Información general
- El porcentaje de spam en el tráfico de correo alcanzó un promedio del 84,4%.
- Los vínculos a sitios phishing se detectaron en el 0,02% de todos los mensajes de correo.
- PayPal encabeza la lista de organizaciones que sufren más ataques phishing.
- El número de adjuntos gráficos en los mensajes de correo llegó al 10,3%.
- Los spammers anuncian activamente Viagra y diseminan programas maliciosos en mensajes de correo diseñados para que parezcan notificaciones de redes sociales y servicios de correo electrónico.
- Los EE.UU., India y Vietnam son los tres principales orígenes de spam. El porcentaje de spam originado en Latinoamérica se ha incrementado significativamente.
Spam en el tráfico de correo
Porcentaje de spam en el tráfico de correo
El porcentaje de spam en el tráfico de correo cayó en un 0,8% en el segundo trimestre de 2010, totalizando un 84,4%. Los niveles más elevados de spam se registraron el 18 de abril y el 9 de mayo con el 89,8%, mientras que el nivel más bajo se presentó el 20 de abril con el 79,2%.
El mayor porcentaje de spam en el tráfico de correo ocurrió en la primera quincena de mayo, debido principalmente a que la cantidad de mensajes legítimos suele decaer durante la época de vacaciones.
Fuentes de spam
Distribución de las fuentes geográficas de spam
Distribución de las fuentes geográficas de spam
Asia sigue siendo la región que más spam produce. En abril, el 40,5% de todo el spam que circula en Internet provino de los países asiáticos. Posteriormente, el porcentaje de spam originado en Asia declinó someramente. En general, entre abril y junio de 2010, el 32,8% de todo el spam provino de los países asiáticos, cifra ligeramente superior a la de la cantidad enviada durante el primer trimestre del año (31,7%). Además, el volumen de spam originado en Asia ha ido disminuyendo mes a mes. Por el contrario, la cantidad de mensajes no deseados enviados desde Latinoamérica ha tenido un notable aumento. Los lectores seguramente recordarán que en 2009, la cantidad de spam proveniente de Sudamérica era del 15% y cayó hasta el 10,5% en el primer trimestre de 2010. Al final de los segundos trimestres de 2010 y 2009, el 16,3% de todo el spam en la web provenía de Latinoamérica.
Las fluctuaciones del spam proveniente de Asia y Latinoamérica
El pasado trimestre, Kaspersky Lab observó que si se comparamos Asia y Europa en general (occidental, oriental y Rusia), entonces la región europea es la que encabezaba la clasificación. Sin embargo, en este trimestre, el volumen de spam enviado desde Europa oriental disminuyó en un 5,5%. En consecuencia, Asia sigue manteniéndose a la cabeza de las posiciones de las fuentes de spam, incluso si se la compara con toda Europa (32,8% contra 31,5%).
Distribución de las fuentes de spam por país
EE.UU. encabeza la clasificación este trimestre con un 15% del total de spam, mientras que India se mantiene firme en el segundo puesto con el 8,5%. Vietnam subió dos posiciones y ahora se coloca en el tercer lugar. Sin embargo, se presentaron varias modificaciones en las posiciones en este trimestre. En abril, EE.UU., India y Vietnam se encontraban casi cabeza con cabeza (12,3%, 11,7% y 11,6%, respectivamente), mientras que en mayo, EE.UU. afirmó su liderazgo con el 20,8%.
Italia (3,3%) y España (2,8%) se introdujeron inesperadamente entre los Top 10. El anterior trimestre, estos países se encontraban en las posiciones 14 y 15. China alcanzó sólo el 2,3% de todo el spam y no pudo volver a los Top 10, lo que nos hace pensar que las nuevas estrictas leyes impuestas en China tienen su lado positivo.
Tamaño de los mensajes spam
Tamaño promedio de los mensajes spam
El volumen de spam sigue estando conformado de mensajes livianos de 5kb o menos. Sin embargo, en comparación con el primer trimestre del año, la cantidad de mensajes cortos ha sufrido una disminución. A pesar de ello, siguen siendo parte de más de la mitad de todos los mensajes spam. Además, la cantidad de spam con un tamaño entre 5kb y 10kb ha aumentado ligeramente. Lo más probable es que esto se deba a las activas campañas de correo con publicidades de Viagra y de réplicas de artículos de lujo, cuyos mensajes contienen pequeños gráficos o un extenso fragmento de un texto aleatorio.
Tipos de adjuntos en los mensajes
Distintos tipos de adjuntos en los mensajes
En el segundo trimestre de 2010, el 75,7% de todos los mensajes spam contenían texto simple y sin formato. Más de la mitad de los mensajes spam contenían una porción en HTML. Por primera vez, la cantidad de adjuntos gráficos en formato GIF superó a la del formato JPEG, alcanzando el 10,1%. Como de costumbre, hemos encontrado mensajes spam con adjuntos GIF y JPEG.
En general, el volumen de spam con adjuntos gráficos alcanzó el 10,3%, o un 1,4% menos que el trimestre anterior. Las mayor cantidad de spam gráfico (12,53%) se registró en abril.
Porcentaje de mensajes spam con adjuntos gráficos
Phishing
La cantidad de mensajes phishing en el tráfico de correo durante el segundo trimestre de 2010 fue bastante reducida. Después de un notable decaimiento en marzo (del 0,87% del total del tráfico al 0,03%), la cantidad de mensajes phishing siguió decayendo, llegando apenas al 0,02% de todo el tráfico de correo al final del segundo trimestre de 2010.
El sistema de pago electrónico PayPal sigue encabezando el Top 10 de las organizaciones más atacadas. PayPal es el blanco del 60,4% de todos los ataques phishing. En junio, este número bordeó el 70%.
Las Top 10 organizaciones más atacadas por los phishers
Otras organizaciones también atacadas, aparte de eBay (9,36% de todos los ataques) y HSBC (6,51%), son Facebook (6,03%) y el motor de búsqueda de Google (2,84%). Kaspersky Lab está detectando una significativa concentración de los phishers en los sitios sociales y de entretenimiento. Además de Facebook, también han sufrido ataques MySpace, Orkut y Habbo, así como los juegos en línea WoW y Zynga, y el servicio de juegos STEAM.
El eslabón más débil en los ataques phishing son los vínculos incluidos en los mensajes: si bien es posible persuadir al usuario de que ha recibido un mensaje de un banco, por ejemplo, si el usuario se da cuenta de que el vínculo lo lleva a un sitio completamente distinto, probablemente no seguirá el camino previsto por el phisher. Es por esto que los phishers intentan camuflar sus vínculos haciéndolos parecerse lo más posible a los originales:
Ejemplo de un mensaje con un vínculo phishing que aparenta ser una dirección legítima
El anterior trimestre, los phishers también recurrieron a nombres de dominios con la intención de infundir cierta seguridad en sus esfuerzos de engañar a los usuarios de Internet:
Vínculo phishing que conduce al dominio guardianangels.co.za
Adjuntos maliciosos en los mensajes spam
En el segundo trimestre de 2010, se detectaron archivos maliciosos en el 1,87% de todos los mensajes, cifra que es un 1,19% mayor que la del primer trimestre.
El siguiente cuadro muestra una lista de los archivos maliciosos más comunes en los mensajes durante el segundo trimestre de este año:
Los Top 10 archivos maliciosos más comunes en mensajes de correo
En la primera posición aparece el Trojan-Downloader.JS.Pegal.g. Otra variante de esta amenaza, Trojan-Downloader.JS.Pegel.bc, aparece en el séptimo lugar. Este tipo de troyanos son páginas HTML que contienen escenarios escritos en Javascript. Los Trojan Downloaders están diseñados para desviar al usuario hacia un sitio malicioso que puede contener publicidad y códigos maliciosos que se descargarán en el equipo del usuario. Los troyanos de la familia Redirector se comportan de la misma manera. Un Redirector, Trojan.JS.Redirector.dz, se ubicó como la sexta amenaza más importante en el segundo trimestre de este año. El troyano Trojan.Script.Iframer funciona de la misma manera, y se ubica en la novena posición de los Top 10.
Vale la pena notar que todas las amenazas mencionadas anteriormente se encuentran entre las primeras posiciones gracias a un masivo ataque en junio, que trataremos a continuación. Antes del ataque de junio, ninguna de estas amenazas de correo se había situado entre los Top 10.
La segunda amenaza más importante fue el comprimidor Trojan.Win32.Pakes.Krap.an. Un troyano similar, Packed.Win32.Krap.x, se encontraba como líder el anterior trimestre. Además de Krap.an, otro comprimidor también se ubicó entre los Top 10: Trojan.Win32.Pakes.Katusha.l (5? lugar). Similares programas suelen usarse para comprimir programas antivirus falsificados.
La amenaza de correo Trojan-Spy.HTML.Fraud.gen obtuvo la tercera posición. Este troyano vulnera una falla en las versiones 5.x y 6.x de Microsoft Internet Explorer. El pasado trimestre, este troyano estaba en el segundo lugar. Esta amenaza estaba diseñada principalmente para recolectar la información confidencial que un usuario ingresara en un sitio web.
Se distribuyeron por correo archivos maliciosos recurriendo a una variedad de ofertas. Entre ellas se encontraban falsas notificaciones de sistemas de correo y redes sociales que instaban al usuario a instalar una actualización o a cambiar su contraseña, falsos saludos, y falsas facturaciones de servicios de correo. Otras tácticas incluían falsos correos anunciando escandalosas noticias, y promesas de fotos adjuntas de hermosas mujeres desnudas, entre otras. Pero a veces a los autores de virus se les acababan las buenas ideas y enviaban mensajes tan displicentes como el siguiente:
Mensaje displicente de un spammer sin convicción ni esfuerzo
con un adjunto malicioso
Junio: ataque masivo
Como hemos mencionado, la amenaza Trojan-Dowlnoader.JS.Pegel.g fue la más importante en junio, alcanzando el 23,3% de todos los archivos maliciosos detectados en el correo. Toda la culpa recae en un envío masivo mutante.
Se enviaron mensajes que aparentaban ser notificaciones de redes sociales, sistemas de correo, y sitios web populares (como Facebook, Twitter, Digg, Amazon, Windows Live, YouTube, Skype y Wikipedia). Estos mensajes se parecían mucho a ataques phishing. Sin embargo, si el usuario activaba el vínculo, se le conducía a un sitio pirateado desde el cual se descargaba un script malicioso. Entonces este script llevaba al usuario a un sitio en el que se publicitaba medicamentos o réplicas de artículos de lujo. A diferencia de los mensajes phishing, en los que el sitio malicioso suele ser el destino de un sólo vínculo, en este caso, todos los vínculos del mensaje conducían a una sola y misma página.
Ejemplos de un mensaje con Pegel. Los vínculos en el mensaje conducían
a un sitio que anunciaba Viagra
Una característica notable de este spam masivo era la presencia de un adjunto HTML, o vínculos que llevaban al usuario a un sitio con Pegel, Iframe o Redirector. Una vez que se lograba confundir al usuario, JavaScript lo conducía al sitio malicioso. En la mayoría de los casos, este complicado sistema se usaba para que los usuarios terminaran en un sitio que anunciaba Viagra o réplicas de artículos de lujo. Sin embargo, en algunos casos, los sitios de destino contenían programas maliciosos, como Backdoor.Win32.Bredolab. Los estafadores cibernéticos o scammers usaron un similar esquema el año pasado. Para saber más sobre las tácticas usadas el año pasado, lee el siguiente artículo: http://www.viruslist.com/sp/analysis?pubid=207271041.
Trucos técnicos
El anterior trimestre, la variedad fue la sal de los mensajes spam que ofrecían medicamentos. Además del método de desviar al usuario a otro sitio que discutimos líneas arriba, en algunos casos un spam gráfico se descargaba directamente en el cuerpo del mensaje. Estas imágenes eran, por lo general, notificaciones falsas de recursos muy conocidos:
Spam publicitario en un correo que aparentaba ser una notificación de Twitter
Llama la atención que el ejemplo mostrado no era sólo el vínculo primario en el gráfico, sino que todos los otros vínculos (“not my account” my “Twitter support”) también conducían al sitio spam de la tienda farmacéutica en línea.
Otros mensajes con publicidad sobre medicamentos lograban engañar a los filtros antispam pues sus autores inyectaban en el mensaje extensos fragmentos de textos tomados de varias obras literarias o artículos. El aviso era visible en el gráfico que se descargaba desde un servicio de hospedaje gratuito. Felizmente, estos servicios de alojamiento bloqueaban parte de estos gráficos, y el usuario llegaba a ver una advertencia sobre los peligros del spam en lugar del gráfico del spammer:
Ejemplo de un aviso spam de Viagra y un mensaje con un gráfico
bloqueado por el servicio de alojamiento
En otros casos, los spammers intentaban camuflar la URL a la que se desviaba a los usuarios. El anterior trimestre, los spammers recurrieron al servicio Google Translate para este propósito. El vínculo aparecía así:
http://www.google.com.et/translate?js=y&prev=_t&u=http %3A%2F%2F*****.info&sl=auto&tl=en
Como puede verse, para aumentar las posibilidades de evitar el filtro, algunos vínculos spam usaron el código ASCII (en rojo). Si un usuario activaba el vínculo, primero se le conducía a un sitio con el “título” de un servicio de traducción, antes de desviarlo a un sitio spam.
Categorías de spam
Distribución de las categorías de spam
La categoría más común de spam en el segundo trimestre de 2010 fue la de Educación. Esta categoría incluye ofertas de distintos cursos de capacitación y seminarios. La categoría Fármacos y otros bienes y servicios relacionados con la salud perdió su segunda posición y fue sustituida por la de Ocio y turismo en los tres últimos meses. En abril, el porcentaje de los mensajes de esta categoría alcanzó el 21,1%, aunque después la cantidad de este tipo de mensajes comenzó a decaer.
Porcentaje de mensajes de la categoría spam Viajes y turismo
A través del trimestre, notamos un aumento de los mensajes fraudulentos en el spam. En junio, el porcentaje de la categoría Fraude informático alcanzó el 14,5%. La mayor parte del spam de esta categoría se trataba de falsas notificaciones de redes sociales con un vínculo que desviaba a sitios web de publicidad de Viagra. Este tipo de mensajes se trató en las secciones previas.
Porcentaje de la categoría Fraude informático
La categoría Fármacos y otros bienes y servicios relacionados con la salud bajó a la tercera posición en el trimestre anterior. Por una parte, esto se debe a que algunos mensajes con publicidad de Viagra se clasificaron como Fraude informático. Además, otro factor importante es que en comparación con el trimestre anterior, el porcentaje de otras categorías, como Educación, Ocio y turismo y Otros productos y servicios, también aumentó. En general, las dinámicas entre las diferentes categorías de spam demuestran que una vez que termine la crisis, el volumen del spam tradicional “legítimo” se incrementará, mientras que el del spam “partner” se reducirá.
La Copa mundial
Los spammers no podían obviar el Mundial de fútbol. Sin embargo, los lectores deben tener en cuenta que el spam que se aprovechó de la popularidad de esta competencia fue considerablemente menor al acostumbrado para eventos de esta magnitud. Como suele suceder, los temas polémicos se usaron como parte de esquemas fraudulentos dedicados a propagar programas maliciosos. La mayoría de los mensajes spam que mencionaron la Copa mundial fueron los así llamados Cartas nigerianas o notificaciones falsas sobre premios de la lotería, algunos de los cuales contenían programas maliciosos.
Ejemplos de mensajes que aprovecharon la fiebre por la Copa mundial
En el primer ejemplo, podemos ver que el adjunto contiene sólo más de lo mismo que se encuentra en el cuerpo del mensaje: una notificación falsa sobre un premio de la lotería. El usuario que abriese el adjunto en el segundo correo no sería tan afortunado: el adjunto HTML contiene un script Trojan.JS.Redirector.dw que lo conduciría a un sitio malicioso.
Conclusión
En el segundo trimestre de 2010, el spam enviado desde países en Asia y Latinoamérica supuso más de la mitad de todo el spam que circula en Internet. Habíamos notado anteriormente un cambio en las fuentes de spam hacia estas regiones. Ahora, podemos afirmar que esta tendencia se mantendrá. Esta situación se debe, en parte, a la falta de una legislación apropiada tanto en Asia como en Latinoamérica, así como a los bajos niveles de conocimientos sobre informática e Internet, en particular en lo que se refiere a la educación del usuario sobre las amenazas que circulan en Internet y sobre los métodos de protección cibernética. Estos equipos desprotegidos son las potenciales víctimas de las amenazas cibernéticas y de convertirse en parte de las redes zombis.
PayPal se consolida a la cabeza de la lista de organizaciones que sufren más ataques phishing. Sin embargo, los sitios de redes sociales se están convirtiendo rápidamente en blanco predilecto de los spammers. Facebook, en particular, ha sido el blanco de la mayoría de los ataques dirigidos contra las redes sociales.
Kaspersky Lab ha escrito con frecuencia sobre la criminalidad del spam y los esfuerzos colaborativos entre spammers, scammers y autores de virus. En el segundo trimestre de 2010, esta tendencia se mostró claramente en uno de los envíos de spam que sucedió en junio. Los mensajes spam recurrieron a una clásica táctica phishing: una copia exacta de una notificación de un sistema de correo o de una red social. Además, al activar el vínculo incluido en el mensaje, el usuario era desviado a un sitio que anunciaba Viagra o réplicas de artículos de lujo, o a un sitio con programas maliciosos. Este tipo de esquemas ya se ha convertido en un lugar común, y seguirá usándose a menudo en el futuro.
Kaspersky Lab quiere una vez más advertir a los usuarios de Internet que no deben activar los vínculos incluidos en los mensajes spam. Recomendamos la actualización regular del software y de los programas antivirus.
Spam en el segundo trimestre de 2010