Informes sobre spam y phishing

Informe sobre spam: Septiembre de 2011

Septiembre en cifras

  • El volumen de spam en el tráfico de correo disminuyó en un 1,5% en comparación al de agosto, alcanzando un promedio del 78,5%.
  • Los mensajes phishing totalizaron el 0,03% del tráfico de correo, al igual que en agosto.
  • Se detectaron archivos maliciosos en un 4,5% de todos los mensajes, un 1,4% menos que en agosto.

El spam en la mira

El spam y la nueva crisis financiera

En septiembre aparecieron más comentarios de expertos sobre una inminente crisis financiera. A principios del 2010, a medida que los anteriores problemas financieros comenzaban a apaciguarse, escribimos sobre cómo al ciclo económico se reflejaba en el spam. Los contenidos de los mensajes spam y el comportamiento de la industria spam en general aún contenían resabios del clima financiero. La recesión de este año no tardó mucho en hacerse sentir, pues los spammers ya estaban reaccionando ante la situación económicamente inestable.

Mensajes de correo sobre la crisis

En septiembre, varios mensajes spam intentaron aprovecharse de la preocupación reinante sobre la economía. Por supuesto, al igual que sucede con cualquier noticia candente, muchos se aprovecharon de la recesión para escribir titulares atractivos aunque no tuvieran nada que ver con finanzas.

Pero otros mensajes en el mismo mes explotaron la incertidumbre económica en su contenido: ofrecían dudosos esquemas de enriquecimiento, promovían servicios legales o de consultoría y usaron obvias tácticas de “cartas nigerianas”.

Estos cambios de tema en los mensajes spam no sorprendieron: en la crisis de 2008-2009, la inestabilidad financiera fue muy usada en el spam fraudulento.

Es natural que la inestabilidad financiera influyera en los spammers: en estas épocas difíciles el dinero fácil es siempre tentador, así como los servicios legales. En septiembre, el spam relacionado con la recesión estuvo dominado por las cartas nigerianas que ofrecían préstamos “anti-crisis”.

El spam fraudulento: nuevas armas en el arsenal

En nuestro informe sobre spam de agosto, escribimos sobre algunos nuevos e interesantes trucos que los spammers usan para intentar engañar a los usuarios. En septiembre aparecieron unas cuantas nuevas técnicas de ingeniería social. Hemos descrito un par de ellas en nuestros blogs a principios de mes.

El primer blog describe un nuevo y muy sofisticado tipo de phishing. El usuario recibe un mensaje, aparentemente de parte de McDonald’s. El mensaje afirma que el destinatario acaba de ganar la oportunidad de participar en una encuesta y que recibirá 80 USD por ello. El usuario sigue el vínculo y termina en una página con un formulario de encuesta de satisfacción del cliente, y lo completa. Después de enviar la encuesta, se le presenta otro formulario en el que se le pide todos los datos de su tarjeta de crédito para proceder al prometido pago de los 80 USD. Por supuesto, es muy posible que la información se use para vaciar la cuenta del usuario, en vez de hacerle el prometido pago.

El segundo blog describe un truco usado para despertar la curiosidad del usuario, tentándole a abrir un adjunto comprimido. El texto parece un corto mensaje oficial, pero mal codificado.

Este tipo de táctica podría llevar a algunos a pensar que los timadores prefieren jugar con la curiosidad de la gente en vez de recurrir a amenazas, pero las técnicas a descritas continuación prueban que los mensajes amenazadores siguen vigentes.

Por ejemplo, la siguiente carta nigeriana contiene una amenaza directa contra la vida del usuario.

El mensaje afirma provenir de un asesino contratado para asesinar al destinatario. Pero por 8.000 USD, el asesino está dispuesto a salvar la vida de su víctima, e incluso a traicionar a quien lo contrató.

Es difícil imaginar que mucha gente se deje impresionar con esto: el mensaje del asesino compasivo está lleno de baches (personalmente me gusta la parte de no salir de casa después de las 8 de la noche). Además, el asesino, que tiene un detallado conocimiento de la vida y movimientos de su víctima, parece que no puede dirigirse al lector por su nombre en el texto del mensaje, lo que simplemente confirma que el mensaje es fraudulento.

Un truco más efectivo de ingeniería social consiste en un mensaje de correo amenazando con medidas legales contra el usuario por distribuir spam con malware.

spamreport_sept2011_pic04

Se invita al destinatario a abrir un adjunto comprimido y verificar la evidencia de que desde su dirección se está distribuyendo spam. El archivo ejecutable en el archivo comprimido estaba dañado, por lo que no se puede identificar el código malicioso específico que se estaba propagando.

Reiteramos que esta táctica puede ser muy efectiva. El destinatario de este tipo de mensaje no debe dejarse llevar por el pánico. Es inusual que estos mensajes incluyan los datos personales del usuario, o cualquier otra información sobre el supuesto demandante. Estas son las señales que delatan que el mensaje fraudulento, destinado a instalar archivos ejecutables maliciosos en el ordenador del usuario.

Microsoft continúa su campaña anti-redes zombi

A fines de septiembre, Microsoft anunció la clausura de otra red zombi. Los expertos de Kaspersky Lab brindaron todo el apoyo técnico para la clausura de la red zombi Hlux/Kelihos. Esta victoria no destruyó una enormered (la red zombi sólo comprendía 40.000 máquinas) pero la clausura fue a todas luces única. Por primera vez en la campaña anti-redes zombi de Microsoft, la corporación pudo identificar a los propietarios de la red. El blog oficial de Microsoft ofrece más detalles al respecto.

Puesto que no era una red muy grande, podemos añadir que esta clausura no afectó significativamente el tráfico spam.

Resumen estadístico

Fuentes de spam


Fuentes de spam en septiembre de 2011

Hubo pocos cambios en la lista de las Top-5 principales fuentes de spam en septiembre, aunque algunos países intercambiaron posiciones. India ocupó la primera posición con el 14,4% de todo el spam distribuido, seguido de Brasil (10,1%), Indonesia (9%), Corea del Sur (7,3%) y Perú (4,9%).

El volumen total de spam proveniente de estos cinco países asiáticos y sudamericanos representa un poco más del 45% del tráfico de spam a nivel mundial. Más del 60% del spam sigue proviniendo de los Top-10 países de la clasificación, localizados especialmente en Asia, Europa oriental y Sudamérica. El único país de Europa occidental que figura entre los Top-10 de septiembre, es Italia, con el 2,7% del total de spam propagado.

Indonesia tuvo un gran descenso en su cuota de spam, cayendo en un 3%, el mayor cambio del mes. Los cambios en otros países no sobrepasaron el 1,5%.

Anteriormente habíamos agrupado a ciertos países, y continuando con ese monitoreo, observamos que:

  1. El spam proveniente del grupo Indonesia-Ucrania-Tailandia-Perú parece estar estrechamente vinculado. Sólo Tailandia parece no sincronizar con los otros miembros: El volumen de spam distribuido desde este país en agosto y septiembre fue tan mínimo que los picos locales no fueron tan notorios como en los otros países.


    Porcentaje de spam proveniente de Indonesia, Ucrania, Tailandia y Perú – del 22 de agosto al 2 de octubre

  2. El spam proveniente del par India-Brasil también está estrechamente vinculado, aunque los indicadores para estos países siguen estando muy afectados por factores locales.


    Porcentaje de spam proveniente de India y Brasil – del 22 de agosto al 2 de octubre

  3. Las cifras del grupo Vietnam-Rusia muestran una interesante relación: el spam proveniente de estos dos países se envía en anti-fase. Aún no queda claro el porqué.


    Porcentaje de spam proveniente de Rusia y Vietnam – del 22 de agosto al 2 de octubre

Adjuntos maliciosos en el tráfico de correo

Se detectaron archivos maliciosos en un 4,5% de todos los mensajes, un 1,4% menos que en agosto.

No hubo significativos cambios en los países con los índices más altos de detección antivirus de correo. Los Top-3 se mantienen estables, con mínimas fluctuaciones porcentuales menores a un punto.

India mostró un notable aumento en la detección de antivirus de correo (+1,5%), haciendo que el país trepe dos lugares, hasta el 4œ lugar.


Distribución de detecciones de antivirus de correo, por país: septiembre de 2011

Por primera vez en mucho tiempo, Trojan-Spy.HTML.Fraud.gen perdió su liderazgo como el programa malicioso detectado con mayor frecuencia.


Los Top-10 programas maliciosos propagados por correo en septiembre de 2011

Esta vez, el número uno de los maliciosos es Trojan.Win32.FraudST.at, un robot spam cuya especialidad es la propagación masiva de mensajes sobre medicamentos.

Tres de los Top-10 programas detectados en este mes eran modificaciones de Trojan.Win32.Yakes, mencionado en el informe de agosto. Estas modificaciones ocuparon la segunda, sexta y octava posiciones en septiembre. Como Trojan-Downloader.Win32.Agent.gxtn, que ocupó la cuarta posición, Yakes es un clásico Downloader Trojan que descarga otros programas maliciosos cuando se instala en un equipo.

Al igual que en agosto, Email-Worm.Win32.Mydoom.m fue el único gusano de correo que apareció en la clasificación de septiembre. Esta particular amenaza sólo tiene dos funciones: recopilar direcciones electrónicas desde ordenadores infectados, y auto-enviarse a esas direcciones.

Phishing

El porcentaje de mensajes phishing en el total del tráfico de correo permaneció estable, con un 0,03%.


Top-10 organizaciones atacadas por los phishers*

* Esta clasificación se basa en la cantidad de URLs phishing en Internet que intentan obtener los datos de los usuarios para varios servicios online. La clasificación no es demostrativa del nivel de seguridad de las organizaciones que se mencionan, sino más bien de la popularidad de sus servicios entre los usuarios, lo que a su vez explica su popularidad entre los phishers.

Uno de los principales cambios en septiembre fue el ascenso del sitio de la red social Facebook del cuarto al segundo lugar. El número de ataques en este servicio aumentó en un 5,4%, alcanzando el 14,1% del total.

En septiembre, los ataques contra eBay fueron apenas menos intensos (-0,9%) en comparación a agosto. Este veterano está en la tercera posición entre los blancos más populares de los phishers.

El interés de los phishers en el juego online RuneScape también está en aumento: la cantidad de ataques contra este juego se duplicó en septiembre ya que los principales usuarios de estos servicios, los estudiantes, ya están de regreso de las vacaciones.

Spam por categorías


Spam por categorías en septiembre de 2011

Casi la mitad de todo el spam en inglés en septiembre eran mensajes fraudulentos. Esto refleja el patrón detectado en el 2008, cuando el porcentaje de adjuntos maliciosos en los mensajes aumentó. En tiempos de crisis financiera, cuando el poder adquisitivo de la gente disminuye, los spammers suelen extorsionar sus víctimas en su lucha por mantener su nivel de ingresos.

La segunda categoría más importante de spam en septiembre fue, una vez más, el spam financiero, lo que se entiende dados los tiempos de recesión.

Conclusiones

Frente a un periodo de recesión económica, es probable que veamos un crecimiento en los niveles de mensajes spam fraudulentos. Este tipo de spam pretende extorsionar o robar dinero de los usuarios, con o sin ayuda de programas maliciosos. Septiembre prolongó la tendencia del verano: constatamos un mayor incremento en el spam en inglés que en lugar de intentar vender algo, recopilaba datos del ordenador de un usuario desafortunado, para luego usarlos para realizar estafas.

Los usuarios deben tener más cuidado cuando traten con cualquier mensaje que los induzca a descargar aplicaciones, activar vínculos o introducir contraseñas. Los timadores están enriqueciendo su arsenal de trucos, inventando métodos que pueden desorientar hasta a los usuarios más experimentados. ¡Ten cuidado!

Informe sobre spam: Septiembre de 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada