Autores
Peculiaridades del mes
En marzo los spammers no sólo enviaron el tradicional spam festivo, sino que también trataron de obtener la información personal de los usuarios de redes sociales mediante mensajes con temas festivos.
Entre la publicidad spam más propagada en marzo podemos destacar las ofertas de diferentes productos para automovilistas, bienes inmuebles en Crimea, servicios lingüísticos y servicios de telefonía para oficinas. Muchos de estos envíos masivos no sólo ocurrieron en el sector ruso de Internet, sino también en los sectores de otros idiomas.
Las fiestas reflejadas en el spam
En 2014 las fechas de celebración de la pascua católica y la ortodoxa coinciden el 20 de abril. En las vísperas de la fiesta en el tráfico de spam en inglés se envía la tradicional publicidad de imitaciones de artículos de lujo y golosinas con un diseño gráfico festivo.
En el spam en ruso dedicado a la celebración de la Pascua también se publicitaron golosinas y regalos en el estilo de la fiesta.
Vale decir que la cantidad de spam enviado por ocasión de la Pascua fue poca en marzo, pero en abril pronosticamos el aumento del spam de este tema, decorado con símbolos pascuales.
Los delincuentes usaron el tema del día de San Patrick, que se celebra el 17 de marzo , para robar logins y contraseñas de las cuentas personales en la red social LinkedIn. En el envío dedicado a la fiesta se proponía al usuario recibir una cuenta premium en la red social. Se podía entrar a la cuenta haciendo clic en un enlace al final del mensaje. Pero este enlace no llevaba al sitio oficial de LinkedIn, sino a una página phishing y toda la información introducida por el usuario caía en manos de los estafadores. Los delincuentes usaban el logotipo de la red social y una firma automática para darle una apariencia legítima al mensaje. Además, la dirección del remitente lucía completamente convincente, con la excepción del nombre abreviado del dominio linke.com en vez del dominio oficial de la compañía linkedin.com.
Spam lingüístico
En marzo en el spam se ofrecían activamente todo tipo de métodos para aprender idiomas extranjeros. A los destinatarios de los envíos se les ofrecía aprender una lengua extranjera en sólo 10 días. En lugar del nombre del remitente, con mayor frecuencia estos mensajes contenían la frase “Language Learning”. Y los dominios de correo recién creados en las direcciones de los remitentes cambiaban de mensaje en mensaje. Los mensajes en sí contenía enlaces largos, que después de una serie de redirecciones llevaban a un sitio publicitario que ofrecía comprar con atractivas rebajas un juego de discos para estudiar un idioma extranjero con un método original. Al hacer el pedido se podía pagar usando el sistema de pagos más cómodo.
El tema lingüístico estaba también presente en otro tipo de envíos: los mensajes de diferentes agencias de traducción que publicitaban sus servicios. Detectamos este tipo de mensajes en diferentes idiomas: inglés, alemán, francés, español y holandés. En ocasiones el texto del mensaje se repetía en varios idiomas. Los mensajes contenían listas de los idiomas con los que trabajaba cada agencia en particular, los principales pares de idiomas y la lista de servicios (interpretación, traducción por escrito y los temas más populares de traducción). Para ponerse en contacto con las agencias había enlaces directos a sus sitios, números de teléfono o direcciones de correo electrónico de los gerentes.
Telefonía
En marzo los spammers también enviaron activamente publicidad de diferentes formas de reducir gastos de telefonía. Una gran parte de estos envíos apuntaba a grandes compañías. A los destinatarios de los mensajes se les ofrecía, por ejemplo, mejorar la calidad de la telefonía tradicional de oficina, conectar teléfonos con determinados códigos y hacer llamadas internacionales ilimitadas desde cualquier país con las tarifas más bajas.
Envíos con publicidad de estos servicios llegaban desde direcciones registradas en dominios creados hace poco, que cambiaban de mensaje en mensaje. Los enlaces contenidos en los mensajes llevaban a un sitio web que tenía un mini cuestionario donde, al indicar los criterios necesarios, se podía escoger la solución más conveniente para la compañía. Al final, todo se reducía a publicidad de determinados proveedores de servicios de telefonía para oficinas.
Estadísticas
Porcentaje de spam en el tráfico postal
Porcentaje de spam en el tráfico postal
En marzo el spam constituyó el 63,5% del tráfico de correo. El mayor índice del nivel de spam se observó la primera semana de marzo ( 67,3%). Después la cantidad de spam en el correo fue bajando poco a poco.
Distribución geográfica de las fuentes de spam
Según los resultados de marzo de 2014, la lista de países fuente de spam difundido por todo el mundo es la siguiente.
Países fuente de spam
El primer puesto en esta estadística le pertenece a China, desde donde se envió el 24,6% del spam, un 1,7% más que el índice del mes anterior. Le siguen EE.UU.; la cantidad de spam enviado desde este país fue del 17%, un 2% menos que en febrero. El tercer puesto lo ocupa Corea del Sur, desde donde se envió el 13,6% del spam mundial, un 0,8% más que el mes anterior. En total, desde los tres primeros países de la estadística se sigue enviando más de la mitad del spam mundial.
En el cuarto puesto está Rusia (6,5%). La cantidad de spam enviada desde este país ha bajado de forma insignificante, en un 0,5%.
No ha cambiado la posición de los siguientes países en la lista: Taiwán (6%), India (3,7%), Vietnam (3,5%) y Ucrania (2%). Sus índices también sufrieron sólo pequeños cambios.
Japón (1,9%), cuyo índice creció sólo un 0,15% en el mes, pasó del décimo al noveno puesto. Cierra el TOP 10 de marzo Rumania (1,8%).
También merece la pena destacar el aumento de las actividades de los spammers en el territorio de Inglaterra (1%), que en comparación con el mes anterior ha subido ocho puestos.
Países fuente de spam en Europa
En marzo, entre los países-fuente del spam enviado a Europa, el primer puesto lo ocupa Corea del Sur (50,8%), con un índice que ha crecido en un 1,2% desde el mes pasado. Le siguen EE.UU. (7,6%). La cantidad de spam enviado desde este país se ha reducido en un 1,4%. El tercer puesto lo ocupa Taiwán, desde donde se envió el 6% del spam, un 0,5% menos que en febrero.
En el cuarto puesto sigue estando Rusia (4,2%), cuyo índice bajó en un 0,8 en comparación con febrero.
Según los resultados de marzo se ha observado una reducción de la cantidad de spam enviado desde China (2,9%), Ucrania (1,8%) y Alemania (0,7%), en un 1%, 0,5% y 0,7% respectivamente. Al mismo tiempo se ha registrado un aumento de los índices en Vietnam (2,7%), India (2,7%) e Inglaterra (1,8%), que cierra el TOP 10.
Hay que destacar que en marzo ha crecido un poco el flujo de spam proveniente de Francia y Tailandia, lo que les permitió a estos países entrar en nuestra lista con un índice de 0,5% cada uno.
Regiones-fuente de spam
Entre las regiones el líder en la propagación de spam en marzo sigue siendo Asia (58%), que en comparación con el mes anterior aumentó su participación en un 4%. Le sigue, como antes, América del Norte (17%) y Europa Oriental (15%). Los índices de estas regiones se han reducido en un 2,6% y 1,4% respectivamente. La cantidad de spam en las demás regiones casi no ha sufrido cambios.
Adjuntos maliciosos en el correo
En marzo el TOP 10 de los programas maliciosos propagados por correo es el siguiente:
TOP 10 de programas maliciosos propagados por correo electrónico
Trojan-Spy.HTML.Fraud.gen ocupa la posición de líder en la estadística de programas maliciosos propagados por correo electrónico. Recordamos que los troyanos de la familia Fraud.gen son páginas HTML falsificadas que se envían por correo electrónico en forma de mensajes importantes de grandes bancos comerciales, tiendas online, compañías desarrolladoras de software, etc.
El segundo y décimo puesto lo ocupan representantes de una familia de gusanos de red que conocemos bien, Aspxor. Este gusano de red puede infectar automáticamente sitios web, descargar y ejecutar otros programas, recolectar información valiosa en el equipo, como contraseñas guardadas, datos de acceso a cuentas de correo y de FTP.
Le sigue Email-Worm.Win32.Bagle.gt. Este gusano de correo se envía a sí mismo a todas las direcciones de correo electrónico encontradas en el equipo infectado. Además, el gusano puede descargar ficheros de Internet sin que el usuario se dé cuenta. Para enviar mensajes infectados, Email-Worm.Win32.Bagle.gt usa su propia biblioteca SMTP.
En el cuarto y noveno puesto se ubican Trojan-Spy.Win32.Zbot.saps y Trojan-Spy.Win32.Zbot.sapp. Zbot es un troyano que se especializa en el robo de información confidencial. El programa malicioso Zbot.saps, además de sus funciones principales, también instala en el equipo infectado el rootkit Rootkit.Win32.Necurs (o Rootkit.Win64.Necurs) que si se instala con éxito sabotea el funcionamiento de los antivirus y demás soluciones de protección del ordenador.
En el sexto puesto tenemos a un representante de la familia Bublik. Es un troyano-descargador común y corriente que descarga ficheros maliciosos en el equipos del usuario para después ejecutarlos.
El sexto y séptimo puesto lo ocupan Backdoor.Win32.Androm.dpqs y Backdoor.Win32.Androm.dqpi. Los programas maliciosos de la familia Andromeda son backdoors que permiten a los delincuentes controlar el ordenador infectado sin que su dueño se dé cuenta. Con frecuencia estos equipos se convierten en parte de botnets.
Distribución de las reacciones del antivirus de correo según países
En la estadística de países donde ha habido más reacciones del antivirus de correo el puesto de líder lo sigue ocupando EE.UU. (-1,02%). Inglaterra y Alemania ocupan el segundo y tercer puesto respectivamente.
Rusia ha bajado del puesto 12 al 16, y también ha bajado su cantidad de reacciones del antivirus de correo (-0,82%). También han bajado notablemente la cantidad de reacciones del antivirus de correo en Australia (-0,75%), que según los resultados de marzo ha bajado del séptimo al décimo puesto. La cantidad de reacciones del antivirus de correo en otros países no ha sufrido cambios significativos en marzo.
Peculiaridades del spam malicioso
En marzo se enviaron muchos adjuntos maliciosos en nombre de diferentes conocidas organizaciones financieras cuyas actividades están relacionadas con la recaudación de impuestos. Estos mensajes llegaban en forma de notificaciones de pago del órgano fiscal, exigencias de pago de impuestos o notificaciones sobre entradas no declaradas del contribuyente.
Con frecuencia se mencionaban en los mensajes datos complementarios, como el número de contribuyente, el tipo de impuesto (en el ejemplo de abajo – impuesto a las ganancias), el número del documento a enviar o se comunicaba que la declaración de impuestos enviada antes por el contribuyente era falsa.
Para saber los detalles, se le ofrecía al destinatario abrir el informe adjunto, y no es raro que se le pida rellenar un formulario adjunto. En todos los casos se afirmaba que los supuestos documentos estaban en un archivo adjunto, pero en realidad éste contenía un fichero malicioso ejecutable.
Así, por ejemplo en mensajes similares descubrimos troyanos que los productos de Kaspersky Lab detectan como Trojan-PSW.Win32.Fareit.aoee y Trojan.Win32.Bublik.buya. Los programas maliciosos de la primera familia roban las cookies de los navegadores, las contraseñas de los clientes FTP y programas de correo y después envían estos datos al servidor remoto de los delincuentes. Los programas maliciosos de la segunda familia se dedican a descargar ficheros maliciosos en el equipo del usuario para después ejecutarlos.
Phising
En la estadística de las categorías de organizaciones siguen liderando las redes sociales (23,5%). Su índice en marzo ha bajado en un 3,8%. El segundo puesto lo ocupan los servicios de correo (16,6%). El índice de los sistemas de búsqueda (14,4%) ha bajado en un 2%, al igual que los ataques contra las organizaciones financieras y de pagos (-3,5%). Con esto, los sistemas de búsqueda han vuelto al tercer puesto, desplazando a las organizaciones financieras y de pagos al cuarto puesto. El índice de los ataques phishing contra las tiendas online ha aumentado en un 8,9% y como resultado esta categoría ha subido dos puestos y según los resultados de marzo ocupa el quinto puesto de la estadística. El índice de los proveedores de telefonía e Internet ha crecido un poco, pero la categoría ha bajado al sexto puesto.
Categorías del TOP 100 de organizaciones atacadas por los phishers
La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces dentro de mensajes de correo o en Internet.
Los bancos de Alemania con frecuencia se convierten en blanco de los phishers. En marzo hemos registrado un habitual envío fraudulento dirigido al robo de información bancaria personal de los usuarios de la banca online. En un mensaje enviado en nombre de un empleado del banco se comunicaba que el acceso online a la cuenta del usuario caducaría pronto. Para seguir usando el servicio de banca online le pedían al usuario seguir un enlace que en realidad conducía a una página phishing. Allí el usuario tenía que ingresar no sólo los datos necesarios para entrar al sistema de banca online, sino también su información personal.
La página falsificada tenía el mismo diseño gráfico del sitio oficial del banco. El mensaje phishing no contenía elementos de diseño (logotipo del banco, firma automática, etc.), que los estafadores suelen utilizar para darle una apariencia legítima a los mensajes. Destacamos que en la dirección del remitente el nombre de dominio indicado después del signo @ pertenecía al Consejo de Ciencia e Investigaciones de Canadá, que no tiene nada que ver con organizaciones bancarias.
Conclusión
La cantidad de spam en el tráfico mundial de correo en diciembre ha bajado en un 6,4% y quedando en el 63,5%. La cantidad general del spam festivo también ha decrecido en comparación con el mes anterior. Si las fiestas de Pascua por tradición se usaban para publicitar diferentes bienes y regalos relacionados, los delincuentes que querían obtener acceso a las cuentas de una popular red social usaron el día de San Patrick.
Además, en la red se envió una enorme cantidad de ofertas publicitarias para aprender idiomas extranjeros usando todo tipo de métodos originales. No pocos envíos masivos contenían información sobre métodos para optimizar la telefonía en compañías medianas y grandes.
Los tres países líder fuente del spam difundido por todo el mundo son: China (24,6%), EE.UU. (17%) y Corea del Sur (13,6%). Asia sigue siendo la primera región por la cantidad de spam que propaga (58%).
Para enviar mensajes que contienen adjuntos maliciosos los delincuentes recurrieron a notificaciones falsas de no solo bancos conocidos, sino también de organizaciones financieras cuyas actividades, por ejemplo, están relacionadas con la recolección de impuestos.
Según los resultados de marzo, las redes sociales siguen encabezando la estadística de organizaciones atacadas por phishers. El segundo puesto lo conservan los servicios de correo. Los sistemas de búsqueda han subido al tercer puesto. Ha crecido sustancialmente el índice de las tiendas online, que han subido del séptimo al quinto puesto.
Autores
De los mismos autores
En la misma categoría
El spam en marzo de 2014