El spam en marzo de 2010

Particularidades del mes

• El spam en el tráfico de correo ha subido un 3,2% en comparación con febrero y este mes ha alcanzado una media del 82,9%.
• Se han encontrado vínculos a sitios phishing en el 0,03% de todos los mensajes electrónicos, lo que representa una disminución del 0,84% en comparación con noviembre.
• El 0,5% de los mensajes contenía ficheros maliciosos, es decir, un 0,68% menos que en el mes anterior.
• Los delincuentes siguen usando imágenes cambiantes y pintando las celdas de tablas html para evadir los filtros antispam.

Porcentaje de spam en el tráfico postal

El porcentaje medio de spam en el tráfico de correo es del 82,9% en marzo de 2010. El punto más bajo del mes se registró el 5 de marzo (78%). Los usuarios recibieron la mayor cantidad de spam el 20 de marzo (90,1%).

El spam en marzo de 2010

Países—fuentes de spam

 
Países—fuentes de spam

En marzo, entre los países fuente de spam siguen liderando EEUU (14,7%) e India (7,3%). Pero ha habido modificaciones en los primeros cinco puestos. Rusia ha subido del quinto al tercer puesto. Desde su territorio se ha propagado el 6,9% del total del spam mundial (+2,3%). Vietnam y Rumania ocupan el cuarto y quinto puesto respectivamente y ambos son responsables del 4,8% del spam.

Corea del Sur, que en febrero ocupaba el tercer lugar en la estadística, en marzo ocupa un humilde octavo lugar con un 4,1% (-3,4%).

Brasil, que anteriormente estaba entre los tres primeros países fuente de spam, ahora por segundo mes consecutivo ocupa el noveno lugar de la estadística. Desde el territorio de este país se ha propagado el 3,1% del spam.

China, que figuraba entre los diez países que más envían spam, por segundo mes consecutivo ocupa los últimos lugares de la estadística (1,6%).

Desde el territorio de Ucrania se ha enviado un 1,2% más de spam que el mes anterior y con esto pasa a ocupar el sexto lugar de la estadística (4,2%). La cantidad de spam enviado desde este país crece a ritmo sostenido, lo que permite suponer que en los próximos meses Ucrania podrá ocupar el puesto de China, con lo que se convertiría en uno de los países que más spam envía. En general, desde el territorio de los países de la ex URSS, en marzo se ha enviado prácticamente la misma cantidad de spam (14,8%) que desde EEUU.

España de nuevo está en el puesto 13, pero la cantidad de spam enviado desde este país se ha reducido en un 2,3%.

Phishing

Se han encontrado vínculos a sitios phishing en el 0,03% de todos los mensajes electrónicos, lo que representa una disminución del 0,84% en comparación con febrero.

Las organizaciones atacadas con más frecuencia por los phishers siguen siendo PayPal (45,4%, -8,6%) y eBay (15,4%, +1,4%). La tercera y cuarta posición de la estadística, al igual que el mes anterior, pertenecen a Facebook (7,7%, +1,6%) y HSBC (7,5%, -0,2%).

Estas cartas siguen siendo burdas falsificaciones, por lo general contienen un texto que informa sobre la posible clausura de la cuenta en el juego y varios enlaces.

Es jocoso que, aparte del formulario estándar que hay que rellenar para que la cuenta “no sea clausurada al término de 72 horas”, los phisher piden ingresar las letras de la imagen de abajo, en una casilla CAPCHA, sistema que se usa para evitar que los robots se registren automáticamente.

En el ejemplo de arriba, el enlace que el usuario visualiza tiene el aspecto de una transición a la página principal del juego online, pero en realidad conduce al sitio http://*******.worldofwarcraft**.com/, dónde se le propone ingresar sus datos de registro. Por supuesto, el usuario espabilado no ingresará nada.

Google ocupa el quinto lugar de las organizaciones más atacadas por el phishing. Sin embargo, uno de sus competidores también está en la mira: los usuarios de Yahoo! recibieron mensajes como éste:

Desde luego, en marzo los bancos también despertaron el interés de los phishers. Así, nuestra compañía detectó que a los usuarios de los servicios online del Bank of America se les envió el siguiente mensaje:

Cabe destacar que la palabra inglesa “member” (miembro) está mal escrita en el título del mensaje, pone “menber”.

Programas maliciosos en el spam

El 0,5% de los mensajes contenía ficheros maliciosos, es decir, un 0,68% menos que en el mes anterior.

 
Programas maliciosos en el correo, enero de 2010

Entre los programas maliciosos más comunes en el correo, de nuevo lidera Trojan-Spy.HTML.Fraud.gen, cuya principal tarea es recopilar los datos personales y de registro del usuario.

Es curioso que más de la mitad de los casos de la infección provocada por este troyano haya sido registrada en Inglaterra.

El segundo programa malicioso más difundido en el correo de marzo es Trojan-Downloader.Win32.FraudLoad.gmx, que inocula en el ordenador de la víctima un fichero que Kaspersky Lab detecta como Trojan.Win32.Sasfis.ajil.

En nuestra lista TOP10 hay tres troyanos de la familia Trojan.Win32.Agent. Se trata de los programas maliciosos que ocupan los puestos cuarto, séptimo y décimo de la estadística. En total, cerca del 7% de los programas maliciosos propagados por correo en marzo pertenecen a esta familia.

Además, vale la pena mencionar que los programas troyanos Trojan.Win32.FraudPack.aolb y Trojan.Win32.FraudPack.apee, ubicados en los puestos octavo y décimo, fueron detectados en el 2% y 1,84% de todos los mensajes respectivamente. Estos programas maliciosos son antivirus falsos que extorsionan al usuario pidiéndole dinero y que, haciéndose pasar por actualizaciones, descargan al ordenador del usuario otros programas maliciosos.

El gusano de correo NetSky, que en agosto, septiembre y diciembre de 2009 ya estaba presente en las listas de los programas maliciosos más propagados en el correo, de nuevo está en el TOP10. Esta vez su modificación Email-Worm.Win32.NetSky.q ocupa el sexto puesto de la estadística.

Merece la pena destacar que el envío masivo en nombre del sistema de correo UPS todavía no ha aburrido a los spammers. Los programas maliciosos que se propagan usando este truco siguen evolucionando. Así, en marzo los mensajes enviados en nombre de UPS fueron enviados por los troyanos de las familias Trojan.Win32.FraudPack y Trojan.Win32.Agent.

Sigue siendo popular entre los spammers el método de propagar programas maliciosos en un archivo comprimido defendido por contraseña. En estos casos, la contraseña se puede encontrar en el cuerpo del mensaje, mientras que en el archivo, según afirman los spammers, se encuentra un documento confidencial muy importante, que supuestamente no se puede enviar de otra manera. Y el documento que está en el archivo tiene un nombre con una extensión .txt o .doc, como en el siguiente caso:

En realidad el archivo contenía Email-Worm.Win32.Beloy.a, un gusano de correo agregado a nuestras bases antivirus en 2007. Es curioso que en marzo este gusano no estaba muy propagado y todos los casos cuando fue detectado por nuestro antivirus de correo ocurrieron en Rumania y EEUU.

Los temas del spam

La publicidad de fármacos, reunida en nuestra rúbrica Fármacos y otros bienes y servicios relacionados con la salud es uno de los tipos de spam más difundido en los países de occidente. Marzo no fue la excepción: en la distribución temática del spam, la media de estos envíos masivos constituyó cerca del 35%, y en la tercera semana de marzo superó el 40% del total de spam.

Según la tradición establecida, los spammers que venden Viagra adornaron sus sitios web con los atributos de la fiesta más próxima, la Pascua:

La aproximación de la Pascua, sin embargo, fue advertida no solo por los vendedores de fármacos baratos. A todas luces, los mismos spammers que en Navidad prometían enviar cartas personalizadas de Santa Claus a todos los que lo quisieran, en marzo ofrecían cartas del Conejo de Pascua. Por lo menos el asunto del mensaje y el coste de la carta hacen suponer que las cartas de Santa Claus y las del Conejo de Pascua fueron escritas por las mismas personas.

En general, la cantidad de mensajes en la categoría Demás bienes y servicios, a la que pertenecen los mensajes citados, se ha reducido notablemente (-3,4%). Esto se debe a que la mayoría de estos envíos masivos tienen carácter estacional. En diciembre son los envíos de Navidad, y en enero-febrero, los dedicados al día de San Valentín. En cambio los meses primaverales no son muy abundantes en publicidad de artículos estacionales.

En marzo los usuarios españoles han seguido recibiendo una gran cantidad de propuestas de visitar seminarios o de estudiar en cursos. Y aquellos que ya han alcanzado determinadas alturas en la vida y abierto su propio negocio reciben spam con propuestas de realizar investigaciones de marketing por correo electrónico. En otras palabras, se les ofrecía hacer publicidad de artículos y servicios por medio de envíos de spam según novísimas bases de datos para cualquier gusto:

La cantidad de mensajes pertenecientes a la temática “Estafas informáticas” también ha bajado (-1,4%), pero la cantidad de este tipo de spam sigue estando en un nivel más que alto, de cerca del 18%.

Los métodos y trucos de los spammers

En marzo los spamers se han acordado de nuevo de sus antiguos y efectivos métodos: las imágenes cambiantes y las celdas de tablas html pintadas en determinado orden.

Tradicionalmente, los spammers usan el truco de las imágenes cambiantes y llenas de ruido para publicitar Viagra:

Como podemos ver, además de la imagen, los spammers han puesto en el mensaje un fragmento de texto literario, que también cambia de mensaje en mensaje. En nuestros informes anteriores ya hemos destacado que el uso de estas imágenes les quita a los clientes del spammer una buena parte de su auditorio, en concreto, todos aquellos que no se toman el trabajo de escribir por sí mismos la dirección del sitio web.

Las celdas de tablas html pintadas de determinada forma se pueden observar en los mensajes que publicitan sitios de búsqueda de pareja. Antes, con la ayuda de este truco se solía representar la dirección del sitio, pero ahora con la ayuda de las celdas se pone el texto del mensaje. El enlace al sitio estaba escrito de forma común y corriente.

Conclusión

En marzo el porcentaje de mensajes phishing ha bajado considerablemente, hecho que nos complace. La cantidad de adjuntos maliciosos en el correo ha vuelto al nivel de enero. Ha bajado un poco la cantidad de spam de la temática “Estafas informáticas”. De esta manera, observamos cierta tendencia hacia la reducción de los elementos delincuenciales del spam.

Para evadir los filtros antispam, los spammers prácticamente no están inventando nuevos trucos y prefieren arreglárselas con sus antiguos y probados métodos. Al parecer, esta situación no cambiará por bastante tiempo.