Informes sobre spam y phishing

El spam en octubre de 2013

Peculiaridades del mes

En octubre los spammers han seguido usando los nombres de diferentes conocidas compañías para propagar ficheros ZIP maliciosos. Entre los envíos masivos temáticos hemos registrado la promoción de servicios no muy típicos y bastante exóticos para los spammers: filtros amorosos, conjuros para hacer carrera y magina blanca y negra. También ha aumentado la cantidad de ofertas de impresión de logotipos de compañías de recuerdos y su variedad ha aumentado considerablemente. Hemos empezado a encontrar este tipo de envíos en casi todos los idiomas que observamos. El spam “de fiesta”, como era de esperarse, estuvo dedicado al Día de Todos los Santos y las ansiadas fiestas que se aproximan: Navidad y Año Nuevo. Además, los spammers han usado la complicada situación de Siria para engañar a los usuarios.

El spam del más allá

Como habíamos pronosticado, en octubre ha aumentado la cantidad de envíos masivos que explotan el tema de la popular fiesta de Halloween, que se celebra a fin de mes.

En el spam en inglés se hicieron envíos tradicionales de publicidad de disfraces y de diferentes recuerdos personalizados que brillan en la oscuridad. Vale la pena destacar que este año los spammers ni siquiera cambiaron el diseño de estos mensajes, sino que usaron los mismos patrones que detectamos el año pasado, cambiando sólo la dirección en el campo “De” y añadiendo un enlace a un sitio de redirecciones creado hace poco. En los mensajes, los representantes de PYMES ofrecían a los clientes potenciales productos fabricados con el estilo de la fiesta que se acercaba e invitaban a una velada en vísperas del Día de Todos los Santos.

 

En octubre los organizadores de webinars enviaron invitaciones con motivos de Halloween, con texto en colores, figuras de lápidas y manos de esqueletos en vez de flechas que apuntaban al enlace con información detallada sobre el seminario. Como ya es tradición, el tema del webinar no tenía nada que ver con la fiesta y el diseño festivo era sólo para atraer la atención del usuario.

 

En las vísperas de la fiesta recibimos varios envíos de fábricas chinas con publicidad de disfraces, máscaras y elementos de decoración para Halloween. Para hacer que el usuario se interese, algunos mensajes venían diseñados con estilo festivo y contenían ejemplos y precios de los accesorios. En otros mensajes sólo se indicaba la dirección del sitio web donde se podía ver la lista de productos.  

 

En octubre registramos envíos masivos dedicados a Halloween en alemán. Los spammers enviaron mensajes con publicidad de casas de juego y seducían a los usuarios con bonos en honor a Halloween, mientras que diferentes compañías ofrecían rebajas con motivo de la fiesta. Los mensajes tenían el estilo de la fiesta y en el tema se mencionaba Halloween.

 

Spam de Año Nuevo

En octubre la cantidad de spam “de año nuevo” y “de navidad” ha aumentado notablemente, ya que es justo en esta época que empiezan las preparaciones para las futuras fiestas.

Los envíos navideños en inglés estuvieron dedicados a la publicidad de copias de relojes y ofertas de créditos ventajosos, a las empresas se les ofrecía fabricar memorias USB en forma de Papa Noel, bombones con logotipos o felicitaciones como regalo para los clientes.

 

Los productores chinos también aprovecharon las preparaciones para las fiestas. En octubre, ofrecían lámparas para Navidad y otros objetos con diseño navideño. Hacemos notar que este año ha sido la primera vez que detectamos mensajes con ofertas de mercancías chinas. 

El mes pasado, las organizaciones que ofrecen servicios no relacionados con las fiestas de invierno han tratado de atraer la atención de los clientes con rebajas de Navidad y Año Nuevo.

 

Las pasiones de Siria

Los spammers han usado activamente la compleja situación política de Siria para enviar “cartas nigerianas”, situación que hemos descrito en nuestro blog. En octubre hemos seguido registrando nuevos ejemplos de mensajes fraudulentos.

Relacionadas con Siria estaban las cartas nigerianas de cierto funcionario del ejército. En uno de los envíos los estafadores se presentaban como pacificadores de Siria y, para intrigar a la víctima, le decían que tenían que comunicarles algo importante. El cálculo era que el usuario intrigado contestaría al mensaje con la esperanza de recibir información adicional. En otro envío, aún más curioso, los estafadores se presentaban como militares en servicio, participantes en una “misión pacificadora” en Siria, que tenían muchas ganas de conocer al destinatario para crear una “relación seria”. Es poco probable que la víctima piense que una simple relación puede terminar en fraude. Pero en la práctica es justo eso lo que pasa: en cuanto el estafador se gana la confianza de su “amigo por correspondencia”, ocurre alguna desgracia y sólo éste puede ayudarle enviándole dinero. O bien recurren a la clásica historia de los millones y la promesa de recompensa por guardarlos o invertirlos. El resultado es siempre el mismo: la víctima pierde cierta suma de dinero y los estafadores dejan de responder a los mensajes y desaparecen.

 

También en octubre los estafadores enviaron historias escritas en nombre de ciudadanos de Siria, que pedían ayuda para invertir sus ahorros. Los autores de los mensajes no sólo eran ciudadanos que habían abandonado el país por culpa de los desórdenes, sino también jubilados que habían hecho enormes fortunas. Los estafadores no sólo se aprovechan de la ambición humana, sino que también tratan de provocar lástima contando como sus hijos son víctimas de persecuciones. Los estafadores piden que les escriban a la dirección indicada en el mensaje para obtener mayor información.

 

Maestros en asuntos de magia

La magia, en sus diferentes manifestaciones, se ha convertido en un interesante tema de los envíos masivos. Los "especialistas” en el campo de la magia blanca y negra han ofrecido activamente sus servicios, tanto en el sector ruso de Internet como en el del idioma inglés.

El servicio más difundido de los magos profesionales es la solución de problemas amorosos mediante conjuros: los brujos garantizaban el regreso del amado y el establecimiento de una relación estable con él (o con ella). Los autores de los envíos también ofrecían conjuros para mantener o destruir matrimonios, curar la esterilidad, hacer carrera, desarrollar negocios y solucionar otros problemas similares. Como regla, estos mensajes eran anónimos y procedían de direcciones registradas en servicios de correo gratuitos. Además de la lista de servicios, contenían la dirección de correo electrónico del mago, que se diferenciaba de la dirección de los remitentes del mensaje, y un teléfono para ponerse en contacto con él.

 

Recuerdos con logotipos de compañías

Más de una vez hemos notado que los envíos de spam son uno de los métodos preferidos de publicidad de diferentes objetos con marcas y logotipos como por ejemplo almanaques, bolígrafos, tazas y demás tipos de recuerdos.

 

Últimamente gozan de gran popularidad entre los spammers las memorias USB y tarjetas de memoria con el logotipo de la compañía. Los autores de estos envíos prometen imprimir en sus productos cualquier logotipo según el deseo del cliente.

 

Este tipo de envío lo registramos constantemente en diferentes idiomas (ruso, inglés, alemán, español, sueco y otros).

Distribución geográfica de las fuentes de spam

En octubre de 2013 el spam mundial ha aumentado en un 6,6% y alcanzado el 72,5%, aunque la situación entre los países-fuente de spam difundido por todo el mundo casi no ha cambiado. China (21,3%), EE.UU. (17,2%) y Corea del Sur (13,3%) siguen ocupando los primeros puestos. Hemos registrado una leve reducción de la cantidad de spam proveniente de estos países, pero no más de un porciento cada uno. En total, desde estos tres países en octubre se envió más de la mitad del spam mundial.

 
Países- fuente de spam en el mundo

En el cuarto puesto sigue estando Taiwán (7,1%), cuyo índice aumentó en un 1,1%.

El quinto puesto le corresponde a Rusia (6,8%). En comparación con el mes anterior su índice aumentó casi en un 2%.

En un 1,5% se ha reducido la cantidad de spam enviado desde India. Su índice en octubre ha sido del 3,5% y el país se ha desplazado del quinto al octavo puesto.

El último puesto de la lista lo ocupa Japón (1,8%), que bajó una posición.

También vale la pena mencionar que la activación de los spammers en Hong-Kong (0,9%) y Brasil (0,6%) ha sido la causa de que estos países hayan ocupado las últimas posiciones de nuestra lista.

 
Países-fuente de spam en Europa

Según los resultados de octubre, el líder entre los países-fuente de spam en Europa sigue siendo Corea del Sur, pero su índice ha bajado (-3,7%) y es del 51,3%. El segundo puesto lo sigue ocupando Taiwán. Su índice es del 7,4%. El tercer puesto lo ocupa Rusia (+0,9%) con un índice del 5,1%.

En un 1,5% ha bajado el índice de spam enviado desde Vietnam (2,6%) y en un 2,7% desde India (2,1%). Como resultado estos países han perdido sus posiciones y se ubican en el séptimo y octavo lugar respectivamente.

En un 1,2% ha aumentado el índice de spam enviado desde Italia. En octubre este país ha ocupado el noveno puesto con un índice del 2%. En el TOP10 también está Hong-Kong (+2%), que ocupó el sexto lugar.

El último lugar lo ocupa Kazajistán (1,7%). Los porcentajes de los demás países no han sufrido cambios sustanciales.

 
Regiones-fuentes de spam

Entre las regiones, el líder en difusión de spam en octubre es Asia (56,4%), a pesar de la leve reducción de las actividades de los spammers en este territorio. En el segundo puesto está América del Norte (19,1%), cuyo índice bajó en un 1%. El tercer puesto lo ocupa Europa Oriental (16,1%) donde, por el contrario, observamos un crecimiento del índice de spam (3,8%) en comparación con el mes anterior. Más abajo están Europa Occidental (4,2%) y América Latina (2,1%).

Adjuntos maliciosos en el correo

En octubre el TOP 10 de los programas maliciosos propagados por correo es el siguiente:

 
TOP 10 de programas maliciosos propagados por correo electrónico

El primer puesto entre los programas maliciosos enviados por correo lo sigue detentando el bien conocido Trojan-Spy.HTML.Fraud.gen. Recordemos que se trata de una página HTML de phishing y se envía por correo electrónico bajo la apariencia de mensajes importantes de bancos, tiendas online, diferentes servicios, etc.

En el segundo puesto está Trojan-PSW.Win32.Fareit.amdp. Este programa malicioso roba contraseñas, nombres de usuarios y otros tipos de información confidencial de los equipos infectados. Trojan-PSW.Win32.Fareit.amdp no hace un seguimiento de las pulsaciones de teclas, sino que después de lanzarse analiza el registro y los ficheros del sistema que almacenan datos confidenciales.

Al tercer puesto ha vuelto Email-Worm.Win32.Bagle.gt. Este gusano de correo se envía a sí mismo a todas las direcciones de correo electrónico encontradas en el equipo infectado. Además, el gusano puede descargar de Internet otros ficheros sin que el usuario se dé cuenta. Para enviar mensajes infectados, Email-Worm.Win32.Bagle.gt usa su propia biblioteca SMTP.

Los programas maliciosos de la familia Bublik muestran cada vez más virulencia: si en septiembre estos programas ocupaban cuatro posiciones, en octubre ocupaban ya cinco posiciones:  los puestos 4, 6, 8 y 9 respectivamente. La principal función de los programas de este tipo es descargar e instalar nuevas versiones de programas maliciosos en el equipo de la víctima. Después de cumplir su tarea el programa se copia a sí mismo al directorio %temp%. Se camufla como una aplicación o documento de la compañía Adobe.

La quinta posición en octubre la ocupa Trojan-Ransom.Win32.Blocker.cmmb. Los troyanos de esta familia son el clásico ejemplo de programas maliciosos destinados al chantaje y la extorsión. Al instalarse en el equipo estos programas maliciosos se inscriben en el inicio automático y bloquean el lanzamiento del sistema operativo. Al recibir el control del lanzamiento del sistema operativo, muestran en la pantalla una ventana que exige enviar un SMS con un determinado texto a un número corto. Como respuesta, le prometen al usuario enviar el código de desbloqueo, que desactiva el programa malicioso y desbloquea el  lanzamiento del sistema operativo.

Cierra el último puesto de los programas maliciosos de correo el también bien conocido Email-Worm.Win32.Mydoom.l, que es un gusano de red con funciones de backdoor. El programa malicioso se propaga como adjunto de correo, mediante redes de intercambio de ficheros y recursos de red abiertas a la escritura. El gusano recolecta direcciones en el equipo infectado para enviar mensajes. Para enviar estos mensajes, el gusano se conecta directamente al servidor SMTP del usuario.

Peculiaridades del spam malicioso

El mes pasado detectamos un gran envío masivo en nombre de la compañía Telus Mobility, el mayor proveedor de servicios de telecomunicación en Canadá. El texto del envío venía en inglés y francés (los idiomas oficiales de Canadá) y decía: “Usted ha recibido un mensaje de TELUS. En el sitio web se puede obtener más información sobre la compañía. Si el fichero no se abre, descargue e instale el reproductor Quick Time”. Los enlaces del mensaje llevaban al sitio oficial del operador, y el enlace para descargar el reproductor llevaba, como debe ser, al sitio de Apple.

 

El mensaje tenía un archivo ZIP adjunto, donde supuestamente estaba el mensaje recibido. En realidad el archivo contenía un fichero ejecutable con doble extensión, la primera de un gráfico que servía de camuflaje. El fichero ejecutable es un programa malicioso que pertenece a una de las familias más propagadas enviadas por los delincuentes por correo electrónico, Zeus/Zbot. Kaspersky Lab detecta este programa malicioso como Trojan-Spy.Win32.Zbot.qmeb. Los programas maliciosos de esta familia los usan los delincuentes para robar información bancaria en los equipos de los usuarios. Además, usan tecnologías rootkit, lo que les permite que sus ficheros ejecutables pasen inadvertidos por el sistema (pero no por el antivirus).

Phishing

En octubre la cantidad de mensajes phishing en el flujo total de spam ha sido del 0,027%.

 
Categorías del TOP 100 de organizaciones atacadas por los phishers*

*La estadística de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. El antiphishing detecta todos los enlaces phishing que el usuario intenta seguir, ya sean enlaces en mensajes de correo spam o en Internet.

La estadística de las organizaciones atacadas por los phishers no ha sufrido grandes cambios en octubre. El primer puesto, como el mes anterior, lo siguen ocupando las redes sociales (28,2%). El segundo puesto están los servicios de correo (18,9%), cuyo índice ha aumentado en un 0,8%. EL tercer puesto lo ocupan los sistema de búsqueda (16,1%). La cantidad de ataques contra las organizaciones de esta categoría ha crecido en un 0,9%.

El índice de las organizaciones financieras y de pagos (15,4%) ha crecido en un 0,5% y según los resultados de octubre esta categoría se mantiene en el cuarto puesto. El índice de los proveedores de telefonía e Internet (8,4%) no ha sufrido cambios y sigue en el quinto puesto. El índice de las compañías TI (7%) ha bajado en un 0,9%, pero han conservado el sexto puesto en la estadística.

Conclusión

En octubre de 2013 el spam mundial ha aumentado en un 6,6% y alcanzado el 72,5%. Esto se debe al aumento de la cantidad del spam encargado. Mencionamos que el porcentaje total de spam en octubre ha alcanzado el nivel de primavera, lo que suele ocurrir en otoño, cuando se reactivan los negocios después de la calma de verano.

En octubre, los spammers usaron activamente el spam festivo dedicado a Halloween, Año Nuevo y Navidad para publicitar diferentes bienes y servicios, entre ellos algunos que no guardan relación con las fiestas mencionadas. Es tradición que los spammers envíen spam de Navidad y Año Nuevo desde octubre hasta diciembre, por lo tanto el próximo mes seguiremos registrando envíos que explotan las fiestas de fin de año.

En octubre los spammers prestaron atención a los sucesos políticos mundiales: la compleja situación en Siria se mencionaba en las "cartas nigerianas" para engañar a los destinatarios y robarles dinero.

La estadística de las organizaciones atacadas por los phishers no ha sufrido grandes cambios en octubre. Lo índices de los cuatro primeros puestos han crecido un poco. Las redes sociales siguen ocupando el primer lugar, pero su índice ha crecido en sólo un 0,04%. Después están los servicios de correo y los sistemas de búsqueda. La tendencia del crecimiento de la cantidad de ataques contra las organizaciones financieras se conservará el próximo mes.

Los delincuentes usan con cada vez más frecuencia los nombres de conocidos proveedores de servicios de telecomunicación para propagar programas maliciosos. En septiembre usaron el nombre de la compañía británica BT Group para enviar el troyano-descargador Trojan-Downloader.Win32.Dofoil, y en octubre estuvo en su mira el operador nacional de telecomunicaciones canadiense Telus Mobility. Los programas maliciosos de la familia Bublik, que ocupan cinco posiciones en el TOP 10 de programas maliciosos difundidos por correo electrónico, se propagan con cada vez mayor intensidad.

El spam en octubre de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada