Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin. Spam en 2011

El antispam de Kaspersky Lab protege a usuarios de todo el mundo. En el laboratorio antispam a diario se procesan más de un millón de mensajes que caen en nuestros colectores de spam. Para proteger a los usuarios, se usan técnicas como el filtrado de contenidos, el análisis de los encabezados técnicos, firmas gráficas únicas y tecnologías “en la nube” (cloud). Nuestros analistas crean nuevas firmas las 24 horas del día, los 7 días de la semana.

Cifras anuales

  • El porcentaje de mensajes spam en el tráfico de correo representó casi el 80,26% del total.
  • El porcentaje de mensajes phishing se multiplicó 15 veces hasta alcanzar el 0,02% del total del tráfico de correo.
  • El porcentaje de mensajes spam con adjuntos maliciosos se multiplicó 1,7 veces, alcanzando el 3,8% del total del tráfico de correo.

Tendencias en 2011

Reducción del spam

Como resultado de la lucha contra las redes zombi en el año 2010, el volumen del spam en el tráfico de correo disminuyó notablemente. En el año 2011, el porcentaje de mensajes spam alcanzó un 80,26%. Esta cifra está por debajo de la registrada en el año 2010, sin mencionar el pico alcanzado en el año 2009.


Porcentaje de spam en el tráfico de correo, 2007-2011

El gráfico muestra de forma clara que el porcentaje de spam disminuyó en el transcurso de los últimos años. Las causas son varias. En principio, las autoridades continúan desmantelando los centros de comando de las redes zombi: Rustock y Hlux/Kelihos fueron desactivadas en el año 2011. En segundo lugar, los spammers se concentran cada vez más en blancos específicos. Por ejemplo, los miembros de programas asociados para la propagación de spam farmacéutico prefieren enviar sus mensajes a direcciones robadas desde sitios dedicados a tratar problemas de salud que afectan en particular a los hombres. En este marco, la cantidad de mensajes spam enviados a blancos específicos es menor a la del spam tradicional, y la reacción potencial es muy superior. En tercer lugar, ya hace varios años que los spammers se concentran en la demanda de los productos ofrecidos en los mensajes spam en diferentes países o regiones. Por ejemplo, en los últimos años, el spam con publicidad de medicamentos o de copias de artículos de lujo eran más frecuentes en Europa occidental o en Estados Unidos que en Rusia y en la Comunidad de Estados Independientes, aunque su volumen en el Internet de habla rusa sigue siendo significativo. El año 2011 marcó un hito en este nivel: debido a limitados recursos, los spammers miembros de programas asociados de medicamentos se vieron forzados a excluir de sus bases de datos las direcciones de usuarios e habla rusa, lo que contribuyó a reducir considerablemente el volumen de spam enviado en el marco de los programas asociados a los usuarios del sector ruso de Internet.

Ataques phishing contra blancos específicos

La gran tendencia en el año 2011 fue el spear phishing, o phishing contra blancos específicos. Este tipo de phishing se distingue porque los spammers no envían sus mensajes a direcciones aleatorias, sino a un determinado grupo de usuarios, previamente seleccionados.

El spear phishing no recurre a una sola táctica definida, sino a varias, de variada complejidad y persiguiendo diferentes objetivos.

Puede tener el mismo objetivo que el phishing tradicional, es decir, inducir al destinatario a que revele sus datos de identificación para después acceder a su cuenta. Entre los tipos de ataques del spear phishing, podemos citar aquellos lanzados contra un grupo de usuarios clientes de un determinado servicio. Estos mensajes phishing reproducen hasta el menor detalle las notificaciones oficiales del servicio atacado y además contienen un enlace hacia un formulario que es una copia perfecta del verdadero formulario de registro del servicio en cuestión. Algunos analistas consideran que este fue el método elemental usado por ciberdelincuentes chinos para acceder a las cuentas de Google de funcionarios norteamericanos de alto nivel. La diferencia principal con el phishing tradicional radica en un blanco más restringido con objetivos más precisos.

Últimamente, los phishers han comenzado a recurrir a un truco más astuto: la distribución de mensajes personalizados. Estamos acostumbrados a mensajes phishing que contienen saludos impersonales, como “Estimados usuarios de nuestro sitio”, o “Estimado cliente”. En el caso de ataques más complejos como el spear phishing, el ciberdelincuente no sólo conoce al cliente o empleado capaz de convertirse en potencial víctima, sino también su nombre y apellido. Hoy en día, los phishers pueden obtener estos datos sin gran dificultad: los usuarios de redes sociales suelen exponer sus datos, lo que facilita su uso a los ciberdelincuentes. Gracias a la recopilación de estos datos, que los mismos usuarios ponen al alcance de todo el mundo, los ciberdelincuentes llegan a ganarse la confianza de sus víctimas.

Otro tipo de ataque contra un blanco específico es el que busca obtener acceso a los recursos de una determinada compañía. Por ejemplo, los ciberdelincuentes que atacaron RSA, la división de seguridad de la reconocida compañía informática EMC, en marzo de 2011. Por medio de ataques lanzados contra algunos grupos de empleados de esta compañía, los ciberdelincuentes pudieron lograr que al menos uno de ellos abriera el archivo con el nombre ” 2011 plan de reclutamiento.xls “. El archivo Microsoft Excel contenía un código de explotación de una vulnerabilidad tipo día-cero que permitía a su dueño penetrar en el sistema de la compañía. Mediante este ataque se robaron datos de la compañía RSA.

Los ataques phishing contra objetivos específicos son muy peligrosos porque los mensajes enviados no son numerosos y son únicos. Esto significa que, a menudo, las soluciones antivirus no los detectan como spam. Las organizaciones blanco de estos ataques pueden optar por el sistema DLP que previene la fuga de información. En el caso de los usuarios particulares, el último obstáculo entre el phisher y la información financiera, personal o de otro tipo perteneciente al usuario, es el mismo usuario. Todo el sistema se basa, fundamentalmente, en el factor humano. Mientras sea prudente y cauto, el usuario evitará caer en las trampas que le tienden los phishers.

El usuario debe tener siempre presente que cualquiera que sea el grado de perfección de un mensaje o de un formulario de registro, el phisher necesariamente usa un dominio que no tiene nada que ver con la organización de la que supuestamente proviene el mensaje. Si recibes un mensaje en el que se te pide ingresar tus datos de identificación en el sitio de tu banco, o en otro servicio online, debes acceder a este sitio no a través del enlace que se te proporciona en el mensaje, sino escribiendo directamente la URL de la organización en el espacio de direcciones de tu navegador. Tampoco debes olvidar que ningún servicio legítimo online te pedirá que envíes tus datos de identificación por correo.

Prevemos un aumento en la cantidad de ataques spear phishing, y por ello recomendamos a nuestros usuarios máxima prudencia y cautela.

Año del spam malicioso

Que el spam esté en retroceso no significa que sea menos peligroso. En el año 2011, el número de mensajes con adjuntos maliciosos se multiplicó 1,7 veces en relación al año anterior, alcanzando el 3,8% del total del flujo de correo. Además de los mensajes con archivos maliciosos, también tenemos los mensajes con enlaces a recursos maliciosos.

La cantidad de mensajes con adjuntos maliciosos se mantuvo en un elevado nivel durante todo el año.


Porcentaje de mensajes con adjuntos maliciosos en el tráfico de correo, 2011

Como se puede ver en el siguiente gráfico, desde hace tres años aparece una llamativa tendencia: la disminución en el volumen de spam viene acompañada de un aumento en la cantidad de mensajes con adjuntos maliciosos.


Porcentaje de mensajes con adjuntos maliciosos en el tráfico de correo, 2009-2011

Spam malicioso e ingeniería social

El spam malicioso se caracteriza por recurrir a la ingeniería social: los ciberdelincuentes deben convencer al usuario para que abra el adjunto o active el enlace proporcionado en el mensaje. En 2011, a los ciberdelincuentes no les faltó imaginación para recurrir a diversos y astutos trucos para lograr sus objetivos.

  1. Camuflarse detrás de una fuente legítima
    Los mensajes maliciosos se presentaron como notificaciones provenientes de los administradores de redes sociales, de servicios de correo internacional, de Hacienda o de compañías de tarjetas de crédito.

  2. Intimidación
    Los mensajes se refirieron al bloqueo de una cuenta, a la infección de ordenadores, o a la distribución de spam desde la cuenta del usuario. Para evitarse estos problemas, el usuario debía llevar a cabo de inmediato una de estas acciones: abrir el adjunto o activar el enlace.

  3. Seducción
    Los mensajes prometían regalos, cupones, llaves de activación de varios programas, y otras cosas más.Para aprovechar estas ofertas, el usuario sólo tenía que abrir el adjunto o activar el enlace.

  4. Varios
    En la mayoría de los casos, los ciberdelincuentes aprovecharon la curiosidad del destinatario o su falta de precaución. El adjunto aparecía como un documento digitalizado, como un ticket electrónico, de instrucciones para la restauración de la clave de acceso al correo, etc. A veces, simplemente se le invitaba al usuario a abrir el adjunto.

    Historia de un envío o el preámbulo de un ataque

    En el último trimestre de 2011, los spammers enviaron mensajes que imitaban las notificaciones de la NACHA (National Automated Clearing House Association, asociación norteamericana de pagos electrónicos). Se trata de una importante organización sin fines de lucro que elabora las reglas de ejecución de las operaciones y resuelve cuestiones prácticas en las actividades de la cámara de compensación automática (ACH, Automatic Clearing House). También trata todo lo relacionado con los pagos electrónicos. ACH gestiona la más extensa red de pagos electrónicos del mundo.

    Los mensajes enviados en nombre de la NACHA invitaban al destinatario a abrir un adjunto o activar el enlace provisto para anular una transacción.

    Es comprensible que los ciberdelincuentes recurrieran a estos artificios: en su ambición de abarcar el mayor número posible de usuarios, prefieren enviar un mensaje en nombre de una organización de control en vez de hacerlo en nombre de un determinado banco. Pocos saben que en realidad la NACHA no tiene ningún derecho para controlar las transacciones ACH, y mucho menos para anularlas.

    Si el usuario activa el enlace provisto en estos mensajes, abrirá una página que contiene un código javascript que lo conducirá a un recurso malicioso que aloja códigos de explotación. Resulta interesante constatar que los ciberdelincuentes intentaron cubrir todas las posibilidades a su favor: en una página web, introdujeron cuatro scripts de redirección hacia el mismo sitio malicioso. Esta táctica se justifica porque los scripts están insertados en sitios legítimos comprometidos. Los propietarios del sitio pueden darse cuenta de la intrusión y eliminar el script. Además, las compañías especializadas en seguridad informática añaden rápidamente estas URLs a sus listas de rechazados.

    Todos los scripts de redirección llevan al mismo recurso malicioso en el que los ciberdelincuentes colocaron uno de los códigos de explotación más eficaces y más populares: BlackHole.

    Métodos y trucos de los spammers

    Scripts de redirección y otros accesos por enlaces

    Al organizar la distribución de spam, los spammers intentan ocultar los datos de su socio comercial: número telefónico, nombre del sitio, etc. De lo contrario, los filtros antispam podrían añadir estos datos a su lista de rechazados y bloquear toda distribución que los refiera. Existen varios métodos para ocultar estos datos: crear ruido (adición de símbolos, deformaciones), escribir palabras con números, añadir etiquetas HTML para el usuario , o insertar datos en imágenes ruidosas, etc.

    En 2011, el truco más usado por los spammers para ocultar el enlace hacia el sitio que contiene la publicidad o los programas maliciosos, fueron los scripts de desvío: los mensajes contienen enlaces a varios sitios desde los que se redirecciona al usuario hacia el sitio principal.

    Servicios de redirección

    El método más sencillo para los spammers que recurren al redirección, consiste en elegir un servicio de redirecciones, como tinyurl.com ou bit.ly. Los spammers explotan la función original de estos servicios, es decir, abreviar las URLs demasiado largas y de difícil lectura, para crear un enlace único en cada mensaje enviado. Estas URLs de redirección pueden camuflar los enlaces hacia sitios o imágenes descargadas.

    Ejemplo de un mensaje real:

    Código HTML fuente del mensaje:

    Así, el mensaje que, a los ojos del destinatario contiene una imagen con enlaces hacia un sitio, en realidad está compuesto de enlaces únicos y de texto aleatorio.

    Sitios infectados

    Otro método de redirección consiste en utilizar un sitio legítimo comprometido en cuyo código los ciberdelincuentes insertaron un código iframe o javascript, o explotan otras posibilidades del HTML (o del protocolo TCP/IP) para conducir al usuario hacia el sitio del ciberdelincuente. El título “Historia de una distribución” se refería a este tipo de redirección.

    Inyecciones SQL

    Se trata de un nuevo método de redirección que aún no está muy desarrollado. El mensaje spam que explota este método contiene un enlace que conduce al usuario a un sitio legítimo vulnerable a las inyecciones SQL.

    El enlace contiene una petición SQL que reenvía un código javascript:

    <script> document.location=’hxxp://drug*****.net’; <script>

    Este script sirve para conducir al usuario hacia el sitio del spammer.

    La nube

    El uso de recursos gratuitos para colocar enlaces hacia sitios spam no es algo novedoso. Sin embargo, en 2011, las aplicaciones de ofimática en la nube, que cada vez ganan mayor popularidad, tuvieron el papel de recursos gratuitos. Los spammers enviaron sus enlaces hacia los servicios de Google (Google Docs y Google Spreadsheets) colocando en ellos los enlaces que conducían a los sitios requeridos.

    Además, Google Spreadsheet se usa para alojar páginas phishing en las cuales el usuario encontrará el nombre de usuario y la contraseña para acceder a su casilla de correo.

    Además de ser gratuita, esta página ofrecía a los phishers ventajas adicionales: estaba alojada en una red reconocida y la conexión se realizaba a través del protocolo https, lo que podría engañar hasta al usuario más cauto.

    Sin embargo, hacia fin de año, se interrumpió este tipo de distribución. Aparentemente, Google reforzó su seguridad y reaccionó severamente contra las páginas spam colocadas en sus servicios.

    Cómo convencer al usuario para que active un enlace o abra un adjunto

    Todos los métodos de redirección funcionan únicamente si el usuario activa el enlace. Para lograr este fin, los spammers recurrieron a una serie de trucos, nuevos o conocidos.

    En principio, se esforzaron en crear mensajes muy parecidos a los mensajes legítimos, copiando las notificaciones de redes sociales o de otros servicios populares. Los recursos Web 2.0 son ya tan populares que los usuarios se han acostumbrado a recibir sus notificaciones, y no suelen desconfiar de ellas.

    En segundo lugar, los ciberdelincuentes no han escatimado esfuerzos para que los destinatarios activen el enlace. Para este efecto, hace ya varios años que sus mensajes evocan temas de conocimiento público a través de la prensa o la televisión.

    Por ejemplo, en marzo, los spammers usaron dos temas: el terremoto en Japón y la guerra en Libia. La distribución más notable explotó estos dos temas de forma simultánea.

    También suelen ser muy explotados los fallecimientos de celebridades. Así, en mayo, a los destinatarios de los mensajes spam se les invitó a mirar un video con detalles brutales de la muerte de Bin Laden. En junio, en ocasión del primer aniversario de la muerte de Michael Jackson, pudimos detectar mensajes que evocaban pruebas definitivas que demostraban que el artista seguía vivo. Y en octubre, después de la muerte de Steve Jobs, los spammers crearon mensajes que ofrecían ver cómo Apple enfrentaba la muerte de su fundador.

    Además de evocar temas de actualidad en sus mensajes spam, una práctica nada novedosa, los spammers adoptaron otros trucos en el año 2011. Los mensajes que contenían adjuntos de supuestas fotos eróticas de jovencitas pasaron a segundo plan en 2011. Con seguridad esto se debe a que los usuarios ya se han acostumbrado a este tipo de mensajes y se dan cuenta de que se trata de contenido malicioso. A estos mensajes los remplazaron otros cuyo contenido o diseño evocan la correspondencia interna corporativa. En general, tienen un adjunto con un nombre evocador, como “Factura” o “Documentos internos”.

    Estafas en spam

    Debemos notar que son muchos los acontecimientos en 2011 que se utilizaron no sólo para llamar la atención de los usuarios y convencerlos para que activen un enlace, sino también para estafarlos.

    Así, los estafadores aprovecharon el terremoto en Japón para sonsacar dinero a los usuarios con el pretexto de una recolección de fondos para ayudar a las víctimas.

    Se usaron los nombres Muamar Gadafi y Kim Chen Ira en estafas tipo nigerianas. Los estafadores, que buscaban robarles dinero a los destinatarios, aparecían como los padres, amigos o enemigos de personas fallecidas.

    Estadísticas del spam

    Porcentaje de spam en el tráfico de correo

    Como ya hemos mencionado, el volumen de spam en el tráfico de correo disminuyó significativamente en relación a 2010: mientras que en ese año llegaba al 82,2% del tráfico total de correo, en 2011 llegó al 80,26%.


    Porcentaje de spam en el tráfico de correo en 2011

    Durante el primer semestre, el porcentaje de spam tuvo un crecimiento estable. Sin embargo, durante el segundo semestre del año 2011, la situación cambió. Al final, el índice del año 2011 no alcanzó al del 2010, y mucho menos al pico del 2009.

    Regiones fuente de spam

    En 2011, el porcentaje de spam proveniente de países de Asia y América latina aumentó considerablemente. El porcentaje de estas dos regiones representa más de la mitad (59,02%) del total del spam distribuido. Las cifras para América del Norte, que habían caído ostensiblemente a fines del 2010, se mantuvieron en ese nivel.


    Clasificación de las fuentes de spam por región, 2010-2011

    Podemos notar que para Asia y América latina, la dinámica de la distribución de spam tienen varios puntos en común:


    Dinámica de la distribución de spam desde Asia y América latina, 2011

    Este hecho confirma de forma indirecta que los ordenadores infectados en Asia y América latina pertenecen a las mismas redes zombi. El aumento en el peso de estas dos regiones en el tráfico de spam a nivel mundial indica que estas redes zombi crecieron en un año. Ya nos hemos referido a los factores que favorecieron esta situación: un servicio de Internet de calidad, un bajo nivel de conocimientos informáticos de los usuarios, y la ausencia de leyes antispam en la mayoría de los países de Asia y América latina, están entre los elementos que hacen que estas regiones resulten muy atractivas para las organizaciones de redes zombi.

    El porcentaje correspondiente a África también aumentó; esta región que no había estado muy involucrada en la propagación de spam, adquiere una importancia cada vez mayor, por las mismas razones descritas para Asia y América latina.

    El porcentaje de Europa occidental decayó en un 4%. Resulta interesante ver que el volumen de spam proveniente de esta extensa región donde la informática se encuentra muy desarrollada, disminuye año tras año. El buen nivel de conocimientos informáticos de los usuarios y la lucha contra el ciberdelito hacen que los ordenadores en esta región estén a menudo equipados con soluciones antivirus con licencia y actualizadas. No resulta fácil infectar estos ordenadores e integrarlos en redes zombi de propagación de spam.

    Países fuente de spam

    El aumento del porcentaje de las principales regiones fuente de spam tuvo un efecto, obviamente, en la composición del Top 20 de los países fuente de spam.

    El líder del año anterior, Estados Unidos (-9,24%) ya no figura ni siquiera en el Top 10; aparece en la 16a posición. También retrocedió Rusia (-2,8%), pasando de la 3a a la 9a posición. El trio de líderes está compuesto por India (+4%), Brasil (+3,4%) e Indonesia (+5,15%), que ocupaba la 16a posición.


    Clasificación de las fuentes de spam por país, 2011

    El Top 10 sigue contando con la presencia de dos países de Europa occidental: Italia y Reino Unido, que encabezan a los países europeos. La dinámica del envío de spam en estos dos países es similar. Es posible que los ordenadores infectados en estos países pertenezcan a la misma red zombi.


    Dinámica de la propagación de spam desde Italia y Reino Unido, 2011

    Tamaño de los mensajes spam

    Durante el año, la tendencia fue la reducción del tamaño de los mensajes spam. En el primer trimestre, el número de mensajes con un tamaño mayor a los 100 Kb aumentó para después desplomarse en el segundo trimestre. A fin de año, los mensajes de más de 50Kb representaban menos del 3% del volumen total, mientras que los mensajes con un tamaño menor a los 5 Kb representaron el 69,46% del total del spam.


    Clasificación del tamaño de los mensajes spam en 2001

    Temas del spam

    En el 2011, la clasificación de los asuntos de los mensajes spam en el Internet de habla rusa está encabezada de lejos por la categoría “Educación” (ofertas de seminarios y capacitación). En el transcurso del año, el porcentaje de esta categoría varió significativamente. Osciló entre el 13% y el 60% del total del spam en el sector ruso de Internet.

    Estos son los Top 5:

    1. Educación: 35,75 %
    2. Otros bienes y servicios: 15,53 %
    3. Inmobiliaria: 9,92 %
    4. Medicamentos, artículos/servicios farmacéuticos: 9,58 %
    5. Publicidad para servicios de distribución de spam: 7,50 %


    Clasificación del spam por asunto, 2011

    Todas las categorías del spam (salvo la publicidad de spammers) pueden agruparse en dos grupos: los envíos solicitados y los envíos bajo programas asociados. Los envíos solicitados son sobretodo publicidad pagada por el solicitante. Los envíos bajo programas asociados son solicitados por los asociados. Son sobretodo publicidad de artículos sin licencia o de programas maliciosos. A los spammers se les paga en base al número de bienes comprados/ordenadores infectados.

    En 2011, el porcentaje de envíos spam solicitados aumentó considerablemente entre los usuarios del sector ruso de Internet. Nunca bajó del 50% en todo el año. Los niveles más bajos se registraron en enero y en agosto, dos meses que se caracterizan generalmente por una calma en el frente publicitario. En estos periodos, los envíos spam bajo los programas asociados aumentan, así como los envíos de publicidad de los mismos spammers ya que deben volver a atraer a los clientes que suspendieron sus pedidos durante el verano.


    Porcentaje de spam solicitado y bajo programas asociados en 2001

    Recordemos que la situación era diferente el año anterior: los volúmenes de spam solicitado y bajo programas asociados eran casi iguales (46,6% y 47,7%, respectivamente). Es probable que, debido al desmantelamiento de varias redes zombi en 2010, los propietarios de redes zombi hayan comenzado a limitar su actividad y estén tratando de no llamar demasiado la atención. A partir de ahora, tratarán no de aumentar, sino de reducir el alcance de sus envíos. Para ello, realizan envíos hacia blancos específicos y evitan los envíos bajo programas asociados hacia regiones en las que no hay demanda para este tipo de envíos. Así, la categoría “Medicamentos”, que es la principal categoría de mensajes enviados bajo los programas asociados, nunca fue muy popular en Rusia, porque en este país, a diferencia de Estados Unidos, no es necesario contar con una receta para adquirir medicamentos. De la misma manera, las tarjetas de crédito aún no son muy utilizadas en Rusia para realizar compras por Internet, y es precisamente el tipo de pago que se requiere en el spam bajo programas asociados. Además, en Rusia no existen leyes antispam (sólo la ley federal sobre publicidad contempla de cierta manera el spam), lo que significa que las pequeñas empresas recurren frecuentemente a este tipo de publicidad y, en consecuencia, el volumen de spam solicitado es más importante en Rusia que en Estados Unidos o Europa.

    Spam y política

    Las elecciones legislativas rusas llamaron la atención de los spammers. Recordemos que hace cuatro años también se distribuyó spam con contenido político antes de las elecciones de la Duma. Sin embargo, en 2011, notamos un cambio radical a nivel de contenido. Mientras que hace cuatro años estos mensajes apelaban a los destinatarios a votar por un determinado partido, ningún partido intentó convencer a sus electores por medio de spam en 2011. Los mensajes atacaron al partido en el poder y el contenido variaba desde llamadas a boicotear las elecciones hasta el derrocamiento del gobierno de turno.

    El spam político siempre se distribuía después de las elecciones. La concentración en la plaza Bolotnaya igualmente capturó la atención de los spammers. Sin embargo, quienes evocaron este suceso fueron personas motivadas por el afán de lucro.

    Phishing

    El porcentaje de mensajes phishing en 2011 se multiplicó 15 veces y alcanzó el 0,02% del total del tráfico de correo.


    Porcentaje de mensajes phishing en el tráfico de correo en 2011

    Sin embargo, a principios del año, un poco menos del 10% del total de las detecciones del módulo antivirus tuvieron que ver con programas utilizados en la organización de ataques phishing (Trojan-Spy.HTML.gen et Trojan.HTML.Fraud.fc). Estos dos programas presentan páginas HTML que imitan los formularios de inicio de sesión de servicios online. Los datos capturados en los formularios se transmiten a los ciberdelincuentes. El porcentaje de mensajes con estos programas maliciosos como adjuntos representa un 0,35% del total del tráfico de correo.

    TOP 3 de las organizaciones blanco de ataques phishing en 2011

    1. PayPal 43,14 %
    2. eBay 9,90 %
    3. Facebook 7,04 %

    En relación al año anterior, el trío de líderes de las compañías que más sufren ataques phishing no cambió. Además, el porcentaje de los sitios de subastas eBay (9,9%) y de la red social Facebook (7%), 2a y 3a posiciones, respectivamente, no cambió más que en un 0,1% en relación a 2010. El porcentaje del líder indiscutible de esta categoría, el sistema de pago online PayPal (43,1%), se redujo en un 10,2% al final del año.

    Además de Facebook, durante todo el año los phishers mostraron interés por las redes sociales Habbo y Orkut, víctimas del 6,9% y 2,6% de ataques, respectivamente.

    Los adeptos de juegos en línea siguen siendo blanco predilectos de los phishers. Así, el porcentaje de World of Warcraft aumentó en un 0,5% en relación al anterior año, alcanzando el 2,2%. RuneScape sufrió un porcentaje similar de ataques en el 2011 (2%).

    Así, los phishers en 2011 siguieron atacando el dinero y los bienes virtuales: las cuentas de las redes sociales, y los personajes y el dinero en los juegos online.

    Adjuntos maliciosos en los mensajes

    A finales del año, el porcentaje de adjuntos maliciosos en el tráfico de correo fue del 3,8%. Esta cifra es 1,7 veces superior a la del año 2010. Resulta interesante constatar que en 2010 la proporción relativamente importante de adjuntos maliciosos estuvo ligada a la explosión estival de los envíos maliciosos. En 2011, la situación fue diferente: el porcentaje de adjuntos maliciosos durante todo el año nunca se situó por debajo del 2,5%.


    Porcentaje de adjuntos maliciosos en el correo en 2011

    Notemos que por segundo año consecutivo, los meses más activos fueron julio, agosto y septiembre, y es durante estos meses que pudimos observar los trucos más variados usados por los spammers para propagar sus códigos maliciosos.

    Clasificación de detecciones del módulo antivirus de correo por país

    En 2011, la distribución de detecciones de nuestro módulo antivirus de correo por país fue como se muestra en el siguiente gráfico:


    Distribución de detecciones del módulo antivirus de correo por país

    Fue en Rusia donde se registró la mayor cantidad de detecciones por el módulo antivirus de correo (12,3%). En 2010, Rusia no aparecía en el Top 10 de países en función de las detecciones del módulo antivirus de correo. El porcentaje de detecciones del módulo antivirus de correo en Estados Unidos aumentó en un 1,5% en relación al año 2010, alcanzando el 10,9%. Este país ocupa la 2a posición en la categoría en 2011. El Reino Unido se mantuvo en la misma ubicación. Este país ocupa la 3a posición en 2011, habiendo experimentado una disminución de apenas el 0,9%.

    Entre los cambios más notables, debemos señalar el incremento en las detecciones del módulo antivirus de correo en Vietnam (+2,7%), y la disminución de este índice en Alemania (-2,6%).

    Resulta interesante constatar que a lo largo de todo el año hubo una relación inversa entre la dinámica de la distribución de códigos maliciosos en Estadios Unidos y en India: cuando el volumen de spam malicioso se fortalecía en Estados Unidos, se debilitaba en la India, y viceversa.


    Dinámica de las detecciones del módulo antivirus de correo en Estados Unidos e India en 2011

    Aparentemente, esto se explica por la naturaleza totalmente distinta de los programas maliciosos distribuidos en estos dos países. En India, los ciberdelincuentes prefieren enviar programas que permiten construir redes zombi en este país, mientras que en Estados Unidos, se interesan por robar datos personales y financieros. Si tenemos en cuenta que los recursos de los ciberdelincuentes son limitados, el cuadro queda claro: son las mismas redes zombi que buscan alternativamente en India la implementación de nuevas redes, y ganar dinero mediante el robo de los datos de los usuarios norteamericanos.

    Programas maliciosos propagados por correo


    Top 10 de los programas maliciosos en el flujo de correo en 2011

    Por segundo año consecutivo, el primer lugar de la clasificación de los programas maliciosos detectados en el flujo de correo corresponde a Trojan-Spy.HTML.Fraud.gen. El porcentaje de este programa malicioso aumentó en un 3,5% en relación al año anterior. Este programa malicioso (de phishing) aparece bajo la forma de páginas HTML que imitan el formulario de registro de servicios bancarios online. Los datos capturados en este formulario se transmite a los ciberdelincuentes. Para saber más sobre este programa malicioso, lee este artículo.

    En el tercer lugar se encuentra el gusano Worm.Win32.Mabezat.b, que también se propaga a las direcciones de correo detectadas en el ordenador capturado. Además, es capaz de crear sus propias copias en los discos locales y en los recursos de red accesibles desde el ordenador infectado.

    El programa malicioso Trojan.HTML.Fraud.fc debutó en nuestra clasificación en abril de 2011 y en el segundo trimestre alcanzó la tercera posición. A finales de 2011, este troyano que bajo la forma de una página HTML de phishing robaba los datos financieros de usuarios brasileños, se ubicó en la 6a posición.

    El compactador Packed.Win32.Katusha.n, que ocupaba la 4a posición en el segundo trimestre, terminó el año en la 8a posición. Este programa permite evitar la detección de otros programas maliciosos por parte de las soluciones antivirus.

    De los diez programas maliciosos de nuestra clasificación, siete son gusanos de correo. Algunos de ellos permanecieron en la clasificación prácticamente durante todo el año 2011.

    En la 2a y la 4a posiciones, encontramos Email-Worm.Win32.Mydoom.m y Email-Worm.Win32.NetSky.q, respectivamente, que son gusanos de correo que cumplen dos funciones: la recopilación de direcciones de correo desde los ordenadores infectados y el envío de sus copias a estas direcciones. Estos programas maliciosos se estrenaron en la clasificación de 2010. El porcentaje de mensajes que incorporaban el gusano Email-Worm.Win32.Mydoom.m se duplicó en relación al año 2010. El porcentaje del programa malicioso Email-Worm.Win32.NetSky.q también aumentó aunque ligeramente en relación al año anterior.

    Otros dos representantes de estas familias, Email-Worm.Win32.Mydoom.l y Email-Worm.Win32.NetSky.ghc, se encuentran en la 7a y la 9a posiciones, respectivamente. Su función es idéntica a la descrita anteriormente.

    Email-Worm.Win32. Bagle.gt, otro gusano de correo veterano en nuestra clasificación, ocupa la 4a posición. Además de la función clásica de los gusanos de correo, este gusano se pone en contacto con un recurso de Internet para descargar programas maliciosos.

    Conclusión

    La presión ejercida por la comunidad informática internacional y por las autoridades policiales y judiciales sobre el spam está dando sus frutos. Los usuarios reciben menos spam. Sin embargo, en general, los mensajes spam se han hecho más peligrosos: el porcentaje de mensajes maliciosos se incrementó. La cantidad de ataques phishing contra blancos específicos también aumentó.

    Estimamos que los phishers seguirán concentrándose cada vez más en grupos específicos de usuarios y que el spam tendrá cada vez más mensajes que imiten el diseño de las notificaciones de recursos legítimos populares. En ambos casos (ataques phishing contra blancos específicos y la recepción de una nueva notificación proveniente de un recurso Internet legítimo), es muy difícil trazar la diferencia entre un mensaje falso y uno auténtico. En consecuencia, los usuarios correrán un gran riesgo de infecciones, mientras que los datos confidenciales de usuarios y de compañías estarán cada vez más expuestos a robos.

    Con el fin de economizar recursos y de neutralizar los dispositivos antispam, los dueños de redes zombi distribuyen sus víctimas en diferentes segmentos. Reducen el volumen de sus propagaciones y las vuelven más eficaces. Esta tendencia se mantendrá.

    En algunas regiones, como Europa occidental, la lucha contra el spam llevó a una reducción en el flujo de spam proveniente de estos países. El primer lugar corresponde ahora a Asia y América latina. Esta situación se mantendrá hasta que se implemente una legislación antispam digna de su nombre en esta región. La proporción de África en el tráfico spam probablemente aumentará. La cantidad de ordenadores en este continente va en aumento año tras año, y la calidad de los servicios de Internet también va mejorando, lo que no sucede con el nivel de conocimiento de los usuarios sobre los peligros en Internet.

    La lucha contra el spam y el phishing debe tener en cuenta estas tendencias y las nuevas estrategias de los phishers y de los propietarios de redes zombi. En cuanto a los usuarios, en este nuevo contexto, deben ser mucho más precavidos.

Kaspersky Security Bulletin. Spam en 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada