Informes sobre spam y phishing

El Spam en noviembre 2013

El spam en la mira

En noviembre se ha visto una gran cantidad de mensajes spam con ofertas de trabajos propios de fin de año y de trabajos a tiempo completo, lo que resulta sorprendente a estas alturas del año, pues el mercado laboral suele tener una “temporada baja” a medida que se avecina el cierre del año fiscal. Este tipo de spam no contiene información específica sobre el potencial empleador o las vacantes ofrecidas. Una buena porción del spam en noviembre tuvo que ver con las vacaciones invernales y la preparación para las venideras fiestas de fin de año. Asimismo, hubo spam relacionado con la fiesta del Día de Gracias y el Día de los Veteranos. Finalmente, los spammers continuaron con su habitual práctica de enviar spam sobre acontecimientos trágicos y mensajes fraudulentos pidiendo ayuda monetaria para ayudar a las víctimas del tifón que flageló Filipinas.

Siguen las festividades

En noviembre, los spammers, en nombre de pequeñas o medianas empresas, hicieron sonadas promociones de descuentos en artículos y servicios relacionados con el Día de los Veteranos, que en Estados Unidos se conmemora el 11 de noviembre, y se esforzaron por captar la atención con referencias regulares a ventas y oportunidades para ahorrar dinero. Por ejemplo, en los mensajes con publicidad de ventas de automóviles, la promoción de descuentos se presentaba como un homenaje a los excombatientes norteamericanos.

 

Asimismo, los spammers aprovecharon para homenajear el Día de Acción de Gracias, que en Estados Unidos y en algunos países se celebra el último jueves de noviembre, y utilizaron esta fecha para publicitar artículos y servicios. Algunos mensajes spam intentaban captar la atención de los destinatarios no sólo utilizando el nombre de la celebración en el campo del Asunto, sino también con diseños vívidos, como la fotografía de un pavo, símbolo principal del Día de Acción de Gracias. Los mensajes spam que se enviaron en noviembre con publicidad de medicamentos y grandes descuentos en electrodomésticos también estaban asociados con esta celebración.

El contenido y el tema de los mensajes no siempre tenían que ver con el contenido de la página en la que el usuario aterrizaba al activar el enlace correspondiente. Por ejemplo, detectamos que el enlace en uno de los mensajes spam conducía a un archivo MP3 que estaba supuestamente diseñado para ayudar al usuario a sobrevivir el “apocalipsis del pavo”; en realidad, conducía al usuario a un sitio que anunciaba medicamentos para la potencia sexual masculina.

 

 

Las preparaciones para las fiestas de fin de año se hacen más intensas, y la cantidad de spam sobre Navidad y Año Nuevo también aumenta en igual proporción. A medida que se acerca la Navidad, las pequeñas y medianas empresas ofrecen una amplia variedad de artículos y servicios, desde giras navideñas hasta equipos para sellos postales. Además de la publicidad para las tradicionales tarjetas navideñas, también hemos visto ofertas para diseñar videotarjetas navideñas que incluyen un logotipo y saludos de la compañía. Los spammers también se han acordado de todos los niños que esperan regalos y una carta de Papá Noel; así, uno de los envíos spam que detectamos anunciaba pedidos online para estas cartas.

 

Por favor, una contribución para los ciberdelincuentes

Es muy común ver que los spammers se aprovechen de acontecimientos muy sonados para lucrar con ellos. De vez en cuando nos encontramos con mensajes spam que explotan noticias sobre ataques terroristas, desastres naturales o provocados, siempre con la intención de sonsacarle el dinero al destinatario. Los ciberestafadores envían mensajes en nombre de distintas organizaciones humanitarias o alegan que cooperan con ellas para llevar ayuda a los damnificados. En este mes, los ciberestafadores enviaron mensajes con las llamadas “cartas nigerianas”  en nombre de la Cruz Roja pidiendo a los destinatarios que donen dinero para ayudar a los damnificados del reciente tifón que sacudió Filipinas.

 

Para evitar sospechas, esta vez los ciberestafadores no pedían una suma específica de dinero, sino manifestaban que incluso una pequeña suma sería una enorme contribución. El mensaje se envió desde una falsa dirección de la Cruz Roja e incluía información para ponerse en contacto con un falso representante de esta institución: un número telefónico y una dirección de correo electrónico registrada en un dominio completamente distinto. Es importante hacer notar que es muy raro que un mensaje spam fraudulento incluya un enlace a una página HTML con detalles sobre el incidente y la donación. Sin embargo, los mensajes de noviembre contenían un enlace a una página con vídeos del desastre y detalles para la transferencia del dinero. Para convencer al destinatario de sus buenas intenciones, los ciberdelincuentes añadieron un enlace al sitio oficial de la Cruz Roja.

Vacantes fantasma

Generalmente, entre fines de otoño y principios de invierno el mercado laboral experimenta un bajón. Durante este periodo, las compañías se concentran en sus libros contables y comienzan su planificación para el año siguiente, de manera que no se ocupan de buscar nuevos empleados. Sin embargo, este noviembre hemos visto una gran cantidad de mensajes spam con ofertas laborales… Pero estos no eran sino notificaciones oficiales de vacantes de reconocidas agencias de reclutamiento online.

 

Por lo general era cartas anónimas, que informaban al destinatario sobre vacantes laborales. Las ofertas laborales parecían muy atractivas, y el potencial empleado podía elegir entre opciones a tiempo completo y medio tiempo. Sin embargo, el mensaje no describía la vacante, y para averiguar sobre la misma, el destinatario tenía que escribir a una determinada dirección de correo electrónico que era diferente a la del remitente. Al destinatario se le pedía que envíe su carta de respuesta y su CV a una dirección que variaba de un mensaje a otro, aunque el contenido de los mensajes permanecía intacto.

Algunos de estos mensajes contenían, en efecto, el nombre de una determinada compañía que pretendía reclutar nuevos empleados y una breve descripción de sus actividades principales. Algunos de los remitentes de estos mensajes alegaban que habían conseguido la información personal del destinatario de un CV provisto por una agencia de recursos humanos cuyo nombre no mencionaban. El mensaje también incluía los principales requisitos y ofrecía un paquete de beneficios.

 

Vacaciones de invierno

Las fiestas de fin de año se acercan y mucha gente se organiza para tomar sus vacaciones en esos días. A esto se debe la inusual alza en los mensajes spam que se registra a fines del otoño, con publicidad de todo tipo de viajes y giras navideñas. Este noviembre no ha sido la excepción.

 

 

Además de los anuncios de giras de último minuto a playas que son tradicionales en esta época del año, hemos notado muchas ofertas de destinos invernales típicos, incluyendo giras para practicar algunos deportes invernales, como snowboard y motonieve, esquí de montaña, excursiones y paseos en esquí en bosques.

Clasificación geográfica de las fuentes de spam.

Porcentaje de spam en el tráfico de correo

 
Porcentaje de spam en el tráfico de correo

Durante las tres primeras semanas de noviembre, el porcentaje de spam en todo el tráfico de correo aumentó progresivamente, disminuyendo a fines del mes, alcanzando un promedio mensual del 72,5%.

Fuentes de spam

 
Fuentes de spam por país

En noviembre de este año no se registraron cambios significativos en la lista de países productores de spam. China, que generó el 23,3% del spam a nivel mundial, volvió a colocarse a la cabeza de la lista, con un aumento del 2% en su participación. EE.UU. terminó el mes en el segundo lugar, con el 18% del spam mundial, seguido por Corea del Sur (14,5%) y Taiwán (6,7%). Rusia (5,4%), cuya participación creció en un 1,4%, permaneció en la quinta posición.

Se registró una pequeña caída (-1%) en la participación de Ucrania (2,9%) en el spam mundial. En noviembre, Ucrania bajó un peldaño en la clasificación, ocupando la 8? posición. La participación de Canadá también experimentó un leve bajón (-0,4%), que provocó su salida del Top 10, mientras que Japón (+0,9%) lo remplazó en el 9? lugar.

El Top 10 se completó con Rumania (1,6%) que escaló tres posiciones después de subir un 0,2%.

 
Fuentes de spam en Europa, por país

Corea del Sur fue la principal fuente del spam recibido en Europa en el mes de noviembre, con el 56% de todo el spam en la región. Para Corea del Sur, esto significó un aumento del 4,7% en comparación al mes de octubre. La segunda fuente fue Taiwán (6,4%), cuya participación cayó en un 1%. La 3? plaza le correspondió a Estados Unidos (5,5%), cuya participación aumentó en un 1,4%.

La participación de Hong Kong en el spam enviado a Europa aumentó ligeramente (+0,4%), lo que lo catapultó de la 6? a la 4? posición. Singapur (+0,6%) también escaló tres posiciones hasta quedarse en la 8?.

Por el contrario, la participación de Rusia en el spam total recibido en Europa (2,5%) cayó en un 2,7%, lo que le valió dejar la 3? posición y descender a la 5?. De igual manera, la participación de Ucrania (2,3%) cayó en un 1,2%, lo que colocó a este país en el 7? lugar. Kazajistán (-0,6%) e Italia (-0,8%) abandonaron el Top 10.

El 10? lugar de la lista en noviembre le correspondió a Rumania (1,3%). La contribución de Rumania al spam total recibido en Europa tuvo una leve baja (-0,1%).

 
Fuentes de spam por región

No se han producido cambios en el estado mundial de fuentes de spam por región. En noviembre, las principales regiones productoras de spam fueron, como el mes anterior, Asia (+2,6%), Norteamérica (+0,5%) y Europa oriental (+2,3%). A continuación aparecen Europa occidental (+0,7%) y Latinoamérica (-0,02%).

Adjuntos maliciosos en mensajes de correo

En noviembre, el Top 10 de programas maliciosos que se propagan mediante mensajes de correo lucía así:

 
Top 10 de programas maliciosos propagados por correo en noviembre 2013

Trojan-Spy.html.Fraud.gen se mantuvo como líder de la clasificación. Este programa malicioso se camufla como una falsa página HTML para ingreso de datos, los cuales se envían directamente a los ciberdelincuentes cuando el usuario los ingresa. Trojan-Spy.html.Fraud.gen se propaga por mensajes de correo, con la apariencia de notificaciones de reconocidos bancos, organizaciones comerciales, tiendas online, etc.

La famosa familia de programas maliciosos Bublik no ha cedido terreno, volviendo a ocupar cuatro posiciones (2?, 3?, 8? y 10?) en este mes. Cada uno de los cuatro programas maliciosos de esta familia que figuran en el Top 10 de noviembre son troyanos descargadores comunes que descargan archivos maliciosos en el equipo del usuario y después los ejecutan.

El 4? lugar le corresponde a Email-Worm.Win32.Bagle.gt, un virus-gusano que se propaga mediante adjuntos de correo. Después de infectar un equipo, se autoenvía a las direcciones de correo en la lista de contactos del usuario atacado. Su principal función consiste en descargar archivos desde Internet y ejecutarlos en secreto.

La 5? y 6? plazas las ocuparon Trojan.Win32.Buzus.ofhx y Trojan-Spy.Win32.Zbot.qsec, que los ciberdelincuentes utilizan para robar una variedad de información bancaria desde el equipo atacado, como por ejemplo, las credenciales de cuentas de banca online. En general, este tipo de programa maliciosos no aparece de ninguna forma en el sistema, lo que dificulta grandemente su detección en los equipos infectados que no cuentan con la protección de una solución antivirus. Además, esta familia de programas maliciosos utiliza tecnologías rootkit para su autodefensa, camuflando sus archivos ejecutables y procesos.

El 7? lugar le correspondió a Trojan-Ransom.Win32.Gimemo.blyq, un programa espía que roba cookies en los navegadores, además de contraseñas para clientes FTP y de correo, para después enviarlas a los ciberdelincuentes que lo controlan.

 
Clasificación de las detecciones antivirus de correo por país

En noviembre, Reino Unido (12,3%) se posicionó como líder de la clasificación en base al número de detecciones antivirus en el correo, con un 2,4% más que el anterior mes, desplazando a Alemania (11,2%) y Estados Unidos (11,2%) a la 2? y 3? plazas, respectivamente.

Para los otros países en la lista, la proporción de detecciones no tuvo cambios significativos. Sin embargo, vale la pena mencionar que Qatar (1,5%) se incorporó al Top 20 en noviembre. El porcentaje de detecciones antivirus en correo en Rusia disminuyó al 1,9% en noviembre.

Características especiales del spam malicioso

En noviembre, los spammers hicieron varios envíos de programas maliciosos camuflados como mensajes de voz. En la mayoría de los casos, el texto de los mensajes que detectamos seguía un mismo patrón: “Tienes un mensaje de XX minutos y XX segundos en tu bandeja de entrada del usuario/compañía Y en fecha, hora. El mensaje de voz se ha adjuntado a este mensaje de correo, y puedes reproducirlo en la mayoría de los ordenadores”. El mensaje de voz estaba supuestamente comprimido en un archivo ZIP, generalmente llamado message.zip, pero que en realidad se trataba de un programa malicioso.

 

Este mismo truco, usar notificaciones de mensajería de voz como camuflaje, se ha repetido en envíos de spam supuestamente a nombre de Skype, uno de los más importantes servicios de mensajería y videollamadas. En este caso se utilizó Skype Voice Message como nombre del remitente, pero la dirección del remitente no tenía relación alguna con este popular servicio y más bien parecía una cadena de símbolos generada aleatoriamente. Los detalles del mensaje incluían la hora, fecha y duración de la supuesta llamada. El mensaje se escucharía al abrir el archivo ZIP adjunto, llamado Skype_Voice_Message-DB43D7B84C.zip. Pero en realidad, el archivo comprimido contenía un programa malicioso que Kaspersky Lab detectó como Trojan-PSW.Win32.Tepfer.sjsm. Se trata de un programa espía que roba cookies en los navegadores, además de contraseñas para clientes FTP y de correo, para después enviarlas a los ciberdelincuentes que lo controlan.

 

Phishing

En noviembre, la clasificación de organizaciones más atacadas por los phishers no tuvo cambios notables.

 
Top 100 de las organizaciones más atacadas por phishers, por categoría

La clasificación de las categorías de organizaciones atacadas por phishers se basa en las detecciones registradas por el componente antiphishing de Kaspersky Lab, cada vez que un usuario activa un enlace phishing, ya sea que se encuentre en un mensaje de correo spam o en un sitio web.

Tal como sucedió el mes anterior, los Sitios de Redes Sociales (26,9%), cuya participación disminuyó en un 1,3%, encabeza el TOP 3 de categorías, seguido por los Servicios de Mensajería Instantánea y de Correo (19,2%) y Motores de Búsqueda (16,5%), ambos con porcentajes levemente mayores a los registrados en octubre.

Las Organizaciones Financieras y de Pago Online (16,1%) se mantuvieron en el 4? lugar, aunque la proporción de ataques contra estas organizaciones está en alza, con un aumento del 0,7% en noviembre.

La proporción de Fabricantes IT (9,2%) aumentó en un 2,2%. En consecuencia, esta categoría subió al 5? lugar en la clasificación, desplazando a los Proveedores de Servicios de Telefonía e Internet a la 6? posición, debido a una disminución del 2,9% en su participación.

En noviembre, los phishers volvieron a estar activos atacando a los clientes del Australia and New Zealand Banking Group. Los mensajes de correo de un mismo envío tenían diferentes direcciones en los campos De y Asunto, y distintos enlaces phishing, pero el contenido era el mismo. En estos mensajes se le pedía al destinatario que confirme que las transacciones listadas en el mensaje las había realizado él y no de otra persona. El mensaje incluía un enlace de autenticación de cuenta que en realidad conducía a una página phishing, cuyo diseño y contenido imitaban a los de la página legítima del sitio oficial de este grupo bancario. Claramente, los datos que el usuario ingresaba en la página phishing llegaban a manos de los ciberdelincuentes.

Para evitar que una notificación falsa parezca una estafa común, en la que se amenaza a las potenciales víctimas con el bloqueo de sus cuentas desde el principio, esta vez los phishers colocaron una advertencia al final del mensaje. Es importante resaltar que es fácil ignorar esta información si uno no lee el mensaje con atención. Para que la advertencia pareciese legítima, el campo De incluía el nombre de dominio oficial de la compañía y el mensaje concluía con la autofirma del banco.

 

Conclusiones

El porcentaje de spam en el tráfico mundial de correo no ha cambiado, alcanzando el 72,5% en noviembre. La clasificación geográfica del spam tampoco ha cambiado significativamente en comparación al mes anterior.

Tal y como habíamos predicho, los spammers estuvieron muy ocupados enviando spam relacionado con las festividades, incluyendo imágenes relacionadas con las fiestas de fin de año. También explotaron ampliamente el Día de Acción de Gracias y el Día de los Veteranos, celebraciones muy populares en los países occidentales, para anunciar medicamentos adelgazantes y para la disfunción eréctil; asimismo, las compañías trataron de atraer nuevos clientes con descuentos de temporada en sus artículos y servicios. En diciembre, la preparación para las cercanas fiestas de fin de año alcanzará su punto más frenético, y la cantidad de spam relacionado con Navidad y Año Nuevo también alcanzará su pico.

A pesar de la tranquilidad propia del mercado laboral en esta época, muchos mensajes spam contenían ofertas para solicitantes potenciales de trabajo en todo el mundo. Debido a la llegada de las fiestas y la época de vacaciones, también hemos visto muchas ofertas de paquetes vacacionales y viajes para practicar esquí en las montañas. Prevemos que este tipo de spam seguirá enviándose hasta después de que pasen las fiestas, quizás durante enero del próximo año.

La serie de mensajes estafadores que se aprovechan de trágicos acontecimientos continuó en noviembre. Esta vez, los spammers trataron de sonsacarles dinero a los usuarios fingiendo una recolección de donaciones para las víctimas del tifón que azotó Filipinas.

En noviembre, una notable proporción de los mensajes que contenían programas maliciosos tenían la forma de falsas notificaciones de mensajes de voz. De forma específica, los ciberdelincuentes se concentraron en Skype, el conocido servicio de vídeo llamadas.

La clasificación de organizaciones más atacadas por los phishers no ha mostrado variaciones considerables. El porcentaje correspondiente a los sitios de redes sociales fue menor que en el mes anterior, pero la categoría mantuvo su posición de liderazgo de la clasificación. Como habíamos predicho, creció la cantidad de ataques contra las instituciones financieras. En la ocupada época que precede a las fiestas, es muy importante que permanezcamos alertas cuando nos lleguen mensajes de tiendas online, servicios de reservas, de bancos y de sistemas de pago electrónico. En las semanas que anteceden a las fiestas se produce un aumento en la cantidad de compras y operaciones financieras realizadas en Internet, motivo por el cual los ciberestafadores envían más mensajes phishing esperando aprovechar la distracción de los usuarios.

El Spam en noviembre 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada