Informes sobre spam y phishing

El spam y el phishing en el segundo trimestre de 2014

Spam: particularidades del trimestre

El spam y la legislación

El primero de julio en Canadá entró en vigencia la nueva ley antispam– Canada’s anti-spam legislation (CASL). Bajo la jurisdicción de la nueva ley se encuentran los mensajes comerciales, entre ellos los enviados por correo electrónico, por redes sociales, servicios de mensajería instantánea y SMS. Ahora, antes de enviar mensajes, la compañía debe recibir el consentimiento del destinatario. Las compañías canadienses han tomado en serio la nueva ley: en el segundo trimestre hemos visto una gran cantidad de mensajes enviados por compañías canadienses pidiendo dar su consentimiento para recibir mensajes. En estos mensajes, además de la solicitud de confirmar el consentimiento para recibir correspondencia en masa, también se encontraban ofertas de participar en sorteos de premios siguiendo enlaces.

Destacamos que algunas compañías aprovecharon la ley como un pretexto para recolectar las direcciones de los destinatarios. Hemos visto solicitudes de consentimiento para recibir mensajes incluso en los buzones-trampa, cuyas direcciones nunca estuvieron suscritas a ningún envío masivo. Además, muchos usuarios al recibir el mensaje con la solicitud, los marcaban como spam.

De este torrente de solicitudes es evidente que muchas de las compañías que antes se dedicaban a hacer envíos masivos no habían reflexionado sobre si los destinatarios querían o no recibir su correspondencia, sino que simplemente la enviaban a grandes listas de direcciones.

La comunidad de Internet ha reaccionado de maneras diferentes ante la ley. Por una parte, la existencia de una ley anti-spam en un país más sin duda será provechosa para la lucha contra el spam. Por otra parte, los negocios canadienses legales que usan envíos masivos ahora tienen reticencias sobre si éstos puedan percibirse como ilegales. Así, la compañía Microsoft al principio decidió dejar de enviar noticias sobre seguridad, pero a los pocos días cambió de opinión, lo que no es motivo de sorpresa: a pesar de su severidad, la ley CASL contiene muchas excepciones y los envíos masivos de Microsoft no caen bajo su jurisdicción. Entre las excepciones de la ley CASL están los envíos masivos con diferente información sobre productos o servicios que el cliente ha adquirido en la compañía, los envíos dirigidos a la recolección de donaciones, los envíos sin carácter comercial y muchos otros.

¡Otra vez las acciones de bolsa!

En el segundo trimestre de 2014 con frecuencia nos hemos topado con spam que publicitaba acciones bursátiles de pequeñas compañías. Este es un tipo bien conocido de fraude bursátil que se llama “pump and dump” (inflar y tirar). El pico de este tipo de spam tuvo lugar en 2006-2007, pero los estafadores lo siguen utilizando.

El pump and dump es un tipo de fraude en la bolsa de valores, cuando los spammers compran acciones de compañías pequeñas y las hacen subir de precio de manera artificial haciendo envíos masivos de información positiva sobre éstas, para después venderlas a mayor precio.

Es curioso que, además de los viejos trucos de fraude, también se usaron viejos trucos para evadir los filtros:

  1. Frases escogidas al azar y puestas al final de cada mensaje, con colores similares al color de fondo (en estos envíos masivos se usaban frases tomadas al azar en Wikipedia);
  2. Spam gráfico: la información principal estaba en la imagen y en cada mensaje, de forma fortuita, cambiaba el color y tamaño del texto, las fuentes tipográficas, el color del fondo y el ángulo de giro de la imagen.

El spam gráfico también fue popular en los años 2006-2007 para después casi desaparecer, ya que las compañías antispam desarrollaron analizadores gráficos y aprendieron a bloquear este tipo de mensajes. Además, debido a ser un tipo de spam que contiene muchos elementos superfluos, es poco probable que atraiga a muchos usuarios. Y creemos que esta es la razón por la cual los envíos masivos de “promociones” tienen dimensiones tan grandes: los spammers envían cientos de millones de mensajes, esperando una respuesta mínima.

El spam y el mundial de fútbol

Si en el primer trimestre de 2014 entre los acontecimientos deportivos las Olimpiadas fueron populares entre los spammers, en el segundo lo fue el Mundial de Fútbol. Nuestra compañía registró diferentes envíos masivos que usaban este tema. En nuestro blog se pueden leer artículos más detallados sobre los ataques de phishing y maliciosos que usaron el tema del mundial. Pero aparte de los mensajes peligrosos, también hubo simples propuestas de reservar habitaciones en un hotel o entradas al estadio, diferente publicidad de temas relacionados con el campeonato y mensajes que proponían hacer apuestas sobre los resultados de los partidos.

Como es común en estos casos, se usó el tema del mundial en el spam que no tenía relación directa con el mismo. Por ejemplo, los ingeniosos spammers alemanes usaron el tema para publicitar viagra:

“Después del Mundial, siga siendo un campeón en su lecho” – decía la consigna en un mensaje de publicidad.

Enviado desde un iPhone: el tema móvil en el correo

Siguiendo el tema de la integración del spam y los dispositivos móviles, merece la pena destacar que en el segundo trimestre de 2014 gozaron de popularidad los envíos masivos de spam camuflados como mensajes enviados desde dispositivos iPad e iPhone. Los mensajes eran bastante variados, desde publicidad de medicamentos hasta mensajes con adjuntos maliciosos. Todos ellos contenían la misma frase: “Enviado desde mi iPhone/iPad”.

En el primer ejemplo, al pulsar el enlace después de varias redirecciones se abría un sitio web con publicidad de medicamentos para aumentar la potencia sexual, en el segundo el adjunto contenía un programa malicioso que Kaspersky Lab detecta como Trojan-PSW.Win32.Tepfer.tmyd.

Lo más probable es que los envíos los hayan hecho diferentes grupos de spammers, ya que los encabezados técnicos de los mensajes (como Data, X-Mailer, Message-ID) eran muy diferentes. Así, en algunos mensajes los encabezados estaban puestos de una forma muy descuidada, y en otros ni siquiera estaban presentes. Y en realidad, lo único que tenían en común con los mensajes enviados de verdad desde la plataforma iOS era la frase en el cuerpo del mensaje. En otros mensajes los encabezados no sólo eran correctos, sino que imitaban los encabezados que pone el programa de corro de Apple:

X-Mailer: iPhone Mail (9B206)
Message-Id: UNQC4G8K-NTOU-2PNZ-JUVC-WHRCD5GXS1QF@*****.**

Pero si los vemos con más cuidado, los encabezados sólo aparentan ser los reales (por la cantidad de caracteres y la ubicación de los guiones.š Lo que pasa es que en los verdaderos mensajes enviados desde dispositivos móviles con iOS se usa el sistema hexadecimal para escribir el Message-ID. En el formato hexadecimal entran las cifras del 0 al 9 y las letras ABCDEF. Es decir que no debe haber nada excepto estas cifras y letras en el Message-ID. Pero en los mensajes falsificados vemos una simple ensalada de letras y cifras.

Redirecciones

Para evadir los filtros los delincuentes suelen tratar de ocultar la dirección del sitio al cual quieren remitir al usuario. Hay muchas formas de enmascarar los enlaces de spam, pero uno de los más difundidos es cuando los enlaces de los mensajes llevan a sitios hackeados, desde los cuales se remite al usuario al sitio web final. Este sitio puede ser de publicidad o contener código malicioso. Por lo general se incluyen sitios hackeados en el sistema de redirecciones simplemente porque los delincuentes informáticos pudieron irrumpir en ellos. Pero a veces los delincuentes los buscan a propósito. Así, detectamos un envío malicioso que remitía al usuario, a través de un sitio hackeado, a una publicidad de fármacos. Y los sitios hackeados eran sitios farmacéuticos (rxpharmacy*****.com). Los delincuentes usan este truco para que el enlace no despierte sospechas en el usuario.

Además, últimamente encontramos con frecuencia comunidades religiosas entre los sitios hackeados. Es muy poco probable que en estos casos se trate de hackeos selectivos e ingeniería social, sino más bien que se dedique poca atención a la seguridad de estos sitios.

Adjuntos maliciosos en el correo

TOP 10 de programas maliciosos propagados por correo en el segundo trimestre de 2014

Trojan-Spy.HTML.Fraud.gen sigue siendo el más popular de los programas maliciosos enviados por correo electrónico. Recordamos que este malware es una página HTML de phishing en la cual el usuario ingresa sus datos confidenciales. Después, toda la información ingresada cae en manos de los delincuentes informáticos. Destacamos que el porcentaje de este malware ha bajado en comparación con el trimestre anterior (-1,67%).

En el segundo puesto tenemos al programa malicioso bancario Trojan-Banker.Win32.ChePro.ilc. Este troyano tiene como blanco los datos personales de los clientes de los bancos portugueses y brasileños.

En el tercer puesto, por primera vez en largo tiempo, hay un exploit (Exploit.JS.CVE-2010-0188.f). Los exploits que llegan por correo son los más peligrosos, ya que no vienen en forma de ficheros ejecutables, sino como documentos de ofimática aparentemente inofensivos. Este exploit es un fichero PDF y usa una vulnerabilidad presente en Acrobat Reader versión 9.3 y anterior. Es importante remarcar que se sabe de esta vulnerabilidad desde hace bastante tiempo y no representa peligro para los usuarios que mantienen su software al día. Pero si la versión de Adobe es obsoleta, después de explotar la vulnerabilidad en el equipo se instala y ejecuta un fichero ejecutable que Kaspersky Lab detecta como Trojan-Dropper.Win32.Agent.lcqs. El dropper instala y ejecuta un javascript (Backdoor.JS.Agent.h) que recolecta información sobre el sistema, lo envía al servidor de los delincuentes y que recibe diferentes instrucciones del mismo. Las instrucciones y los resultados de su ejecución se transmiten de forma cifrada.

En los puestos 4, 6 y 7 tenemos troyanos de la familia Bublik. Son programas troyanos clásicos, cuyo objetivo es descargar e instalar otros programas maliciosos sin que el usuario se dé cuenta. Los troyanos son ficheros EXE camuflados como documentos Adobe mediante iconos. Con frecuencia instalan en el equipo del usuario el famoso programa malicioso ZeuS/Zbot.

En el quinto puesto está el gusano de correo Email-Worm.Win32.Bagle.gt. La principal función de todos los gusanos de correo es recolectar direcciones de correo electrónico en los equipos infectados. El gusano de correo de la familia Bagle puede recibir instrucciones remotas para instalar otros programas maliciosos.

En el noveno puesto de la estadística también hay un exploit: Exploit.Win32.CVE-2012-0158.j. Está hecho en forma de un documento Microsoft Word y explota una vulnerabilidad en el código de mscomctl.ocx en Microsoft Office. El resultado de su funcionamiento es la instalación y ejecución de programas maliciosos en el equipo del usuario.

En el décimo puesto está Trojan-Spy.Win32.Zbot.sivm. Los programas maliciosos de la familia ZeuS/Zbot pueden ejecutar diferentes acciones maliciosas (sus funciones aumentan con el tiempo), pero con más frecuencia se los usa para robar información bancaria. Zbot también puede instalar CryptoLocker, un programa malicioso que cifra los datos del usuario y pide dinero para descifrarlos.

En lo que atañe a las familias más populares (y no sólo a determinadas modificaciones), la distribución de este trimestre es un poco diferente:

TOP 10 de familias de programas maliciosos propagados por correo en el segundo trimestre de 2014

Bublik (que con frecuencia descarga Zbot), así como Zbot, ocupan los primeros lugares, dejando muy atrás a las demás familias. En su conjunto, estos programas maliciosos provocaron más de una tercera parte del total de detecciones en el correo electrónico. Esto es fácil de explicar, ya que la mayoría de los programas maliciosos se usan para robar dinero a los usuarios y Zeus/Zbot es uno de los más famosos y accesibles.

En el tercer lugar está un backdoor de la familia Androm. Estos programas permiten a los delincuentes controlar de forma inadvertida los equipos infectaos, que con frecuencia se convierten en parte de botnets.

Países-fuente de envíos maliciosos masivos

Distribución de reacciones del antivirus de correo según países, segundo trimestre de 2014

En el TOP 20 de países adónde se envía más spam malicioso han ocurrido algunos cambios en comparación con el primer trimestre. La cantidad de spam malicioso destinado a los usuarios de EE.UU. ha bajado un poco (-3,5%), y provocado que este país baje del primer lugar al tercero, quedando debajo de Inglaterra y Alemania. Entre otros cambios notables está que se ha multiplicado por 2,5 la cantidad de spam malicioso enviado en Brasil, por lo que este país ha subido del puesto 15 al 5. Esto ha ocurrido gracias al programa malicioso bancario ChePro, que en más del 80% se envió a los usuarios del Brasil.

Peculiaridades del spam malicioso

Los delincuentes con gran frecuencia camuflan el spam con adjuntos maliciosos como mensajes de organizaciones famosas, como servicios de entrega a domicilio, tiendas, redes sociales, etc. Pero por lo general todos estos envíos masivos se hacen pasar como correspondencia que llega regularmente a los usuarios (cuentas por servicios, notificaciones sobre el estado de las entregas a domicilio, etc.). En este trimestre hemos notado un envío masivo más creativo desde el punto de vista de la ingeniería social, que fue hecho supuestamente por la red de cafeterías Starbucks.

spam-report_q2-2014_9

En el mensaje se decía que uno de los amigos del destinatario, que prefiere mantenerse en el anonimato, había hecho un pedido para éste en la cafetería Starbucks. Para ver el menú y averiguar la dirección y hora exacta de la fiesta había que abrir el adjunto, un fichero ejecutable que los delincuentes informáticos ni se tomaron el trabajo de camuflar.

Estadística del spam

Porcentaje del spam

Porcentaje de spam en el tráfico postal en enero-junio de 2014

La cantidad de spam en el segundo trimestre ha sido del 68,6%, un 2,2% más que el trimestre anterior. La mayor cantidad de spam del trimestre se envió en abril. Más tarde la cantidad de mensajes no deseados en el tráfico empezó a bajar paulatinamente.

Países fuente de spam

Antes calculábamos la estadística de países-fuente de spam según los datos recibidos de las trampas para spam localizadas en diferentes países. Pero el spam que llega a las trampas es diferente del que llega a los usuarios reales. Por ejemplo, en ellas no cae el spam que tiene como blanco a las compañías especializadas. Por esta razón hemos cambiado la fuente de datos y ahora usamos KSN (Kaspersky Security Network) para obtener la estadística de spam de los mensajes que llegan a los usuarios de nuestros productos en todo el mundo. Como los datos usados para la estadística de este trimestre se han tomado de otra fuente, consideramos que no sería correcto comparar la estadística con la del periodo anterior.

Distribución de las fuentes de spam por país, segundo trimestre de 2014

EE.UU. está en el primer lugar entre los países fuente de spam, con un 13,4% de correo basura enviado a todo el mundo. Esto no es una sorpresa, porque EE.UU. es un país con una gran cantidad de usuarios de Internet. Incluso si los usuarios están bien informados sobre los peligros de Internet, algunos no logran evitar que sus equipos se infecten y pasen a formar parte de una botnet que envía spam.

El resto de la distribución de las fuentes de spam por países es bastante uniforme. En general, esto tiene una explicación: las botnets están distribuidas por el mundo, porque hay equipos infectados en todos los países.

En el segundo puesto está Rusia, desde donde se envía el 6% del spam mundial. En el tercer puesto está Vietnam (5%).

En nuestra estadística se ve claramente que en muchos países una gran cantidad del spam que el usuario recibe es “spam interno”, es decir, cuya fuente y destinatarios se encuentran en el mismo país. Así, en el segundo trimestre entre el spam enviado en Rusia, el 18% fue enviado desde Rusia, mientras que en EE.UU. la cantidad de “spam interno” constituyó el 27,2%. La misma tendencia se observa en otros grandes países desde los cuales se envía una parte importante del spam mundial. En los países pequeños el spam llega, sobre todo, de afuera.

Tamaño de los mensajes de spam

Tamaño de los mensajes spam, segundo trimestre de 2014

La distribución de los mensajes spam según su tamaño casi no ha cambiado en comparación con el primer trimestre. Siguen liderando los mensajes muy cortos, de hasta 1 Kb de tamaño, lo que es comprensible, porque es más fácil enviarlos.

Notamos cierta baja en el porcentaje de mensajes de 2 Kb a 5 Kb (-2,7%) y un aumento en el diapasón de 5-10 Kb (+4,2%). Este aumento suele ocurrir gracias al aumento de la cantidad de spam gráfico, algo que también observamos en el segundo trimestre. En primer lugar, hubo muchos envíos masivos de fraude bursátil con imágenes (sobre los cuales hemos escrito más arriba). En segundo lugar, con frecuencia se encuentra spam gráfico en ruso de las temáticas “bajar de peso” y “imitaciones de artículos de marca”.

Phishing

En el segundo trimestre de 2014 en los equipos de los usuarios de los productos de Kaspersky Lab se registraron 60 090 173 reacciones del sistema antiphishing.

Los phishers atacaron con más frecuencia a los usuarios en Brasil: el sistema antiphishing reaccionó por lo menos una vez en los equipos del 23,2% de usuarios brasileros.

Territorios de los ataques phishing, segundo trimestre de 2014

* Porcentaje de usuarios en cuyos equipos reaccionó el sistema antiphishing, del total de usuarios de los productos de Kaspersky Lab en el país.

TOP 10 de países según la cantidad de usuarios atacados:

País % de usuarios atacados
1 Brasil 23,2%
2 India 19,2%
3 Puerto Rico 18,6%
4 Japón 17,1%
5 Francia 17,0%
6 Armenia 16,8%
7 República Dominicana 16,2%
8 Rusia 16,1%
9 Australia 16,1%
10 Inglaterra 15,8%

Brasil entró en el TOP 10 sólo en 2014. La actividad de los phishers dirigida a los usuarios brasileños pudo haber estado condicionada por el mundial de fútbol que tuvo lugar en Brasil.

Organizaciones que fueron blanco de los ataques

La estadística de los blancos de los ataques de los phishers está basada en las reacciones del componente heurístico del sistema antiphishing. El componente heurístico del sistema “Antiphishing” se activa cuando el usuario sigue un enlace en una página phishing y la información sobre esta página todavía no está registrada en las bases de datos de Kaspersky Lab. Y no tiene importancia de qué manera se siga el enlace: como resultado de pulsarlo en un mensaje phishing, en los mensajes de la red social o si esš provocado por las acciones de un programa malicioso. Después de la reacción del sistema de defensa, el usuario ve en el navegador un banner que le advierte sobre la posible amenaza.

En los anteriores informes usamos una selección del TOP 100 de las organizaciones atacadas para hacer un análisis de los blancos de los ataques phishing. Este trimestre analizamos la estadística de todas las organizaciones atacadas.

Durante los ataques contra las organizaciones de la categoría “Bancos”, “Sistemas de pagos” y “Tiendas y subastas online” los delincuentes andan tras la información personal de los usuarios, que les da acceso a sus cuentas electrónicas. Partiendo de esto, hemos agrupado estas tres categorías en un solo bloque, las “Finanzas Online”.

Distribución de las organizaciones atacadas por los phishers según categorías, segundo trimestre de 2014.

Para efectos de comparación citamos los datos del primer trimestre:

Distribución de las organizaciones atacadas por los phishers*, primer trimestre de 2013

Al igual que en el primer trimestre de 2014, en el segundo la categoría “Portales globales de Internet” ocupa el renglón superior de las categorías de organizaciones atacadas por los phishers, con un índice que se redujo en sólo un 1,7%. En esta categoría hemos puesto a los portales que reúnen varios servicios, entre ellos los de búsqueda y de correo. Al robar los datos de autorización en estos portales los delincuentes obtienen acceso a todos los servicios del portal. Lo más frecuente es que los phishers falsifiquen las páginas de autorización de los servicios de correo de estos portales.

Distribución de los ataques phishing contra los portales globales de Internet*

*La estadística no es un indicador del nivel de protección de los blancos de los ataques de los phishers, sino que más bien refleja la popularidad y autoridad de los servicios entre los usuarios, lo que tiene influencia en su popularidad entre los phishers.

El 24,84% de los ataques correspondió al phishing financiero, un 1,8% más que en el primer trimestre. Ha crecido el índice que detecciones en las categorías “Bancos” (+0,93%) y “Tiendas Online” (+0,85%).

Las “Redes Sociales” siguen en el tercer puesto.

Distribución de los ataques phishing contra las redes sociales*

* La estadística no es un indicador del nivel de protección de los blancos de los ataques de los phishers, sino que más bien refleja la popularidad y autoridad de las redes sociales entre los usuarios, lo que tiene influencia en su popularidad entre los phishers.

En el primer trimestre el 79,5% del total de los intentos que los usuarios hicieron de seguir enlaces a páginas falsas de redes sociales correspondió a las que pretendían ser Facebook. En el segundo trimestre la cantidad de ataques phishing contra los usuarios de Facebook bajo de notablemente (-23,54%). Al mismo tiempo en esta distribución ha habido un aumento brusco de la cantidad de intentos que han hecho los usuarios de seguir enlaces a páginas falsificadas de las redes sociales rusas Odnoklasniki (+18,7%) y Vkontakte (+10,68%).

TOP 3 de organizaciones más atacadas

Organización % de enlaces phishing
1 Yahoo! 30,96%
2 Google Inc 8,68%
3 Facebook 8,1%

En el segundo trimestre los enlaces phishing a páginas falsificadas de los servicios de Yahoo! constituyeron el 30,96% de los ataques.

Yahoo! fue el líder de la estadística de blancos de los ataques phishing en el primer trimestre de 2014 con un índice del 31,94% después de que ocurriera un brusco aumento de la cantidad de este tipo de ataques a principios de enero.

Cantidad de detecciones diarias de páginas phishing que fingen ser páginas de Yahoo!, primer trimestre de 2014

En el segundo trimestre la estadística de detección de enlaces phishing a páginas falsas de Yahoo! no mostró picos de ataques.

Ya en enero de este año la compañía Yahoo! había anunciado que usaría el protocolo HTTPS de forma predeterminada para su servicio de correo. Esta medida de seguridad, además de proteger los datos transmitidos, puede ayudar en la lucha contra los phishers: ahora, en los casos de phishing cuando el nombre de dominio en el campo de direcciones queda sin cambios (por ejemplo, cuando se suplanta el servidor DNS), la ausencia del pictograma de comunicación protegida debe servir de advertencia al usuario. Pero recordamos que la falta de conexión protegida es sólo uno de los síntomas de que una página es phishing, y su presencia no garantiza que el sitio es auténtico.

Ejemplo clásico de página phishing camuflada como página de autorización en el servicio de correo de Yahoo!

En este trimestre en el segundo puesto de las organizaciones atacadas, desplazando a Facebook, está Google (8,68%). Si antes los phishers falsificaban sobre todo la página de entrada al correo Gmail, ahora con cada vez más frecuencia se encuentran falsificaciones de las páginas de autentificación común a todos los servicios de Google. Sin lugar a dudas, este es un blanco muy atractivo para los phishers “Una cuenta. Todo el mundo de Google!”.

Este trimestre nos hemos topado con un curioso ejemplo de la codicia de los phishers, para quienes todo el mundo de Google es poco:

En esta página phishing, idéntica a la página de autentificación de todos los servicios de Google, los phishers también previeron la posibilidad de recopilar las contraseñas de los dueños de cuentas en AOL, Hotmail y Yahoo!

El líder del año pasado, Facebook, ha bajado una posición más y ocupado el tercer puesto según la cantidad de reacciones del componente antiphishing (8,02%). Los ataques phishing contra los usuarios de las redes sociales son mucho menos que los lanzados contra los visitantes de los portales globales de Internet, pero siguen teniendo vigencia para los phishers que van tras las cuentas de los usuarios en todo el mundo.

Temas candentes en el phishing

El principal tema de la temporada para los phishers en el segundo trimestre fue el Mundial de Fútbol.

“Una oportunidad de ganar entradas para el siguiente juego del mundial”

Los estafadores explotaron el tema del fútbol hasta el final del mundial. Los envíos masivos temáticos aparecieron ya a principios de 2014 y se hicieron con envidiosa regularidad durante todo el primer semestre. Por lo general, los phishers falsificaban mensajes como notificaciones de organizaciones famosas (sobre todo de la FIFA) y proponían al usuario seguir un enlace hacia un sitio web para ganar un valioso premio. Como premio, como en el ejemplo anterior, con frecuencia se ofrecían entradas para los partidos del mundial. En el sitio web se le pedía al usuario ingresar sus datos personales, entre ellos los de su tarjeta bancaria, que era el objetivo de los estafadores.

Además, los phishers en este trimestre pusieron sus ojos en la popular red de locales de comida rápida McDonald’s:š en abril los delincuentes trataron de obtener los datos de tarjetas bancarias de los visitantes de habla portuguesa. En un mensaje falsificado se afirmaba que el destinatario podía recibir 150 euros de la red McDonald’s. Para recibirlos, tenía que seguir el enlace indicado en el mensaje y tomar parte en una encuesta. En la página phishing que se abría, se le pedía al usuario contestar a algunas preguntas, después de las cuales tenía que ingresar todos sus datos de tarjeta bancaria supuestamente para que le envíen el dinero. Estos eran justo los datos que querían los delincuentes y los incautos usuarios no sospechaban que estaban entregando su información personal a terceras personas.

Merece la pena destacar que el mensaje estaba escrito en portugués y que lo más probable es que estuviera dirigido a los habitantes de Brasil y Portugal, pero sin embargo el texto estaba en inglés. Como regla, los phishers llevan a cabo estas “encuestas” en inglés.

Conclusión

En el segundo trimestre hemos encontrado muchos envíos masivos de diferentes organizaciones canadienses que quieren recibir el consentimiento de los usuarios para enviarles mensajes antes de que entrase en vigencia la nueva ley antispam en Canadá. Ciertas compañías, para conseguir nuevos clientes, con frecuencia enviaban estas solicitudes a listas de usuarios entre los cuales no sólo había destinatarios de sus envíos. Sin embargo, la ley ha empezado a tener determinado efecto incluso antes de entrar en vigencia.

Una de las temáticas populares del spam en el segundo trimestre ha sido el spam bursátil, que usaba el fraude pump and dump. Es curioso que los propagadores de spam de esta vieja categoría hayan tratado de evadir los filtros usando viejos métodos: el spam gráfico y el “texto blanco”.

El tema móvil en el spam ha continuado en este trimestre con falsificaciones de mensajes supuestamente enviados desde la plataforma iOS. La mayoría de las falsificaciones se hicieron sin atención a los detalles y especificaciones de este sistema operativo, lo que permitió identificar estos envíos sin ningún problema.

En el primer lugar entre los programas maliciosos difundidos por correo en el segundo trimestre de 2014 sigue estando Fraud.gen, un espía que roba datos bancarios. En el segundo puesto está el troyano bancario brasilero ChePro. Entre las familias maliciosas las más populares resultaron Bublik y Zeus/Zbot. Es interesante que este trimestre en el TOP 10 por primera vez en largo tiempo hayan entrado dos exploits, uno de ellos directamente en el tercer puesto.

El tema del Mundial de Fútbol se usó activamente tanto en la publicidad de artículos comunes y corrientes, como en el spam malicioso y el phishing. La cantidad de spam malicioso enviado en Brasil en el segundo trimestre se ha multiplicado por 2,5 en comparación con el primero, sobre todo gracias al troyano bancario de la familia ChePro. Además, Brasil ha ocupado el primer puesto entre los países atacados por los phishers. Las organizaciones más populares entre los phishers han sido los portales de Internet.

Según nuestra estadística de KSN, el primer lugar de los países-fuente de spam lo ocupa EE.UU.; el segundo, Rusia y el tercero, Vietnam. Es curioso que en muchos países grandes una significativa parte del spam les llega a los usuarios desde su mismo país.

El spam y el phishing en el segundo trimestre de 2014

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada