Informes sobre spam y phishing

El spam en mayo de 2013

Mayo en cifras

  • En mayo la cantidad de spam en el tráfico de correo se redujo en un 2,5% y alcanzó el 69,7%.
  • La proporción de mensajes phishing en el tráfico de correo ha crecido levemente y constituido el 0,0024%.
  • El 2,8% de todos los mensajes electrónicos contenía ficheros maliciosos, un 0,4% ms que el mes anterior.  

Peculiaridades del mes

Mayo ha resultado un mes bastante variado en lo que atañe a la producción de los spammers. En los envíos de estafas y de publicidad los spammers han utilizado activamente los nombres de personas y compañías famosas. La cantidad de spam ‘de fiesta’ ha bajado, pero hemos seguido detectando envíos que explotan las fiestas del mes, el Da de la Madre y el Da de la Memoria.

Microsoft bajo la mira de los spammers

En mayo los spammers organizaron el envío masivo de mensajes phishing supuestamente en nombre del servicio al cliente de la compañía Microsoft. En un mensaje remitido desde una dirección a primera vista legítima (dominio Microsoft.com) se notificaba que la cuenta del usuario de ‘Microsoft Window’ será bloqueada debido a que no se habían hecho las actualizaciones supuestamente recomendadas en mensajes anteriores. Para evitar el bloqueo, el usuario tena que seguir de inmediato el enlace indicado en el mensaje. Si el usuario mordía el anzuelo, llegaba a una página fraudulenta creada con el fin de robar información personal.

 

Si se leemos con atención el mensaje, se puede ver que el nombre del sistema operativo está escrito como Microsoft Window (sin la letra ‘s’ al final). Además, en el mensaje se usa como divisor el signo “=”, no hay enlaces al sitio oficial de la compañía ni los contactos del servicio de soporte, algo que no es típico en los mensajes legítimos.

También han cado en nuestras manos notificaciones fraudulentas sobre premios de una lotera supuestamente organizada por la compañía Microsoft. Por supuesto, el ganador de la lotera era el destinatario del mensaje.

 

En unos envíos los estafadores decían que la víctima haba ganado la lotera y le pedían ponerse en contacto con ellos para recibir detalles; en otros, prometan una enorme suma como premio y pedían enviarles pequeñas cantidades de dinero para cubrir diferentes gastos de formalización de la entrega del premio.

El spam ‘de fiesta’ en mayo

En mayo los spammers han seguido explotando el tema del Da de la Madre, una fiesta que se festeja tradicionalmente en EE.UU. el segundo domingo de mayo, para publicitar flores, golosinas y reproducciones de artículos de lujo. Merece la pena destacar que el Da de la Madre es la segunda fiesta en popularidad después del da de San Valentín, y en sus vísperas hay un crecimiento abrupto de envíos masivos realizados por los sistemas de afiliados dedicados a la venta de flores. La mayoría de estos envíos usan una plantilla determinada, en la que sólo difieren las imágenes de las flores y el nombre de la fiesta.

 

El último lunes de mayo los habitantes de EE.UU. celebran el Da de la Memoria, una fiesta nacional dedicada a la memoria de los soldados fallecidos en acción. Este año se han dedicado a esta conmemoración mensajes con publicidad de rebajas en tiendas de coches online. Hay que mencionar que estas campañas de spam, inofensivas a primera vista, pueden tener el objetivo de recopilar datos personales, entre ellos datos de cuentas bancarias. Además, hemos registrado envíos de propuestas de compras de ‘Me gusta’ en Facebook, también con motivo del Da de la Memoria.

 

Distribución geográfica de las fuentes de spam

Según los resultados de mayo, los tres primeros puestos de los países-fuente de spam propagado por todo el mundo siguen sin cambios. El primer puesto lo sigue ocupando China, cuya participación en el envío de spam es del 21,4%, un 2,5% menos que el mes anterior.

 
Países- fuente de spam en el mundo

En el segundo puesto está EE.UU., que fue la fuente del 16,3% del spam mundial. El tercer lugar le pertenece a Corea del Sur. La cantidad de spam enviado desde este país ha seguido subiendo y en mayo alcanza el 12%. En total, estos tres países generan casi la mitad del spam mundial.

Han conservado sus puestos Taiwán (5,9%) y Vietnam (5%). En el sexto puesto está Ucrania con un índice de spam del 4,8%. Kazajistán (4,3%), que en abril ocupaba el octavo lugar, ha subido una posición, al haber aumentado un 1%. El índice de Rusia (2,2%) ha bajado en un 1,1% y como resultado ha pasado al décimo puesto.

También hay que mencionar que en un 1% ha aumentado la cantidad de spam propagado desde Canadá (1,8%), país que ha subido del vigésimo al undécimo puesto.

 
Países- fuente de spam en Europa

Según los resultados de mayo, el líder de los países-fuente de spam en Europa sigue siendo Corea del Sur (45,7%), cuyo índice aumentó en un 2,3%. En el segundo puesto está EE.UU. con un índice del 5,8%, un 0,9% menos que el mes anterior. En el tercer puesto está Vietnam (5,8%) cuyo índice de spam enviado ha crecido en un 0,6%.

En un 1,1% se ha reducido la cantidad de spam enviado desde China y como resultado este país ha bajado del quinto al octavo puesto. La cantidad de spam propagado desde Alemania no ha cambiado y fue del 1,2%, pero debido a los cambios en los flujos de spam de los demás países, este país ha bajado del puesto 13 al 16.

 
Regiones-fuente de spam

Asia sigue siendo el líder de las regiones propagadoras spam en mayo (56,1%). En comparación con el mes anterior su índice ha crecido en un 0,4%. Al igual que el mes anterior, entre los tres primeros están EE.UU. (18,1%) y Europa del Este (14,6%).

Adjuntos maliciosos en el correo

En mayo, la cantidad de adjuntos maliciosos en el correo ha bajado en un 0,4% y constituido el 2,8% del tráfico de correo.

 
TOP 10 de programas maliciosos propagados por correo electrónico

En el primer puesto de la estadística de programas maliciosos enviados por correo sigue estando Trojan-Spy.HTML.Fraud.gen. Este programa es una página phishing con un formulario para introducir datos que los delincuentes envían directamente.

En los puestos 2 y 3 (como también en los 8 y 9) se han ubicado los programas de la familia ZeuS/Zbot. Hace tiempo que este tristemente famoso troyano no ocupaba puestos tan elevados en la estadística, pero en los años 2009-2010 fue muy popular. El objetivo de los programas ZeuS/Zbot es robar diferentes tipos de información confidencial desde los equipos de los usuarios, entre ellos los datos de las tarjetas de crédito. La cantidad de troyanos de esta familia entre los programas maliciosos en el correo de mayo ha alcanzado el 26,2%.

Es curioso que en mayo Exploit.MSWord.Agent.di haya alcanzado el quinto puesto. Es raro que los exploits se propaguen como adjuntos, porque sus autores prefieren agregar a los mensajes enlaces que lleven a las víctimas a sitios maliciosos, desde donde se descargaran exploits de forma inadvertida. Los dueños de Exploit.MSWord.Agent.di actúan de otra forma: envían un documento Microsoft Word con un código malicioso que usa la vulnerabilidad CVE-2012-0158 para infectar el equipo.

La novedad del TOP-10 es Worm.Win32.Luder.anmw, un backdoor destinado al control remoto del equipo. También han entrado al TOP-10 un backdoor de la familia Android y un troyano-espía de la familia Tepfer, programas ya conocidos en los meses anteriores de este año.

 
Distribución de reacciones del antivirus de correo según países

En mayo EE.UU. sigue estando en el primer lugar por la cantidad de detecciones del antivirus de correo. En comparación con abril, su índice ha crecido en un 1,8% y alcanzado el 14,2%. En un 1,2% ha bajado el índice de Alemania (9,5%), pero este país ha conservado el segundo puesto de la estadística. El tercer puesto lo ocupa Inglaterra con un 6,1%.

En lugar de China y Rusia, que el mes pasado ocupaban los tres últimos puestos del TOP-10, este mes tenemos a Hong-Kong (2,9%) y Canadá (2,5%).

En Rusia en mayo han ocurrido el 2,2% de las detecciones del antivirus de correo.

Peculiaridades del spam malicioso

La popularidad de los mensajes falsificados enviados en nombre de famosas tiendas online ha seguido siendo alta en mayo. En vísperas del verano hemos recibido un envío que finge ser una notificación oficial de la tienda online Amazon. Los delincuentes agradecían al destinatario por un pedido inexistente y le comunicaban que para introducir cambios en el mismo y hacer un seguimiento de su estatus era necesario visitar el sitio web de la compañía o pulsar los enlaces enviados. En efecto, los enlaces del mensaje conducían al sitio web de la tienda online, y no a páginas phishing o a ficheros maliciosos. Sin embargo, en el mismo mensaje se informaba que la información adicional sobre el pedido estaba contenida en el adjunto. Esta información estaba marcada con color azul en el mensaje, para que el usuario la notase sin esfuerzo. A diferencia de muchos mensajes similares, los spammers no trataban de intimidar al usuario con anular el pedido, para obligarlo a abrir el adjunto. Por el contrario, en el mensaje ponían información sobre cómo rechazar el pedido.

 

En el archivo adjunto Your Order Details with Amazon.zip haba un fichero ejecutable Your Order Details with Amazon.PDF.exe, que Kaspersky Lab detecta como Backdoor.Win32.Androm.qp. Según los resultados de mayo, uno de los programas maliciosos de esta familia ocupó el séptimo puesto entre el malware ms propagado por correo, y en abril un programa de esta familia estaba entre los tres primeros. Al llegar al equipo de la víctima, Backdoor.Win32.Androm puede, por ejemplo, descargar de forma inadvertida otros ficheros maliciosos, enviar diferente tipo de información desde el ordenador del usuario o convertirlo en parte de una red zombi.

En mayo los spammers han seguido enviando mensajes maliciosos falsos en nombre de conocidas compañías logísticas: en nuestras trampas han cado mensajes supuestamente enviados por representantes del servicio UPS. En ellos se notificaba que el mensajero del servicio de correo no pudo entregar un paquete al destinatario por que la dirección era incorrecta y ahora era necesario reclamarlo en la oficina de la compañía. Y para presentarlo en la oficina haba que imprimir el documento adjunto al mensaje.

 

En lugar del documento prometido, en el archivo adjunto UPS_Label_23052013.zip estaba el fichero UPS_Label_23052013.exe, que Kaspersky Lab detecta como Trojan-PSW.Win32.Tepfer.kxdh. En abril, uno de los programas de esta familia ocupó el cuarto puesto entre los programas maliciosos ms difundidos en el correo y en mayo, el décimo. Este troyano roba las contraseñas de los clientes FTP y de los programas de correo, como también las contraseñas y logins introducidas en el navegador de Internet. Para convencer a la víctima de que el mensaje es legítimo, se agrega información de que el mensaje se envió desde una dirección común y que no hay que responder, además de información sobre confidencialidad.

También encontramos al troyano Tepfer.kdkq en otro envío realizado en mayo. El fichero malicioso se llamaba wupos_digital_cert_{DIGIT[19]}.exe y estaba empaquetado en un archivo zip adjunto a un mensaje supuestamente enviado por el servicio de seguridad de la compañía Western Union.

Al leer el mensaje el destinatario se enteraba de que para hacer trasferencias monetarias en Internet se la había otorgado un nuevo certificado digital y que para instalarlo haba que abrir el adjunto.

 

En el mensaje también se decía que en caso de dudas, el usuario poda ponerse en contacto con el servicio de soporte de Western Union. Usando este truco los spammers contaban con desvanecer las dudas del usuario sobre la legitimidad del mensaje.

Phishing

En mayo la proporción de mensajes phishing en el tráfico de correo ha crecido levemente y constituido el 0,0024%.

 
Categorías del TOP 100 de organizaciones atacadas por los phishers*

*La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sea un enlace en un mensaje spam o en Internet.

Según los resultados de mayo, las redes sociales siguen ocupando el primer puesto en la estadística de las organizaciones ms atacadas por los phishers. Su índice ha crecido en un 0,5% y alcanzado el 35,93%.

Los sistemas de búsqueda financieros (14,95%) y las organizaciones de pagos (14,93%) han intercambiado puestos y ahora ocupan el segundo y tercer lugar respectivamente.

El cuarto puesto lo siguen ocupando las compañías TI (9,93%) y en el quinto puesto están las tiendas online (8,68%). Los proveedores de telefonía y de Internet (8,39%) han bajado un puesto y ahora ocupan el sexto.

Conclusión

Los spammers siguen utilizando los nombres de personas y compañías famosas para hacer fraudes y para publicitar bienes y servicios. As, en mayo usaron activamente el nombre de la famosa compañía TI Microsoft para engañar a los usuarios.

En mayo la mayor parte del spam mundial ha seguido proviniendo de dos países, China y EE.UU. Sin embargo, el índice de Corea del Sur, que ocupó el tercer puesto, ha seguido creciendo y acercándose al segundo. Al mismo tiempo, casi la mitad del spam europeo se envía desde Corea del Sur. EE.UU. y Vietnam, que ocupan el segundo y tercer puesto, le siguen a gran distancia.

Como habíamos pronosticado, en mayo las redes sociales siguieron ocupando el primer lugar por la cantidad de ataques phishing, aunque su índice haya crecido de forma insignificante, al igual que el de las tiendas online. En cambio, el índice de los juegos online ha bajado, aunque en junio (el primer mes de las vacaciones de verano) esperamos que aumenten los ataques phishing de esta categoría.

En el periodo de las vacaciones de verano los escolares y los universitarios suelen con frecuencia convertirse en víctimas de los estafadores. En el presente, entre los estafadores gozan de popularidad los mensajes falsificados de diferentes servicios online. Por esta razón, hay que tener mucho cuidado al recibir notificaciones de estos servicios. Recuerde que los servicios oficiales nunca exigen a sus clientes que ingresen y confirmen su información personal o bancaria pulsando un enlace en un mensaje, y nunca amenazan a los clientes con bloquearles sus cuentas. Nunca siga los enlaces bloqueados por su antivirus o navegador de Internet. Observe con atención los enlaces de los mensajes. Si en el mensaje hay un enlace a un sitio no oficial o en el texto se indica la dirección del sitio oficial, pero el mensaje en realidad lleva a otro sitio, estos son los primeros signos de que se trata de un mensaje phishing. Si surgen dudas sobre la autenticidad del mensaje, póngase en contacto con el servicio al cliente de la compañía correspondiente, en nombre de la cual se envió el mensaje y averigüe si en realidad ella hizo el envío.

El spam en mayo de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada