Informes sobre spam y phishing

El spam en junio de 2011

Junio en cifras

  • El spam en el tráfico de correo ha subido un 0,4% en comparación con marzo y este mes ha alcanzado una media del 83,3%.
  • La cantidad de mensajes phishing en el flujo total de spam no ha cambiado en comparación con febrero, quedándose en el 0,02%.
  • El 3,8% de los mensajes contenía ficheros maliciosos, es decir, un 0,3% menos que en el mes anterior.

Los sucesos más destacados del mes

El spam y la ley

Microsoft todavía sigue luchando contra Rustock

El acorde final en la reciente lucha de las fuerzas públicas con las botnets fue la operación conjunta de los servicios de inteligencia de EE.UU. y la corporación Microsoft que terminó con la clausura de la botnet Rustock.

Hemos escrito sobre este asunto en nuestro blog y en el informe sobre el spam en marzo. Recordamos que los centros de administración de la botnet cerraron el 16 de marzo y como resultado, durante los días siguientes el volumen de spam se redujo en un 15%.

Sin embargo la compañía Microsoft no se durmió en sus laureles. El 6 de junio, apareció una nota en el blog de la compañía de que habían publicado en los periódicos rusos “Delovoy Peterburg” y “Moskovskie Novosti” una notificación dirigida a los ciudadanos de la Federación de Rusia sospechosos de la creación y administración de Rustock. En la notificación se afirmaba que Microsoft había “enviado una solicitud al juzgado de la Circunscripción Sur del estado de Washington, EE.UU., demandando a los desconocidos que ejercían actividades en Internet bajo el nombre de Cosma2k”. Más adelante, en el texto se informaba que “la compañía Microsoft afirma que al usar las direcciones IP y los dominios indicados, los demandados habían creado una red informática del tipo “botnet”, que usaban para cometer actos ilegales, como la irrupción en los equipos de terceros, violación de derechos de autor y propagación masiva de correo no deseado que causaba daños a la compañía Microsoft y a un círculo indeterminado de terceras personas”. Microsoft exige que se prohíba el acceso a las direcciones IP y dominios mencionados y que se bloquee la botnet. Además, los demandantes solicitan al juez “tomar otras medidas apropiadas”.

En la notificación no se menciona los nombres de los ciudadanos de los que Microsoft sospecha como cómplices de Rustock, pero es muy fácil encontrar estos nombres en el sitio noticeofpleadings.com, creado por la corporación con el objetivo expreso de publicar allí los materiales del proceso contra Rustock.

En la notificación se afirma que en caso de que el demandado no se presente en el tribunal, éste se pronunciará automáticamente a favor del demandante. Al mismo tiempo en el blog de la compañía se indica que incluso si el demandado no comparece ante el tribunal, Microsoft continuará el proceso contra los organizadores de la botnet, incluyendo la posible iniciación de otro proceso en el sistema jurídico ruso.

Por nuestra parte, esperamos que nuestros colegas de Microsoft tengan éxito en este complejo asunto. Los expertos en la creación de botnets que queden en libertad, sin lugar a dudas pueden crear otra gran botnet. Por esto, las acciones de Microsoft son lógicas, porque no es suficiente clausurar los centros de administración, sino que hay que resolver el problema de una forma efectiva. Es importante tomar medidas para evitar que los delincuentes creen una nueva botnet que reemplace a la clausurada.

La legislación en Japón

En nuestros informes mensuales escribimos con frecuencia sobre las iniciativas legales tomadas en diferentes países respecto al spam. Cada ley que se dicta es un hito importante en la lucha contra el spam.

En junio los parlamentarios de Japón dictaron una importante ley: la creación, difusión, compra y venta de programas maliciosos, como también la propagación de spam pornográfico ahora se consideran delitos penales.

Varias agencias de noticias informaron sobre esta iniciativa.

Casos de gran resonancia en Rusia

En Rusia no existen leyes contra el spam. Por eso los más importantes spammers del mundo siguen viviendo aquí.

Los órganos de seguridad, a pesar de la ausencia de leyes contra el spam, capturan a los propagadores de correo basura y los acusan de otros delitos.

En 2007 se reconoció al programador ruso Leonid Kubaev como el spammer número uno del mundo. En ese momento se consideraba que era él quien estaba detrás de la mayor parte de los mensajes spam en Internet. A Leonid Kuvaev se le atribuye la invención del spam gráfico. En 2005, en EE.UU., donde Kuvaev vivió 14 años, un tribunal lo declaró cabeza de un grupo de spammers y los órganos de seguridad de EE.UU. empezaron a buscarlo. Sin embargo, Leonid abandonó EEUU en 2004 y los últimos 7 años ha vivido en Rusia, fuera del alcance de las fuerzas de seguridad norteamericanas.

Kuvaev se escondía en Rusia, porque evidentemente consideraba que la falta de legislación sobre spam en nuestro país le permitiría quedar impune. Es posible que así hubiera sido de no haber resultado sospechoso de otro caso penal. Para ser más precisos, el 7 de junio tuvo lugar la primera audiencia del caso en que se acusa de estupro a Leonid Kuvaev. Kuvaev estaba arrestado desde finales de 2009.

Por nuestra parte, hacemos notar que el hecho de que Leonid esté en la cárcel no significa que sus actividades hayan cesado. Mailien, un gran sistema farmacéutico de afiliados que según se supone le pertenecía, siguió existiendo y generándole ganancias a su dueño por bastante tiempo en Internet después de su arresto.

Otro ciudadano ruso, sospechoso de estar involucrado en los programas farmacéuticos de afiliados, Pavel Vrublevsky, también fue arrestado. Esto sucedió el 23 de junio en el aeropuerto Sheremetievo. El spam masivo que enviaba fue el motivo de su arresto. Poco antes apareció un mensaje en Internet que contenía información sobre que el 26 de mayo de este año se había iniciado un proceso penal por los ataques DDoS lanzados contra Assist, un gran sistema pagos, en julio de 2010. En particular, se publicó la confesión de un tal Igor Artimovich, que aseguraba haber realizado los ataques mencionados contra el sistema de pagos. En su declaración Artimovich indicaba que el autor intelectual de los ataques era el director de ChronoPay, Pavel Vrublevsky.

Pavel Vrublevsky es considerado uno de los fundadores del gran sistema de afiliados rx-promotion.

Recordamos que en otoño de 2010 también se había iniciado un proceso penal contra Igor Gusev, el supuesto fundador del programa de afiliados Glavmed y del sistema de spam SpamIt. Gusev está acusado de negocios ilegales.

Temas del mes

En nuestros informes y entradas del blog hemos mencionado varias veces que los spammers usan temas que de una u otra forma capturan la atención mundial. Y lo hemos hecho para que nuestros usuarios recuerden: los delincuentes pueden usar cualquier noticia para sus oscuros objetivos.

En junio los spammers empezaron a explotar la última película de Harry Potter, ofreciendo a los usuarios entradas gratuitas. Tampoco han desaparecido del correo los mensajes-estafas que explotan el tema de la muerte del “terrorista número uno”.

Sin embargo, los envíos masivos más difundidos fueron los dedicados al aniversario de la muerte del rey de la música pop.

Los spammers rememoran la muerte de Michael Jackson

El 25 de junio de 2009 murió Michael Jackson. Este era el título de la entrada del blog de hace dos años, en la cual contábamos sobre la reacción de los spammers ante la muerte del rey de la música pop. Y he aquí que pasados dos años, los envíos masivos de spam que afirman que Michael Jackson está vivo siguen inundando los buzones de los usuarios.

La semana pasada el mundo recordó una vez más al artista en el aniversario de su muerte. Y los spammers también se sumaron a la conmemoración.

Los spammers chinos, por ejemplo, publicitaban colecciones de las canciones de Jackson. Y lo han hecho muy a tiempo, porque esta mercadería seguramente tuvo demanda en esas fechas.

El spam en inglés, como hace dos años, contenía la “fenomenal noticia”.

(¡Atención! ¡Michael Jackson está vivo! Hemos encontrado pruebas que demuestran que el rey de la música no ha muerto).

Después de un texto muy prometedor había enlaces a sitios web que contenían Backdoor.Win32.mIRC-based, programa malicioso que posibilita el control remoto del equipo infectado.

Una vez más queremos hacer un llamado a los usuarios para que estén muy atentos y no confíen en mensajes provenientes de fuentes dudosas y que usan temas candentes.

Análisis estadístico

Países-fuente del spam

En junio India es de nuevo el líder de los países-fuente de spam. Desde el territorio de este país se propagó el 16,35% (+5%) de todo el correo basura.


Países- fuente de spam en junio de 2011

Rusia ocupó el séptimo puesto en la estadística de países-fuente de spam. Sin embargo, la cantidad de spam enviada desde este país en junio ha bajado en un 0,7%.

En comparación con el mes anterior, Brasil ha mostrado el crecimiento más notable en junio. Este país ocupó el segundo puesto y desde su territorio se envió el 11,22% del spam (+4,36%). Por el contrario, Corea del Sur, que en mayo estaba en el segundo puesto, ha bajado en la estadística. En junio desde este país se envió un 2,63% menos de spam que en mayo.

Adjuntos maliciosos en el correo

El 3,8% de los mensajes contenía ficheros maliciosos, es decir, un 0,3% menos que en el mes anterior.

Rusia y EE.UU. siguen siendo los líderes por la cantidad de activaciones del antivirus de correo. El primer puesto le pertenece a Rusia, a pesar de que en su territorio la cantidad de reacciones del antivirus de correo ha disminuido un poco. Lo mismo se puede decir de la cantidad de las reacciones del antivirus de correo en EE.UU., país que ocupa el segundo lugar. En ambos países este índice se ha reducido en menos del 0,3%.


Distribución de las reacciones del antivirus de correo según países, junio de 2011

Vietnam sigue en el tercer puesto. La cantidad de reacciones del antivirus de correo aquí ha aumentado en un 1%.

En el cuarto puesto está un país donde la cantidad de reacciones en junio ha experimentado los cambios más grandes. Nos referimos a Italia, en cuyo territorio el antivirus de correo reaccionó en el 6,6% de los casos (+1,5%).

En el resto de los países del TOP 10, los cambios en la distribución de las reacciones del antivirus de correo son insignificantes.

En junio, la estadística de los programas más detectados en el correo está conformada de nuevo en su mayoría por programas maliciosos conocidos:


TOP 10 de programas maliciosos propagados por correo en junio de 2011

El cuarteto de líderes no ha cambiado en comparación con mayo.

El 7,6% de las reacciones del antivirus de correo han sido provocadas por el líder tradicional de nuestra estadística, Trojan-Spy.HTML.Fraud.gen.

Los gusanos de correo Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt y Email-Worm.Win32.NetSky.q ocupan los puestos 2, 4 y 9 de la estadística respectivamente. Estos programas maliciosos se han afianzado en nuestra estadística. En los anteriores informes ya hemos escrito que Mydoom.m y NetSky.q cumplen sólo dos funciones: recopilan direcciones de correo electrónico en los equipos infectados y se envían a sí mismos a estas direcciones. Bagle.gt, en adición a las funcionalidades comunes y corrientes de los gusanos de correo, se conecta a Internet para descargar otros programas maliciosos.

Trojan.HTML.Fraud.fcq, que por primera vez entró en el TOP10 en diciembre de 2011, de nuevo ha ocupado el tercer puesto de la estadística. Este programa malicioso es una página HTML de phishing que roba los datos financieros de los usuarios de un banco brasileño.

Phising

La cantidad de mensajes phishing en el flujo total de spam no ha cambiado en comparación con mayo, quedándose en el 0,02%.


TOP 10 de organizaciones atacadas por los phishers*

* La estadística se forma basándose en la cantidad de URL phishing propagadas por la red y que tienen el objetivo de robar los datos de registro de uno u otro servicio. La estadística no es un indicador del nivel de seguridad de las organizaciones mencionadas. La estadística refleja la popularidad y autoridad de los servicios entre los usuarios, que tiene una influencia directa en su popularidad entre los phishers.

En junio los phisher han reducido su interés por los juegos online. Sólo RuneScape, aparecido en el rating en mayo, está en el TOP 10. Este juego ha ocupado el sexto puesto en la estadística, ya que el 2,1% de los ataques phishing en junio estuvo dirigido a sus usuarios (-2,57%). World of Warcraft no entró en el TOP 10. Ya hemos mencionado que es probable que la disminución del interés de los phishers por este popular juego esté relacionada con las medidas de seguridad tomadas por la compañía Blizzard.

Ha crecido notablemente la cantidad de ataques contra las redes sociales Habbo (+6,25%) y Facebook (+4,07%), que han vuelto al tercer y cuarto lugar respectivamente.

En junio los phisher volvieron a poner a Google en la mira. Una vez más mencionamos que en el TOP 10 están los servicios de Google que no incluyen la red social Orkut. La cantidad de ataques contra esta red fue del 0,8%, que junto con los ataques a los demás servicios de Google suma más del 2,5% del total de ataques.

Tendencias temáticas del spam


Un motivo más para recomendar a los usuarios que tengan cuidado en Internet es el hecho de que casi la tercera parte del spam en inglés (29%) son mensajes de estafa. Esto significa que prácticamente uno de cada tres mensajes spam que llegan al buzón del usuario ha sido enviado por estafadores para extorsionarlos y sacarles dinero (por ejemplo, el spam “nigeriano” o los mensajes phishing), o contiene adjuntos maliciosos o enlaces a códigos maliciosos

Más de la cuarta parte de los mensajes spam en inglés (28%) contiene publicidad de fármacos. Como se sabe, la demanda genera la oferta y los miles de millones de mensajes que ofertan genéricos de Viagra son testimonio de que existen compradores, a pesar de las advertencias de las grandes compañías de seguridad informática y los consejos de los médicos. Los envíos farmacéuticos deben generar desconfianza en los usuarios, porque los fármacos falsos son peligrosos para la salud. Además, recordamos a los usuarios que creen en las baratas farmacias “canadienses” que los delincuentes tratan de matar dos pájaros de un tiro, porque participan al mismo tiempo en el programa de afiliados y en el programa de propagación de código malicioso. De esta manera, en un sitio que vende fármacos, los virus pueden estar esperando a los visitantes.

Además de las temáticas mencionadas, en el TOP 5 están los mensajes de “finanzas personales” (12,1%), que ofrecen ganancias rápidas y créditos dudosos, “otros artículos y servicios” e “imitaciones de artículos de diseñadores famosos” (12,1%).

Conclusión

A pesar de nuestras expectativas, los antivirus falsos han regresado por poco tiempo al tráfico de correo. Ya en junio ningún representante de esta familia ha entrado en el TOP 10 de programas maliciosos detectados por nuestro antivirus de correo.

En los próximos meses esperamos la aparición de mensajes phishing que tratarán de explotar la nueva red social Google+. En este momento, para darse de alta en esta red es imprescindible recibir una invitación y los delincuentes pueden usar el deseo de los usuarios de formar parte de una sociedad cerrada enviando enlaces phishing y código malicioso en invitaciones falsificadas.

El spam en junio de 2011

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada