Informes sobre spam y phishing

El spam en octubre 2012

Contenido

Octubre en cifras

  • El porcentaje de spam en el tráfico de correo disminuyó en un 4,5% desde septiembre, quedando en el 68%.
  • El porcentaje de mensajes phishing no experimentó ningún cambio desde septiembre que continúa en el 0,03%.
  • En octubre, se detectaron archivos maliciosos en el 3,25% de todos los mensajes, lo que indica una disminución del 0,15%.

El spam en la mira

Adjuntos maliciosos.  La historia continúa

Si bien el porcentaje de spam continúa disminuyendo, la proporción de mensajes con adjuntos maliciosos y enlaces a recursos maliciosos sigue siendo bastante elevada. El tráfico spam también incluye muchos mensajes fraudulentos.

En octubre, los spammers siguieron recurriendo a una amplia variedad de ardides para propagar sus archivos maliciosos comprimidos; lanzaron mensajes que imitaban las notificaciones oficiales de multas por exceso de velocidad, así como falsas reservas de hotel y ofertas de falsos pasajes electrónicos aéreos, que ya habíamos visto en anteriores envíos masivos.  

En octubre, los ciberestafadores introdujeron una nueva variedad de falsas reservas de hotel. Antes enviaban mensajes en inglés, supuestamente desde booking.com. Ahora han elaborado falsos mensajes, en inglés y en alemán, que imitan a las notificaciones del servicio de reservas online hotel.de. El mensaje, con un archivo malicioso comprimido, le pide al usuario que confirme su reserva en el hotel de 5 estrellas Brenner’s Park-Hotel & Spa en Baden-Baden. Kaspersky Lab detectó como Trojan-Ransom.Win32.Gimemo.atjk el archivo .exe que estaba incorporado en el archivo comprimido.


Además de las notificaciones falsas, los spammers intentaron darle un toque personal para infiltrarse en el ordenador del usuario. Por ejemplo, propagaron falsas invitaciones a una boda que contenían un adjunto malicioso.


Spam político

En otoño, todo el mundo estuvo a la expectativa del resultado del as elecciones presidenciales en EE.UU. En plena carrera electoral, en el pico de la campaña política, los spammers invitaron a los usuarios a participar dando a conocer su opinión sobre quién resultaría ganador, y ganar un regalo de 250 $ de las tarjetas Visa.


Pero cada dirección de correo que se registraba terminaba en la base de datos de los spammers y muy probablemente formará parte de una lista de direcciones destinatarias de más mensajes indeseables.

También detectamos otros envíos masivos relacionados con las elecciones norteamericanas,  como convocatorias para apoyar a uno u otro candidato, y llamativos avisos publicitarios de relojes “como el del presidente”.

El tema electoral también se usó para inducir a los usuarios a visitar varios sitios web.


Al activar el enlace en el mensaje de arriba, los usuarios entran en un sitio donde se les muestra un video sobre cómo, supuestamente, ganar dinero fácil en Internet. Por supuesto, el video no tiene nada que ver con Obama.

Spam con temáticas de las fiestas

Halloween, ampliamente celebrado en Europa y en EE.UU., también atrajo la atención de los spammers. Mensajes en inglés ofrecían una variedad de artículos relacionados con esta celebración, como bolsos de marca, felpudos, marcos para fotografías y camisetas fluorescentes.


Se explotó ampliamente esta temática en avisos que publicitaban ofertas y descuentos. Esta vez, en honor a Halloween, los spammers ofrecieron tarjetas de descuento de fabricantes, nuevas y usadas. Las típicas calabazas y murciélagos adornaron estos avisos.


Como suele suceder en octubre, los spammers comenzaron a recordar a sus destinatarios sobre las fiestas de invierno que ya se aproximan. Ya hemos detectado muchos mensajes relacionados con Navidad y Año Nuevo que ofrecían caramelos, regalos, pasajes para viajes de fin de año, y mucho más.


El spam relacionado con Año Nuevo publicita cierto tipo de artículos. Por ejemplo, los mensajes en ruso ofrecían decoraciones imantadas.


También se ofrecía a los usuarios rusos la oportunidad de encargar la fabricación de árboles navideños artificiales para interiores y exteriores, mientras que a los usuarios angloparlantes se les ofrecía adquirir una maceta y plantar su propio árbol navideño con sencillas instrucciones.<0}

La distribución geográfica de las fuentes de spam

Tal como sucedió el mes pasado, China (30,7%) y EE.UU. (27,3%) encabezaron la clasificación de los distribuidores más activos de spam en octubre. Ambos países fueron responsables de casi el 58% del flujo de correo indeseable en el mundo. El Top 5 también incluyó a India (5,8%), Vietnam (4,3%) y Brasil (2,6%), que por mucho tiempo han atraído a spammers gracias a sus débiles medidas antivirus.


Fuentes de spam en octubre 2012

China es más prolífica todavía en el envío de spam a usuarios europeos, con un 53,3% que representa un aumento del 11,8% con respecto a septiembre. EE.UU. ocupa la segunda posición con el 13,4% (+2,7%).  Italia aumentó su participación en los flujos europeos de spam en un 3,9%, por lo que ocupó la tercera posición. Al mismo tiempo, la participación de India disminuyó de forma considerable (-6%).


Top 10 de fuentes de spam enviado a usuarios europeos en octubre 2012

Programas maliciosos en el tráfico de correo

En octubre, se detectaron archivos maliciosos en el 3,25% de todos los mensajes, lo que indica una disminución del 0,15% en relación al mes pasado.

 

Clasificación de las detecciones del módulo antivirus de correo por país.


Clasificación de las detecciones del módulo antivirus de correo por país

Por segundo mes consecutivo hubo significativos cambios en los niveles de las detecciones del componente Kaspersky Mail Antivirus. Alemania mantuvo el liderazgo, a pesar de una disminución del 1,25% respecto a septiembre. Sin embargo, hubo cambios notables en el resto de la lista. EE.UU. volvió al Top 10 (+5,82%), justo por detrás de Alemania. Reino Unido también recuperó la tercera posición tras aumentar su participación en un 4,2% en relación al pasado mes. España, que en la clasificación de septiembre ocupaba el segundo lugar, salió del Top 10 debido a una dramática disminución del 3,94%. Rusia descendió a la cuarta posición aunque no se evidenciaron cambios notables en su cuota (+0,26%).

Top 10 de programas maliciosos propagados por mensajes de correo en octubre de 2012


Top 10 de programas maliciosos propagados por mensajes de correo en octubre de 2012

En octubre, el troyano Trojan-Spy.Win32.Zbot.fsfe, que es una modificación del conocido spyware ZueS/Zbot diseñado para robar a los usuarios la información de sus cuentas en diferentes servicios de pago electrónico, fue el programa malicioso más popular que se propagó por medio de mensajes de correo.  Zbot es un troyano universal que ataca las cuentas de varios bancos. Sus creadores mejoran constantemente su código, y esta variante en particular tenía un método de compresión distinto.

Aunque Zbot no se ha estado en el Top 10 de programas maliciosos propagados por mensajes de correo por mucho tiempo, los ciberdelincuentes no lo han olvidado. A menudo vemos spam malicioso que en lugar de adjuntos contienen enlaces a recursos maliciosos.  Cuando los exploits localizados en este recurso logran encontrar una vulnerabilidad en los programas instalados en el ordenador del usuario, proceden a descargar y ejecutar el archivo malicioso ejecutable que a su vez descargará un miembro de la familia Zbot en el ordenador infectado.

Seis de los programas que aparecen en la lista de octubre pertenecen a la familiaTrojan-Ransom.Win32.PornoAsset, lo que representa el 55,2% de todos los programas maliciosos propagados por mensajes de correo.  Trojan-Ransom.Win32.PornoAsset es un ransomware que bloquea el sistema operativo y para desbloquearlo le exige un pago al usuario afectado. Los primeros cuatro representantes de esta familia aparecieron en el Top 10 de septiembre. Ya hemos advertido a las víctimas de PornoAsset que sus sistemas no se desbloquearán aunque paguen el “rescate”. Si el usuario sospecha que su ordenador está infectado, es mejor que llame a un especialista en vez de hacer cualquier pago.  

NiBackdoor.Win32.Androm.kv, líder en septiembre, ni Trojan-Spy.HTML.Fraud.gen, líder en agosto, aparecieron en el Top 10 de octubre. Trojan-Spy.HTML.Fraud.gen y Trojan-Spy.Win32.Zbot.fsfe apuntan a los mismos objetivos, los sistemas bancarios online y los de pago electrónico. Parece que los ciberdelincuentes están rotando sus “herramientas” para apropiarse del dinero de los usuarios.

Phishing

El porcentaje de mensajes phishing no experimentó ningún cambio desde septiembre, quedando en el 0,03%.


Top 100 de las organizaciones, por tipo de actividad, más atacadas por los phishers en octubre de 2012 (en base a las detecciones del componente antiphishing*)

*Esta clasificación se basa en las detecciones registradas por el componente antiphishing de Kaspersky Lab cada vez que un usuario activa un enlace phishing, ya sea que este enlace se encuentre en un mensaje spam o en un sitio web.

Tras la tregua estival, en octubre se incrementaron notablemente los ataques contra las entidades financieras (+2,85%), y las tiendas y subastas online (+5,42%). Si los ataques tienen éxito, los perpetradores acceden a las cuentas bancarias online y de pago electrónico de los usuarios, y roban su dinero.

La cantidad de ataques contra los sitios de redes sociales disminuyó en un 10,23% en octubre, lo que significa que esta categoría cayó del primero al cuarto lugar, incluso por debajo de la categoría Motores de búsqueda. Nosotros esperábamos que este descenso se produjese antes, en septiembre. El hecho es que en el verano los phishers atacan activamente a los estudiantes que pasan buena parte de su vacación navegando en Internet. A medida que las actividades empresariales se reactivan al final del verano, los ciberdelincuentes vuelven a concentrar su atención en las organizaciones financieras.

Tal como esperábamos, las elecciones presidenciales en EE.EE. concentraron la atención de los spammers. Es improbable que, una vez concluidas las elecciones, los mensajes spam vuelvan a usar con frecuencia el nombre de Obama.  No cabe duda que para inducir a los usuarios a visitar sitios maliciosos o para sonsacarles su dinero, los spammers encontrarán otros temas de actualidad, como el huracán que azotó la costa este de EE.UU.

En general, la mayor parte del spam en el mundo proviene de EE.UU. y China. Hace varios años, estos países estaban a la cabeza de la clasificación de fuentes de spam. Ahora su participación vuelve a cobrar importancia ya que la enorme cantidad de usuarios de Internet en estos países crea condiciones favorables para la propagación de spam desde ordenadores infectados.

En octubre se evidenciaron más mensajes spam y phishing diseñados para robar el dinero de los usuarios. Es probable que esto no cambie en el futuro. Los usuarios deben ser muy cautelosos a la hora de hacer sus pagos electrónicos y de ingresar sus datos confidenciales en Internet. No deben activar los enlaces que aparecen en los mensajes spam ni abrir los adjuntos provenientes de remitentes desconocidos. Y deben actualizar su software de forma permanente.

El spam en octubre 2012

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada