Informes sobre spam y phishing

El spam en noviembre de 2010

Noviembre en cifras

  • El spam en el tráfico de correo ha subido un 0,6% en comparación con octubre y este mes ha alcanzado una media del 76,8%.
  • La cantidad de mensajes phishing fue del 0,4% del total de mensajes, que es un 0,47% menos que en octubre.
  • El 1,6% de los mensajes contenía ficheros maliciosos, un 0,13% más que en el mes anterior.

Estudio de los principales sucesos del mes

La lucha contra el spam

Los meses anteriores estuvieron marcados por ruidosos acontecimientos en el mundo del spam. Así, se clausuraron los centros de administración de las grandes botnets Pushdo/Cutwail y Bredolab; se anunció el cierre del programa de afiliados SpamIt y se inició un proceso penal contra Igor Gusiev, que según determinadas fuentes es el spammer número uno en el mundo.

Por desgracia, en noviembre los luchadores contra el spam no han tenido tanta suerte, pero las consecuencias de los sucesos del mes pasado (y aún de sucesos anteriores) son fáciles de notar en las peculiaridad del tráfico spam de noviembre.

El éxito en cifras

En noviembre el porcentaje de spam en el tráfico de correo aumentó de nuevo. Los cambios (-0,6%) sólo son insignificantes a primera vista. En realidad, la clausura de los centros de administración de Bredolab ha ejercido influencia en los porcentajes de los dos últimos meses de otoño. En los primeros días después de la clausura, la cantidad de spam en el correo estaba a un nivel anormalmente bajo y fluctuaba cerca del 70-71%. Si se compara la cantidad de spam de octubre y noviembre sin tomar en cuenta estos días, veremos que el índice medio del spam en octubre (78,6%) es un 1,1% mayor que el de noviembre (78,6%).

La tendencia de reducción del porcentaje de spam en el tráfico de correo observada este otoño es en gran parte resultado de la lucha mundial contra las botnets.

Creemos que la lucha que se libra en el territorio de EEUU contra las botnets está relacionada con el hecho de que en noviembre, por primera vez en la historia de nuestros informes, este país no estuvo en el TOP20 de los países-fuente de spam. Ya en septiembre, a todas luces como resultado de la clausura de Pushdo/Cutwail, el porcentaje de spam propagado desde el territorio de este país bajó del 15,5% al 6%. En octubre bajó del 6% al 1,6%. En noviembre el porcentaje de spam propagado desde los EEUU sufrió una reducción no tan importante, (-0,33%), pero es justo esta bajada la que provocó que este país abandonara el TOP 20 de países-fuente de spam.

El destierro del Viagra

El desarrollo de la situación del spam que publicita fármacos llama la atención desde hace varios meses. Y no nos sorprende: la clausura de SpamIt y el sensacional proceso seguido a Igor Gusiev, que muchos relacionan con el famoso programa de afiliados GlavMed son acontecimientos notables y de considerable significado. Todo parece indicar que los spammers que difundían spam farmacéutico sobre todo en EEUU, Canadá y Europa del Este, después de todo lo acontecido sacaron la conclusión de que sus actividades no siempre iban a quedar impunes y se volcaron a participar en otros programas de afiliados. Esto se ve muy bien en el bajísimo porcentaje de spam farmacéutico de todo noviembre:


Porcentaje del spam farmacéutico en octubre y noviembre de 2010

Como se puede apreciar en el gráfico, la cantidad de spam que publicita fármacos, incluso a principios de noviembre estaba un poco por encima del 40%, y a finales del mes cayó por debajo del 33% del total del spam.

Pero para los spammers el spam farmacéutico sigue siendo una actividad muy lucrativa, y por esta razón, hasta hace poco era tan difundido en Internet. Ahora los spammers que decidieron no continuar colaborando con los programas de afiliados están tratando de encontrar un reemplazo que les traiga los mismo réditos. Por lo visto, es una tarea que resultó muy difícil, en vista de que durante octubre y sobre todo en noviembre se nota que las otras temáticas de spam han subido.

 
Cambios en las temáticas del spam propagado por programas de afiliados en octubre-noviembre de 2010

Los ascensos y descensos más notables están en la línea de la dinámica del spam que publicita casas de juego online. A principios de noviembre superó el 30% y a finales de mes cayó hasta el nivel del 1-2%.

El spam pornográfico y de sitios de búsqueda de pareja empezó a crecer la tercera semana del último mes de otoño, mientras que a principios de mes su cantidad era cercana a cero.

La lucha continúa

La atmósfera de incesante escándalo que acompaña al spam y los spammers al parecer indujo a los órganos legislativos rusos a establecer la responsabilidad por el envío de spam.

En el futuro próximo, en “Ley de la defensa de la información” rusa aparecerá la definición de spam y también se establecerá la responsabilidad de las personas que hagan envíos masivos. Se espera que la ley sea bastante dura: los spammers cargarán con responsabilidad penal por el envío masivo de mensajes no solicitados.

Estas medidas deberán simplificar la lucha contra los spammers en el ámbito legal.

La federación de Rusia en el spam

En nuestro informe de septiembre suponíamos que pronto la zona de dominio .rf (.рф en el alfabeto cirílico) sería uno de los temas que los spammers aprovecharían en sus mensajes. Y nuestro pronóstico se cumplió.

¿Está el spam contra los ciberokupas?

El mes pasado se empezó a dar de alta en el registro los nombres de dominio en la zona cirílica .рф. Los spammers estaban listos desde antes: el 9 y 10 de noviembre los usuarios empezaron a recibir mensajes spam que ofrecían el servicio de trámite de alta en la zona .рф antes del inicio oficial del registro. En sí, este servicio provoca grandes dudas, porque está prohibido hacer solicitudes de alta prematuras en la nueva zona de dominio. Para tratar de convencer a los usuarios de usar sus dudosos servicios, los spammers especulaban sobre los ciberokupas, es decir, la práctica de comprar nombres de dominios idénticos a las denominaciones de diferentes organizaciones para después revenderlas o chantajear a los legítimos dueños. Sin duda, el tema de la ciberokupación de los nombres de la nueva zona de dominios está a la orden del día. Al mismo tiempo, es evidente que la mayoría de los usuarios a los que los spammers tratan de vender este servicio no son víctimas potenciales de los ciberokupas.

¿O está más bien el spam a favor de los ciberokupas?

A finales de noviembre hubo un envío masivo que, al parecer, fue solicitado por los ciberokupas. Se trataba de una potente ola de mensajes que ofrecían a los usuarios participar en subastas cerradas para obtener varios dominios cirílicos de segundo nivel. Es precisamente la puesta en venta de diferentes nombres de dominios populares en el mercado uno de los métodos que usan los ciberokupas. Como se puede ver en la copia de la pantalla, los clientes de los spammers tratan de vender los nombres de dominios registrados a precios muy altos, que superan varias veces el coste de alta de los dominios.

El spam: enlaces a .рф

Además, los dominios con nombres en alfabeto cirílico no solo han aparecido en los mensajes spam en calidad de mercancía, sino como enlaces a sitios de spam, entre ellos los dedicados a la formación, optimización de sitios y publicidad de servicios de spam.

Quisieramos hacer hincapié en que la ausencia del debido control sobre el contenido de las páginas en la zona .рф conducirá a su pronta contaminación.

Por supuesto, los enlaces en alfabeto cirílico no abundarán en los mensajes dirigidos a los usuarios de EEUU y Europa: si no saben ruso, les parecerán incomprensibles y no generarán una gran cantidad de visitas a los sitios web publicitados.

Análisis estadístico

Porcentaje de spam en el tráfico de correo

En comparación con octubre, la cantidad de spam en el tráfico de correo se ha reducido en un 0,6% y constituido el 76,8%. El índice más bajo del mes (71%) se registró el 1 de noviembre. Los primeros tres días del mes notamos una baja en el tráfico de spam, provocado por la clausura de los centros de administración de la botnet Bredolab, que tuvo lugar a finales de octubre. Los usuarios recibieron la mayor cantidad de spam (85,6%) el 7 de octubre.


Porcentaje de spam en el tráfico de correo en noviembre 2010

Países-fuente del spam

En noviembre la cantidad de spam propagada desde India aumentó en un 2%, lo que le permitió a este país subir al primer puesto en la estadística de los países-fuente del spam.

 
Países- fuente de spam en noviembre 2010

En el segundo lugar tenemos a otro país asiático: Vietnam. La cantidad de spam enviada desde este país aumentó en un 5,8%. Se ha duplicado el porcentaje de spam enviado desde Indonesia. Sin embargo, a pesar del crecimiento de la cantidad del spam de origen asiático, la mayor parte del spam mundial (más del 45%) se distribuyó desde Europa.

Ha aumentado la cantidad de spam enviada desde Inglaterra (+1,35%) e Italia (+1%) y disminuido la enviada desde Rusia (-5,7%) y Ucrania (-3%). Una gran parte del spam europeo (20%) se envió desde Europa del Este.

Como ya lo hemos mencionado, por primera vez en la historia de nuestros informes, los EEUU no están en el TOP 20 de países fuente de spam.

Adjuntos maliciosos en el correo

En noviembre el 1,6% de todos los mensajes electrónicos contenían ficheros maliciosos, es decir un 0,13% más que el mes anterior.

Los EEUU, que durante los dos últimos meses lideraron por la cantidad de spam malicioso recibido por los usuarios, han dejado su puesto a Rusia. La cantidad de spam malicioso enviado en EEUU, se redujo en un 4%, mientras que la cantidad de mensajes con adjuntos maliciosos recibidos por los usuarios rusos se multiplicó por 4 y superó el 8%. India y Vietnam también dejaron atrás a los EEUU. Los usuarios de estos países recibieron dos veces más spam.

Nosotros suponemos que el aumento de la cantidad de spam malicioso enviado en estos países está vinculado con los intentos de organizar nuevas grandes botnets en su territorio. Los delincuentes hacen estos intentos en aquellas regiones donde el estado todavía no lucha contra la delincuencia informática, o donde la misma todavía no ha dado frutos.

Los países desarrollados, como EEUU, Alemania e Inglaterra han sufrido una caída notable en nuestra estadística, pero en cambio Japón la ha abandonado del todo.

 
Reacciones del antivirus de correo según países en noviembre de 2010

 
TOP 10 de programas maliciosos propagados por correo en noviembre de 2010

En noviembre Trojan-Spy.HTML.Fraud.gen sigue en el primer puesto de nuestra estadística de los programas maliciosos más comunes en el correo, muy por delante de sus “perseguidores”. Recordamos que el destinatario de este programa malicioso visualiza una página falsificada de un banco conocido o de un sistema de pagos donde se le pide especificar su login y contraseña. Es decir, el mensaje que contiene Trojan-Spy.HTML.Fraud.gen es, en esencia, un mensaje phishing.

En el segundo lugar de la estadística tenemos Trojan-Spy.Win32.Zbot.assl. Este programa troyano está diseñado para robar los datos confidenciales del usuario. A principios de noviembre se reactivaron los envíos masivos de Zbot por correo electrónico en Inglaterra y EEUU. En nuestro informe de octubre hemos escrito sobre la casi completa desaparición de los envíos de Zbot por correo en estos países.

Los troyanos de la familia Oficla también siguen propagándose activamente por correo. Los programas de esta familia descargan desde Internet otros programas maliciosos y publicitarios o sus actualizaciones y los ejecutan en los ordenadores de los usuarios.

Sólo menos del 5% de los programas maliciosos propagados en el correo en noviembre eran amenazas ya conocidas.

Phising

La cantidad de mensajes phishing constituyó el 0,4% de todo el correo, es decir un 0,47% menos que en octubre.

 
TOP 10 de las organizaciones más atacadas por el phishing en noviembre de 2010

Una peculiaridad notable de la estadística de las organizaciones más atacadas por los phishers es la disminución en un 27,1% de la cantidad de ataques contra el sistema de pagos PayPal. Al mismo tiempo, si en octubre el competidor más cercano de PayPal (Facebook) acumuló sólo un 8,4% de todos los ataques phishing, en noviembre esta cifra se duplicó y fue del 17%. El porcentaje de ataques contra eBay se triplicó en comparación con octubre.

Todos los fenómenos mencionados, junto con el crecimiento de los ataques contra las organizaciones que no lograron entrar al TOP 10 (+5%) permite decir que ha crecido un poco la cantidad de los blancos de los ataques phishing en comparación con el mes anterior. Los dueños de tarjetas MasterCard y Visa sufrieron ataques frecuentes. También se reiniciaron los ataques contra los propietarios de tarjetas de la compañía aérea Delta.

Conclusiones

A pesar de que noviembre no han abundado los grandes sucesos en el campo de la lucha internacional contra el spam, los resultados de las acciones efectuadas en septiembre y octubre han dejado una huella perceptible, tanto en el cambio de la cantidad de spam, como en las fluctuaciones de sus temáticas.

La lucha contra los botnets ha dado frutos: la cantidad de spam ha comenzado a reducirse poco a poco. Todo parece indicar que esta tendencia se conservará los próximos meses. Los EEUU, que eran el líder en el envío de spam, gracias a la activa lucha que los órganos del estado han realizado contra las botnets, han desaparecido del TOP20 de países-fuentes de spam. Los delincuentes se han dedicado a enviar spam desde las botnets ubicadas sobre todo en Asia y Europa. Todo parece indicar que son justo sus intentos de expandir estas botnets los que han provocado el incremento del spam malicioso recibido en noviembre por los usuarios de Rusia, India y Vietnam.

El ruido levantado por los sistemas de afiliados dedicados al spam farmacéutico ha conducido a una notable redistribución de las temáticas del spam. Los spammers que han decidido dejar de enviar spam farmacéutico están tratando de colaborar con diferentes programas de afiliados en busca del ansiado lucro.

Es difícil pronosticar qué harán los spammers en esta situación. Es probable que con el tiempo la sed de lucro se imponga a la prudencia y los delincuentes vuelvan a los envíos masivos de “fármacos”. Sin embargo, es precisamente en diciembre que los spammers tienen un objetivo concreto al que dedicar sus esfuerzos: ya en este momento está creciendo la publicidad de bienes y servicios populares en las vísperas de la Navidad y el Año Nuevo. En particular, se están intensificando los programas de afiliados que tratan de vender regalos de navidad.

El spam en noviembre de 2010

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada