Informes sobre spam y phishing

El spam en marzo de 2013

  • En marzo, el porcentaje medio de spam en el tráfico de correo ha bajado en un 1% y es de 70,1%.
  • En comparación con febrero, la cantidad de mensajes phishing en el flujo total de spam se ha reducido a la mitad, con lo que su nivel es del 0,006%.
  •  El 4% de todos los mensajes electrónicos contenía ficheros maliciosos, un 1.2% más que el mes anterior. 

Particularidades del mes

En marzo la cantidad de mensajes spam que explotaban el tema de las fiestas ha empezado a bajar.Sin embargo, todavía hemos registrado envíos masivos dedicados al Día de San Patrick, la Pascua y el Día de la Madre, que según la tradición se celebran en marzo.Los spammers tampoco dejaron sin atención un importante suceso político, la muerte del presidente de Venezuela Hugo Chávez.

El spam festivo

En marzo Internet se inundó de envíos masivos por ocasión de la Pascua.Con frecuencia esta fiesta se mencionaba en los mensajes en inglés que contenían publicidad de reproducciones de artículos de lujo y tabletas para adelgazar, como también en los mensajes de estafa.En calidad  de regalo para la fiesta los spammers ofrecían descuentos para la compra de bases de datos de inversores.


Para el Día de San Patrick, celebrado el 17 de marzo en muchos países del mundo los spammers ofrecían servicios de impresión de tarjetas de plástico, así como servicios de planeamiento y realización de campañas publicitarias.Todos los envíos tenían el estilo festivo típico:en el diseño gráfico los spammers usaban el color verde y la imagen del trébol, el principal símbolo de la fiesta.


En marzo entre los spammers gozaron de popularidad los envíos de los sistemas de afiliados dedicados a la venta de flores.También se hizo envíos masivos similares por motivo de la Pascua y el Día de la Madre.


Los “nigerianos” y los suceso en Venezuela

Uno de los principales sucesos políticos de marzo fue la noticia de la muerte del presidente de Venezuela.Hugo Chávez estuvo al mando del país durante 14 años y durante su gestión se convirtió en una figura bastante contradictora en el mundo político.El revuelo ocasionado por su muerte no cesa.Ya a principios de marzo se registraron “cartas nigerianas” en inglés y alemán que explotaban el interés de los usuarios por los sucesos en Venezuela.

Uno de los mensajes de estafa se envió en nombre del jefe de un puerto marítimo que supuestamente pidiendo ayuda para conservar el dinero recibido por la venta de combustible a Sudán del Sur.En el primer mensaje los estafadores no prometen a la víctima ninguna suma concreta de dinero por su ayuda, porque su objetivo es despertar el interés del destinatario e inducirlo a contestar la carta.En la correspondencia posterior ya se le ofrece a la víctima una recompensa en dinero.

En otro envío se difundía un mensaje supuestamente escrito por el jefe de seguridad y amigo de Hugo Chávez.Como siempre, los estafadores “nigerianos” no ponen límites a su imaginación:el “amigo” imaginario tiene acceso al dinero que el difunto presidente guardaba en la cuenta bancaria de su amada secreta, y ahora está dispuesto a pagar al destinatario del mensaje el 25% del total para que le ayuden a transferir el dinero.


En ambos casos, el principal propósito de los estafadores es inducir al usuario a responder a los mensajes para después pedirle dinero, por ejemplo, con el pretexto de pagar algunos servicios para que la víctima pueda recibir los míticos millones.

Distribución geográfica de las fuentes de spam

Según los resultados de marzo de 2013, China ha ocupado el primer lugar entre los países fuentes de spam (25.8%).La cantidad de spam enviada desde EE.UU. ha aumentado un poco (17,3%) y ahora este país ocupa el segundo lugar.En total, desde estos dos países en marzo se envió cerca del 43% del spam mundial.


Países-fuente de spam en el mundo

Corea del Sur, cuyos índices disminuyeron en un 3,8%, ocupa el tercer puesto (9,8%), el mismo que en febrero.Entre los cinco primeros han conservado sus puestos Taiwán (5%) e India (3.4%)En cambio Rusia (2.4%) bajó casi un 1% y descendió del séptimo al décimo puesto.Alemania (2.7%), que anteriormente ocupaba el décimo puesto, en marzo ha aumentado su índice cerca del 1% y ocupado el octavo puesto.


Países-fuente de spam en Europa

Según los resultado de marzo, el líder de los países que envían spam a Europa sigue siendo Corea del Sur (36.8%), a pesar de que su índice ha bajado en un 13%.La cantidad de spam proveniente de China, por el contrario, ha aumentado considerablemente y alcanzado el 11.2%.Como resultado, este país ahora ocupa el segundo puesto.

El tercer puesto lo ocupa EE.UU. (10.1%), que bajó del segundo al tercer puesto.Italia, que en febrero ocupaba el tercer puesto, a pesar de haber enviado un 1.1% más de spam, ha descendido al cuarto puesto con un 6.4%.


Regiones-fuentes de spam

Asia sigue siendo la primera región por la cantidad de spam que propaga (54,1%).Como en febrero, entre los tres primeros están Norte América (17.8%)  y Europa del Este (10,2%).Les pisa los talones Europa Occidental (9.4%).

Adjuntos maliciosos en el spam

En marzo de 2013 la cantidad de mensajes con adjuntos maliciosos constituyó el 4% del tráfico mundial total de spam.Esto es un 1.2% más que el mes anterior.


TOP 10 de programas maliciosos propagados por correo electrónico en marzo de 2013

En el primer puesto sigue estando el programa malicioso Trojan-Spy.html.Fraud.gen (6.9%), pero su índice ha bajado en un 4.1% en comparación con el mes anterior.Recordamos que este troyano es una página html que finge ser un formulario de registro en un servicio de banca online.  Si el usuario ingresa su datos en los campos propuestos y pulsa el botón “enviar”, su información personal cae en manos de los estafadores.

El segundo puesto lo ocupa Trojan.win32.Bublik.aknd.Este programa malicioso recolecta contraseñas de FTP, datos de autorización en servicios de correo y certificados en el equipo infectado.Además, puede revisar formularios en los navegadores Mozilla Firefox y Google Chrome en busca de logins y contraseñas guardados.El programa envía los datos encontrados a los delincuentes.

En el tercer puesto está el programa malicioso Email-Worm.Win32.Bagle.gt.Los gusanos de correo con frecuencia entran en el TOP-10, ya que su principal funcionalidad es enviar copias de sí mismos a los contactos del libro de direcciones del usuario.Los gusanos de la familia Bagle pueden conectarse a un centro de administración e instalar en el equipo infectado otros programas maliciosos.

Entre otros, en el TOP-10 de este mes entraron programas maliciosos de la familia Trojan-Ransom, que extorsionan al usuario pidiéndole dinero para desbloquear el sistema operativo o los programas (por lo general piden que se envíe un SMS de pago).Las modificaciones del programa Trojan-Ransom.Win32.Blocker que hemos descubierto bloquean el funcionamiento del sistema operativo y ponen en el escritorio un banner con las condiciones del desbloqueo.Queremos recordar a nuestros usuarios que no hay que seguirles la corriente a los delincuentes cibernéticos y no hay que enviarles dinero.

Distribución de las reacciones del antivirus de correo según países


Distribución de las reacciones del antivirus de correo según países

Italia, que el mes pasado de pronto resultó en el primer puesto (6,6%), ha cedido el primer puesto a EE.UU.Es interesante que este mes los usuarios de EE.UU. recibieron, además de Trojan-Spy.html.Fraud.gen y Trojan.win32.Bublik.aknd, ambos programas que roban contraseñas, muchos otros programas maliciosos de la familia Trojan-PSW.Win32.Tepfer.En el segundo puesto sigue estando Alemania (11.1%), con un índice que casi no ha cambiado desde el mes pasado.Australia ha subido del tercer al quinto puesto (7%) y su índice ha aumentado en un 1.3%.En general, la distribución de las reacciones del antivirus por país ha cambiado muy poco.

Después de un breve periodo de inactividad, los delincuentes que propagan programas maliciosos por correo electrónico han reanudado los envíos masivos de mensajes disfrazados como notificaciones de reserva de hoteles y pasajes de avión.En particular, en marzo nuestra compañía registró un nuevo envío masivo de notificaciones falsas sobre reservas de habitaciones en Atlantic Hotel.En el mensaje, escrito en nombre del gerente del hotel, los delincuentes agradecían al destinatario por haber hecho sus reservas en el hotel y notificaban que esperaban su arribo el 20 de marzo de 2013.


Se suponía que el usuario, intrigado por el mensaje, abriría el archivo adjunto que supuestamente contenía la confirmación de la reserva y ejecutaría el fichero AtlanticHotel Booking Confirmation.doc.exe.Como resultado, tendría lugar la infección del ordenador con el programa detectado por Kasspersky Lab como Trojan-Ransom.Win32.Blocker.awbi.Este troyano se usa extensamente para extorsionar y obtener dinero o información financiera.

Los estafadores también enviaban mensajes con adjuntos maliciosos camuflados como notificaciones de la reserva de pasajes de avión.Así, hemos descubierto mensajes falsos enviados en nombre del servicio online de Delta.com.En el mensaje los delincuentes también agradecían por haber elegido el servicio de reserva de pasaje de avión y comunicaban que las reglas de transporte de equipaje y el orden de registro pueden ser diferentes dependiendo del aeropuerto y la compañía aérea, por eso el destinatario tenía que abrir el pasaje electrónico adjunto al mensaje y leerlo con atención.


En realidad, el adjunto contenía un fichero ejecutable llamado eTicket and Receipt.pdf.exe, detectado por Kaspersky Lab como Backdoor.Win32.ZAccess.bmdt.Los delincuentes usan este programa malicioso para obtener acceso remoto al equipo de la víctima con el objetivo de robarle su información personal, inscribir el equipo en una botnet, etc.

Además de las notificaciones falsas de reserva de hotel o pasajes de avión, en marzo los spammers usaron el nombre de la compañía de telecomunicaciones australiana TPG Telecom para engañar a los usuarios.En el mensaje falsificado se notificaba que el balance del teléfono celular del usuario era menor a 5 dólares, pero que la compañía le había dado crédito y ahora el balance era de 20 dólares.El usuario podría obtener acceso a información más detallada sobre su cuenta si abría el fichero adjunto.


En el archivo zip adjunto estaba el fichero TGP-Account-Details.doc.exe, detectado por Kaspersky Lab como un programa espía, Trojan-Spy.Win32.Zbot.jqye.Se trata de una de las variantes del famoso troyano ZeuS, destinado al robo de la información confidencial del usuario.

Phishing

La cantidad de mensajes phishing en el flujo total de spam se ha duplicado, con lo que su nivel es del 0,006%.


Categorías del TOP 100 de organizaciones atacadas por los phishers*

* La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios.El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, ya sean enlaces en mensajes de correo spam o en Internet.

Según los datos de marzo, las redes sociales siguen liderando por la cantidad de ataques phishing, pero su índice se ha reducido en un 4.3% y ahora es del 34.5%.Entre los tres primeros también están las organizaciones financieras y de pagos (17,4%) y los sistemas de búsqueda (14,9%), que ocupan el segundo y tercer puesto respectivamente.

El cuarto puesto lo conserva las compañías TI (9.9%).El quinto puesto lo ocupan los proveedores de telefonía e Internet (8.9%), que antes ocupaban el séptimo puesto. Su índice ha bajado un 3.5%.

En marzo recibimos un curioso mensaje phishing en chino, supuestamente enviado por la conocida editorial online sina.com.cn.En el mensaje los phishers recurrieron al popular truco de afirmar que la cuenta del usuario en el sitio de la editorial estaba mal protegida y que, para asegurar su protección, el usuario tenía que seguir un enlace para actualizar los datos de la cuenta.Al hacer clic en el enlace del mensaje, la víctima llega a una página falsificada donde le piden ingresar el login y contraseña de su cuenta.Como resultado, en las manos de los estafadores caen los datos del usuario y la cuenta robada puede ser usada para enviar spam en nombre de la víctima.


Es interesante que en el mensaje los estafadores ofrecen al usuario escribir al servicio de asistencia técnica o llamar al número indicado en caso de que surjan dudas o preguntas.Este truco se usa para convencer al usuario de la legitimidad del mensaje.

Conclusión

En marzo se ha reducido la cantidad general de spam y los spammers siguen explotando la temática de las festividades para publicitar diferentes bienes y servicios.En abril esperamos que baje la cantidad de spam con temática festiva, pero al mismo tiempo es posible que aparezca spam en ruso inspirado por la proximidad de la Pascua ortodoxa.Uno de los sucesos notables de marzo ha sido la aparición de “cartas nigerianas” que se aprovechan del interés de los usuarios por los acontecimientos en Venezuela.

Al igual que en febrero, gran parte del spam se propaga desde EE.UU. y China. En marzo estos dos países fueron la fuente de cerca del 43% de mensajes no deseados.Ha habido grandes cambios en la lista de países que envían spam a Europa:Corea del Sur ha perdido el 13%, pero al mismo tiempo ha conservado el primer puesto.Ahora es responsable de cerca de la tercera parte de la cantidad total de envíos de spam.

La estadística de programas enviados por correo en marzo se ha caracterizado por ser muy variado:mensajes phishing, backdoors, gusanos de correo e incluso troyanos extorsionadores.En el primer puesto, muy por delante de sus competidores, sigue estando Trojan-Spy.html.Fraud.gen.

La cantidad de mensajes phishing se ha duplicado, pero no ha habido cambios significativos en los tres primeros puestos de organizaciones atacadas por los phishers.Como el mes pasado, cerca de la tercera parte de los ataques tuvo como blanco a los usuarios de las redes sociales y en la cima de la lista estaban los sistemas de búsqueda y organizaciones financieras.

El spam en marzo de 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada