El spam en junio de 2014

Peculiaridades del mes

En junio los grandes acontecimientos como el mundial de fútbol y la situación en Ucrania han servido de pretexto para enviar mensajes fraudulentos destinados a robar dinero e información financiera a los usuarios de Internet.

En las vísperas de la fiesta musulmana de Ramadán y del Día del Padre, en el spam en inglés se han ofrecido diversos artículos y servicios relacionados. También entre los líderes de las temáticas de junio podemos destacar la publicidad de diferentes servicios de búsqueda de pareja en Internet, como también de ofertas de tarjetas de combustible y joyas.

El campeonato mundial de fútbol

En junio empezó el vigésimo campeonato mundial de fútbol, que los hinchas de todo el mundo esperaban con impaciencia. Los acontecimientos deportivos que gozan de popularidad, entre los cuales sin duda está el mundial, no sólo capturan la atención de millones de espectadores, sino también la de los spammers y phishers. Esta vez los primeros envíos fraudulentos que explotaban el tema del campeonato los detectamos ya en noviembre, mucho antes del comienzo del mismo. En junio los delincuentes enviaron mensajes phishing en portugués que proponían tomar parte en un sorteo de entradas para la ceremonia de inauguración y los partidos del campeonato. Para esto había que seguir un enlace fraudulento e ingresar datos de registro e información de la tarjeta bancaria. El enlace falso estaba en una imagen gráfica que el usuario visualizaba al abrir el mensaje. Las páginas phishing estaban ubicadas en el dominio gratuito .tk, que es el nombre de dominio nacional de nivel superior de las islas Tokelau, que son parte de Nueva Zelandia. Para convencer a la víctima de que el mensaje era legítimo, los spammers usaban en la dirección del remitente el nombre de dominio del sistema de pagos Visa y de la FIFA.

El spam festivo

En junio el spam festivo en inglés estuvo dedicado al Día del Padre, celebrado el tercer domingo del mes. Los spammers enviaron publicidad de dispositivos electrónicos, imitaciones de objetos de marcas famosas y de armas de diferentes épocas, captando la atención de los destinatarios con rebajas, liquidaciones y precios bajos. Para evadir los filtros antispam, los spammers agregaban al final del mensaje un texto-basura (citas de alguna obra literaria) y también aprovechaban un popular servicio de creación de enlaces cortos para enmascarar la verdadera dirección y remitir al usuario a un sitio de spam. En el asunto y el cuerpo del mensaje se mencionaba el nombre de la fiesta.

Las fiestas religiosas explotadas en el spam no son tantas como las civiles y los spammers siempre hacen que los usuarios reciban ofertas publicitarias adecuadas. Cada año la fiesta sagrada musulmana de Ramadán se menciona en el tráfico de spam. Este mes no fue la excepción: registramos anuncios de restaurantes que mencionaban el Ramadán (y al mismo tiempo, una invitación para visitarlos y ver las transmisiones de los partidos del mundial de fútbol). También registramos ofertas de servicios TI y de envíos de mensajes de texto publicitarios. El Ramadán dura hasta finales de julio y pronosticamos que los spammers seguirán enviando mensajes spam que exploten el tema de esta fiesta.

Ucrania en el spam “nigeriano”

Los estafadores de nuevo han usado los sucesos políticos en Ucrania para sacarles dinero a los confiados usuarios. Esta vez el autor del mensaje se hacía pasar por el ayudante personal de una política ucraniana que estaba entre los primeros muertos en los enfrentamientos en Kiev. Por supuesto, según las leyes del género, la difunta había dejado al ayudante millones de dólares que había que sacar urgente de Ucrania, transfiriéndolos a la cuenta de un destinatario extranjero. šPor la ayuda y la presentación del número de la cuenta de la víctima los delincuentes ofrecían una recompensa e incluso estaban dispuestos a destinar cierta suma a los gastos que pudiesen surgir durante la transferencia.

Todos los años se usa el mismo esquema de estafa “nigeriana”. Sólo cambian las historias de los mensajes, pero queremos una vez más recordar a nuestros usuarios que todas las ofertas de enriquecerse enviadas en el spam “nigeriano” no son otra cosa que formas de robarle dinero.

Búsqueda de pareja en Internet

Una significativa parte del spam de junio era la publicidad de diferentes servicios de búsqueda de pareja en diferentes grupos sociales: los spammers ofrecían activamente sitios de búsqueda de pareja para afroamericanos, musulmanes, cristianos y también para personas de la tercera edad e incluso casadas.

También registramos algunos mensajes y envíos hechos en nombre de diferentes personas que quieren encontrar pareja en Internet para “relaciones serias o crear una familia”. No sólo los heterosexuales trataron de usar el spam para encontrar pareja, sino también las personas de otras orientaciones sexuales. Como regla, los remitentes incluían sus fotos en el mensaje y también indicaban su dirección de correo electrónico o un enlace a su página en algún servicio de búsqueda de pareja (lo que también con frecuencia es una especie de publicidad velada del servicio, y los mismos mensajes se pueden enviar en nombre de usuarios inexistentes, como carnada). En el texto los remitentes describían su apariencia, enumeraban sus intereses y afirmaban que querían establecer correspondencia. Con frecuencia en las cartas se indicaba que la dirección del destinatario la habían recibido de un conocido común, que la habían encontrado en una red social o en otro sitio de búsqueda de pareja, lo que no es necesariamente verdad.

Los spammers también enviaron mensajes donde prometían, usando una base de datos de “almas gemelas”, seleccionar pareja según cualquier criterio (edad, color de piel, intereses, etc.) en tres minutos. Para usar el servicio le pedían al destinatario enviar un mensaje de texto al número de pago indicado en el envío masivo. Aparte del dinero descontado de la cuenta del teléfono del usuario, los spammers obtenían acceso a su lista de contactos, en particular al número de teléfono.

Para aquellos que no usan servicios de búsqueda de pareja y prefieren buscarla en la vida real, ofrecían lecciones de seducción (“24 leyes para conquistar mujeres”) y otros consejos para tener relaciones exitosas.

En uno de los envíos masivos descubrimos spam que publicitaba un servicio de citas. Los spammers ofrecían servicios de creación y promoción (por supuesto, mediante envíos de spam) de un nuevo sitio de búsqueda de pareja que tenía usuarios de una enorme cantidad de países. En el mensaje se ponía como forma de comunicación una dirección de correo electrónico y ICQ.

Joyas

En los envíos de spam que tuvieron lugar en junio encontramos muchas ofertas de comprar joyas. La mayoría eran subastas y ofertas de bonos de pequeñas joyerías, pequeños productores de adornos y compañías extractoras de diamantes. Todas ellas querían relacionarse con los destinatarios del spam y les enviaban los precios de sus productos.

Tarjetas de combustible

La venta de tarjetas de combustible, usadas para automatizar el pago de llenar el tanque de los automóviles, es un tema popular en los envíos masivos efectuados en el sector angloparlante de Internet. Este medio de pago por el combustible es bastante cómodo para las compañías de transporte que tienen una gran cantidad de automóviles y de viajes, cuyo proceso de llenado de depósitos es difícil de controlar. Los intermediarios usan el spam para proponer al usuario comparar precios y escoger la compañía de combustible más conveniente y después firmar un contrato para expedir una tarjeta especial de combustible. La peculiaridad de los envíos de spam de esta temática es que los enlaces de los mensajes llevaban a sitios que estaban registrados en dominios creados hace poco tiempo. Y estos sitios sólo se encargan de calcular cotizaciones.

Estadísticas

Porcentaje de spam en el tráfico postal

Cantidad de spam en el tráfico de correo

En junio el promedio del spam en el tráfico de correo constituyó el 64,8%, un 5% menos que los índices del mes anterior. El pico del nivel de spam tuvo lugar la segunda semana del mes (65,8%) y el nivel más bajo, la tercera (63,5%).

Distribución geográfica de las fuentes de spam

Antes calculábamos la estadística de países-fuente de spam según los datos recibidos de las trampas para spam localizadas en diferentes países. Pero el spam que llega a las trampas es diferente del que llega a los usuarios reales. Por ejemplo, en ellas no cae el spam que tiene como blanco a las compañías especializadas.š Por esta razón hemos cambiado la fuente de datos y ahora usamos KSN (Kaspersky Security Network) para obtener la estadística de spam de los mensajes que llegan a los usuarios de nuestros productos en todo el mundo. Como los datos usados para la estadística de este mes se han tomado de otra fuente, consideramos que no sería correcto comparar la estadística con la del mes anterior.

Distribución de las fuentes de spam por país

Según los resultados de junio de 2014 los tres países desde donde se envió más spam a todo el mundo fueron EE.UU. (13,2%), Rusia (7%) y China (5,6%).

En el cuarto puesto se encuentra Vietnam (5,3%). En el quinto está Argentina (4,1%). Le siguen Alemania (3,7%), España (3,6%), Ucrania (3,2%) e Italia (2,9%).

El décimo lugar lo ocupa India, desde donde en junio se envió el 2,8% del spam mundial.

Adjuntos maliciosos en el correo

En junio el TOP 10 de los programas maliciosos propagados por correo es el siguiente:

TOP 10 de programas maliciosos propagados por correo

El líder por las dimensiones de su propagación sigue siendo Trojan-Spy.HTML.Fraud.gen. Recordamos que este representante de la familia de troyanos Fraud.gen es una página HTML falsificada que se envía por correo electrónico camuflada como una notificación importante de los grandes bancos comerciales, tiendas online, compañías de software, etc.

En el segundo puesto se encuentra Trojan-Downloader.MSWord.Agent.z. Este programa malicioso es un fichero *.doc que contiene un macro escrito en Visual Basic for Applications (VBA) que se ejecuta al abrirse el documento. El macro descarga y ejecuta otro programa malicioso.

El tercer, cuarto, quinto y séptimo lugar lo ocupan diferentes modificaciones de nuestro viejo conocido, el programa malicioso Bublik. Se puede considerar que son troyanos descargadores de lo más común y corriente que descargan y ejecutan un fichero malicioso en el equipo del usuario.

El sexto puesto lo ocupa Backdoor.Win32.Androm.elwa. Este programa malicioso es una variante de Andromeda denominada Gamarue, un bot modular universal. Puede usarse como fundamento para construir una botnet con las más diversas posibilidades. Las funciones del bot se expanden mediante un sistema de plugins que los delincuentes descargan en cualquier cantidad cuando quieren.

Le sigue Email-Worm.Win32.Bagle.gt. Este gusano de correo se envía a sí mismo a todas las direcciones de correo electrónico que encuentre en el equipo infectado. Además, el gusano puede descargar de Internet otros ficheros sin que el usuario se dé cuenta. Para enviar mensajes infectados, Email-Worm.Win32.Bagle.gt usa su propia biblioteca SMTP.

En el noveno puesto tenemos a Trojan-Banker.Win32.ChePro.ilc. Es un descargador implementado en forma de un applet CPL (componente del panel de administración) y que se encarga de descargar troyanos destinados al robo de información financiera confidencial. En su gran mayoría, los programas maliciosos de este tipo tienen como blanco a los bancos brasileros y portugueses.

El décimo puesto lo ocupa Email-Worm.Win32.Mydoom.l. Este gusano de red se propaga como adjunto de correo, mediante redes de intercambio de ficheros y recursos de red abiertas a la escritura. Las direcciones para enviar mensajes las recopila en los equipos infectados. El gusano les da a sus dueños la posibilidad de controlar de forma remota el equipo infectado.

Distribución de reacciones del antivirus de correo según países

Alemania ha dado un salto impresionante en la cantidad de detecciones del antivirus de correo, intercambiando posición con Inglaterra y convirtiéndose en líder (+8,17%).

Rusia de nuevo ha entrado en el TOP20 de la estadística y en junio ha ocupado el puesto 13 (2,03%).

Los Emiratos Árabes han superado a Australia, Hong-Kong y Vietnam (+0,96%) por la cantidad de adjuntos maliciosos. Suiza ha abandonado el TOP20 de países con la mayor cantidad de detecciones del antivirus de correo.

Los índices de otros países no han sufrido cambios sustanciales.

Peculiaridades del spam malicioso

La temporada de vacaciones sigue avanzando y mientras muchas personas aún planean todavía sus vacaciones, las que ya han tomado su decisión con frecuencia las organizan por sí mismas y reservan por su propia cuenta los pasajes de avión y las habitaciones de hotel. Además del tradicional incremento del spam con temática de vacaciones, hemos registrado un crecimiento de la cantidad de mensajes fraudulentos enviados en nombre de diferentes servicios de reservas, entre ellos de fama mundial. Estos mensajes se hacen pasar por notificaciones de reservas y contienen adjuntos maliciosos camuflados como facturas de pago de reservas. Al mismo tiempo en los mensajes se indican datos falsos como números de reserva, fechas de partida y llegada y precios. Uno de los programas maliciosos que se encuentran con mayor frecuencia en las falsificaciones de esta temática en junio es Trojan-Spy.Win32.Ursnif. Este troyano roba datos confidenciales y los envía a un servidor remoto que hace un seguimiento del tráfico de red, descarga y ejecuta otros programas maliciosos y desactiva algunas aplicaciones del sistema, como por ejemplo el firewall.

Para enviar adjuntos maliciosos los delincuentes hace tiempo que no solo usan notificaciones falsas de importantes servicios de reserva, bancos o hipermercados online, sino también de tiendas mucho más especializadas. Así, el mes pasado detectamos un envío malicioso hecho en nombre de una tienda online de artículos para animales. Como de costumbre, se le ofrece al usuario descargar e imprimir una factura para comprar artículos para su mascota. Y para todas las preguntas que pudiesen surgir, lo remiten al servicio real de la tienda verdadera con un enlace que conduce al sitio oficial de la misma. En el archivo, en vez del documento PDF prometido con la información sobre la compra estaba el programa malicioso Trojan-Banker.Win32.Shiotob.c. Este programa malicioso roba diferentes tipos de información del sistema, nombres de usuarios y contraseñas de FTP y de diferentes sitios web.

Phishing

Según los resultados de junio, la lista de organizaciones atacadas por los phishers no sufrió cambios significativos. La estadística sigue estando liderada por los portales de búsqueda y correo (32,1%), con un índice que según los resultados del mes ha bajado en un 0,2%. El segundo puesto lo ocupan las redes sociales (27,7%) con una cantidad de ataques que se ha incrementado en un 3,7%. Los índices de las organizaciones financieras y de pagos (11,6%) y tiendas online (10,6%) han bajado en un 1,2% y 1,5% respectivamente. La cantidad de ataques phishing contra los proveedores de Internet y telefonía han bajado en un 0,1% y esta categoría ocupa el quinto lugar.

Categorías del TOP 100 de organizaciones atacadas por los phishers

La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces dentro de mensajes de correo o en Internet.

En junio los estafadores enviaron notificaciones falsas en nombre de la compañía norteamericana Electronic Arts, que produce y vende juegos de vídeo. Los phishers trataron de obtener acceso a los gabinetes privados de los usuarios en la tienda online Origin, de su propiedad. Para engañar a sus víctimas los delincuentes usaron un viejo truco: enviaron mensajes de que había robustecer la defensa de la cuenta y le pedían al usuario confirmar que la cuenta le pertenecía. Para darle una apariencia legítima al mensaje, usaban el logotipo de Origin, enlaces al sitio web de la compañía y la advertencia que es común en estos mensajes de no darle a nadie la contraseña del gabinete personal.

Conclusión

La cantidad de spam en el tráfico mundial de correo en junio ha bajado en un 5% y queda en el 64,8%. Esta reducción puede estar relacionada con la temporada, ya que en verano baja la intensidad de las actividades de negocios y muchos bots spam se apagan durante las vacaciones.

En junio los estafadores usaron los acontecimientos políticos y deportivos más destacados para engañar a los usuarios. En las vísperas del mundial de fútbol, el principal acontecimiento para los hinchas, los phishers trataron de robarles a los usuarios su información bancaria a cambio de participar en una lotería falsa. Los estafadores “nigerianos” de nuevo usaron la compleja situación en Ucrania para pedir ayuda en la transferencia de millones de dólares inexistentes.

Según los resultados de junio, la estadística de organizaciones atacadas por los phishers no ha sufrido cambios. La encabezan los portales de correo y búsqueda (32,1%). El segundo puesto lo conservan las redes sociales (27,7%) con un índice que ha aumentado en un 3,7%, lo que se puede explicar porque es tradicional que las actividades de los escolares y estudiantes universitarios en las redes sociales aumenten durante las vacaciones, algo que los estafadores tratan de aprovechar. En el tercer puesto están las organizaciones financieras y de pagos (11,6%).

Entre los adjuntos maliciosos en el correo sigue liderando el programa malicioso Trojan-Spy.HTML.Fraud.gen, enviado como una notificación de bancos y tiendas. Debido a que es temporada de vacaciones ha aumentado la cantidad de notificaciones falsas que contienen adjuntos maliciosos de diferentes servicios de reservas. Por la cantidad de detecciones del antivirus de correo en junio Alemania ocupa el primer puesto (16,4%).