Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin. Spam en 2012

El año en cifras

  • La cantidad promedio de spam en el tráfico de correo se mantuvo en un 72,1%.
  • El porcentaje de mensajes phishing en el tráfico de correo alcanzó el 0,02%.
  • El 3,4% de mensajes de correo contenía adjuntos maliciosos.

Tendencias en 2012

Menor volumen de spam

La cantidad de spam cayó durante el transcurso del año. A fin de año, el porcentaje de spam era del 72,1%, o un 8,2% menos que en 2011.


Porcentaje de spam en el tráfico de correo

Esta disminución continua y constante del volumen de spam es inédita. Además, el porcentaje promedio de spam en 2012 fue considerablemente menor al de 2010 (82,2%) y al de 2011 (80,3%), cuando se desmantelaron los centros de comando de las redes zombi y de los programas afiliados farmacéuticos.  En 2012, el porcentaje de mensajes de correo no solicitados fue el más bajo en los últimos cinco años.

Esto se debe principalmente al mejoramiento de la protección antispam en general.

Para comenzar, casi todos los sistemas de correo, incluso los gratuitos, llevan incorporados filtros antispam, y el nivel de detecciones es del 98%.

Después, muchos proveedores de correo han incorporado las políticas obligatorias de signaturas DKIM (firmas digitales que verifican el dominio de donde provienen los mensajes de correo).

Estas políticas DKIM aparecieron en 2006, pero el reconocimiento tardó en llegarles. Fue solo en los dos últimos años que los proveedores de correo comenzaron a considerarlas como un criterio importante para determinar si un mensaje de correo debe entregarse o no a su destinatario. Pero los ciberdelincuentes contraatacaron y generaron falsas signaturas DKIM. Esto sucedió debido a que muchas compañías usaban un algoritmo para codificar sus signaturas que hasta antes de 2012 era relativamente fácil hackear.

Sin embargo, en 2012 la revista Wired publicó un artículo que describía los problemas vinculados con signaturas DKIM no codificadas. Tras su publicación, muchas importantes compañías, como Google, Yahoo y Microsoft cambiaron sus métodos de codificación de signaturas, y optaron por remplazar las llaves 512-bit por otras más modernas, las llaves 1024- o 2048-bit. Este cambio neutralizó las signaturas falsificadas (al menos con la capacidades de los equipos actuales).

Como consecuencia de las acciones tomadas para mejorar la protección antispam, la cantidad de mensajes spam que llegaban al usuario se redujo a un mínimo. Esto hizo que el spam se vuelva ineficaz y obligó a sus clientes a migrar a otras plataformas. A su vez, esto provocó una caída en el volumen de spam en el tráfico de correo.

Avisos legales en Internet como alternativa al spam.

Cuando los expertos antispam responden a interrogantes sobre qué se puede hacer para reducir la cantidad de spam, aparte de la legislación antispam, de la calidad de los filtros y de la educación de los usuarios, siempre coinciden en mencionar un factor: los avisos de bajo coste en plataformas legales. Con la aparición de la Web 2.0, las posibilidades de anunciar en la web se han disparado: Banners, avisos contextuales y avisos tradicionales en redes sociales y en blogs.

Los avisos que se publican en sitios legales no resultan tan molestos para los usuarios a los que van dirigidos, los filtros antispam no los bloquean, y los mensajes de correo se envían a determinados destinatarios que han manifestado su interés en los artículos y servicios que se publicitan. Además, mientras los anunciantes se desviven esperando un clic del usuario, los avisos legales pueden costar mucho menos que las campañas por spam.

Según los resultados de estudios realizados por terceras partes, hemos calculado que por un precio promedio de 150 $ por un millón de mensajes spam enviados, el CPC (coste por clic, el coste de un usuario que activa el enlace en el mensaje) final, es de no menos de 4,45 $, Y el mismo indicador para Facebook es de apenas 0,10 $.

Esto significa que, según nuestras estimaciones, los avisos legales son más efectivos que el spam. Nuestra conclusión ha sido indirectamente confirmada por el hecho de que categorías tradicionales de spam, como por ejemplo la de artículos de lujo falsos, están migrando a las redes sociales. Incluso hemos encontrado algunas direcciones IP de tiendas online que antes recurrían al spam y que ahora publicitan en Facebook.

Los anunciantes también han migrado a otras formas de publicidad legal en la web, como servicios de cupones, o sitios de descuentos grupales, en los que los usuarios pueden adquirir estos cupones. Estos servicios aparecieron hace muchos años.  Cuando el usuario adquiere un cupón, lo usa para recibir un descuento al realizar una compra. En 2012, los servicios de cupones ganaron gran notoriedad. Muchas compañías en todo el mundo están luchando para ampliar su base de clientes, y a su vez, estos reciben generosas ofertas.

Los servicios de cupones han llamado la atención de los anunciantes que antes recurrían al spam. Por ejemplo, más del 10% de las ofertas en los servicios de cupones caen en la categoría “viajes y turismo”, una categoría que casi ha desparecido del spam. La popularidad de los servicios de cupones ha provocado la migración de los anunciantes del spam hacia otras plataformas más populares.

Al mismo tiempo, la notoriedad de los servicios de cupones ha tenido un impacto en el spam.  Los ciberdelincuentes han empezado a copiar los mensajes de correo de los principales servicios de cupones, usando los originales para anunciar sus propios artículos o servicios, o para inducir a los usuarios a que visiten un sitio malicioso.


Esta migración hacia plataformas legítimas puede ser potencialmente ventajosa para promocionar artículos y servicios legítimos. Esto reviste particular importancia para Rusia y otros países de Europa oriental en los que el tráfico de spam sigue siendo el medio preferido de pequeñas y medianas empresas. Sin embargo, dado que la mayor parte del spam en estos países anuncia artículos y servicios falsificados, además de contener mensajes maliciosos, la cantidad de spam seguirá siendo elevada.

Mensajes de correo maliciosos y fraude en el spam

En 2012, fue impresionante la amplia variedad de asuntos usados en los mensajes maliciosos. Antes, los ciberdelincuentes recurrían a falsas notificaciones de servicios de hosting, redes sociales, servicios de distribución, y mensajes de organizaciones financieras y gubernamentales. Pero en 2012 expandieron su repertorio. Vimos la aparición de mensajes fraudulentos de varias aerolíneas, servicios de reservas de hoteles, y los servicios de cupones arriba mencionados.

Este tipo de falsos mensajes de correo contenían adjuntos maliciosos en un archivo comprimido, o enlaces maliciosos.



La configuración de los ataques que usan enlaces es la misma. Un usuario desprevenido activa el enlace que lo llevará a un sitio con scripts maliciosos, que a su vez lo renviará a un sitio malicioso que contiene exploits. A menudo, se trata del exploit  Blackhole, pero también se han usado otros exploits.

Además de los procesos que hemos descrito arriba, los ciberdelincuentes solían usar formas oficiales de publicar contenidos en algunos sitios web legítimos. Los expertos de Kaspersky Lab han detectado notificaciones con enlaces a Wikipedia y Amazon. Los ciberdelincuentes han utilizado su habilidad para crear sus propias páginas web en estos recursos y colocar contenidos maliciosos. Sin embargo, los contenidos maliciosos se eliminan rápidamente de estos sitios, incluso antes de que los envíos spam y sus respectivos enlaces lleguen a sus destinatarios. Esto parece haber ocasionado que este método haya perdido popularidad entre los ciberdelincuentes.

También se han encontrado enlaces a otros recursos legítimos en mensajes spam. Por ejemplo, los ciberestafadores siguen usando las planillas de Google para robar información confidencial de los usuarios (especialmente nombres de usuario y contraseñas de cuentas de correo).


Entre los métodos de ingeniería social más usados por los ciberdelincuentes, los expertos de Kaspersky Lab siguen detectando falsa correspondencia personal. Suelen estar tan bien elaborados que no es evidente a primera vista que se trata de mensajes spam. Solo al ejecutar el análisis antivirus de archivos comprimidos adjuntos se detectan las modificaciones de varios programas maliciosos.


Los ciberdelincuentes suelen tratar de ocultar el hecho que los archivos del paquete comprimido son ejecutables (.exe) disfrazándolos como aplicaciones de oficina.


También hemos visto mensajes de correo diseñados como correspondencia personal con la expectativa de que la codicia mueva al destinatario a abrir el archivo comprimido adjunto: el usuario recibirá por casualidad una carta con información de Western Union informándole que ha recibido cierta cantidad de dinero.


Sin embargo, en lugar de la supuesta  información de Western Union, el archivo comprimido adjunto contiene un troyano de la familia Zbot.

Fuentes de spam: cambios en la distribución

En 2012 se han dado importantes cambios entre los países fuentes de spam.

China, que no aparecía ni en el Top 20 de fuentes de spam en 2011, llegó a la primera plaza en 2012, con el 19,5% de todo el spam. El spam proveniente de EE.UU. se incrementó en un 13,5%, hasta llegar al 15,6%, suficiente para ocupar la segunda posición.

Ambos países habían figurado antes entre las principales fuentes de spam en el mundo, pero cayeron de la cima en los últimos años. La cantidad de spam proveniente de China cayó en 2007 después de que este país introdujera leyes antispam. El spam proveniente de EE.UU. casi desapareció por completo después de que se clausuraran varios centros de comando de redes zombi en 2010. Sin embargo, estos países tienen la mayor cantidad de usuarios de Internet, mucho más que cualquier otro país. EE.UU. y China combinados representan más del 30% de todos los usuarios de Internet en el mundo. Resulta obvio que con tantas víctimas potenciales, los ciberdelincuentes que implementan redes zombi tengan mucho interés en expandir sus redes de equipos infectados.


Fuentes de spam por país

Durante todo el año se evidenciaron cambios en la clasificación de países fuente de spam. Fueron especialmente evidentes en la región de Asia, donde China ocupó el primer lugar, mientras que los anteriores líderes de la región, como India, Indonesia y Corea del Sur perdían terreno.


Cambios en el Top 10 de fuentes de spam por país

Asia sigue siendo la región líder en la propagación de spam. En el transcurso del año, el porcentaje de la región en el tráfico de correo spam en el mundo creció en un 11,2%, alcanzando el 50%.


Fuentes de spam por región, 2012


Fuentes de spam por región, 2011

Debido a la creciente participación de EE.UU. en la propagación de spam, Norteamérica se adjudicó la segunda posición en el Top 10 con el 15,8%, cuando en 2011 apenas era del 2%. Mientras tanto, la cantidad de spam proveniente de Sudamérica cayó en un 8% hasta cerrar en un 11,8%.

 

Volumen de spam proveniente de Norte y Sudamérica, enero-diciembre 2012

Europa también descendió en la clasificación. En 2012, la cantidad total de spam proveniente de Europa occidental y oriental unidas, alcanzó el 15,1%, lo que es casi la mitad de lo registrado en 2011 (30%).

Adjuntos maliciosos en los mensajes de correo

A pesar de la caída del porcentaje total de spam en el tráfico de correo, la proporción de mensajes de correo con adjuntos maliciosos apenas bajó hasta el 3,4%. Este es un porcentaje considerable, considerando que esta cifra refleja sólo los mensajes de correo con adjuntos maliciosos e ignora los otros mensajes spam con enlaces a sitios web maliciosos.

El adjunto malicioso más común en 2012 fue Trojan-Spy.HTML.Fraud.gen, que se mantuvo firme al tope y por delante de los otros dos programas maliciosos del Top 3 de esta categoría durante los primeros nueve meses del año. En el último trimestre del año, los adjuntos maliciosos más notables fueron Trojan-Spy.Win32.Zbot.fsfe y Trojan-PSW.Win32.Tepfer.cfwf. Estos tres programas maliciosos están diseñados para robar información de las cuentas de los usuarios (nombres de usuario y contraseñas). Fraud.gen y Zbot (ZeuS) apuntan exclusivamente a contraseñas para sistemas financieros y de pago, mientras que Tepfer roba también otras contraseñas.


El Top 10 de programas maliciosos en mensajes de correo en 2012

Los gusanos de correo ocuparon la segunda y tercera posiciones en la clasificación. Esta gran cantidad de gusanos es la consecuencia de la manera en que funcionan los gusanos: una vez que se instalan en el equipo comienzan activamente a autoenviarse a las direcciones en la lista de contactos del usuario. Este tipo de gusanos domina en los países asiáticos, donde las usuarios suelen usar software pirata y no actualizan sus bases de datos antivirus. El gusano Bagle, además de sus principales funciones, también posee la habilidad de instalar una variedad de programas en un equipo infectado.

 

Detecciones antivirus en el correo por país

La mayor cantidad de detecciones antivirus en el correo en 2012 se registró en EE.UU. Alemania se mantuvo a la cabeza por varios meses, pero terminó en el segundo lugar al finalizar el año. La tercera posición correspondió a Reino Unido. Rusia, que fue el principal blanco en 2011, cayó al 9œ lugar en 2012.

Curiosamente, el porcentaje de mensajes con adjuntos maliciosos enviados a usuarios en EE.UU. se incrementó en la misma proporción que lo hizo el porcentaje de spam proveniente de EE.UU. La cantidad de mensajes maliciosos que apuntan a China también creció. Estos programas maliciosos, entre otras cosas, descargaban seguramente robots spam en los equipos de los usuarios. En consecuencia, los equipos infectados pasaron a ser parte de un sistema de redes zombi y comenzaron a enviar mensajes spam.

Phishing


Top 100 de organizaciones atacadas por phishers, por categoría

Esta clasificación se basa en las detecciones del componente antiphishing de Kaspersky Lab, que se activan cada vez que un usuario activa un enlace phishing, ya sea que el enlace se encuentre en un mensaje spam o en una página web.

Los principales blancos de los phishers en 2012 fueron varias redes sociales (24,5%). La mayoría de los ataques se lanzaron contra Facebook. Los ciberdelincuentes usaron las cuentas robadas principalmente para enviar spam y programas maliciosos a amigos del usuario.

La cantidad de ataques phishing contra organizaciones financieras disminuyó en 2011, pero se mantuvo elevada con un 22,9%. El tercer blanco principal de los ataques phishing fueron las tiendas y subastas online (18,4%), pues los phishers deseaban capturar información de las cuentas, como los números de tarjetas de crédito.

El cuarto blanco más importante de los ataques phishing en 2012 fueron los motores de búsqueda (14,1%). Ya que muchos motores de búsqueda, como Google son importantes sitios web, también presentan variados tipos de servicios al usuario. Estas cuentas también llaman la atención de los ciberestafadores.


Alojamiento de sitios phishing por país

Aparte de Rusia e India, que ocuparon la cuarta y sexta posiciones, respectivamente, el Top 10 de países atacados por phishers estuvo compuesto completamente por países con economías desarrolladas.

Casi todos los países en la lista tienen sistemas de banca online muy desarrollados y una gran cantidad de usuarios de redes sociales: los dos blancos principales de los phishers. Los alojamientos de sitios phishing no se encuentran necesariamente en el mismo país de los usuarios atacados. Sin embargo, hay un ligero matiz: los phishers suelen darle a sus sitios fraudulentos nombres que se aproximen en lo posible a los nombres de los sitios reales (por ejemplo, cambiando una letra del nombre real), de manera que los usuarios no se den cuenta de que se encuentran en un sitio falso.  Los dominios se presentan de la misma manera que los de los sitios reales,  para que se asemejen en lo posible. Tal vez se deba a esto que tengamos este tipo de distribución de zonas de dominios.

Resulta interesante que los tres países en los que se encontraron la mayoría de los sitios web phishing (EE.UU., Alemania y Reino Unido) también sean los principales tres países destinatarios de mensajes spam con adjuntos maliciosos.

Conclusión

En 2012, el porcentaje de spam decayó en el transcurso del año, y durante los tres últimos meses el permaneció por debajo del 70%. Esta caída es resultado del gradual abandono de los anunciantes del spam que prefieren otras formas legales y más convenientes para publicitar sus artículos y servicios. Sin embargo, eso no significa que el spam esté condenado a una pronta extinción: el spam malicioso, fraudulento, y la publicidad de artículos ilegales no puede simple y fácilmente migrar hacia plataformas legítimas debido a su inherente naturaleza delictiva. Estimamos que la disminución de los volúmenes de spam en 2013 será mínima.

En 2012, el porcentaje de spam proveniente de EE.UU. y China creció considerablemente. Ambos países habían sido anteriormente fuentes líderes de spam, pero tras la implementación de legislaciones antispam y la clausura de redes zombi, la cantidad de mensajes spam provenientes de ellos decayó notablemente. Los spammers, por supuesto, no quieren dejar de aprovecharse de los poderosos recursos informáticos disponibles en EE.UU. y China para implementar nuevas redes zombi en estos países.

Los programas maliciosos más populares en 2012 fueron los diseñados para robar nombres de usuario y contraseñas, principalmente de cuentas de servicios financieros. Sin embargo, los ciberdelincuentes también se interesaron por otros tipos de cuentas, como las de redes sociales, de correo y otros servicios.

El volumen de mensajes de correo maliciosos se mantuvo elevado durante todo el año. Los ciberdelincuentes están falsificando una gran variedad de notificaciones legítimas. Ante esta situación, Kaspersky Lab recuerda a los usuarios de Internet que tomen algunas precauciones: cuando recibas un mensaje de correo, asegúrate de que realmente provenga de donde dice. Nunca actives enlaces incorporados en mensajes de correo sospechosos, y es crucial que actualices regularmente los programas instalados en tu equipo.

Kaspersky Security Bulletin. Spam en 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada