Informes sobre spam y phishing

El spam y phishing en el primer trimestre de 2015

Spam: peculiaridades del trimestre

Nuevas zonas de nombres de dominio

En enero de 2014 empezó el programa New gTLD de registro de nuevos dominios de nivel superior, destinados a determinadas comunidades y tipos de organización. La principal ventaja de este programa es que las organizaciones tienen la posibilidad de escoger zonas de dominio que correspondan a su esfera de actividades y la temática de sus sitios web. Las nuevas posibilidades que el programa New gTLD ofrece a los negocios tuvieron gran aceptación entre la comunidad de Internet y hasta ahora continúa la activa inscripción de nuevos nombres de dominio.

Los spammers y los ciberdelincuentes no podían dejar pasar esta oportunidad, que se convirtió en un excelente instrumento para llevar a cabo campañas ilegítimas. Como resultado, en las nuevas zonas de dominio empezó de inmediato la difusión masiva de spam publicitario, mensajes de maliciosos y de phishing. Los delincuentes informáticos registraron a propósito nombres de dominios para realizar envíos masivos de spam, hackearon sitios ya existentes para reemplazarlos por páginas de spam, o usaron ambos tipos de sitios web para hacer redirecciones a sitios de spam.

Según nuestras observaciones, en el tráfico postal del trimestre pasado hubo un aumento abrupto del número de nuevos dominios desde los cuales se enviaba spam de diversos contenidos. En general, la temática del spam no tenía una dependencia directa con los nombres de dominio, pero en algunos casos, entre ellos se podía observar cierta relación lógica. Por ejemplo, en los mensajes provenientes de los dominios .work notamos una gran cantidad de ofertas de trabajo, como de reparaciones a domicilio, construcción o instalación de aparatos. Y una gran parte de los mensajes enviados desde los dominios .science eran publicidad de instituciones de enseñanza con posibilidad de aprendizaje a distancia, colegios de preparación de enfermeras, abogados de derecho penal y otros especialistas.

En el tráfico de spam del primer trimestre también había muchos mensajes enviados desde dominios con nombres de colores: .pink, .red, .black que se usaban sobre todo en la publicidad de sitios asiáticos de búsqueda de pareja. Pero como regla los mismos dominios de nivel superior que se usaban en los envíos masivos de los servicios de búsqueda de pareja estaban vacíos y no contenían ningún contenido que guardara relación lógica con esta temática. Se los usaba sólo para hacer redirecciones a los sitios principales. También merece la pena destacar que los dominios de primer nivel de los sitios principales eran de muy reciente creación y cambiaban constantemente, a diferencia de su contenido, que parecía cortado con la misma tijera, algo que es típico del spam.

En estos mensajes los dominios de segundo nivel e inferiores por lo general se generan de forma automática y lucen como una combinación aleatoria de caracteres alfanuméricos. Y como zonas de dominio no solo se usan las creadas bajo los auspicios del programa New Gtld, sino también las conocidas por todos .com, .org, .info, etc.

Nuevos nombres de dominio, viejos temas

En lo que atañe al spam en los nuevos nombres de dominio y el spam del trimestre en general, uno de los temas de más envergadura por la cantidad de mensajes y los cambiantes nombres de dominios fue el de los seguros. A este pertenecen todos los tipos de seguros: de vida, salud, patrimonio, automóviles, animales, y seguros de sepelio. El spam con ofertas de seguros no sólo se diferencia por usar dominios de primer nivel recién creados, sino también dominios hackeados o expirados. Y, a pesar de la existencia de nuevos dominios, los spammers seguían usando sus viejos trucos, por ejemplo, poner en el campo “Remitente” los dominios de organizaciones de renombre, por ejemplo, @amazon.com y @ebay.com.

Los mensajes que detectamos tenían, como regla, casi el mismo diseño:

  • muy poco texto (lo principal es el encabezado característico del mensaje, que consiste en unas cuantas palabras y que se repite tal cual en el cuerpo del mensaje),š
  • uno o varios enlaces que descargan por partes o de una sola vez una colorida imagen que contiene los datos publicitarios (un texto publicitario más largo y los datos de contacto: dirección del sitio, el teléfono y nombre de la compañía),
  • otro enlace largo que lleva a un sitio web de contenido correspondiente,
  • un texto adicional para introducir “ruidos” al mensaje.

Este último consiste en frases sin sentido o palabras sueltas en idiomas que no son precisamente el del envío masivo y, como regla, son invisibles para el lector del mensaje, ya que son de color blanco o pálido sobre un fondo blanco estándar. Este truco no sólo lo encontramos en los envíos referentes a seguros, sino también en muchos otros.

Código fuente de la página, que contiene un conjunto de palabras al azar, agregadas para hacer más complicado el mensaje

Trucos de los spammers

El introducir grandes cantidades de texto de color blanco sobre un fondo blanco se usa para intentar evadir el filtro antispam. Este truco hace creer al filtro que está ante un mensaje de texto que no es spam.

Otra manera de introducir “ruidos” en el texto de los mensajes usado activamente por los spammers el trimestre pasado es deformar a propósito las direcciones de los sitios de los spammers, poner espacios en medio del nombre o agregarles caracteres adicionales.š Al mismo tiempo, en alguna parte del texto aparecen sin falta los nombres de dominio de segundo nivel donde está ubicado el sitio web de los spammers e instrucciones para “usarlo” junto con el nombre de dominio:š por ejemplo, “borre todos los caracteres que sobran y copie la dirección al campo de direcciones" o "introduzca en el campo de direcciones sin espacios”. En esencia, al destinatario del mensaje se le propone elaborar e introducir por su propia cuenta la dirección del sitio web de spam.

Macros en el spam malicioso

El spam se está haciendo cada vez más peligroso para los usuarios de Internet. Los delincuentes informáticos no sólo inventan nuevos trucos, sino que con cada vez mayor frecuencia recurren a los viejos trucos que los usuarios ya han olvidado. Así, en el primer trimestre de 2015 los delincuentes propagaron mediante spam macrovirus, programas escritos en idiomas de macros incluidos en los sistemas de procesamiento de datos (redactores de texto y gráficos, tablas electrónicas, etc.).

Todos los mensajes maliciosos contenían adjuntos con extensiones .doc o .xls, que al abrirse lanzaban un script VBA. Este script descargaba e instalaba en el sistema otros programas maliciosos, por ejemplo, el troyano bancario Cridex. Los macrovirus que detectamos pertenecían a la familia de los troyanos descargadores: Trojan-Downloader.MSExcel.Agent, Trojan-Downloader.MSWord.Agent, Trojan-Downloader.VBS.Agent.

Los adjuntos maliciosos se camuflaban sobre todo como diferentes documentos financieros: notificaciones de multas, giros monetarios, facturas sin pagar, pagos, pedidos, reclamaciones, pasajes electrónicos, etc.

Entre estas notificaciones fraudulentas con frecuencia encontrábamos mensajes falsificados enviados en nombre de servicios gubernamentales, tiendas, servicios de reserva, compañías aéreas y otras organizaciones conocidas.

Un interesante ejemplo de notificación fraudulenta es la confirmación falsa de un pago enviado en nombre de un empleado de una compañía conocida proveedora de enfriadores de agua en Inglaterra. El diseño de la falsificación es casi idéntico a los mensajes oficiales, con todos los datos de contacto, logotipos y enlaces legítimos.

A inicios del año descubrimos un envío masivo de mensajes que contenían adjuntos maliciosos en el formato Microsoft Word o Excel. En vez de la información adicional prometida, en el mensaje había un troyano descargador (Trojan-Downloader.MSExcel.Agent o Trojan-Downloader.MSWord.Agent), que descargaba y ejecutaba otros programas maliciosos. Los mensajes del envío masivo estaban diseñados con un mismo patrón, y lo único que cambiaba era la dirección del remitente y la suma de dinero indicada en el tema y el cuerpo del mensaje.

El contenido del documento con el macrovirus puede lucir como un conjunto de caracteres elegidos al azar similar a una visualización incorrecta de codificación. Los delincuentes usan este truco para –con el pretexto de corregir la codificación- convencer a la víctima potencial a que active los macros, ya que en 2007 la compañía Microsoft desactivó la ejecución automática de macros en los ficheros.

Además de los envíos masivos donde el script malicioso estaba incluido como macros, hemos detectado mensajes donde el script estaba incluido como objeto incrustado. Los autores de uno de estos mensajes le comunicaban al destinatario que tenía que pagar su deuda al término de una semana, porque de lo contrario se le iniciaría un proceso penal que le acarrearía gastos adicionales.

El fichero adjunto también estaba en formato Microsoft Word, pero el script VSB (que los productos de Kaspersky detectan con el veredicto Trojan-Downloader.VBS.Agent.all) estaba insertado como objeto. Para engañar al usuario, el script insertado se visualizaba como un fichero Excel: los delincuentes usaron el icono de este programa y agregaron “.xls” en el nombre del fichero.

Cabe destacar que el primer macrovirus, “Concept”, se detectó en agosto de 1995 en los documentos de MS Word y con bastante rapidez infectó decenas de miles de equipos en todo el mundo. A pesar de contar con una historia de veinte años, este tipo de malware todavía es popular, en mucho gracias a que el idioma VBA, desarrollado especialmente para crear macros, es uno de los más simples y accesibles, pero al mismo tiempo uno de los idiomas de programación más funcionales.

La mayoría de los macrovirus no sólo se activan al abrir o cerrar un fichero infectado, sino también cuando el usuario trabaja con el redactor (de texto o tablas). El peligro de los macrovirus consiste también en que no sólo se contagia el fichero abierto al principio, sino también los demás ficheros a los que se hace solicitudes directas.

La propagación activa de macrovirus en el correo electrónico se debe no sólo a que es fácil crearlos, sino también a que los usuarios trabajan constantemente con redactores de texto y tablas, pero no siempre están conscientes del peligro potencial de los macrovirus.

Adjuntos maliciosos en el correo

TOP 10 de programas maliciosos propagados por correo en el primer trimestre de 2015

El programa malicioso descargardor Trojan-Banker.Win32.ChePro.ink, que el año pasado ocupaba sólo el sexto lugar, fue el más popular entre los propagados por correo en el primer trimestre de 2015. Es un descargador implementado en forma de un applet CPL (componente del panel de administración) y que se encarga de descargar troyanos destinados al robo de información financiera confidencial. En su gran mayoría, los programas maliciosos de este tipo tienen como blanco a los bancos brasileños y portugueses.

En el segundo puesto se ubica Trojan-Spy.HTML.Fraud.gen. Recordamos que es una página HTML falsificada que se envía por correo electrónico camuflada como una notificación importante de los grandes bancos comerciales, tiendas online, compañías desarrolladoras de software, y otras organizaciones.

En el cuarto y séptimo puesto tenemos a los programa maliciosos Trojan-Downloader.HTML.Agent.aax y Trojan.HTML.Redirector.ci respectivamente. Se trata de páginas HTML que contienen un código que remite al usuario al sitio web del delincuente. Allí le espera a la víctima una página de phishing o una propuesta de descargar un programa que se está difundiendo últimamente, Binbo, que es un servicio de comercio automático de opciones. Estos programas maliciosos se propagan mediante adjuntos de correo y sólo se diferencian por el enlace que hace la redirección cuando se lo pulsa.

El sexto puesto lo ocupa Trojan.Win32.VBKrypt.sbds. Es uno de los troyanos descargadores más comunes que descargan y ejecutan un fichero malicioso en el equipo del usuario.

El octavo y décimo puesto lo ocupan los descargadores de la familia Upatre, Trojan-Downloader.Win32.Upatre.fcq y Trojan-Downloader.Win32.Upatre.fca respectivamente. Su principal tarea es descargar, descomprimir y ejecutar aplicaciones adicionales. El malware se suele camuflar como documentos PDF o RTF.

Y ya que lo mencionamos, si no nos referimos a programas en concreto, sino a las características familiares de los programas maliciosos, entonces esta vez fue Upatre el que ocupó el primer puesto en el primer trimestre de 2015.š En la mayoría de los casos, los representantes de la familia Upatre descargan el troyano bancario Dyre (también conocido como Dyreza o Dyzap), gracias a lo cual esta familia también ocupó el primer puesto en nuestra estadística de amenazas bancarias actuales.

La familia Andromeda, que según los resultados del año fue líder de esta lista, bajó al segundo puesto. Recordamos que los programas de la familia Andromeda permiten a los delincuentes controlar de forma inadvertida los equipos infectados, que con frecuencia se convierten en parte de botnets.

El tercer puesto lo ocupa la familia MSWord.Agent. Estos programas maliciosos son ficheros *.doc que contienen adjunto un macro escrito en Visual Basic for Applications (VBA) que se ejecuta al abrirse el documento. El macro descarga y ejecuta otros programas maliciosos, por ejemplo, uno de los representantes de la familia Andromeda.

Los troyanos de la familia ZeuS/Zbot, unos de los programas más conocidos y accesibles para robar información bancaria, y por lo tanto, el dinero de los usuarios, ocuparon sólo el séptimo puesto según los resultados del primer trimestre.

Países fuente de adjuntos maliciosos

Distribución de reacciones del antivirus de correo según países, primer trimestre de 2015

En el trío de países desde los que se envía mayor cantidad de spam han ocurrido serios cambios.š En el segundo puesto, habiendo desplazado a Alemania, ahora tenemos a Brasil (7,44% contra 3,55% según los resultados del año pasado). En el primer lugar está Inglaterra (7,85%), EE.UU. ocupa el tercer puesto (7,18%), y Alemania, país que durante mucho tiempo estuvo entre los líderes, se replegó al cuarto puesto (6,05%).

También merece la pena destacar a Australia, que subió al sexto puesto (4,12%).

Rusia, por una parte bajó dos posiciones (del octavo al décimo puesto), pero por otra, el porcentaje de programas maliciosos enviados desde el territorio de este país creció en el primer trimestre (del 3,24% a finales del año pasado al 3,36% en el primer trimestre).

Estadísticas

Porcentaje de spam en el tráfico postal

Cantidad de spam en el tráfico de correo, octubre de 2015 a marzo de 2015

Según los resultados del primer trimestre, la cantidad de spam en el tráfico de correo fue del 59,2%, es decir, 6 puntos porcentuales menos que en el trimestre anterior. La cantidad de spam ha venido bajando paulatinamente durante el trimestre: la mayor cantidad de spam se envió en enero (61,68%); la menor, en marzo (56,17%).

Países fuente de spam

Países fuente de spam en el mundo, primer trimestre de 2015

En el primer lugar de los países fuente de spam, según los resultados del primer trimestre de 2015, está EE.UU., que envió el 14,5% de los mensajes no solicitados. El segundo puesto lo sigue manteniendo Rusia (7,27%), el tercer puesto lo ocupó Ucrania (5,56%).

Le siguen Vietnam (4,82%), China (4,51%) y Alemania (4,39%). El décimo lugar lo ocupa India, desde donde en el primer trimestre se envió el 2,83% del spam mundial.

Tamaño de los mensajes de spam

Tamaños de los mensajes spam, cuarto trimestre de 2014 y primer trimestre de 2015

La distribución de los mensajes spam por tamaños se mantiene estable. El primer puesto, muy por delante de los demás, lo ocupan los mensajes muy pequeños, de hasta 2KB de tamaño (73,99%), que son cómodos para hacer envíos masivos. En el primer trimestre, la cantidad de estos mensajes se redujo en 3,28 puntos porcentuales

De una forma sustancial, en 5,4 puntos porcentuales, ha crecido la cantidad de mensajes de 2 a 5 KB de tamaño (16,00%), mientras que la cantidad de mensajes de 5 a 10 KB ha bajado en 2,28 puntos porcentuales, hasta el 2,20%. La cantidad de mensajes de mayor tamaño (más de 10 KB) casi no ha cambiado en comparación con el trimestre anterior.

Phishing

En el primer trimestre de 2015 en los equipos de los usuarios de los productos de Kaspersky Lab se han registrado 50 077 057 reacciones del sistema Antiphishing. Un millón más que en el trimestre anterior.

Hace ya varios trimestres que la mayor cantidad de usuarios atacados por phishers se encuentra en Brasil. En el primer trimestre de 2015 el índice de este país bajó en 2,74 puntos porcentuales y constituyó el 18,28%.

Territorios de los ataques phishing*, tercer trimestre de 2015

* Porcentaje de usuarios en cuyos equipos reaccionó el sistema Antiphishing, del total de usuarios de productos de Kaspersky Lab en el país.

TOP 10 de países según la cantidad de usuarios atacados:

  País % de usuarios
1 Brasil 18,28
2 India 17,73
3 China 14,92
4 Kazajistán 11,68
5 Rusia 11,62
6 Emiratos Árabes Unidos 11,61
7 Australia 11,18
8 Francia 10,93
9 Canadá 10,66
10 Malasia 10,40

En India se observa un aumento de la cantidad de usuarios atacados (+1,8 puntos porcentuales). En Rusia (-0,57 puntos porcentuales), Australia (-2,22 puntos porcentuales) y Francia (-2,78 puntos porcentuales)š hemos observado cierto descenso.

Organizaciones blanco de los ataques

La estadística de los blancos de los ataques de los phishers está basada en las reacciones del componente heurístico del sistema Antiphishing. El componente heurístico del sistema “Antiphishing reacciona cuando el usuario sigue un enlace a una página phishing y la información sobre esta página todavía no está presente en las bases de datos de Kaspersky Lab. Carece de importancia de qué forma se haga el paso: sea como resultado de pulsar un enlace en un mensaje phishing, en un mensaje de una red social o, por ejemplo, debido a las acciones de un programa malicioso. Como resultado de la reacción, el usuario ve en su navegador un banner que le advierte sobre la posible amenaza.

La categoría “Portales globales”, a pesar de que su participación en la estadística de organizaciones atacadas por los phishers tuvo una baja notable el tercer trimestre del año pasado, en 2015 sigue ocupando el primer puesto con un 25,66%. El índice de esta categoría sólo ha aumentado en 0,40 puntos porcentuales en comparación con el cuarto trimestre de 2014.

Distribución de las organizaciones atacadas por los phishers* por categorías, primer trimestre de 2015

El primer trimestre de 2015 el índice de la categoría “Tiendas online” (9,68%) ha aumentado en 2,78 puntos porcentuales. El índice de los "Juegos online” (3,40%) ha aumentado en 0,54 puntos porcentuales, pero ha dejado su puesto a los “Programas de mensajería instantánea" (3,92%), cuyo índice ha subido en 1,69 puntos porcentuales.

Este trimestre hemos incluido en nuestra lista la categoría “Compañías logísticas”. A pesar de que por el momento el índice de esta categoría constituye sólo el 0,23%, últimamente muestra un crecimiento del +0,04 puntos porcentuales, y la compañía DHL, que pertenece a esta categoría, entra en el TOP 100 de las organizaciones atacadas por los phishers.

Distribución de ataques phishing contra las compañías logísticas, primer trimestre de 2015

En una serie de mensajes que detectamos, los estafadores proponen comprar mercadería mediante una de las compañías conocidas de logística. Si el cliente asiente, exigen enviar un pago adelantado por el servicio de envío y presentan facturas falsas con el logotipo de la compañía de logística. Al recibir el dinero, los delincuentes desaparecen.

Como si esto fuera poco, los mensajes phishing enviados en nombre de las organizaciones logísticas suelen contener adjuntos maliciosos. Por lo general, el mensaje contiene una notificación de entrega de la carga y para concluir el proceso de entrega le recomiendan al destinatario abrir el adjunto que en realidad es un programa malicioso, o bien visitar un sitio web para ingresar sus datos. Este último método se usa para recopilar direcciones activas y otros tipos de información personal del usuario.

Ejemplo de mensaje phishing enviado en nombre de la compañía FedEx

Ejemplo de página phishing que simula ser la entrada al gabinete personal de DHL

Ejemplo de página phishing que simula ser la entrada al gabinete personal de UPS

Ejemplo de página phishing que simula ser la entrada al gabinete personal de FedEx

Las 3 organizaciones más atacadas

En comparación con el último trimestre de 2014, el TOP 3 de las organizaciones atacadas por los phishers no ha sufrido cambios.

  Organización % de enlaces phishing
1 Facebook 10,97
2 Google 8,11
3 Yahoo! 5,21

En la lista siguen estando Facebook (+0,63 puntos porcentuales), Google (+1,51 puntos porcentuales) y Yahoo! (5,21%). La cantidad de ataques lanzados contra esta última sigue descendiendo de a poco (-1,37 puntos porcentuales).

Conclusión

La cantidad de spam en el tráfico de correo, según los resultados del primer trimestre de 2015, fue del 59,2%, es decir 6 puntos porcentuales menos que el trimestre anterior.š Con todo, la cantidad de spam disminuyó paulatinamente durante todo el trimestre.

En el primer trimestre de 2015 en el tráfico de spam se registró una gran cantidad de envíos masivos con adjuntos Word y Excel que contenían macrovirus. Los delincuentes trataban de persuadir al destinatario de que abriera el fichero nocivo, afirmando que en el adjunto había diferentes documentos, entre ellos financieros. Los mensajes falsos en sí con frecuencia se hacían pasar como notificaciones enviadas en nombre de organizaciones o servicios conocidos.

En el primer trimestre se hicieron particularmente patentes los resultados del programa de registro de nuevos nombres de dominio de nivel superior, New_gTLD, iniciado en 2014. Cada día se inscriben nuevos dominios en el registro, pero no siempre se hace con objetivos legítimos. Nosotros pronosticamos que habrá un crecimiento posterior del número de nuevos dominios de nivel superior usados para hacer envíos masivos. También es posible que aumente la cantidad de envíos masivos desde los nuevos dominios, que tendrán una vinculación lógica de los bienes y servicios publicitados con los nombres de estos, pero que no se convertirán en una tendencia.

Los tres países líderes fuente del spam difundido por todo el mundo son: EE.UU. (14,5%), Rusia (7,27%) y China (5,56%).

La estadística de programas maliciosos propagados por correo, según los resultados del primer trimestre, está encabezada por Trojan-Banker.Win32.ChePro.ink. Entre las familias de programas maliciosos, el líder fue la familia de descargadores Upatre, usados para descargar el troyano bancario Dyre/Dyreza.š Los usuarios de Inglaterra fueron los que sufrieron ataques maliciosos con más frecuencia, a ellos les corresponde el 7,85% de las detecciones del antivirus de correo.

En el primer trimestre de 2015 en los equipos de los usuarios de los productos de Kaspersky Lab se han registrado 50 077 057 reacciones del sistema Antiphishing. Y el mayor porcentaje de usuarios atacados por los phishers se observó en Brasil.

El spam y phishing en el primer trimestre de 2015

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada