Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2007. El spam en 2007

Información general de fin de año

  1. El porcentaje promedio de correo spam en el tráfico de correo aumentó al 79%.
  2. La mayoría del correo spam enviado a los usuarios del sector ruso de Internet proviene de Rusia, Estados Unidos y Polonia.
  3. La proporción de correo spam geográfico declinó durante el año pasado.
  4. Los spammers, o elaboradores de spam, seguían experimentando con formatos de spam, pero sin mucho éxito.
  5. La categoría líder de correo spam en 2007 fue la publicidad de Viagra y de otros medicamentos, y de artículos y bienes relacionados con la salud.
  6. Los spammers hicieron uso intenso del sector ruso de Internet para propaganda política preelectoral.

Kaspersky Lab recibe y analiza aproximadamente 2 millones de mensajes spam cada día, y a veces hasta 3 millones. Estos mensajes spam provienen de una serie de fuentes, desde trampas especiales antispam, hasta partners y usuarios comerciales. Esto significa que nuestros analistas de correo spam trabajan con un amplio espectro de estos mensajes. Todos los mensajes spam entrantes se clasifican de manera automática. Algunos se analizan de manera manual. Kaspersky Lab tiene un sistema de clasificación único en su clase que ayuda a rastrear volúmenes de correo spam y sus diferentes categorías.

  1. La evolución de las amenazas en 2007
  2. Este año la tendencia predominante es el desarrollo de programas nocivos dirigidos a los usuarios de juegos en línea
  3. El spam en 2007
  4. Amenazas para el correo electrónico

Porcentaje de spam en el tráfico de correo



Porcentaje de Spam en el sector ruso de Internet en 2007

El año pasado, el spam llegó a representar el 79,2% de todo el tráfico de correo. La cifra más baja (73,5%) se dio en mayo, mientras que la más alta (86,2%) se produjo en noviembre. La proporción de spam en el tráfico de correo fue creciendo de manera paulatina durante el año pasado, a pesar de algunas fluctuaciones. En otoño sobrepasó el 80% y en el cuarto semestre de 2007 se disparó al 85,7%.

Aunque la cantidad de spam en el tráfico de correo aumentó del 76%, en el primer semestre, al 82% a fin de año, se duplicó en relación al año pasado. Tan desproporcionado crecimiento tuvo su origen en el incremento del número de usuarios de correo electrónico, de la cantidad total de mensajes que enviaron y, en consecuencia, del número de equipos infectados utilizados para el envío de los mensajes spam. Cuantos más usuarios de Internet existan, tantos más ordenadores son cautivos de los botnets, que permiten el envío de más mensajes spam.

¿De dónde proviene el correo spam?



Fuentes de correo spam por país

Los Estados Unidos y Rusia siguen siendo las principales fuentes de correo spam. En 2006, China se ubicó en la tercera posición. Pero en 2007 cayó al noveno lugar. Quizás los usuarios chinos comenzaron a prestarle más atención al tema de la seguridad cibernética. Polonia desplazó a China de la tercera posición, habiéndose mantenido entre los cinco primeros por varios años.

Resulta interesante encontrar a países latinoamericanos dominando la segunda mitad de los Top 20.

Tamaño de los mensajes spam


Tamaño de los mensajes spam

Aproximadamente un 40% de los mensajes spam no sobrepasan los 5 KB. Los mensajes spam contienen un texto corto y un vínculo. La gran mayoría de los mensajes spam de 5 a 10 KB de tamaño incluyen textos publicitarios, o mensajes con texto adicional al azar con el propósito de evadir los filtros antispam.

De ahí que la gran mayoría del correo spam (70%) contenga textos cortos y un vínculo. Los spammers prefieren enviar mensajes con menos de 10 KB. Esta táctica se justifica porque cuanto más corto sea el texto más rápidamente llegan a los usuarios sus envíos masivos.

Otro pico en el gráfico (13%) corresponde a los mensajes spam de 20 a 50 KB. Esta categoría, bastante popular a mediados de año, incluye spam gráfico y mensajes spam con adjuntos (pdf-, fdf-). Más adelante se brindan mayores detalles.

Tecnologías de los spammers en 2007

Spam gráfico

El spam gráfico son mensajes spam con adjuntos gráficos. A principios de 2007, los spammers seguían experimentando con el spam gráfico, que fuera tan popular en 2006.

En febrero, los spammers nuevamente volvieron a utilizar spam gráficos: el texto publicitario se dividió en frames, cada uno de los cuales mostraba de 1 a 2 líneas del anuncio. Luego, estos frames se sobreponían, dando como resultado un texto completo. Los spammers perfeccionaron esta tecnología girando los elementos en cada frame en ángulos diferentes, generando así más ruido. Como resultado, la imagen se hizo difícil de leer, convirtiendo al spam gráfico, una vez más, en un callejón sin salida.

continuación se muestran algunos ejemplos de spam gráfico con elementos girados en ángulos diferentes (la imagen final consta de cuatro frames diferentes:


Mensaje spam con cuatro elementos diferentes

Antes de la primavera de 2007 el filtrado de spam gráfico tenía éxito y los spammers tuvieron que buscar nuevas formas de generar información gráfica.

En mayo, los spammers introdujeron nuevos mensajes spam conteniendo URLs que conducían a páginas de alojamiento gratuito de imágenes (imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com, etc.). Por lo general, los archivos gráficos no iban adjuntos a estos mensajes. Más bien se ubicaban en algún recurso periférico (en general en alojamientos gratuitos) y el mensaje contenía el respectivo vínculo. Al abrir un mensaje, la imagen se descargaba de manera automática. Otra variante consistía en utilizar una “imagen” como fondo.

En ambos casos, el spam gráfico no iba adjunto a los mensajes, motivo por el cual los filtros antispam no disponían de ningún material para análisis. Sin embargo, estos trucos no tuvieron éxito y los spammers hicieron un viraje experimentando con archivos adjuntos.

Los mensajes spam del tipo PDF constituyeron una innovación en mayo. Los usuarios recibían mensajes en blanco con adjuntos pdf- (y luego fdf-). No esperaban que un mensaje spam tuviera esa presentación, por lo que abrían los adjuntos y se encontraban con los mismos anuncios que venían en texto.

Este es el mensaje spam:

Y esto es lo que venía en el adjunto:

Al principio, este tipo de spam evadió con éxito los filtros antispam, y su proporción en el total de los mensajes spam era alto, llegando a un pico cercano al 10%. Pero los filtros antispam pronto aprendieron a detectar estos adjuntos. Los spammers trataron de cambiar el formato de los adjuntos de pdf- a fdf-. Pero los filtros lograron reconocer el nuevo tipo de correo spam, y para finales de julio este método llegó a su fin.

Los spammers intentaron enviar mensajes con adjuntos guardados y archivos Excel adjuntos apuntando a usuarios que suelen abrir archivos de “oficina”. En ambos casos las ideas de los spammers fracasaron porque la mayoría de los usuarios ya eran cautos con los mensajes inesperados y no abrían los adjuntos.


Proporción del spam geográfico en el total del correo spam

Como se puede ver en el gráfico, la proporción del spam geográfico en el total del correo spam declinó tras los experimentos de los spammers. Sin embargo, sigue siendo considerable. Hay categorías de correo spam que de manera tradicional recurren a imágenes para publicidad, como por ejemplo Viagra y otros medicamentos, de tal manera que los spammers muy probablemente seguirán experimentando con el spam gráfico.

Spam MP3

Un formato completamente nuevo de correo spam (mensajes con archivos mp3 adjuntos) hizo su aparición en octubre de 2007. Los spammers estaban seguros que ningún filtro antispam ni ningún usuario podía esperar tal formato y entonces tendrían éxito.

Sin embargo, este nuevo formato resultó ser tremendo para el correo spam. Para que sus archivos mp3 adjuntos lograran evitar los filtros antispam, los spammers trataron de elaborar archivos de sonido unos completamente diferentes a los otros. Cada archivo contenía varios elementos de texto (muy probablemente generados de manera automática) que eran ordenados de distintas maneras y grabados a diferentes velocidades. Como resultado, los archivos mp3 eran casi imposibles de escuchar. Además, el tamaño de los archivos era muy pequeño, lo que influía en la calidad de la grabación.

Envíos “expeditos”

En agosto de 2007, los spammers comenzaron con veloces envíos masivos. Los envíos normales tomaban cerca de dos días, mientras que los envíos “expeditos” llegaban a las bandejas de entrada de millones de usuarios en 15-30 minutos, gracias a software spam mejorado y al mayor número de ordenadores utilizados para los envíos.

Este aumento en la rapidez de los envíos resultó en un ahorro en el tiempo que los spammers empleaban en sus envíos: ahora toma menos de 30 minutos. Pero los filtros antispam aprendieron a combatir este tipo de correo spam. Por ejemplo, Kaspersky Lab utiliza la nueva tecnología SURBL que responde de inmediato al correo spam, de manera que el próximo año los spammers tendrán que pensar en otros métodos.

El correo spam y las redes sociales

Considerando las condiciones adversas del filtrado antispam en el tráfico de correo, los spammers tienen que buscar otros canales para distribuir su información. Siguen de cerca las tendencias en Internet y los intereses de sus potenciales “clientes”.

Los usuarios de Internet solían escribír a diferentes foros y recibían correo spam en forma de notificaciones de estos foros. Hoy en día, la moda son las redes sociales y los spammers no pueden pederse la oportunidad de aprovecharse de ellas. Distribuyen mensajes a nombre de famosas redes sociales incluyendo vínculos a sitios Web que con toda probabilidad son nocivos.

Las redes sociales seguirán siendo populares y los spammers les darán un uso intenso. Los mensajes spam que simulan notificaciones adquirirán más realismo y calidad. Además, los spammers tratarán de distribuir mensajes spam desde cuentas legítimas registradas en las redes sociales (de la misma manera que hicieron con los foros). Las redes sociales ya están empezando a resistir contra estos ataques. Por ejemplo, algunas redes sociales han impuesto restricciones en el número de invitaciones por día, pero los spammers sin duda encontrarán la manera de evitar esta protección.

Spam por categorías

Principales categorías spam en 2007:

№№ Categoría Principales subgrupos %%
1 Medicamentos y productos y servicios en el campo de la salud Viagra, Cialis y otras píldoras 23.3%
2 Educación Seminarios y cursos de capacitación 11.7%
3 Ordenadores e Internet Software barato y cartuchos para impresoras 8.7%
4 Viajes y turismo Anuncios de paquetes turísticos y otro tipo de vacaciones 8.1%
5 Servicios de anuncios electrónicos Anuncios de correos spam y bases de datos de direcciones 7.2%



Correo spam por categoría en el sector ruso de Internet en 2007



Correo spam por categoría en 2006 y 2007

Al igual que el año anterior, en 2007 la categoría líder fue “Medicamentos y artículos y servicios del campo de la salud”. No sólo se mantuvo a la cabeza sino que aumentó su porcentaje: para fines de año creció al 23,3% (mayor en un 7,3% al registrado en 2006). La mayor parte en esta categoría corresponde a los anuncios de Viagra y otros medicamentos similares. Los spammers lo han estado enviando, por muchos años ya, y es muy probable que sigan haciéndolo en el futuro.


roporción de la categoría “Medicamentos, productos y servicios del campo de la salud”
en el total del correo spam

Las primeras cinco categorías incluyen “Educación” (11,7%) y “Ordenadores e Internet” (8,7%), en segundo y tercer lugar, respectivamente. La categoría “Educación” en spam en idioma ruso se caracteriza principalmente por avisos de seminarios y capacitaciones, y en spam en idioma inglés ofrece diplomas y educación superior. La categoría “Ordenadores e Internet” se compone por lo general de mensajes en inglés anunciando software falsificado. En el sector ruso de Internet, esta categoría también ofrece artículos consumibles, como cartuchos de tinta para impresoras.

La categoría “Servicios de anuncios electrónicos” (autopublicidad de los spammers) se ubica en el quinto lugar en la clasificación. Estas no son noticias tranquilizadoras porque este tipo de correo spam en el sector ruso de Internet está representado, en gran manera, por mensajes en ruso, y su proporción es bastante alta. Esto significa que a pesar de todas las leyes antispam existentes en la legislación rusa, los spammers son incansables en la búsqueda de nuevos clientes.

Resulta alentadora la noticia de que las categorías “Spam financiero” y “Fraude cibernético” han dejado de aparecer entre los cinco primeros. A continuación se trata con mayor detalle estos temas.

Fraude Cibernético

La categoría “Fraude cibernético” incluye los mensajes phishing y otro tipo de correo spam utilizado por ciberdelincuentes para obtener dinero de los usuarios. Como ejemplos tenemos los mensajes “nigerianos” o el spam que informa al destinatario de que acaba de ganar un premio en la lotería, etc.

A fines de año, la proporción de mensajes fraudulentos en el total del correo spam llega al 6,9%, que es la mitad de lo que fue en 2007. Sin embargo, a pesar de las aparentes cifras optimistas, el fraude cibernético se ha tornado más peligroso: Los ciberdelincuentes perfeccionan sus técnicas y son capaces de realizar ataques dirigidos con mayor frecuencia.

Los mensajes phishing son cada vez más difíciles de distinguir de los mensajes legítimos, aun para los usuarios más expertos: Las direcciones con vínculos a sitios phishing están tan perfectamente disimuladas que el usuario no siempre es capaz de notar la falsificación porque los sitios falsificados parecen auténticos.

El vínculo en este ejemplo no conduce al sitio indicado, sino a un sitio phishing http://www.usbank.com.ebanking-services-id730325379.usertech.md/client.cfm. El vínculo es muy similar y sólo un usuario muy cuidadoso se dará cuenta de un punto después de “com”, en vez de una barra.

Los phishers rusos han demostrado mayor actividad en 2007. Atacaron varias veces los sistemas de pago en línea WebMoney y Yandex-Money y trataron de acceder a las cuentas de correo de los usuarios, pidiéndoles su nombre de usuario y contraseña en nombre del sistema de administración de correo.

Los spammers usaron mensajes en nombre de la administración de reconocidos portales de correo, no sólo para obtener información confidencial, sino para robar dinero de manera directa. El siguiente mensaje sugiere que el usuario debería enviar un mensaje sms a un número abreviado para activar una protección especial para su casilla de correo. El resultado de enviar dicho mensaje sms será la simple transferencia de dinero desde su cuenta a la cuenta de los spammers.

El servicio de seguridad de Mail.ru desea informarle que su cuenta de correo ha sido objeto de un ataque, o ha estado tratando de ingresar mediante una contraseña equivocada. Nos estamos esforzando en ayudar a nuestros usuarios con cualquier problema que tengan. Si no trató de ingresar en su cuenta mediante una contraseña equivocada, entonces bloquee el ataque hacker en su cuenta lo antes posible siguiendo estas instrucciones:

1) Encuentre un teléfono portátil compatible con mensajería SMS.

2) Envíe un mensaje gratuito con el código (xxx) al número (xxx).

Este es un número único y ha sido reservado especialmente para Ud. Estará activo durante 10 minutos desde el momento que Ud. lea este mensaje.

Pasados los 10 minutos, este número se eliminará y Ud. ya no podrá proteger su cuenta, incluyendo los ataques hacker.

Atentamente,

Roman.

Departamento de seguridad

Mail.Ru


Proporción de la categoría “Fraude cibernético” en el total del correo spam

Como podemos ver en el gráfico, en el periodo comprendido entre abril y septiembre se produjo una disminución en la proporción de la categoría “Fraude Cibernético” en el total del correo spam. Sin embargo, en el último trimestre de 2007 se dio una fluctuación y en diciembre alcanzó un pico de 9,2%. Es muy posible entonces que el próximo año esta categoría vuelva al grupo de los cinco primeros.

Finanzas personales

La categoría “Finanzas personales” incluye ofertas de seguros rentables, préstamos e hipotecas. Pero gran parte del correo spam en esta categoría consistía en mensajes urgiendo a los lectores a invertir en la bolsa de valores (Stock Spam). Este esquema fraudulento no es muy popular en Rusia pero ha tenido éxito en Europa y los Estados Unidos desde 2006. A pesar de que la participación de la categoría “Finanzas personales” no es muy significativa en el volumen total del correo spam, los ciberdelincuentes se están lucrando muy bien vendiendo acciones a un sobreprecio artificial.


Proporción de la categoría “Finanzas personales” en el total del correo spam

La disminución de esta categoría en la primavera y verano de 2007 probablemente se debió al hecho de que este tipo de fraude atrajo la atención de las autoridades norteamericanas y canadienses: En el primer trimestre de 2007 mostraron su preocupación por el correo spam del tipo “Finanzas personales” y prometieron proteger a los inversionistas contra esta amenaza. Sin embargo, ya en otoño la porción de este tipo de correo spam comenzó a remontar.

El correo spam financiero siempre ha sido muy especial para los spammers. En 2007 han estado perfeccionando sus últimas tecnologías usando este particular tipo de correo spam en formatos gráficos jpeg- y gif- y en adjuntos pdf- y fdf-. Y esta es la única categoría de correo spam que puede distribuirse en formato mp3.

Correo spam político en Internet en Rusia

Este año, el correo spam político ha sido bastante popular en Internet en Rusia debido a las elecciones de la Duma del Estado Ruso. La proporción de este tipo de correo spam no ha sido lo suficientemente grande para influir en las estadísticas de manera significativa, pero resultaba muy interesante por sus contenidos.

El correo spam político en el sector ruso de Internet incluía:

El correo spam político en Internet en Rusia presenta varias peculiaridades:

Primeramente, los spammers no utilizaban truco alguno para distribuir su correo spam “político”.

La legislación rusa no da la definición de “spam”, pero en muchos otros países dónde existe esta definición (por ejemplo, en EEUU), se considera spam sólo los envíos masivos que tienen carácter comercial. Pero en Rusia existen leyes sobre el spam y son aún más estrictas que en EEUU. El spam político no está regido por la ley “De la publicidad” de la Federación de Rusia, pero su envío masivo entra en contradicción con la ley “De los datos personales”. Esta ley limita la difusión no solicitada, no sólo de carácter comercial, sino de cualquier tipo.

En segundo lugar, si el volumen del texto en el spam corriente suele ser pequeño, los textos de los mensajes relacionados con campañas electorales son medianos o grandes. La carta más larga tenía cerca de 13 páginas. Es evidente que los que enviaban spam político consideraban que sus cartas serían de interés para los usuarios.

Y en tercer lugar: además del método tradicional de hacer envíos masivos con la ayuda de redes zombi (botnets), el spam político usa el método de “cadenas”, dónde se pide enviar el mensaje a sus contactos.

Este año el spam político en inglés también estuvo presente, pero en dimensiones mucho menores.

Pronósticos

El año 2007 mostró que los experimentos con diferentes formatos de spam traen poco provecho a los spammers, ya que los filtros spam no tardan mucho en reaccionar ante los nuevos tipos de amenazas para defender los ordenadores. La tendencia de desarrollo de la situación actual del spam en 2008 es la siguiente:

  1. La cantidad de spam no disminuirá
  2. Continuará la “carrera armamentista”: los spammers inventarán nuevos métodos y los filtros antispam, formas de combatirlos.
  3. Lo más probable es que los spammers aumenten la velocidad de los envíos masivos y la cantidad de cartas en cada envío.
  4. Es posible que los spammers continúen desarrollando el spam gráfico. A pesar de que en 2007 disminuyó el porcentaje de spam gráfico, seguirá siendo atractivo para los spammers. Sin embargo, los grandes productores de antispam están en condiciones de cerrar completamente esta tendencia de los spammers.
  5. Los spammers continuarán pendientes de las tendencias modernas de Internet. De esta manera, el spam propagado mediante “redes sociales” se popularizará.
  6. Los spammers echarán mano de los antiguos métodos: enlaces en las páginas de los servidores gratuitos de hospedaje web, así como del texto deformado o cambiante.

Kaspersky Security Bulletin 2007. El spam en 2007

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada