Informes sobre spam y phishing

El spam en marzo de 2011

Marzo en cifras

  • El spam en el tráfico de correo ha subido un 0,9% en comparación con febrero y este mes ha alcanzado una media del 79,6%.
  • En comparación con febrero, la cantidad de mensajes phishing en el flujo total de spam se ha reducido en un 0,01%, con lo que su nivel es del 0,02%.
  • En marzo el 3,23% de todos los mensajes electrónicos contenían ficheros maliciosos, es decir un 0,05% más que el mes anterior.

Los sucesos más destacados del mes

Rustock causa mucho ruido

A mediados de marzo se anunció que gracias a los esfuerzos conjuntos de Microsoft y los órganos de seguridad de EEUU se logró desactivar la gran botnet Rustock.

Rustock existió en el territorio de Internet cerca de cinco años (desde 2006) y según diferentes apreciaciones, fue responsable del 30-40% del spam. El anuncio de la clausura de la botnet se hizo el 17 de marzo. La operación en sí tuvo lugar un día antes, el 16 del mismo mes.

Los expertos de Kaspersky Lab registraron cierta disminución del volumen del spam entre el 17 y 21 de marzo. Durante este periodo, en comparación con la media de la primera quincena de marzo, el spam se redujo en un 3%. Pero si hablamos de la cantidad de mensajes spam, éstos se redujeron en cerca del 15%.

Sin embargo, desde el 22 de marzo el volumen del tráfico de spam empezó a crecer de nuevo. Al parecer, a pesar de las impresionantes dimensiones y la potencia de la botnet clausurada, la experiencia de finales de 2010 permitió a los spammers y los dueños de las botnets cambiar de golpe la aplicación que le daban a su criatura. Pero a pesar de todo, las acciones de los órganos de seguridad en la lucha contra las botnets siguen dando sus frutos y causando alegría en los luchadores contra el spam.

Los sucesos mundiales y el spam

La tragedia de Japón no dejó indiferentes a los spammers

Los devastadores terremotos, tsunami y la catástrofe de la central nuclear que les siguió capturaron la alarmada atención de todo el mundo. Gente de muchos países trató de ayudar a los japoneses de cualquier forma que estuviese a su alcance, ya sea con provisiones, medicamentes y objetos de primera necesidad o donando dinero a diferentes organizaciones humanitarias. En Internet aparecieron muchos sitios web con información sobre cómo y a qué organizaciones enviar dinero para ayudar a los damnificados.

Por supuesto, los spammers de inmediato trataron de aprovechar el tema de las iniciativas benéficas. En el spam aparecieron en un instante mensajes de estafas que proponían enviar dinero supuestamente a la cuenta de la Cruz Roja y otras organizaciones humanitarias.

 

Claro está, los usuarios que enviaron dinero a las cuentas indicadas en este tipo de mensajes no ayudaban a nadie más que los spammers.

También se explotó intensamente el tema de los sucesos en Japón en los mensajes spam usados para propagar códigos maliciosos. Como de costumbre, los delincuentes se aprovecharon de la curiosidad humana, ofreciéndoles ver diferentes detalles chocantes o vídeos tomados en el lugar de los hechos.

 

Libia. Punto incandescente, tema candente

Todo el mundo comenta intensamente la situación en Libia. Los spammers también usaron el tema del conflicto armado en sus mensajes estafa. Con cada vez más frecuencia en el spam aparecen “cartas nigerianas”, supuestamente escritas por los miembros del gobierno de Libia que quieren sacar sus millones de los bancos del país, y mensajes en los cuales, al igual que en el caso de la catástrofe de Japón, se pide enviar donaciones a los damnificados.

Los spammers que propagan programas maliciosos tampoco han desaprovechado el interés de los usuarios por los dramáticos sucesos en Libia. Usando esquemas ya consagrados, enviaban mensajes con enlaces maliciosos que supuestamente llevaban a noticias candentes sobre Libia.

Desde nuestro punto de vista, los más interesantes son los mensajes políticos sobre la situación en Libia que aparecieron en marzo.

En estos mensajes se suelen citar posts de diferentes blogs o artículos de la prensa. Cabe destacar que estaban escritos en inglés, y por lo tanto, no estaban dirigidos a los libios. Este spam trata de atraer la atención de los usuarios que están fuera del país en guerra, es decir, de los de EEUU y Europa, y los pueden enviar tanto los partidarios del régimen actual de Libia, como sus opositores.

 

Análisis estadístico

Porcentaje de spam en el tráfico de correo

El spam en el tráfico de correo ha subido un 0,9% en comparación con febrero y este mes ha alcanzado una media del 79,6%.


El spam en marzo de 2011

El índice más bajo del mes (74,5%) se registró el 25 de marzo. Los usuarios recibieron la mayor cantidad de spam (86,9%) el 13 de marzo.

Países-fuente del spam

En marzo el líder de los países-fuente de spam es de nuevo India, desde cuyo territorio se envió el 11,42% (+2,59%) del correo basura.

 
Países- fuente de spam en marzo de 2011

El segundo renglón de la estadística lo ocupa Brasil, que habiendo desplazando a Rusia al tercer lugar, alcanzó un índice del 6,6% (2% más que en febrero). La cantidad de spam enviado desde el territorio de Rusia, al igual que en febrero, fue del 4,8%. Casi no ha cambiado a cantidad de spam propagada desde Indonesia (4,3%) e Italia (4%), países que ocuparon el cuarto y quinto lugar respectivamente.

Ha bajado en un 0,8% la cantidad de spam enviado desde Corea del Sur (3,3%). Este país bajó del quinto al octavo puesto en la estadística de países-fuente de spam. Como consecuencia, han subido un puesto Inglaterra (3,9%) y EEUU (3,4%), que ocuparon el sexto y séptimo lugar respectivamente. Con todo, la cantidad de spam enviado desde estos países ha cambiado poco en comparación con febrero.

Adjuntos maliciosos en el correo

En marzo, el 3,23% de todos los mensajes electrónicos contenían ficheros maliciosos, es decir un 0,05% más que el mes anterior.

En comparación con febrero han ocurrido cambios significativos en la distribución de países que registraron reacciones del antivirus de correo.

 
Reacciones del antivirus de correo según países, marzo de 2011

El primer puesto le sigue perteneciendo a Rusia (12,7% de adjuntos maliciosos), pero el segundo lo ocupan los EEUU (12,5%, un 1,9% más que el mes anterior). El porcentaje de reacciones del antivirus de correo en EEUU prácticamente ha alcanzado al de Rusia.

Inglaterra, que ocupa el tercer puesto, tiene el 6,2% del total de mensajes con adjuntos maliciosos bloqueados, lo que es un 1,1% más que en febrero. India (4,35%) y Vietnam (5,61%), que estos últimos meses figuran en el TOP 5, en marzo han bajado un poco. India cayó del cuarto al sexto lugar de la estadística y Vietnam del tercero al cuarto.

Alemania subió un puesto (5,4%). Australia sigue en el mismo puesto (4,21%). Italia (4,05%), que en febrero no estuvo en el TOP 10, en marzo ocupó el octavo lugar. España (3,27%) subió del undécimo al noveno puesto.

La estadística de los programas más detectados en el correo en marzo es la siguiente:

 
TOP 10 de programas maliciosos propagados por correo en marzo de 2011

Más de la mitad de los programas maliciosos del TOP 10 pertenecen a la familia Trojan-Downloader.Win32.Deliver. Estos programas son troyanos-descargadores clásicos, que instalan otros programas maliciosos en el equipo sin que su usuario se dé cuenta.

Dos programas más del TOP 10 son representantes de la familia Trojan-Spy.Win32.SpyEyes. Los programas maliciosos de esta familia se dedican a robar los datos confidenciales de los usuarios. Una de las modificaciones de Trojan-Spy.Win32.SpyEyes ya estuvo presente en nuestra estadística de febrero de este año.

El primer puesto, como ya es costumbre, lo ocupa Trojan-Spy.HTML.Fraud.gen. Aquí se pueden ver más detalles sobre este troyano.

Más arriba hemos escrito que los spammers usaron los temas de la catástrofe en Japón y la guerra en Libia en mensajes que contenían enlaces o adjuntos maliciosos. Algunos spammers explotaron ambos temas en un solo envío masivo: los mensajes con “noticias candentes” sobre el terremoto en Japón y los problemas en Libia contenían enlaces idénticos y se enviaron al mismo tiempo.

 

Es fácil notar que se usó una misma plantilla para crear los mensajes. También es curioso que después del enlace malicioso, en el texto hay un “copyright” que cambia de mensaje en mensaje. Como propietarios del “copyright” se indican diferentes grandes compañías IT y recursos de Internet. Es posible que con este torpe método los delincuentes trataran de evadir los filtros antispam primitivos.

En el equipo del usuario que seguía el enlace se instalaba un software malicioso mediante exploits Java. En nuestro blog el experto de Kaspersky Lab Nicolas Brules describe con más detalles este envío malicioso.

Phishing

En comparación con febrero, la cantidad de mensajes phishing en el flujo total de spam se ha reducido en un 0,01%, con lo que su nivel es del 0,02%.

 
TOP 10 de organizaciones atacadas por los phishers

En marzo, en el TOP 10 de organizaciones más atacadas por los phishers el líder indiscutible es PayPal. Le sigue la subasta online eBay.

Las redes sociales Facebook, Habbo y el popular juego World of Warcraft también siguen siendo el blanco preferido de los phishers.

La mitad de la estadística de los blancos de los ataques phishing una vez más está conformada por servicios online. Al mismo tiempo, los phishers han lanzado menos ataques a los bancos: los sistemas de banca online se encuentran sobre todo en la parte inferior de la lisa.

Conclusión

En marzo, los órganos de seguridad de EEUU dieron nuevos golpes a las redes botnet, lo que ha causado una baja de corta duración en el volumen de spam. A pesar de esto, el porcentaje medio de spam en marzo ha crecido en comparación con el de febrero. Como habíamos pronosticado en el informe de enero el volumen medio mensual de spam sigue creciendo y tiene todas las posibilidades de alcanzar las cifras del verano de 2010.

A pesar de nuestras expectativas, EEUU no logró entrar al TOP 5 de países-fuente de spam. El porcentaje de spam enviado desde este país casi no ha cambiado en comparación con febrero. No obstante, hay que destacar el alto interés que representan los EEUU como blanco para los envíos con virus. Esto puede significar que los esfuerzos de los delincuentes siguen apuntando a restablecer las botnets en este país.

El spam en marzo de 2011

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada