Informes sobre spam y phishing

El spam en junio de 2010

Particularidades del mes

  • El spam en el tráfico de correo ha disminuido un 0,3% en comparación con febrero y este mes ha alcanzado una media del 84,8%.
  • No ha cambiado el porcentaje de mensajes con enlaces a los sitios phishing.
  • El 2,68% de los mensajes contenía ficheros maliciosos, un 0,99% más que en el mes anterior.
  • El Mundial de Fútbol no dejó indiferentes a los spammers.

Porcentaje de spam en el tráfico de correo

En junio de 2010 el porcentaje medio de spam en el tráfico de correo fue del 84,8%. El punto más bajo del mes se registró el 4 de julio (80%). Los usuarios recibieron la mayor cantidad de spam el 27 de junio (89%).


El spam en junio de 2010

Países-fuente de spam

 
Países-fuente de spam

Hay cambios en la estadística de países fuentes de spam. En los cinco primeros puestos hay tres nuevos países, pero los líderes siguen en su lugar (EEUU e India). España ha ocupado de golpe el quinto lugar. En junio desde su territorio se ha enviado el 3,8% del total mundial de spam. Hay bastantes países de habla hispana y portuguesa en el TOP20 de países fuentes de spam. Entre ellos están México, Argentina, Portugal, y Chile.

Rusia ha bajado del tercer lugar al sexto. Desde su territorio se envió el 3,6% de spam, un 1,8% menos que en mayo.

Entre las regiones fuente de spam el líder es Europa. Y es que desde los países europeos se ha enviado casi el 40% de todos los mensajes spam.

Desde el territorio de Inglaterra se envió un poco menos de spam que en el mes anterior, un 2,8%.

Phishing

 
Organizaciones víctimas de ataques phishing en junio de 2010

Entre las 10 organizaciones más atacadas por los phishers, las primeras 6 no han cambiado. Como antes, PayPal sigue muy por delante de las demás. En junio este sistema de pagos sufrió un 20% más ataques que en mayo. El porcentaje de las siguientes 5 organizaciones ha disminuido. Facebook y el banco HSBC de nuevo han intercambiado lugares. Ahora ocupan el tercer y cuarto puesto respectivamente.

Merece la pena destacar que en el TOP10 ha aparecido el popular juego online World of Warcraft. En nuestros informes mensuales hemos escrito más de una vez sobre los envíos masivos dirigidos a sus usuarios.

Uno de los envíos dirigidos a los usuarios del sistema de pagos PayPal contiene un texto phishing tradicional que amenaza con limitar el acceso a la cuenta si el usuario no abre el adjunto y no “realiza el procedimiento de actualización de la cuenta”. El adjunto contiene una página html de phishing.

 

Programas maliciosos en el correo electrónico

En junio el TOP10 de los programas maliciosos más propagados en el correo es el siguiente:

 

Muy por arriba de los demás están los programas maliciosos de la familia Pegel, cuyos representantes (Trojan-Downloader.JS.Pegel.g y Trojan-Downloader.JS.Pegel.bc) ocuparon el segundo y tercer lugar en la lista. Los programas de esta familia constituyeron más del 30% de todos los adjuntos maliciosos en los mensajes de correo electrónico. Los miembros de esta familia son una página html que contiene un escenario escrito en el idioma JavaScript. Cuando en el navegador abre la página infectada, un troyano usa el escenario de JavaScript para empezar a descifrar su código y ejecutarlo. Con esto, se envía al usuario a un sitio infectado por exploits desde el cual, usando las vulnerabilidades en el navegador, se puede descargar otros programas maliciosos.

El segundo puesto también lo ocupa un programa malicioso que es una página html que contiene JavaScript: Trojan.JS.Redirector.dz. Si se toma en cuenta que en el quinto puesto está Trojan.Script.Iframer y en el octavo Trojan-Spy.HTMLFraud.gen, vemos que el TOP10 de los programas maliciosos propagados este mes tiene una interesante particularidad: más del 40% de los programas maliciosos que lo conforman no funcionan en la plataforma Win32.

También es interesante que Pegel, Redirector y TTrojan.Script.Iframer se propagaban en mensajes muy diferentes, desde notificaciones falsificadas de diferentes redes sociales hasta mensajes estándar con un texto lacónico “mira mis fotografías”. El factor común de estos envíos masivos era la presencia de adjuntos html o de enlaces a páginas html.


En el informe del segundo trimestre de 2010 daremos más detalles sobre este tipo de envíos.

Por medio del correo, en junio también se propagaron modificaciones de uno de los rootkits más peligrosos (Trojan.Win32.TDSS). Dos de ellas ocupan el cuarto y séptimo lugar en el TOP10. Las modificaciones de este programa se podían encontrar en envíos masivos muy diferentes, pero siempre en forma de adjunto comprimido en un archivo zip. Para su propagación los delincuentes usaron su tema preferido, el de los impuestos. En el mensaje de abajo los spammers trataron de disfrazar la extensión .exe del fichero comprimido con una extensión .doc.

 

En otro envío masivo los también difundidos representantes de la familia Trojan.Win32.TDSS usaron un truco popular en el presente: una falsa advertencia de Microsoft sobre que el ordenador del destinatario podría estar infectado por Conficker. Para tratar esta infección se le propone descargar el programa setup.exe, que viene adjunto al mensaje. Por supuesto, el programa no ayuda a curar nada.

 

Trojan.Win32.VBKrypt.cpz, programa malicioso que no llegó a estar entre los primeros diez de la lista, se propagaba en un envío en el que (supuestamente en nombre de Google), se le daba las gracias al usuario por enviar su currículum.

 

En otro envío spam realizado en junio, se proponía a los clientes de Itau que actualizasen su versión, supuestamente caducada, de iToken. Es fácil darse cuenta de que el fichero .exe ubicado en el enlace sustituido no era nada saludable para el usuario:


El spam en junio de 2010

En lo que concierne a los países cuyos habitantes reciben con más frecuencia mensajes maliciosos, su situación ha cambiado un poco en comparación con mayo:

 

Los líderes del mes pasado, Alemania e Inglaterra han dejado pasar a los dos primeros lugares a Japón y EEUU. Al mismo tiempo, la cantidad de adjuntos maliciosos recibidos por los usuarios ha cambiado notablemente sólo en el caso de Japón: aquí los usuarios han recibido códigos maliciosos por correo con dos veces más frecuencia que en mayo. Es interesante el hecho de que India haya abandonado el TOP10, dejando su puesto a China, cuyos usuarios recibieron el 3,5% de todos los mensajes con adjuntos maliciosos.

Los temas del spam

En junio la categoría más difundida de nuevo es la publicidad de fármacos. Estos mensajes constituyeron cerca del 35% del spam. Los envíos que publicitan el tradicional Viagra se han camuflado como notificaciones formales de diferentes redes sociales y también se han propagado bajo los títulos “Fármacos para hombres. Aprobados por la FIFA” o “Mundial de Fútbol. Malas noticias”.

El tema del Mundial de Fútbol también se utilizó en los mensajes de la categorías “Estafas Informáticas”, que ocuparon el segundo lugar en la estadística. Cerca del 25% de los mensajes del mes anterior pertenecían precisamente a este tema. Y una gran parte de las “cartas nigerianas”, que son el fundamento de esta temática, explotaron el tema del mundial. También aprovecharon el mundial los spammers que enviaban propuestas de jugar en casinos online o apostar dinero en porras.

 

Entre los envíos más divertidos de junio estuvieron las propuestas de ver las cenizas del volcán cuya erupción impidió los vuelos durante varias semanas:


En este sitio se aconseja al usuario comprar una botellita llena de arena gris, con un certificado que garantiza que es ceniza de aquel volcán islandés con nombre impronunciable.

También merece la pena mencionar una curiosa oferta para los dueños de perros. Como aseguran los spammers, los servicios de un hipnotizador profesional ayudan a resolver los problemas de desobediencia y agresividad de estas mascotas:


Conclusión

En junio la cantidad de spam ha bajado un poco en comparación con el último mes de primavera.

Brasil ha vuelto a estar entre los tres países desde donde se envía más spam.

Los envíos phishing en su aplastante mayoría estaban dirigidos a los usuarios de PayPal.

Casi en un 0,5% ha crecido la cantidad de mensajes que contienen ficheros maliciosos. Por primera vez desde que empezamos a publicar el TOP10, cerca del 40% de los programas maliciosos propagados por correo electrónico no funcionan en la plataforma Win32. Una gran parte de los programas maliciosos del TOP10 del mes pasado son páginas html que contienen escenarios escritos en el idioma JavaScript. De aquí su frecuente difusión como adjuntos html incluidos en el mensaje. Es difícil pronosticar la situación a largo plazo, pero podemos suponer que en el futuro cercano se seguirá enviando mensajes de este tipo.

En todo el mundo los spammers explotaron activamente el Mundial de Fútbol.

El spam en junio de 2010

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada