texto y el tema seducían al destinatario con ofertas especiales y rebajas por ocasión de la principal fiesta musulmana. Los mensajes publicitarios que ofrecían enviar mensajes de texto a los teléfonos de los habitantes de los Emiratos Árabes Unidosš se enviaban desde servicios gratuitos de correo electrónico y tenían el mismo diseño gráfico. En los mensajes se usaban diferentes fuentes tipográficas y se ponían varios datos de contacto, por ejemplo, los números de teléfonos en el cuerpo y el tema del mensaje eran diferentes; en algunos mensajes se indicaba el sitio de la compañía que se encargaba del marketing por mensajes de texto.
Los estafadores “nigerianos” que trataron de atraer la atención de los usuarios deseándoles “Feliz Ramadán” en el cuerpo y tema del mensaje tampoco inventaron nada nuevo. šLos mensajes fraudulentos que pedían ayuda en la inversión de dinero en algún proyecto de negocios con una gran recompensa no sólo estaban dirigidos a los usuarios de habla inglesa, sino también a los de árabe.
Vale decir que ahora en los flujos de spam se encuentran con frecuencia mensajes en los lenguajes más diversos. En particular, en el último año ha aumentado la cantidad de spam en idiomas semíticos, entre los cuales está el árabe. Pero al mismo tiempo, el tema de los mensajes estaba escrito en inglés y no en árabe. Lo más probable es que los spammers cuenten con que este mensaje capture la atención de la mayor cantidad de usuarios, ya que el inglés es el idioma más difundido.
El autor de uno de los mensajes se presentaba como una madre musulmana y mencionaba la compleja situación política en Siria, que hace que las inversiones en ese país sean peligrosas. En este caso, cuando el contenido del texto implica que el autor debe dominar el árabe, el texto en este idioma puede usarse como un truco para darle más autenticidad al mensaje.
La belleza del spam
Entre los envíos masivos de mayor envergadura que detectamos en julio, podemos destacar el spam con ofertas de adquirir diferentes productos de belleza para mujeres destinados al cuidado de la piel del cuerpo y de la carta, además de ofertas de salones de belleza y centros de estética. Mediante el spam se trataba de vender numerosos productos para lavarse, cremas contra arrugas, “elixires de la juventud” y demás productos de belleza. Los remitentes ofrecían enviar muestras de cualquier producto para convencer a los usuarios de su calidad y prometían devolver el dinero si el producto no daba resultados satisfactorios. Con frecuencia llamaban la atención de los clientes potenciales con promesas de hacer llegar el pedido con rapidez y de forma gratuita a cualquier país.
Las diferentes clínicas estéticas ofrecían activamente servicios de depilación con láser que se podían pagar con grandes descuentos o recibir completamente gratis si se ganaba un supuesto sorteo. Con frecuencia trataban de entusiasmar a las clientes con imágenes y frases que remarcaban la necesidad de este tratamiento en plena temporada de playas. A menudo estos mensajes estaban llenos de textos que no tenían ninguna relación con los productos y servicios ofrecidos. En algunos casos la cantidad de textos no relacionados podía ocupar la mitad del mensaje, como en el ejemplo de abajo. Los nombres de los remitentes de estos mensajes eran una combinación de letras y cifras generadas al azar. Los nombres de los centros publicitados y clínicas se mencionaban en los mensajes, por lo que no era difícil encontrarlos en los sistemas de búsqueda. En cambio los enlaces de los mensajes llevaban a sitios de spam en dominios registrados hace poco tiempo con ofertas similares o completamente diferentes de bienes y servicios.
El spam refrescante
El verano y el pertinaz calor han favorecido el crecimiento de la cantidad de ofertas de artículos relacionados: en el tráfico de spam se desplegó una activa publicidad de películas protectoras solares para ventanas, ventiladores, acondicionadores de aire y servicios de reparación y mantenimiento técnico. Con frecuencia se encuentran mensajes de venta de refrigeradores de agua y de agua embotellada. Prometían entregar el líquido elemento a los clientes a domicilio o a su oficina por precios especiales de verano y con regalos adicionales, por ejemplo, canastas de frutas, durante todo el resto de la estación. El pedido se podía hacer llamando a los números de teléfonos indicados en los mensajes.
Entre los artículos de verano las gafas de sol también gozaron de especial popularidad entre los spammers. Sobre todo se trataba de copias de marcas conocidas y populares, que se vendían con una enorme diferencia en el precio, en comparación con el original. No era raro que en estos mensajes se usara el logotipo de la marca original y además había logotipos de diferentes redes sociales donde la marca estaba representada oficialmente. Pero estos últimos eran simples pictogramas y no conducían a ningún sitio web. Todo esto se hacía sólo para darle apariencia oficial a los mensajes spam. Al hacer clic en los enlaces de los mensajes, el usuario, después de una serie de redirecciones, llegaba a una tienda online de gafas de sol creada hace poco tiempo. En los nombres de los sitios web con frecuencia estaban las palabras glasses o sunglasses. A veces entre las series de letras y cifras que componía la dirección del sitio se podía discernir el nombre deformado de la marca de gafas.
Estadísticas
Porcentaje de spam en el tráfico postal
En promedio, la cantidad de spam en el tráfico de spam en julio fue del 67%, un 2,2% más que el mes anterior. El mayor porcentaje de spam se observó en la segunda semana del mes (67,6%) y el menor, en la primera (66%).
Porcentaje de spam en el tráfico postal
Distribución geográfica de las fuentes de spam
Según los resultados de julio, la lista de países-fuente de spam propagado por todo el mundo es el siguiente.
Países fuente de spam
El primer puesto le pertenece a EE.UU. que propagó el 15,3% de spam, un 2,2% más que el mes anterior. Le sigue Rusia: la cantidad de spam enviado desde este país constituyó el 5,6% (un 1,4% menos que en junio). El tercer puesto lo ocupa China, desde donde se envió el 5,3% del spam en el mundo, un 0,3% menos en comparación con el mes anterior.
En el cuarto puesto está Argentina (4,2%). Su porcentaje casi no ha cambiado en un mes, pero en la estadística este país ha subido un puesto. En el quinto puesto está Ucrania (4,1%), cuyo índice ha crecido un 0,9% en un mes.
En Vietnam (3,5%) se ha observado una reducción del 1,8% en el spam. Por esta razón, este país ha bajado del cuarto al octavo lugar.
El décimo puesto lo ocupa Francia con un índice del 2,63%, desplazando a India (2,59%) al undécimo lugar.
Adjuntos maliciosos en el correo
En julio el TOP 10 de los programas maliciosos propagados por correo es el siguiente:
TOP 10 de programas maliciosos propagados por correo electrónico
Esta vez Trojan.Win32.Yakes.fize, que es un troyano-descargador de la familia Dofoil, está a la cabeza de la estadística. El programa descarga un fichero malicioso en el equipo del usuario, lo ejecuta, roba diversa información (sobre todo contraseñas) y se la envía a los delincuentes.
En el segundo puesto está un programa que conocemos bien, Trojan-Spy.HTML.Fraud.gen, el cual durante muchos meses se mantuvo en el primer lugar del malware más difundido en el tráfico de correo. Recordamos que este representante de la familia de troyanos Fraud.gen es una página HTML falsificada que se envía por correo electrónico camuflada como una notificación importante de los grandes bancos comerciales, tiendas online, compañías de software, etc.
En el tercer puesto de junio está Trojan.JS.Redirector.adf, una página HTML que contiene un código que remite al usuario al sitio del delincuente. En el sitio por lo general le ofrecen al usuario descargar Binbot, un servicio de comercio automático de opciones financieras, que ahora son muy populares en Internet. El malware se propaga mediante adjuntos de correo.
Más adelante está Backdoor.Win32.Androm.enji, una variante del bot modular universal Andromeda (también conocido como Gamarue) que puede servir de fundamento para construir una botnet con las más variadas funciones. Las funciones del bot se expanden mediante un sistema de plugins que los delincuentes descargan en cualquier cantidad en cualquier momento que les sea cómodo.
El quinto puesto lo ocupa Trojan-Banker.Win32.ChePro.ink.š Es un descargador implementado en forma de un applet CPL (componente del panel de administración) y que se encarga de descargar troyanos destinados al robo de información financiera confidencial. En su gran mayoría, los programas maliciosos de este tipo tienen como blanco a los bancos brasileros y portugueses.
En el octavo puesto tenemos a Trojan-Ransom.Win32.Cryptodef.ny, un malware que tiene la capacidad de cifrar ficheros en el equipo del usuario para después bloquear la pantalla y mostrar un mensaje que pide pagar para recuperar los ficheros.
El décimo puesto lo ocupa Trojan.Win32.Bublik.cran. El programa malicioso Bublik es uno de los troyanos descargadores más comunes que descargan y ejecutan un fichero malicioso en el equipo del usuario.
Distribución de las reacciones del antivirus de correo según países
Los tres primeros puestos en julio siguen sin cambios: Alemania (11,7%, un 4,71% menos que en junio), EE.UU. (9,82%, +0,28%) e Inglaterra (6,9%, +0,10%).
India (5,16%) ha pasado a Brasil (3,94%) y ocupado el cuarto puesto con un porcentaje que creció en un 0,54%. En el quinto puesto está Italia (+1,2%) que en un mes ha subido dos posiciones.
Rusia (3,40%) ha aumentado un 1,37% y subido del decimotercer al octavo puesto de la estadística.
También notamos una baja en la cantidad de reacciones del antivirus de correo en el territorio de los Emiratos Árabes unidos: este país ha bajado seis posiciones y perdido un 1,09%.
En julio Polonia ha ingresado al TOP20 para ocupar el decimonoveno puesto con el 1,42 del total de detecciones del antivirus.
Los índices de otros países no han sufrido cambios sustanciales.
Peculiaridades del spam malicioso
En julio hemos observado un aumento de la cantidad de notificaciones falsas en portugués enviadas en nombre del popular mensajero instantáneo para smartphones WhatsApp.
En un caso se trataba de advertencias sobre la violación de las condiciones de uso de la aplicación y las posibles consecuencias, como el bloqueo de la cuenta. Según el texto de los mensajes, las violaciones las denunciaron los usuarios que habían recibido del dueño de la cuenta contenidos prohibidos (foto y vídeo). Los autores de los mensajes informaban que debido a los frecuentes casos de violaciones tenían derecho a bloquear temporalmente la cuenta del usuario (de 5 a 90 días) hasta que no se establezca el número de identificación internacional del dispositivo desde donde se envió el contenido prohibido. Al final del mensaje se le proponía al usuario leer las condiciones de uso de la aplicación, para lo cual era necesario pulsar el botón correspondiente. Desde esta dirección se descargaba al equipo del usuario Trojan-Downloader.Win32.Genome.a, un descargador en forma de un aplet .cpl (componente del panel de administración). A continuación, el malware descargaba desde el enlace preparado por los delincuentes un troyano bancario, una de las variantes de Trojan-Banker.Win32.ChePro. Además, el bancario podía descargar en el sistema del usuario el virus Virus.Win32.Hidrag.a, que infecta los ficheros ejecutables.
En otro caso los mensajes falsos notificaban al usuario que después de varios meses de trabajo al fin se había creado WhatsApp para PC y ahora el destinatario del mensaje podía comunicarse con sus amigos en tiempo real mediante un ordenador personal. Para despertar más interés, en el mensaje también se mencionaba que 11 usuarios ya habían enviado a este usuario solicitudes de amistad. Para saber quiénes eran había que descargar la última versión del mensajero para PC en el enlace ofrecido. Hay que destacar que desde principios de 2014 hemos empezado a detectar mensajes similares, en diferentes variantes.
Como en los casos anteriores, en vez del programa deseado el usuario recibía un archivo ZIP que contenía un programa malicioso, que esta vez era el dropper Trojan-Dropper.Win32.Dapato.egel. Su tarea es conectarse con un host brasileño remoto para descargar y ejecutar un troyano bancario destinado al robo de los datos financieros del usuario. El dropper también se copia a sí mismo a С:Documents and SettingsAdministratorLocal SettingsApplication Data bajo el nombre de BaRbEcuE.exe y allí crea un fichero indicador de su presencia con el nombre windataup.inf, donde escribe la fecha y, por fin, se inscribe en el fichero de arranque automático.
Phising
Según los resultados de julio, en los equipos de los usuarios de los productos de Kaspersky Lab se registraron 20 157 877 reacciones del sistema antiphishing.
La tendencia del trimestre anterior se ha conservado: los phishers atacaron con más frecuencia a los usuarios en Brasil: el sistema antiphishing reaccionó por lo menos una vez en los equipos del 18,17% de usuarios brasileros. El dinamismo de los estafadores en Brasil probablemente esté relacionado con el mundial de fútbol que tuvo lugar en este país y terminó en julio.
Territorios de los ataques phishing*, julio de 2014
* Porcentaje de usuarios en cuyos equipos reaccionó el sistema antiphishing, del total de usuarios de los productos de Kaspersky Lab en el país.
TOP 10 de países según la cantidad de usuarios atacados:
País | % usuarios | |
1 | Brasil | 18,17 |
2 | India | 12,99 |
3 | Australia | 11,10 |
4 | Francia | 10,73 |
5 | Kazajistán | 10,62 |
6 | Inglaterra | 10,15 |
7 | Emiratos Árabes Unidos | 10,14 |
8 | República Dominicana | 10,11 |
9 | Canadá | 9,61 |
10 | Ucrania | 9,53 |
Organizaciones que fueron blanco de los ataques
La estadística de los blancos de los ataques de los phishers está basada en las reacciones del componente heurístico del sistema antiphishing. El componente heurístico del sistema “Antiphishing” se activa cuando el usuario sigue un enlace en una página phishing y la información sobre esta página todavía no está registrada en las bases de datos de Kaspersky Lab. Y no importa de qué manera se siga el enlace: pulsándolo en un mensaje phishing, en los mensajes de la red social o si es provocado por las acciones de un programa malicioso. El efecto de la detección es que el usuario visualiza en su navegador un banner que le advierte sobre la posible amenaza.
En los informes anteriores usamos una selección del TOP 100 de las organizaciones atacadas para hacer un análisis de los blancos de los ataques phishing. Este mes analizamos la estadística de todas las organizaciones atacadas.
Según los resultados de julio, los portales de correo y búsqueda (29,49%) siguen liderando la estadística de las organizaciones atacadas por los phishers con un índice que ha crecido en un 2,67%. Ha disminuido en un 3,2% la cantidad de ataques phishing contra las redes sociales (14,61%).
Distribución de las organizaciones atacadas por los phishers* por categorías, julio de 2014
Para efectos de comparación presentamos los datos del mes anterior:
Distribución de las organizaciones atacadas por los phishers* por categorías, junio de 2014
El phishing financiero causó el 41,85% de las reacciones del componente heurístico del sistema antiphishing, un 7,86% más que el mes anterior. Ha aumentado la cantidad de detecciones en las categorías “Bancos” (+2,25%), “Tiendas online” (+2,64%) y “Sistemas de pago” (+2,97%). Entre los sistemas de pago, Paypal ha mostrado el crecimiento más notable (3,24% de la cantidad total de detecciones) en julio el índice de este sistema creció en un 2,27%.
A finales de este mes nos topamos con un curioso ejemplo de phising enviado en nombre de PayPal. En los mensajes fraudulentos se notificaba al usuario que había recibido un pago del usuario Craigslist (lo más probable es que se trate del nombre del sitio de anuncios electrónicos Craigslist) pero que el dinero no se podía transferir al usuario debido a errores en la cuenta de PayPal.
El mensaje ha llegado desde una dirección que no pertenece a PayPal, lo que es un indicio típico de que estamos ante un mensaje phishing
Para corregir el error, le proponían al usuario descargar de inmediato el formulario adjunto al mensaje, abrirlo y rellenarlo.
Para elaborar el formulario se usaron elementos del diseño gráfico de los sitios de PayPal
Mediante el formulario phishing los delincuentes obtienen información confidencial como dirección de correo electrónico y su contraseña, nombre completo, fecha de nacimiento, apellido de soltera de la madre, dirección, número de tarjeta bancaria, su fecha de vencimiento y CVV, además de la contraseña del servicio Verified by Visa o MasterCard SecureCode. Tal cantidad de información financiera personal les da a los estafadores una gran cantidad de posibilidades de robar a los usuarios sus ahorros electrónicos.
Si damos un vistazo al códido HTML de la página podemos ver que todos los datos ingresados en el formulario se enviarán a una página que no tiene nada que ver con PayPal.
TOP 3 de organizaciones más atacadas
Organización | % cantidad de detecciones | |
1 | Google Inc | 11,64% |
2 | 9,64% | |
3 | Windows Live | 6,28% |
En julio de 2014 el primer puesto lo han ocupado los enlaces phishing a páginas falsificadas de servicios de Google, con un índice del 11,64% de todas las detecciones del componente heurístico antiphishing.
Ha crecido notablemente en el último mes el phishing lanzado contra Windows Live, el portal global de Microsoft (incluido Outlook). La atracción que este recurso ejerce en los estafadores está en mucho condicionada por la popularidad de los servicios de Microsoft y por el hecho de que se accede a ellos desde una sola cuenta. Las páginas phishing están por lo general diseñadas de forma similar a la página de entrada a Outlook (en este momento también han falsificado la página de entrada a live.com).
Ejemplo de página phishing que finge ser la entrada al servicio de Outlook
Sin embargo es curioso que muchas páginas phishing recientes usen el diseño de Hotmail, a pesar de que Outlook lo ha reemplazado desde principios de 2012. Pero la presencia de estas páginas phishing y las detecciones que causan son un indicio de que por alguna razón los usuarios no se dan cuenta.
Ejemplo de phishing contra live.com que usa el diseño de Hotmail
Conclusión
La cantidad de spam en el tráfico mundial de correo en julio ha crecido en un 2,2% y alcanzado el 67%.
En el spam con publicidad de servicios de envío de mensajes a teléfonos y direcciones de correo se usó el tema del mes musulmán de Ramadán y se trataba de conseguir nuevos clientes con rebajas por motivo de la festividad y ofertas ventajosas. Los estafadores “nigerianos” enviaron mensajes con pedidos de ayuda en la inversión de dinero no sólo en inglés, sino también en árabe. En el tráfico de spam también se encontraban con frecuencia ofertas de artículos y servicios cosméticos.
Entre los países-fuente de spam distribuido por todo el mundo los líderes de julio fueron: EE.UU. (15,3%), Rusia (5,6%) y China (5,3%).
Según los resultados de julio, en los equipos de los usuarios de los productos de Kaspersky Lab se registraron 20 157 877 reacciones del sistema antiphishing. De ellas, el 18,25% afectó a los usuarios de Brasil. Los portales de correo y búsqueda ocuparon el primer lugar en la estadística de organizaciones atacadas por los phishers (29,5%). El índice del phishing financiero subió en un promedio de 7,9% y alcanzó el 41,8%.
El troyano-descargador Trojan.Win32.Yakes.fize encabezó la estadística de adjuntos maliciosos en julio. Por la cantidad de detecciones del antivirus de correo en julio Alemania sigue ocupando el primer puesto (11,7%).
Una parte significativa de adjuntos maliciosos se disfrazó de notificaciones falsas enviadas en nombre del popular mensajero instantáneo para smartphones WhatsApp en portugués y dirigidas al robo de los datos financieros de los clientes de bancos brasileños y portugueses.
El spam en julio de 2014