Informes sobre spam y phishing

El spam en mayo de 2014

Peculiaridades del mes

En las vísperas de la temporada de verano los spammers han empezado a ofrecer retoños y semillas de plantas de jardín a sus clientes potenciales. Además, en mayo el spam festivo en inglés estuvo dedicado al Día de la Madre, en cuyo honor los delincuentes enviaban publicidad de flores y de golosinas.

Spam festivo para madres

Como esperábamos, los spammers no dejaron de prestar atención al día de la madre y enviaron ofertas con publicidad de flores y golosinas dedicadas a esta fiesta. Para captar la atención de los usuarios, en el tema del mensaje se mencionaba el nombre de la fiesta y dentro había llamativas promesas de vender la mercancía con rebajas y entregar la compra el día exacto de la fiesta.

may-2014_spam-report_en1

Sin embargo la mayoría de los enlaces de estos mensajes conducían a redirecciones que remitían al usuario a sitios completamente diferentes de los sitios con los regalos publicitados. Las redirecciones en sí estaban ubicadas en dominios creados poco tiempo antes, que no sólo se usaban en los enlaces contenidos en el cuerpo del mensaje, sino también como nombre de dominio del servidor en la dirección del remitente. En algunos mensajes también había un enlace que el usuario podía usar para supuestamente evitar que lo incluyan en un envío masivo no deseado. En realidad este enlace se usaba para recolectar direcciones electrónicas de los usuarios y después usarlas para enviarles spam.

Spam para jardineros

No es secreto que los estadounidenses le prestan particular atención a la belleza del territorio aledaño a sus casas, y la jardinería es uno de los pasatiempos más populares en el país. Por eso no nos sorprende que en mayo los spammers hayan enviado ofertas en inglés de comprar semillas de césped y de flores, como también retoños de bayas y frutas exóticas. Trataban se seducir a los compradores potenciales con frases como “oferta especial”, “oferta limitada” y les ofrecían una planta de regalo al comprar otras dos. Los mensajes contenían imágenes de llamativos diseños que tenían enlaces incorporados. Es interesante que la mayoría de los dominios a los que conducían estos enlaces habían sido creados menos de una semana antes de que se enviaran los mensajes.

may-2014_spam-report_en2

Diplomas y grados científicos

En mayo encontramos muchos envíos con publicidad de escuelas y colegios que ofrecían servicios de enseñanza a distancia. Pero también encontramos envíos en los cuales los spammers con total descaro ofrecían a los usuarios comprar grados científicos. Para hacerlo, sólo era necesario hacer una donación a una iglesia, que de forma totalmente oficial confiere un grado científico honorífico al bienhechor.

may-2014_spam-report_en3

En Alemania, por ejemplo, sólo las universidades e instituciones de educación superior tiene derecho a conferir grados científicos. Pero la situación es un poco diferente, porque aquí se trata del así llamado “doctorado honorífico”, que se confieren en nombre de la iglesia. A pesar de que para recibirlo no hay que estudiar, ni escribir ni defender tesis, los envíos masivos con ofertas de estos servicios se publicitan usando imágenes de temática educativa.

may-2014_spam-report_en4

También hemos encontrado muchas ofertas de cancelar créditos educativos, para aquellos que se graduaron de la universidad hace mucho tiempo, pero que no tienen la posibilidad de pagar sus créditos. En estos mensajes se le propone al destinatario visitar un sitio web donde, por lo general, le espera publicidad de organizaciones que reclutan voluntarios y empleados para diferentes organizaciones no comerciales. Rellenando un formulario especial en el sitio web, el usuario puede ver qué variantes de refinanciación del crédito le pueden ofrecer. Este spam está pensado para los ciudadanos de EE.UU., ya que en este país existen programas gubernamentales gracias a los cuales se pueden recibir convenientes ventajas para pagar sus deudas haciendo un trabajo útil para el país. Sin embargo estos mensajes no provenían de organizaciones gubernamentales, sino de fuentes desconocidas que cambiaban con frecuencia sus direcciones electrónicas. Además, los enlaces contenidos en los mensajes llevaban a sitios web creados hace poco tiempo, donde el usuario tenía que dejar sus datos personales.

may-2014_spam-report_en5

Para interesar al destinatario, con frecuencia estos mensajes estaban escritos en primera persona: “Todavía no puede cancelar su crédito educativo. He encontrado para usted un programa muy interesante, que tiene que considerar. Le ayudará a reducir sustancialmente sus pagos mensuales”.

Seguros para todo y contra todo

Otro tema de actualidad en el mes anterior fueron los seguros para diferentes riesgos, sobre todo, seguros de vida y accidentes, aunque también nos topamos con ofertas de seguros para automóviles.

may-2014_spam-report_en6

La principal tarea de estos envíos era remitir a los usuarios a un sitio donde éste podía comparar los precios de los seguros de varias compañías y escoger las condiciones más ventajosas. En otros casos los enlaces de los mensajes llevaban a sitios de spam, donde se le ofrecía una gama más amplia de tipos de seguros, programas y compañías. Al tomar su decisión y pulsar uno de los enlaces ofrecidos, el visitante llegaba a un sitio completamente diferente. Los enlaces también podían llevar a un sitio con publicidad de una compañía de seguros en concreto, como regla pequeña y fundada no hace mucho tiempo.

may-2014_spam-report_en7

Un tipo de seguro exclusivo del sector angloparlante de Internet es el seguro de sepelio. Es, en esencia, una versión expandida del seguro de vida: el incremento del importe del seguro supone la inclusión en la póliza de los gastos de entierro en caso de muerte súbita del asegurado. En mayo este tipo de mensajes venía con diseño de imágenes con enlaces que llevaban a sitios de publicidad de seguros. Estos enlaces cambiaban de mensaje en mensaje, pero siempre usaban diferentes dominios registrados por los spammers poco tiempo antes del inicio del envío masivo de spam.

may-2014_spam-report_en8

Porcentaje de spam en el tráfico postal

may-2014_spam-report_sp9

El promedio del spam en el tráfico de correo constituyó el 69,8%, un 1,3% menos que los índices del mes anterior. El mayor porcentaje del nivel de spam se observó la tercera semana del mes (72,1%) y el menor, a mediados de mes (69%).

Adjuntos maliciosos en el correo

En mayo el TOP 10 de los programas maliciosos propagados por correo es el siguiente:

may-2014_spam-report_en10

TOP 10 de programas maliciosos propagados por correo electrónico

En mayo hubo cambios en la cima de nuestra estadística. El primer puesto lo ocupó Exploit.JS.CVE-2010-0188.f, que desplazó al segundo a Trojan-Spy.HTML.Fraud.gen, programa que ya conocíamos bien. Exploit.JS.CVE-2010-0188.f es un programa malicioso que usa una vulnerabilidad presente en Acrobat Reader de versión 9.3 o inferior y que se propaga en forma de ficheros PDF. La vulnerabilidad se hace patente cuando se envía una solicitud a un campo que contiene una imagen TIFF creada de una manera especial.

En los puestos 3, 4, 6 y 10 se acomodaron los programas maliciosos de la familia Bublik, que el mes anterior ocuparon ocho posiciones del TOP10. La principal función de los programas de este tipo es descargar e instalar nuevas versiones de programas maliciosos en el equipo de la víctima. Después de cumplir su tarea el programa se copia a sí mismo al directorio %temp%. Se camufla como una aplicación o documento de la compañía Adobe. En el caso de Trojan.Win32.Bublik.cpik y Trojan.Win32.Bublik.cpil se descarga ZeuS/Zbot, programa que conocemos bien. A pesar de que este troyano puede ejecutar diferentes acciones maliciosas, con mayor frecuencia se lo usa para robar información bancaria. De la misma manera puede instalar CryptoLocker, un programa malicioso que exige dinero para descifrar los datos del usuario.

La quinta posición de la estadística la ocupa Trojan-Banker.Win32.ChePro.ilc, un troyano bancario que amenaza a los usuarios de bancos brasileños. Como corresponde a un programa malicioso de este tipo, se dedica a robar información y contraseñas bancarias.

En el séptimo puesto se ubicó el famoso programa malicioso Trojan-Downloader.Win32.Agent.heek. Su tarea es descargar troyanos espía destinados al robo de información financiera confidencial. En su gran mayoría, los programas maliciosos de este tipo tienen como blanco a los bancos brasileños y portugueses.

may-2014_spam-report_sp11

Distribución de las reacciones del antivirus de correo según países

En la estadística de países según la cantidad de reacciones del antivirus de correo Inglaterra ha llegado al primer lugar (13,5%), con un aumento del 3,5% en mayo. EE.UU. (9,9%) ha bajado al segundo puesto, habiendo perdido un 1,8% , mientras que Alemania (8,2%) se ha mantenido en el tercer puesto.

Entre los novatos de nuestra estadística merece la pena mencionar a Colombia (1,83%), que resultó en el TOP20 de países con mayor cantidad de detecciones del antivirus. En cambio Rusia en mayo ha abandonado la lista de países con mayores índices de detecciones del antivirus.

Los índices de otros países no han sufrido cambios sustanciales.

Peculiaridades del spam malicioso

El tema de los seguros estuvo presente no solo en el spam temático, sino también en los envíos masivos de mayo que contenían adjuntos maliciosos. Por ejemplo, detectamos mensajes en alemán con títulos como “Usted no ha pagado su cuota mensual de seguros” y notificaciones de que el mes anterior cambiaría el porcentaje. Estos mensajes contenían un enlace que supuestamente conducía a información más detallada y si el usuario lo seguía, se descargaba en su ordenador un archivo ZIP llamado “Dokumentation” (documentación) o “Rechnung” (cuenta). En ambos casos el archivo contenía el programa malicioso Backdoor.Win32.Androm.dsqy. Los programas maliciosos de la familia Andromeda son backdoors que permiten a los delincuentes controlar el ordenador infectado sin que su dueño se dé cuenta. Con frecuencia estos equipos se convierten en parte de botnets.

may-2014_spam-report_en12

También en mayo los delincuentes enviaron notificaciones falsas en nombre de la popular tienda online iTunes Store. Le decían al usuario que había comprado una aplicación y en el mensaje le indicaban el nombre y precio. En el archivo adjunto, donde debería estar la cuenta de la compra, en realidad estaba el programa malicioso Trojan-Banker.Win32.Shiotob.f. Los troyanos de esta familia roban las contraseñas guardadas en clientes FTP y hacen un seguimiento del tráfico de Internet de los navegadores para robar los datos de autorización en diferentes sitios.

may-2014_spam-report_en13

Los clientes de otra gran compañía, E.ON, que se dedica a producir y transportar energía eléctrica y calor en muchos países, incluyendo Rusia, también pudieron ser víctimas de otro ataque. En nombre de la compañía se enviaba un mensaje con su logotipo y el siguiente texto: “Por la presente le hacemos saber que no hemos podido procesar su último pago. Vea los detalles en el documento adjunto”. En el archivo adjunto se encontraba Trojan-Spy.Win32.Zbot.svvs, un representante más de la popular familia Zbot, dedicado al robo de datos personales, en primer lugar de información bancaria.

may-2014_spam-report_en14

Phising

Según los resultados de mayo, los portales de correo y búsqueda (32,3%) siguen liderando la estadística de las organizaciones atacadas por los phishers con un índice que ha crecido en sólo un 0,5%. Las redes sociales ocupan el segundo puesto (23,9%), con Facebook a la cabeza. El índice de las organizaciones financieras y de pagos (12,8%) ha aumentado en un 0,2% al igual que el de las tiendas online (12,1%) que siguen ocupando el cuarto puesto. Por el contrario, la cantidad de ataques phishing contra las organizaciones de la categoría “Proveedores de telefonía e Internet” ha bajado en un 0,4% en comparación con abril.

may-2014_spam-report_sp15
Categorías del TOP 100 de organizaciones atacadas por los phishers

La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario trata de seguir, ya sean enlaces dentro de mensajes de correo o en Internet.

Con frecuencia los estafadores envían mensajes falsos sobre impuestos para instalar diferentes programas maliciosos en los equipos de los usuarios de Internet. En mayo ha caído en nuestras trampas una notificación falsa enviada en nombre del servicio estatal de impuestos de África del Sur, que en el adjunto no contenía un fichero malicioso, sino una página html phishing. Los delincuentes trataron de convencer al usuario para que ponga en un formulario los datos de su tarjeta bancaria con el pretexto de obtener la devolución de cierta suma de los impuestos ya pagados. Para darle un aspecto de legitimidad a la página, los delincuentes usaron el logotipo del servicio, y en el campo “Remitente” no solo pusieron el nombre de la organización estatal, sino también la dirección oficial sars.gov.za como nombre de dominio del servidor.

may-2014_spam-report_en16

Conclusión

La cantidad de spam en el tráfico mundial de correo en diciembre ha bajado en un 1,3% y quedando en el 69,8%.

Los spammers han usado la aproximación de la temporada de verano y el fin del año lectivo para enviar spam turístico con publicidad de diferentes variantes de vacaciones veraniegas para niños, servicios de elaboración de diferentes trabajos de curso y de escuela, además de ofertas de comprar diplomas de cualquier universidad. El aumento de la cantidad de spam turístico vinculado a la temporada de vacaciones también se espera este año.

En el spam en inglés los spammers usaron la temática del Día de la Madre para hacer publicidad activa de diferentes regalos. Otro tema explotado por los spammers en mayo fueron los seguros contra los riesgos más variados. En el sector ruso de Internet la mayoría de las ofertas eran de seguros para automóviles y en inglés, de seguros de vida.

En mayo, el troyano Trojan-Spy.HTML.Fraud.gen sigue siendo el líder entre los programas propagados por correo. La cantidad de programas maliciosos de la familia Bublik ha bajado notablemente en nuestra estadística. En mayo han conservado sólo cinco puestos.

Según los resultados de mayor, la estadística de organizaciones atacadas por los phishers no ha sufrido grandes cambios. La encabezan los portales de correo y búsqueda (32,3%). EL segundo puesto lo conservan las redes sociales (23,9%) y el tercero, las organizaciones financieras y de pagos (12,8%).

El spam en mayo de 2014

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada