El spam en septiembre de 2010

Septiembre en cifras

• El spam en el tráfico de correo ha disminuido un 1,5% en comparación con agosto y este mes ha alcanzado una media del 81,1%.
• El 59,8% de los ataques phishing estuvo dirigido a los usuarios del sistema de pagos PayPal. La red social Facebook está de nuevo entre los cinco objetivos más atractivos para los phishers. Sus ataques alcanzaron el 3,8%.
• El 4,33% de los mensajes contenía ficheros maliciosos, es decir, un 1,96% menos que en el mes anterior.

Estudio de los principales sucesos del mes

La caída de Viagra

Quizá el acontecimiento más significativo de septiembre haya sido el anuncio de que desde el primero de octubre se cierra el programa SpamIt, hecho que se ha reflejado en el cambio de las temáticas del correo no deseado. A finales de septiembre, uno de los principales sistemas de afiliados, SpamIt, anunció su clausura.

El programa de afiliados, también conocido como “partnerka” es un método de marketing según el cual el vendedor no solo le paga a los spammers por enviar spam, sino también por cada nuevo cliente que consigan. En algunos casos el programa de afiliados lo puede organizar el mismo vendedor, pero con más frecuencia lo organizan terceros y lo convierten en un “lugar de encuentro” entre las compañías que ofrecen la mercadería y los spammers que están dispuestos a publicitarla. En el segundo caso, el dinero por cada nuevo cliente o el porcentaje de cada compra lo recibe no sólo el afiliado que difunde la publicidad (es decir, el spammer) sino también el organizador del programa de afiliados.

En vista de que SpamIt es un programa de afiliados que se dedica (mejor dicho, dedicaba) al spam farmacéutico, es lógico suponer que su clausura se refleje en la cantidad de propaganda de Viagra que verán los usuarios.

Sin embargo, a principios de septiembre fuimos testigos del crecimiento del spam farmacéutico. Es posible que una de los motivos sea que los afiliados, habiéndose enterado antes que el público de la clausura, hicieron un intento de ganar dinero con el tráfico de publicidad farmacéutica, mientras era todavía posible. La primera disminución del porcentaje de tráfico farmacéutico tuvo lugar entre el 20 y 26 de septiembre. En esas fechas la cantidad de spam sobre fármacos bajó en una cuarta parte, del 65% al 48%. Al mismo tiempo empezó a crecer la cantidad de mensajes con códigos maliciosos. Los spammers pasaron de enviar publicidad sobre fármacos a difundir programas maliciosos.

 
Cambios en el spam de los sistemas de afiliados en septiembre de 2010

Además, también creció la cantidad de spam relacionado con otros programas de afiliados. Así, aumentó la publicidad de imitaciones de artículos de lujo y spam pornográfico, cuyo porcentaje aumentó en comparación con agosto, y la publicidad de software barato. Esto es un indicio de que los spammers que colaboraban con SpamIt buscaron y encontraron formas alternativas de ganar dinero.

A pesar de que SpamIt es un sistema de gran envergadura entre los que se dedican al spam de fármacos, su clausura no significa que los usuarios dejarán de recibir publicidad de Viagra. En primer lugar, porque en Internet sigue funcionando el sistema de afiliados Glavmed. En segundo, porque la clausura de un sistema comprometido no es garantía de que dentro de un par de meses sus creadores no abran otro.

LinkedIn y ZeuS.

¿Qué tienen en común?

Uno de los envíos masivos más grandes de septiembre se llevó a cabo a finales de mes. Se trata del ataque contra los usuarios de la red social LinkedIn. Los delincuentes enviaban mensajes con enlaces al programa ZeuS, que se encuentra en el centro de atención de muchas compañías antivirus. Los envíos se hicieron uno tras otro a finales de septiembre. En el tráfico que observamos, registramos estos mensajes el 25, 27 y 29 de septiembre. También registramos algunos mensajes el 28 y 30.

Los temas eran “LinkedIn Update”, “LinkedIn Messages” y “LinkedIn Alert”. El texto del mensaje decía que el usuario tenía dos mensajes sin leer. Al seguir el enlace, se infectaba el ordenador del usuario con una de las modificaciones de Trojan-Spy.Win32.Zbot (ZeuS). Los enlaces a supuestos “mensajes personales” llevaban a dominios secundarios en la zona .info generados de forma automática o a dominios legítimos, pero capturados por delincuentes (por lo general en la zona .com). En este último caso los enlaces terminaban en “1.html”.

 
Ejemplos de mensajes falsos enviados en nombre de LinkedIn y que contienen enlaces a sitios infectados por Zbot

Hacemos hincapié en que casi todos los dominios registrados en la zona .info y usados en este ataque, en el momento de publicar este informe están libres y se los puede comprar.

La justicia y el spam

Septiembre no ha sido muy rico en sucesos sensacionales en la lucha jurídica contra el spam, pero quisiéramos recordar la historia del conocido ZeuS.

Levantaron mucho revuelo los arrestos de varias decenas de ciudadanos de Europa del Este realizados por agentes norteamericanos e ingleses. Se acusó a los arrestados de usar un programa nocivo con fines de lucro. Y hay que reconocer que lucraron mucho: en el último año y medio robaron y convirtieron en liquidez cerca de 70 millones de dólares. La mayoría de los arrestados eran “mulas”, que colaboraban en el lavado de dinero. Los delincuentes recibían el dinero en efectivo mediante tarjetas de crédito falsificadas, cuyos datos habían obtenido con la ayuda de ZeuS.

El programa malicioso se propagaba por medio de correo electrónico. A pesar de que los integrantes de la banda arrestados no eran los creadores o propagadores del programa malicioso, sino que se encargaban sólo de sacar el dinero en efectivo, parece que toda la banda decidió “desaparecer del mapa”, por lo menos en el territorio de EEUU e Inglaterra. Esto se evidencia por la notable disminución de detecciones de Zbot (ZeuS) que realizó el antivirus de correo en el territorio de estos países el 30 de septiembre de 2010, el día en que se anunciaron los arrestos.

Trojan-Spy.Win32.Zbot en septiembre. EEUU e Inglaterra

Sobre las zonas de dominio

Más arriba, en la sección “LinkedIn y ZeuS. ¿Qué tienen en común? hemos tocado el tema del registro automático de dominios. En este contexto es imposible no hablar de la zona .ru.

Desde que China, a finales del año pasado, hizo más estrictas las reglas de alta en el registro de dominios, la cantidad de sitios de spammers en la zona .cn bajó de golpe. Pero los spammers necesitaban seguir poniendo su spam en Internet. Entonces empezó la migración masiva de los sitios dedicados a Viagra, a imitaciones de relojes Rolex y a dispositivos para aumentar el tamaño del órgano viril hacia la zona de dominio ruso, .ru. La cantidad de enlaces que los spammers dirigían a la zona .ru empezó a crecer impetuosamente ya en enero-febrero de 2010. En septiembre casi cada envío masivo de publicidad de Viagra contenía enlaces a sitios que se encontraban en la zona .ru.

 
Ejemplos de mensajes con enlaces a la zona .ru

Hacemos notar que el primero de abril Rusia hizo un intento de hacer más severo el trámite de alta de los dominios, para ser más exactos, se empezó a verificar a los propietarios de dominios registrados hasta el 1 de octubre de 2009. Los dueños de estos dominios tuvieron que presentar su tarjeta de identidad (DNI) en el centro de registro para pasar la filiación. Pero nadie exigió presentar el DNI para registrar nombres de dominio después del 1 de abril de 2010 y los spammers hasta ahora siguen registrando en grandes cantidades sus dominios “para un día” en la zona .ru y poniéndolos en los enlaces de sus mensajes.

El 16 de septiembre fue el último día de alta preferencial en la primera zona de dominio en alfabeto cirílico, .рф. El 11 de noviembre de 2010 empieza el registro de nombres de dominio en esta zona para el público en general, a precios de mercado. Se supone que las reglas de registro no preferencial de dominios en la zona .рф. serán más estrictas que en la zona .ru. Quisiéramos que esto fuese así, porque en el caso contrario corremos el riesgo de ver en la zona cirílica cientos de sitios publicitando farmacias online canadienses.

Resumen estadístico

Porcentaje de spam en el tráfico de correo

El spam en el tráfico de correo ha disminuido un 1,5% en comparación con agosto y este mes ha alcanzado una media del 81,1%. El punto más bajo del mes se registró el 15 de septiembre (83,3%). Los usuarios recibieron más spam el 12 de septiembre (91,3%).

Porcentaje de spam en septiembre de 2010

Países-fuente de spam

El TOP20 de países-fuentes de spam en septiembre es el siguiente:

 
Países-fuente de spam en septiembre de 2010

En septiembre el aporte de los diferentes países en la difusión de spam se distribuyó de una forma mucho más uniforme que en los meses anteriores. Gracias a esta circunstancia, India resultó en el primer lugar, a pesar de que el porcentaje de spam enviado desde este país ha bajado un poco. Una situación parecida es la del spam enviado desde Inglaterra. Este país ocupó el quinto lugar de nuestra estadística, a pesar de que el porcentaje de spam enviado desde este país aumentó sólo en un 0,2%.

Ha aumentado en un 3,1% el porcentaje de spam enviado desde Brasil.
Canadá y los países asiáticos China, Hong Kong y Corea del Norte han abandonado el TOP20 de spam, habiendo propagado un 1,5% de spam cada uno.

En septiembre ha crecido la cantidad de spam enviada desde Europa: el aporte de Francia ha aumentado en un 2,3%, el de Grecia en un 2%, el de Irlanda en un 1,3%, el de los Países Bajos en un 1%, el de Portugal en un 1,5%, el de Polonia en un 1,3% y el de Alemania en un 0,8%. El resultado es que Europa se ha convertido en la región más afectada por el spam, con un 42% del total mundial.

Adjuntos maliciosos en el correo

Los Estados Unidos de América son el líder entre los países donde el antivirus de correo ha detectado más amenazas. La cantidad de detecciones del antivirus de correo ha alcanzado el 12%. Más abajo están Inglaterra, Japón y España.

 
Detecciones del antivirus de correo por países en septiembre de 2010

El 4,3% de los mensajes spam contenía adjuntos maliciosos. Esto es un 2% menos que el porcentaje correspondiente de agosto. Pero de todos modos, a pesar de tan notable baja, el porcentaje de adjuntos maliciosos en el correo sigue siendo alto.

 
TOP10 de programas maliciosos enviados por correo en septiembre de 2010

En el primer lugar de la estadística está el troyano Trojan-Downloader.Win32.FraudLoad.hbf, que mostró gran actividad a finales de septiembre. Los programas de la familia FraudLoad instalan en el ordenador del usuario un antivirus falso que extorsiona a su víctima. En septiembre, este programa malicioso provocó casi el 12% de todas las reacciones de nuestro antivirus de correo.

Más abajo, en el segundo y tercer lugar, vemos a los troyanos de script Trojan-Downloader.JS.Iframe.bez y Trojan-Clicker.HTML.Iframe.abn. Ambos programas maliciosos son páginas html que contienen un escenario escrito en Javascript. Pero tienen diferentes funcionalidades: Trojan-Downloader.JS.Iframe.bez trata, a escondidas del usuario, de descargar de Internet otros programas maliciosos y publicitarios, o sus actualizaciones, para después ejecutarlos. La tarea de Trojan-Clicker.HTML.Iframe.abn consiste en, sin que el usuario se dé cuenta, abrir una página web en el navegador para hacer crecer la estadística de visitas del sitio. A pesar de que las funcionalidades de Trojan-Clicker.HTML.Iframe no parecen tan peligrosas para el sistema, el troyano gasta tráfico y permite a los delincuentes lucrar con el uso indebido de los ordenadores de los usuarios. Pero además, el sitio abierto por el troyano puede estar infectado por otro programa malicioso más peligroso.

En el cuarto renglón de la estadística se encuentra el visitante asiduo, Trojan-Spy.HTML.Fraud.gen, un troyano que usa una tecnología de spoofing y viene en forma de página html. El usuario que recibe este programa malicioso en un mensaje de correo de hecho visualiza un mensaje phishing con un enlace a un sitio falsificado de un prestigioso banco o sistema de pagos, dónde se le pide que ingrese un nombre de usuario y una contraseña.

Los programas de la familia Oficla ocupan una parte considerable de la segunda parte de nuestra estadística. Estos programas descargan de Internet otros programas maliciosos o publicitarios, o sus actualizaciones, y los ejecutan en el ordenador del usuario.

Phishing

 
Las 10 organizaciones que los phisher atacaron con más frecuencia en septiembre

En septiembre, PayPal se destaca porque de nuevo está muy por delante de sus competidores. La cantidad de ataques a este sistema de pagos ha crecido en un 3% más en comparación con agosto.

Las cuatro organizaciones líderes no han cambiado desde agosto. Existe una notable tendencia que consiste en la disminución de los ataques contra el banco HSBC y en el aumento de los ataques contra el popular juego online World of Warcraft. Estos dos blancos de los phishers comparten en este momento sólo el 0,6%. Sin embargo todavía es temprano para hablar de la transición de WoW al tercer renglón de la estadística. En relación con esto, hay que prestar atención al hecho de que en septiembre de nuevo ha aumentado (en más del doble) la cantidad de ataques a Facebook, que en agosto había caído debajo del quinto puesto. De esta manera, nos parece que el escenario más probable es que la popular red social Facebook desplace a HSBC del tercer lugar de la estadística.

Conclusión

Se espera que el resultado de la clausura de la organización SpamIt sea la disminución en octubre de la cantidad de spam con publicidad de Viagra. Sin embargo, no hay que esperar una reducción significativa de la cantidad de mensajes que contienen adjuntos maliciosos, ya que para los que participan en los programas de afiliados éste es uno de los sectores más lucrativos, después de Viagra. En vista de que el mayor socio de los spammers en la propagación del spam farmacéutico se cierra, y de que hará falta tiempo para crear una nueva plataforma, muchos delincuentes dejarán de enviar la “inocente” publicidad médica y se dedicarán al envío de programas maliciosos, actividad más lucrativa para ellos y más peligrosa para los usuarios.