Informes sobre spam y phishing

El spam en marzo de 2012

Marzo en cifras

  • El spam en el tráfico de correo ha disminuido un 3,5% en comparación con febrero y este mes ha alcanzado una media del 75%.
  • En comparación con febrero, la cantidad de mensajes phishing en el flujo total de spam se ha reducido a la mitad, con lo que su nivel es del 0,01%.
  • En marzo, el 2,8% de todos los mensajes electrónicos contenían ficheros maliciosos, igual que el mes anterior.

Los sucesos más destacados del mes

Hlux/Kelihos: la reducción de la cantidad de spam no se hizo esperar

En marzo, el total de spam se redujo en un 3,5% en comparación con febrero. Esta es una cifra impresionante, si consideramos que se trata de valores relativos. En cifras absolutas, esto significa que la cantidad de spam se redujo en casi un 20% en comparación con el mes anterior.

Creemos que esta reducción está relacionada con la neutralización de la nueva versión de la botnet Hlux/Kelihos. La cantidad de spam en la semana del 19 al 25 de marzo, cuando comenzó la operación de desmantelamiento de la red zombi, fue la menor del mes, 73,4%. En la última semana de marzo, cuando se anunció el éxito de la operación, la cantidad de spam creció un poco (hasta 74,1%), lo que probablemente está relacionado con la reorganización de los recursos de los spammers.

Nuevos trucos en el spam malicioso

Los últimos años, los spammers que envían adjuntos maliciosos o enlaces a código malicioso se vieron obligados a cambiar sus tácticas con frecuencia. Esto se debe a que su tarea es provocar que el usuario abra el adjunto o siga el enlace. Si el usuario no lo hace, el spam no les traerá ninguna ganancia. Por esto, el código malicioso siempre se disfraza de mensaje inofensivo. Pero mientras mayor sea la frecuencia con que los delincuentes usan el mismo camuflaje, mayor es la cantidad de usuarios que reconocen el peligro oculto y, como consecuencia, los delincuentes lucran menos.

Con frecuencia los spammers, al inventar un nuevo truco, hacen envíos rápidos y masivos durante dos o tres días tratando de pescar la mayor cantidad de usuarios antes de que el nuevo truco sea descubierto. Por lo general, para conseguir sus propósitos, los spammers juegan con la curiosidad de los destinatarios y envían mensajes que aparentan ser notificaciones enviadas desde sitios legítimos.

Un buen ejemplo de uno de estos trucos fue el envío masivo que tuvo lugar del 20 al 23 de marzo. Los mensajes enviados por los spammers tenían la apariencia de una confirmación de compra de pasaje aéreo.

El uso del tema de los pasajes aéreos en los mensajes maliciosos no es nuevo, pero antes se les adjuntaba un fichero malicioso comprimido. Los mensajes de spam de este envío no contenían adjuntos. En cambio, le proponían al usuario registrarse online al vuelo, siguiendo un enlace en el mensaje.

Después de seguir el enlace, se instalaba en el equipo del usuario un troyano que descargaba a nuestro viejo conocido, el programa malicioso ZeuS/Zbot. Los detalles técnicos del ataque se pueden encontrar aquí.

El ataque concluyó el 23 de marzo, alrededor de las 9 de la noche, hora de Moscú. Destacamos que en todos los mensajes que llegaron del 20 al 23 de marzo se proponía registrarse en un vuelo que salía el 20 de marzo. Esto nos recuerda una vez más que la atención del usuario es la primera línea de defensa de su equipo.

Spam de actualidad

Los temas usados en el spam de marzo fueron el día de San Patrick, la Pascua y el lanzamiento de iPad3.

En la entrada del blog dedicado al día de san Patrick ya se mencionaba que los programas de afiliados usan cualquier festivo y otros sucesos para llamar la atención. En particular, se daba el ejemplo de un sitio de spam que vendía copias de relojes y que estaba decorado al estilo de los duendes irlandeses.

Como era de esperar, los spammers usaron muy activamente el tema de la Pascua. La publicidad de réplicas de artículos de lujo a fines de marzo se envió en mensajes decorados al estilo de las tarjetas de Pascua:

Hacemos notar que a diferencia de los envíos masivos que usaban el tema de san Patrick, los envíos “pascuales” no sólo enviaban al usuario a un sitio decorado de acuerdo con la festividad, sino que también ellos mismos contenían símbolos de Pascua.

En el spam “de Pascua” en inglés, además de la publicidad de réplicas de artículos de lujo, presentados como el mejor regalo de Pascua, se encontraban también felicitaciones “nigerianas” por haber ganado la lotería de Pascua y ofertas de diferentes regalos para esta fiesta primaveral.

El spam “pascual” en idioma ruso también contiene mucha publicidad de regalos para parientes,además de tours y excursiones ad-hoc. A diferencia de los mensajes en inglés, los mensajes en ruso distribuidos en el sector ruso de Internet no son de programas de afiliados, sino que han sido pedidos a los spammers por pequeñas y medianas empresas que usan el spam para publicitarse.

El lanzamiento del nuevo producto de Apple, el iPad de tercera generación, tampoco ha pasado inadvertida por los spammers. Al igual que con los envíos masivos “pascuales”, había evidentes diferencias entre los mensajes en inglés y en ruso.

Así, en el spam en inglés dirigido sobre todo a los habitantes de EE.UU., las novedades de Apple se usan como el queso en la ratonera. Ofrecer al usuario un iPad o iPhone gratuitos es un truco ampliamente conocido, pero al parecer aún efectivo, que los delincuentes usan para obligar a las personas a formar parte de una pirámide financiera, seguir enlaces de phishing o maliciosos, o bien instalar un programa de publicidad en el ordenador. Si un mes atrás estos envíos ofrecían iPad2 o iPhone 4s, ahora se usa activamente iPad3.

Análisis estadístico

Países-fuente del spam


Países fuente de spam en marzo de 2012 (TOP 20)

En marzo, la composición del TOP20 de países fuente de spam de nuevo es casi igual a la del mes anterior. En el TOP6 siguen estando los mismos países de febrero, con la única diferencia de que Vietnam y Corea han intercambiado puestos, ocupando el cuarto y quinto respectivamente. La cantidad de spam propagado desde el territorio de Corea ha disminuido en un 2,3%. Los índices del resto de países de la estadística han cambiado muy poco, cerca del 1,5%.

India sigue siendo el líder de la estadística con un 12,3% del spam mundial (+0,4%).

Adjuntos maliciosos en el correo

En marzo, el 2,8% de todos los mensajes electrónicos contenían ficheros maliciosos, igual que el mes anterior.

Distribución de las reacciones del antivirus de correo según países


Reacciones del antivirus de correo según países, marzo de 2012

Este es el tercer mes consecutivo en que los Estados Unidos de América ocupan el primer lugar de la estadística de reacciones del antivirus de correo. La cantidad de reacciones de Kaspersky Mail Antivirus en el territorio de EE.UU. ha crecido en un 1,7% en comparación con febrero y alcanzado el 14,7%.

De forma sorpresiva, Australia ha ocupado el segundo lugar de reacciones del antivirus de correo, y su participación ha crecido en más del doble (+6,9%), alcanzando el 12,4%. Al igual que en febrero, el tercer puesto lo ocupa Hong Kong.

En comparación con febrero, ha bajado notablemente la cantidad de reacciones en Alemania, en un 2,5%.

La participación de los demás países de la estadística ha cambiado dentro de los límites del 2%.

TOP 10 de programas maliciosos propagados por correo


TOP 10 de programas maliciosos propagados por correo en marzo de 2012

El 12% de las detecciones de Kaspersky Mail Antivirus corresponden al líder tradicional de nuestra estadística, Trojan-Spy.HTML.Fraud.gen. En comparación con el mes anterior, la participación de este malware se ha reducido en un 2%. Recordamos que Trojan-Spy.HTML.Fraud.gen es un programa malicioso en forma de página html con un formulario de registro de una organización financiera o cualquier otro servicio online. Los datos de registro que se ponen en la página se envían a los delincuentes. El uso de este malware es uno de los trucos usados por los phishers.

Los gusanos de correo Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q y Email-Worm.Win32.NetSky.c siguen estando en la estadística y ocupan el tercer, cuarto, sexto y séptimo puestos respectivamente. Los gusanos de correo suelen tener funciones simples: recopilan las direcciones electrónicas de los equipos infectados y se envían a sí mismos a estas direcciones. Bagle.gt es el único gusano del TOP10 que además puede conectarse a Internet para descargar otros programas maliciosos. Recalcamos que debido a que las funciones de autopropagación de los gusanos no se pueden mantener bajo control, estos programas maliciosos no pueden usarse como armas de ataques específicos.

Dos programas maliciosos de nuestra estadística de marzo son antivirus falsos. Hace tiempo que no había malware de este tipo en el TOP 10. Recordamos que la principal función de estos programas es extorsionar al usuario del equipo infectado.

Phishing

La cantidad de mensajes phishing en el flujo de correo se ha reducido en un 50% respecto a febrero y alcanzado el 0,01%.


TOP 100 de las organizaciones atacadas por los phishers, distribución por categorías. Marzo de 2012

La estadística de las categorías de organizaciones atacadas por los phishers se basa en las reacciones del componente antiphishing de nuestros productos en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces en mensajes spam o en Internet.

En la estadística de las categorías de organizaciones que más interés representan para los phishers lideran, como antes, las organizaciones financieras. Ellas representan casi la cuarta parte del total de las reacciones del antiphishing. Es digna de mencionarse la estabilidad de esta categoría: desde enero su porcentaje casi no ha cambiado. Y en general los intereses de los phishers no cambian mucho. En comparación con febrero el cambio más notable de la estadística fue el crecimiento de la cantidad de ataques phishing contra los usuarios de tiendas online, que subió en un 1%.

Los porcentajes de las demás categorías de la estadística han cambiado dentro de los límites del 1%.

Tendencias temáticas del spam


Categorías temáticas del spam en marzo de 2012

Las temáticas “Estafas informáticas” y “Finanzas personales”, que lideran ya por cuatro meses, han bajado en un 9,5% y 4,4% respectivamente. Es curioso que al mismo tiempo ha crecido en un 4% la cantidad de spam que contiene publicidad de juegos de azar. Este tipo de spam, al igual que el de la categoría “Finanzas personales”, está diseñado para que el usuario gaste su dinero de forma voluntaria, seducido por las ganancias prometidas.

También ha crecido en un 3% la cantidad de envíos de spam que ofrecen viajes, algo que a todas luces guarda relación con que se aproxima la temporada de vacaciones.

Los porcentajes de las demás categorías de la estadística han cambiado muy poco, dentro de los límites del 1,5%.

Conclusión

Según los resultados del mes, la cantidad de spam ha bajado en un 3,5%. Nos parece que esta reducción está relacionada con la exitosa operación de neutralización de la red zombi Hlux/Kelihos realizada con la participación de los especialistas de Kaspersky Lab.

En marzo, los spammers que envían código malicioso han enriquecido su arsenal con varios nuevos trucos. El spam sigue representando un peligro, a pesar de la reducción de la cantidad de adjuntos maliciosos propagados por correo en marzo.

Los temas más vivos del spam en marzo fueron el día de San Patrick, la Pascua y el lanzamiento del iPad3. Hacemos hincapié en que el tema de los días festivos se usó sobre todo para publicitar diferentes artículos, mientras que el nuevo aparato de Apple fue una carnada para envíos de estafas.

El spam en marzo de 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada