El spam en noviembre de 2009

Particularidades del mes

• El spam en el tráfico de correo ha subido un 0,9% en comparación con agosto y este mes ha alcanzado una media del 84,8%.
• Se han encontrado vínculos a sitios phishing en el 0,97% de todos los mensajes electrónicos, lo que representa un aumento del 0,06% en comparación con septiembre.
• El 0,83% de los mensajes contenía ficheros maliciosos, es decir 1,12% más que en el mes anterior.
• El spam relacionado con las fiestas de año nuevo está aumentando y se refleja en los mensajes de la categoría “Ocio y viajes”.
• Los spammers usan diferentes trucos con elementos gráficos para evadir los filtros antispam.

Porcentaje de spam en el tráfico postal

En noviembre de 2009 el porcentaje medio de spam en el tráfico de correo ha sido 84,9%. El punto más bajo del mes se registró el 18 de noviembre (78,3%). Los usuarios recibieron más spam el 16 de octubre (89.6%).

Porcentaje de spam en el sector ruso de Internet en noviembre de 2009

Programas maliciosos en el spam

El 0,83% de los mensajes contenía ficheros maliciosos, es decir, un 1,12% menos que en el mes anterior.

 
Programas maliciosos en el spam de octubre de 2009

En noviembre, los programas maliciosos pertenecientes a la familia Backdoor.Win32.Small lideran en la lista de los 10 programas más comunes en el spam. El mes pasado un miembro de esta familia ya había aparecido en la lista, pero sólo en noviembre la cantidad de estos programas maliciosos superó el 45%. En el TOP10 hay un total de tres modificaciones del “pequeño” backdoor: Small.zs, Small.zo y Small.ioa. Después de instalarse, todas estas modificaciones recopilan información sobre el ordenador infectado, la envían a su servidor de administración y esperan instrucciones. Además, también pueden descargar componentes adicionales.

Para efectuar los envíos masivos de los backdoors de esta familia, los spammers usan un viejo truco de ingeniería social: adjuntar a los mensajes un archivo zip con el programa malicioso y ponerle el nombre de “Photos”. En el mensaje se decía que el adjunto contenía las fotografías prometidas hace tiempo:

En el segundo y sexto lugar del TOP10 se encuentran programas maliciosos de la familia Trojan-Downloader.Win32.Agent: en sus modificaciones Agent.cwlc y Agent.cwlb. Estos programas maliciosos, después de instalarse, se conectan a los recursos de red para obtener una lista de URLs que usarán para descargar otros programas maliciosos.

Para propagar estos programas maliciosos, los delincuentes usaban notificaciones falsas de la popular red social FaceBook. En los mensajes se afirmaba que, conforme a los cambios en la política de seguridad de FaceBook, todos los usuarios debían confirmar el nuevo contrato de servicio, sin importar la fecha de alta de la cuenta. De lo contrario, los usuarios que no confirmasen sus cuentas, serían dados de baja. Para confirmar el nuevo contrato, se le pedía al usuario descomprimir el archivo adjunto, donde en realidad se ocultaba Trojan-Downloader.Win32.Agent.cwlb.

Merece la pena remarcar dos cambios en el TOP10 respecto al mes anterior: en primer lugar, la aparición de dos modificaciones de Zbot en el quinto y décimo lugar. La modificación Trojan-Spy.Win32.Zbot.gen ya figuraba en el TOP10 de septiembre. Recordamos que Trojan-Spy.Win32.Zbot es un programa troyano-espía destinado a robar la información confidencial del usuario. Hay más información disponible sobre este virus en inglés aquí: https://threats.kaspersky.com/mx/threat/Trojan-Spy.Win32.Zbot/. El segundo cambio importante es que el gusano de correo Iksmas, que tiene funciones para robar datos y enviar spam, ha vuelto al TOP10.

Como se avecinan las fiestas de fin de año, se espera un aumento del número de falsas tarjetas de felicitación enviadas en nombre de diferentes servicios populares en Internet. En uno de nuestros anteriores informes escribimos sobre las tarjetas Hallmark falsificadas (con enlaces maliciosos en vez de las felicitaciones de amigos y familiares). Hasta ahora se siguen haciendo envíos masivos similares:

También merece la pena destacar los nuevos casos de propagación de programas maliciosos por medio de envíos masivos de tarjetas de felicitación que a primera vista parecen inofensivas:

Phishing

Los phishers atacaron con más frecuencia sus blancos tradicionales, PayPal y eBay. Estas organizaciones sufrieron respectivamente el 44,53% (+5,61%) y 19,42% (+12,29%) de todos los ataques. Ha aumentado de golpe (en un 6,9%) la cantidad de ataques phishing contra FaceBook, con lo que en noviembre esta red social suma el 9,03% del total de ataques phishing. Sin embargo la cantidad de ataques a la organización fiscal IRS ha bajado casi en un 14% hasta el 6,21%.

 
Organizaciones víctimas de ataques phishing en noviembre de 2009

Una de las organizaciones predilectas de los phishers, Bank of America (4,22%), sufrió en noviembre un ataque muy bien organizado. Los mensajes recibidos por los usuarios estaban tan bien falsificados, que podrían pasar por legítimos:

En este mensaje se notifica que los empleados de Bank of America ya se habían puesto en contacto con los destinatarios para verificar su cuenta y que ahora se debería concluir con la verificación. El enlace contenido en el mensaje no tiene ninguna relación con el banco y lleva a un sitio predeterminado por los phishers.

Además, hay que mencionar que los delincuentes continúan lanzando sus ataques contra los usuarios del famoso juego online World of Warcraft. Y muchos de los mensajes están muy bien redactados. La dirección en el campo “Remitente” es parecida a la dirección de la compañía Blizzard Entertainment y sólo un atentísimo examen permite ver que es una falsificación. Al igual que en el mensaje anterior, se le pide al usuario que constate los datos de su cuenta en el sitio phishing.

Los usuarios españoles también han sido víctimas de ataques phishing. Como de costumbre, el vínculo que se aconsejaba seguir para confirmar los datos personales y evitar el bloqueo de la cuenta llevaba a un sitio falsificado:

Países—fuentes de spam:

En noviembre el líder de la lista de países desde los cuales se envía spam sigue siendo EEUU, aunque la cantidad de spam enviada desde su territorio bajó en casi un 10% en comparación con octubre. En cambio Brasil, que durante varios meses ocupó el segundo puesto, ha bajado de repente al cuarto, a pesar de que la cantidad de spam proveniente de este país ha aumentado en comparación con el mes anterior (+0,7%). Y Rusia ha irrumpido al segundo puesto: desde este país se ha enviado un poco más del 8% del spam en el mundo (+2,8%). En el tercer lugar está India, desde dónde se envió casi el doble de spam que en los meses anteriores (7,2%). En el quinto, sexto y octavo lugar están los habituales Vietnam, Corea y Polonia, cuyos índices casi no han cambiado. En el séptimo lugar está Italia, que en comparación con octubre ha aumentado su presencia en 1,2%. Desde el territorio de España se envió el 2,3% de todos los mensajes spam, lo que la ubica en el noveno lugar de la lista.

Los temas del spam

Como de costumbre lidera el spam que publicita medicamentos e imitaciones de artículos de lujo. Desde luego, el tema de la Navidad es cada vez más común en estos mensajes. Sobre todo se aprovechan de este tema los spammers que ofrecen imitaciones de artículos de marcas famosas.

Dos temáticas más del spam se propagaron en noviembre: los anuncios de software de bajo coste, que en noviembre usaron hasta el hastío el tópico de la Navidad, y los mensajes que clasificamos como “estafas informáticas”. En las vísperas de la Navidad, las cartas nigerianas han empezado a apelar a los sentimientos religiosos del usuario. Así, hemos recibido un mensaje de una desgraciada viuda dispuesta a compartir con un convencido cristiano los millones de dólares de su difunto marido:

Sin embargo, la Navidad no sólo ejerce influencia en el contenido de los mensajes que publicitan imitaciones de artículos de lujo y diferentes estafas nigerianas. Los spammers cada año envían mensajes ofreciendo diferentes mercaderías y servicios navideños. Este año se dio inicio al flujo de estos mensajes con un envío masivo que publicitaba mensajes escritos a los niños por el mismo Papá Noel.

Tampoco se han calmado las “novias rusas”, que por lo visto no pierden la esperanza de pasar la Navidad y el Año Nuevo lejos de su patria, por ejemplo, en la lejana y soleada España.

Los métodos y trucos de los spammers

En noviembre ha continuado el envío de mensajes en cuyo código HTML se ha introducido caracteres al azar y bloques enteros de guiones en diferentes cantidades y lugares. Sin embargo el programa de correo del usuario los visualizaba como mensajes comunes y corrientes:

Conclusión

Al hacer el balance del último mes otoñal, merece la pena destacar que continúan creciendo las estafas en el spam. Según nuestros pronósticos, en diciembre la situación tenderá a empeorar, ya que la aproximación del Año Nuevo siempre hace que los usuarios estén menos espabilados, circunstancia que los delincuentes no dudan en aprovechar.

La reducción de la cantidad de programas maliciosos en noviembre no significa que en diciembre se conserve la tendencia: la Navidad y el Año Nuevo son épocas en que las tarjetas de felicitación se hacen muy populares. Es muy posible que los programas maliciosos se empiecen una vez más a enviar en forma de tarjetas.

En diciembre, sin duda, se conservará la tendencia de noviembre de aumento del spam que hace ofertas de ocio y viajes.