Informes sobre spam y phishing

El spam en junio de 2013

Junio en cifras

  • En junio la cantidad de spam en el tráfico de correo ha aumentado en un 1,4% y alcanzado el 71,1%.
  • En comparación con mayo, la cantidad de mensajes phishing en el flujo de correo ha tenido un leve aumento y constituye el 0,0032%.
  • El 1,8% de los mensajes electrónicos contenían adjuntos maliciosos, un 1% menos que el mes pasado.

Peculiaridades del mes

En junio los spammers han enviado mucha publicidad de bienes y servicios cuya demanda crece de golpe en los meses de verano. Así, como esta es la época de exámenes en las escuelas y universidades, una gran parte del spam de junio fueron envíos que ofrecían tesis de grado y diplomas de bachiller, y también certificados de estudios. El spam "de fiesta” de junio estuvo dedicado al Día del Padre.

Talleres con “famosos”

Ya nos hemos acostumbrado a que los spammers usen los nombres de personas famosas para dirigir la atención de los usuarios hacia los envíos de spam y, sobre todo, a las llamadas "cartas nigerianas".  Pero en junio de 2013 hemos descubierto varios envíos cuyos autores decidieron usar los nombres de los famosos de otra manera, para publicitar diferentes cursos y talleres.

En particular, los spammers usaron el nombre de Steve Jobs, el fundador de la corporación Apple. El título del mensaje no deseado ofrecía al destinatario averiguar el secreto del éxito del famoso empresario, pero en el mensaje en sí le esperaba al lector la publicidad de un entrenamiento gratuito. Sus organizadores prometen, en sólo una hora y media, enseñar a cualquiera cómo combinar un negocio lucrativo con sus pasatiempos favoritos y el nombre de Steve Jobs se usa sólo para llamar la atención.

 

iPhone en el spam

La enorme popularidad de los smartphones y tabletas de Apple entre los usuarios de todo el mundo se ha convertido en el motivo de la aparición de una gran cantidad de compañías que se especializan en la venta de accesorios y dispositivos sospechosamente baratos. Para muchas de estas compañías el spam es un método completamente aceptable para hacer publicidad de bienes y en junio de 2013 hemos descubierto varios envíos masivos de esta temática.

En junio hemos encontrado con frecuencia ofertas de comprar dispositivos Apple con enormes descuentos. Para darle legitimidad a los envíos, los spammers pusieron en el campo “Remitente” el nombre de la compañía, pero la dirección electrónica del remitente no tenía nada que ver con Apple. Los autores de estos mensajes hacían especial hincapié en que la cantidad de dispositivos era pequeña y el tiempo para adquirirla limitado: este viejo truco se usaba para que el usuario no perdiese tiempo en vacilaciones y siguiese de inmediato el enlace para hacer su pedido.

 

Los spammers no solo ofrecían dispositivos Apple, sino también cursos relacionados con su uso. Hemos registrado un envío con publicidad de un webinario dedicado a la creación de videos en iPad e iPhone. Los autores le prometían al destinatario que el tomar parte en este webinario no solo le enseñaría a crear videos originales y de buena calidad por su propia cuenta, sino también a usar los conocimientos adquiridos para tener una fuente extra de dinero.

 

Spammers a favor de una educación accesible

El verano no sólo es la época de vacaciones, sino también el periodo de los exámenes finales en las escuelas y los de ingreso a la universidad. En junio hemos observado un crecimiento importante de los envíos de spam que ofrecen comprar diplomas de bachiller y universitarios falsificados. Las direcciones de los destinarios de estos envíos con frecuencia se tomaban de fuentes abiertas, diferentes bases de datos o se generaban de forma automática mediante diccionarios electrónicos.

En junio hemos registrado envíos con ofertas de ingreso a universidades de EE.UU. y de educación a distancia con horarios cómodos y flexibles. Con frecuencia en estos mensajes había enlaces a páginas que contenían formularios de inscripción online. Es curioso que las direcciones de estas páginas cambian de mensaje a mensaje y con frecuencia se crean el mismo día del envío. Es posible que los autores de los envíos traten de esta forma de recopilar los datos personales de los usuarios. También hemos encontrado ofertas de conseguir certificados o diplomas científicos, sin perder tiempo en estudiar. 

 

Otro tipo difundido de servicio educativo publicitado en el spam son las clases particulares. Los clientes de los spammers pueden ser personas y agencias especializadas que ofrecen profesores cualificados para hacer avanzar a los escolares en diferentes asignaturas y mejorar sus notas.

 

Puros para la fiesta

Como suponíamos, en junio los spammers han seguido enviando publicidad con motivo del Día del Padre, que en EE.UU. se celebra a mediados de junio. Pero si el año pasado estos envíos ofrecían copias de relojes caros, en 2013 el regalo más popular fueron los puros. Hace ya varios meses que venimos detectando envíos similares, cortados con la misma tijera. En los mensajes cambiaban sólo las imágenes y el color de las palabras. La posición general del resto de los elementos era muy parecida.

 

Métodos y trucos

En junio los spammers usaron trucos bien conocidos, pero que no han perdido su actualidad. En particular, hemos registrado varios envíos de publicidad de puros, tradicionales y electrónicos, en los que sus organizadores usaron las posibilidades de Google Translate para procesar los enlaces de spam. Además, los spammers agregaron al final de los enlaces una serie de letras al azar y los nombres de dominios pertenecientes a la corporación Google en diferentes idiomas. Como remitente, en el mensaje se indicaba una dirección de correo electrónico registrada en un servicio gratuito. Los spammers crean una gran cantidad de estas direcciones y las barajan constantemente en sus mensajes para complicar el trabajo de los filtros antispam.

 

En junio los spammers también hicieron un uso activo de elementos de “ruido” en sus textos. En particular, los autores de envíos de tema educativo separaban las frases con conjuntos de letras combinadas de forma aleatoria. Gracias a este truco, era difícil leer el mensaje, pero las frases con sentido y los nombres de los programas de estudio, universidades o facultades, además del precio y los contactos necesarios eran fáciles de entender al ojo humano.

 

Los spammers que ofrecían productos de Apple a precios regalados usaron otro viejo truco. Para enmarañar el contenido de los envíos y evadir los filtros antispam, agregaban el texto de noticias reales sobre Apple y el enlace al sitio de la agencia de noticias.

En los envíos de spam que publicitaban vacaciones en Rusia y el extranjero registramos el uso simultáneo del alfabeto cirílico y latino en las palabras. Los autores de anuncios sobre venta de inmuebles usaban una técnica parecida: parte de las cifras del texto se sustituía por letras de forma parecida, se evitaba a propósito poner espacios y se insertaban caracteres adicionales.

Distribución geográfica de las fuentes de spam

Según los resultados de junio, los tres primeros países-fuente de spam siguen siendo los mismos. Pero la cantidad de spam enviada desde cada uno de estos países también ha aumentado. China ocupa el primer lugar, con un 23,9% del total de spam enviado, un 2,5% más que el mes anterior.

En junio, las tres principales fuentes de spam a nivel mundial no sufrieron modificaciones,  aunque sí aumentó la proporción de spam proveniente de cada país. China (23,9%) se mantuvo en el primer lugar, con un 2% más que en mayo.

 
Fuentes de spam en el mundo, por país

El volumen de spam proveniente de EE.UU. subió en un 0,9% (17,2%) en comparación con el anterior mes, lo que deja a este país en el segundo puesto de la clasificación. A Corea del Sur le corresponde la tercera plaza después de una leve disminución que dejó su participación en un 14,5% en junio.

Taiwán retuvo la cuarta posición (5,8%) sin cambios relevantes respecto al mes de mayo. Por otra parte, Vietnam (3,3%) descendió un lugar, hasta el sexto, ya que su participación decayó en un 1,7%.

En junio, Bielorrusia (2,8%) y Kazaquistán (2,7%) ocuparon la séptima y octava posiciones, con una disminución en su flujo de spam del 0,6% y 1,6%, respectivamente.

La contribución de Rusia (2,1%) disminuyó en un 0,1%, lo que coloca a este país en la 11? posición de la clasificación. A continuación aparece Italia (2,1%) que aumentó un 1% respecto al mes anterior.

 
Fuentes de spam en Europa, por país

En junio, Corea del Sur se mantuvo como la principal fuente del spam enviado a los usuarios europeos (53,3%): su participación aumentó en un 9,6%. EE.UU. (4,6%) y Vietnam (3,7%) descendieron a la cuarta y quinta posiciones, cediendo ante Italia (6,7%) y Taiwán (5%), respectivamente. La participación  de Italia aumentó en un 3,9% en comparación con el mes de mayo, en el que ocupó la séptima posición. India ascendió del 6œ al 12œ lugar, con un 2,2% de todo el spam recibido en Europa.

Ucrania (1,9%), China (1,3%) y Japón  (0,6%) descendieron varias posiciones, llegando a ocupar en la clasificación de junio el 8œ, 12œ y 16œ lugar, respectivamente. La proporción del spam proveniente de Rusia decayó en un 1,1%, quedando en un 1%, lo que coloca a este país tres posiciones más abajo: descendió de la 10? a la 13?. La participación del spam originado en Gran Bretaña (0,5%) también disminuyó, llevando a este país a la 20? posición, seis posiciones menos que en el mes de mayo. 

 
Fuentes de spam por región

Asia (57,3%) se mantuvo como la principal fuente de spam por región: su participación aumentó en un 1,2% desde el mes de mayo. Tal como sucedió en el mes anterior, el Top 3 también incluyó a Norteamérica (18,7%) y Europa oriental (13,2%). Sin embargo, hay que notar que la participación de Norteamérica aumentó en un 0,6%, mientras que la de Europa oriental se redujo en un 1,4% en relación al mes de mayo.

Adjuntos maliciosos en el correo electrónico

En junio, se detectaron adjuntos maliciosos en el 1,8% de los mensajes de correo, lo que significa una disminución de un 1% en relación al mes de mayo.

 
Top 10 de programas maliciosos propagados por correo electrónico en junio de 2013

En junio, Trojan-Spy.html.Fraud.gen se mantuvo como el programa malicioso más propagado. Este programa malicioso aparece como páginas HTML que imitan los formularios de registro de varios bancos o sistemas de pago electrónico conocidos, y los phishers los usan para robar los datos de usuario de los sistemas de banca online.

Email-Worm.Win32.Bagle.gt se colocó en la segunda posición. La función de este gusano de correo consiste en autopropagarse a las direcciones en la lista de contacto de la víctima, que es algo típico en este tipo de programas maliciosos. También puede conectarse con un centro de comando y descargar otros programas maliciosos en el ordenador del usuario desprevenido.

En tercera posición se encuentra Email-Worm.Win32.Mydoom.I. Como todos los gusanos, su principal función es la de recopilar direcciones de correo electrónico desde ordenadores infectados y autoenviarse a ellas como un adjunto (archivos con extensiones .doc, .htm, .html y .txt). En este caso, la dirección del remitente imita una de las direcciones encontradas en el ordenador.

Mydoom.m es parte de la familia Mydoom, y en junio ocupó la sexta posición. Además de su capacidad de autopropagación, también envía peticiones de búsqueda a motores de búsqueda como Google, Yahoo, Altavista y Lycos. El gusano compara las direcciones de los sitios que aparecen en la primera página de los resultados de la búsqueda, con las direcciones que ha descargado desde los servidores de los ciberdelincuentes. Si encuentra coincidencias, abre el enlace en la página del motor de búsqueda para aumentar el tráfico hacia el sitio y la posición del sitio en los resultados de búsqueda.

Trojan-Dropper.Win32.Dorifel.aewv se colocó en la cuarta posición. Su principal función es responder a los comandos enviados desde un servidor remoto y descargar y ejecutar otros programas maliciosos.

Trojan-Spy.Win32.Zbot.Ibda, miembro de la familia ZeuS/Zbot, completa el Top 5. Este troyano está diseñado para robar los datos confidenciales del usuario, incluyendo la información de su tarjeta de crédito. En junio se registraron más de 1.300 modificaciones de ZeuS/Zbot, con un total combinado del 7% de todos los programas maliciosos propagados por medio de correo electrónico.

El Top 10 también incluyó a la familia Tepfer de spyware que este año ha sido muy popular.

 
Clasificación de detecciones de correo antivirus por país

En el mes de junio, Rusia fue el blanco principal de mensajes de correo maliciosos. Su participación en el mercado malicioso se multiplicó 13 veces, pasando del 2,2% en mayo al 29,4%. Este significativo incremento se debió a un aumento en la cantidad de mensajes de correo infectados con gusanos de correo, especialmente Net-Worm.Win32.Kido.ih, Worm.Win32.AutoRun.dtbv e IM-Worm.Win32.Sohanad.bm.

El surgimiento de Rusia empujó a EE.UU. a la segunda posición con el 9,6% de todas las detecciones antivirus, lo que significa una disminución del 4,7%. Alemania ocupó la tercera posición con el 7,9%, lo que significa una disminución del 1,6%. A continuación se encuentran India (5,9%) y Australia (4,9%), que ocuparon la cuarta y quinta posiciones, respectivamente.

La cantidad de detecciones antivirus en el Reino Unido decayó en un 2,7%, llegando al 3,3%, que lo coloca en la octava posición de la clasificación. Italia (2,4%) se colocó en la novena posición debido a una caída del 2,8% en relación al mes de mayo.

China (1,7%) desplazó a Canadá de la décima posición del Top 10 de junio.

Características especiales del spam malicioso

En junio se registró un enorme envío masivo dirigido a los socios de LexisNexis, una compañía estadounidense. Este envío ofrecía acceso online a diferentes bases de datos. El falso mensaje de correo, que provenía de una dirección aparentemente legítima einvoice.notification@lexisnexis.com, informaba al destinatario sobre una factura por servicios de LexisNexis. El mensaje explicaba que el archivo comprimido PDF adjunto contenía más información sobre la factura y el pago. En realidad, el archivo comprimido LexisNexis_Invoice_06212013.zip contenía un programa troyano Tepfer que los ciberdelincuentes utilizan para robar contraseñas y nombres de usuario de sus víctimas.

 

Los estafadores se esforzaron para que el mensaje falso se parezca a uno oficial: usaron el logo de LexisNexis y la información verdadera de contacto de la compañía. Sin embargo, los remitentes eran excesivamente persistentes (urgían a los lectores a abrir el adjunto en tres partes separadas del mensaje), lo que levantó sospechas entre los destinatarios.

Phishing

El porcentaje de mensajes de correo phishing aumentó levemente en comparación al mes de mayo, alcanzando un 0,0032%.

 
Clasificación de las Top 100 organizaciones atacadas por phishers, por categoría*

Esta clasificación se basa en las detecciones del componente antiphishing de Kaspersky Lab, que se activan cada vez que un usuario intenta pulsar un enlace phishing, tanto si se encuentra en un mensaje de correo spam o en una página web.

Los usuarios de los sitios de redes sociales siguen siendo el blanco más codiciado de los ataques phishing, aunque se registró un descenso del 4,6%, quedando en el 31,3%.

En junio, los Motores de búsqueda (15,6%), y los Servicios financieros y de pago electrónico (14,3%) se colocaron en la segunda y tercera posiciones, respectivamente. Sus porcentajes en mayo eran similares. Este mes, la participación de los Motores de búsqueda aumentó en un 0,61%, mientras que la participación de los Servicios financieros y de pago electrónico decayó en la misma medida.

Las cifras referentes a Servicios de correo electrónico y mensajería instantánea se triplicaron, llegando al 13,2%, lo que colocó a esta categoría en la cuarta posición.  La categoría Fabricantes de IT (9,5%), bajó a la quinta posición. La categoría Proveedores de Internet (8,2%) se mantuvo en la sexta posición. A continuación se encuentra la categoría Subastas y tiendas online (5,7%), que disminuyó en un 2% en relación al mes de mayo, lo que la coloca en la séptima posición.

En junio se registraron varios envíos masivos de correo que incluyeron mensajes falsos enviados en nombre de reconocidos sistemas de pago electrónico, como PayPal. Uno de estos mensajes informaba al destinatario que el sistema le había bloqueado el acceso a su cuenta tras haber detectado sospechosos pagos de tarjetas de crédito. Para desbloquearla, se le pedía abrir el archivo incluido en el archivo comprimido adjunto AccountVerification.zip. Este archivo, llamado Verify Account.html, se abre en el navegador y muestra una página falsa con el perfil actualizado del usuario de PayPal. El plan pretendía llevar al usuario a ingresar los datos de su tarjeta de crédito, de su cuenta PayPal, y otros datos personales, los suficientes para que los estafadores accedieran a la cuenta de PayPal de la víctima y a su tarjeta de crédito.

 

Conclusión

Como se esperaba, el verano trajo consigo un aumento en el volumen del spam “educativo”. Los estafadores también siguieron explotando los nombres de celebridades para anunciar artículos y servicios. La prolongada expectativa por los productos de Apple se usó para anunciar accesorios y descuentos para conocidos dispositivos electrónicos.

En junio, más de la mitad del spam que circuló en todo el mundo provino de tres países: China, EE.UU. y Corea del Sur. Curiosamente, la participación de cada uno de estos líderes siguió en ascenso. Corea del Sur se mantuvo como la principal fuente del spam enviado a los usuarios europeos, seguida de Italia y Taiwán, en la segunda y tercera posiciones. EE.UU. y Vietnam descendieron a la cuarta y quinta posiciones, respectivamente.

En contra de los pronósticos, la cantidad de ataques phishing contra las redes sociales disminuyó en junio. Sin embargo, estos sitios siguen siendo el principal blanco de los phishers. Al mismo tiempo, la cantidad de ataques contra mensajes de correo e instantáneos decayó drásticamente, ya que durante las vacaciones de verano aumenta la cantidad de usuarios de correo electrónico y de programas como ICQ, Jabber, Skype, etc. Existe una significativa demanda de este tipo de cuentas en el mercado negro, lo que anima a los phishers a robar los datos de los usuarios de estas cuentas.

El spam en junio de 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada