Informes sobre spam y phishing

Spam en el tercer trimestre de 2011

El antispam de Kaspersky Lab protege a usuarios de todo el mundo. En el laboratorio antispam a diario se procesan más de un millón de mensajes que caen en nuestros colectores de spam. Para proteger a los usuarios, se usan técnicas como el filtrado de contenidos, el análisis de los encabezados técnicos, firmas gráficas únicas y tecnologías “en la nube” (cloud). Nuestros analistas crean nuevas firmas las 24 horas del día, los 7 días de la semana.

Principales noticias del trimestre

  • La cantidad de spam ha disminuido en un 2,7% y supone el 79,8% del tráfico de correo.
  • El porcentaje de mensajes electrónicos fraudulentos en el spam ha aumentado 20 veces y alcanzado el 2%.
  • Asia y América Latina continúan liderando la lista de fuentes de spam.
  • El porcentaje de spam generado por los programas de afiliados ha crecido 5,7 veces y alcanzado el 29% del total de spam.
  • La cantidad de mensajes con adjuntos maliciosos ha aumentado en un 1,17% y alcanzado una media del 5,03%.
  • El porcentaje de mensajes phishing ha alcanzado el 0,03% y tres redes sociales han ingresado en el TOP 5 de organizaciones atacadas.

Ingeniería social en el correo: ¡no muerdas el anzuelo!

En el tercer trimestre de 2011 la cantidad de mensajes fraudulentos en el spam ha crecido 20 veces en comparación con el trimestre anterior y alcanzó el 2% del total de mensajes spam. Causa impresión no sólo la cantidad de mensajes fraudulentos, sino también la variedad de trucos de ingeniería social presentes en el correo del tercer trimestre: los delincuentes han usado tanto viejos, como nuevos trucos, sin olvidarse de seguir con atención los sucesos mundiales y explotar el interés de los usuarios por las noticias relacionadas.

Subterfugios de los phishers

Jugando con los jugadores

Los usuarios de los juegos online de la compañía Blizzard hace bastante tiempo que se han convertido en blanco de los ataques realizados por los phishers. Los delincuentes envían a los usuarios mensajes ofreciéndoles diferentes formas de hacer aún más interesante el juego. Para que el mensaje tenga apariencia de legítimo, los phishers se esmeran en falsificar los encabezados técnicos de los mensajes. Además, los delincuentes tratan de hacer que el dominio fraudulento sea lo más parecido posible al nombre original del sitio.

Los estafadores se preparan muy bien para la aparición de nuevas versiones de juegos populares. Así, cuando en este trimestre se lanzó el juego Diablo III, nuestra compañía registró una gran cantidad de ataques phishing dirigidos a robar los logins y contraseñas de los jugadores. En los mensajes se proponía a los usuarios participar en las pruebas de la versión beta realizadas por la compañía Blizzard.

La compañía Blizzard había enviado invitaciones oficiales a sus usuarios, lo que hacía difícil darse cuenta de la falsificación. La única diferencia era que en los mensajes fraudulentos se proponía seguir un enlace (que no conducía al sitio legítimo) y en las invitaciones oficiales no había ningún enlace, sino que el usuario tenía que, por sí mismo, entrar al sitio con su login y contraseña.

Mensajes serios de organizaciones serias

Los usuarios también recibían un mensaje, supuestamente proveniente de la Corporación Federal de Seguros de EE.UU., que asegura los depósitos en las cuentas bancarias.

En el mensaje se proponía a los usuarios seguir un enlace para enterarse de información importante sobre el banco o las condiciones de crédito. El enlace conducía a un sitio donde los phishers trataban de robarles información confidencial a sus víctimas potenciales. Quisiéramos creer que no encontraron usuarios tan inocentes, que siguieron el enlace supuestamente proveniente de una organización seria en un mensaje que no sólo no tiene un vocativo personal, sino que tampoco tiene el nombre de un banco concreto.

Para los usuarios de EE.UU. los envíos de mensajes falsificados en nombre de FDIC no son nada nuevo. Sin embargo esta vez los mensajes también se enviaron a otros países. Esto es bastante extraño, si tomamos en consideración que fuera de EE.UU. la organización FDIC no es muy conocida.

¿Para quién es la hamburguesa de pescado?

En el tercer trimestre también hubo ataques phishing menos tradicionales. Así, hemos detectado un ataque phishing poliescalonado. Para empezar, el usuario recibía un mensaje, falsificado por supuesto, en nombre de McDonald’s, donde se le informaba que la compañía le transferiría 80 dólares si participaba en una encuesta. Después, el usuario tenía que seguir un enlace y contestar a una serie de preguntas. Y sólo después de hacerlo llegaba a una página en la que se le pedía ingresar los datos de su tarjeta para recibir la suma prometida. Por supuesto, a los delincuentes no les interesaban los resultados de la “encuesta”, sino los datos de la tarjeta.

En realidad, en el esquema había un paso más: al seguir el enlace del mensaje, el usuario primero llegaba al sitio hackeado, donde un javascript lo remitía a la página de la encuesta fraudulenta.

No hay que abrir los adjuntos sin pensarlo bien

Programas maliciosos con entrega a domicilio

Ya hemos escrito sobre el spam malicioso que se hace pasar por mensajes de diferentes servicios de mensajería, como UPS y DHL. Merece la pena destacar que en el tercer trimestre de 2011 el spam ha seguido ensuciando los buzones de los usuarios.

En los adjuntos había un programa malicioso, Trojan-Spy.Win32.Zbot.ccvt, que roba datos a los usuarios para enviárselos a los delincuentes.

La clave secreta cifrada

Como es sabido, entre los instrumentos de la ingeniería social están los estímulos positivos y negativos. Y estos últimos no son nada raros. Este trimestre los estafadores hicieron envíos masivos de spam cuyo contenido era una combinación de letras sin ningún sentido. Los caracteres estaban puestos de tal manera que el seudotexto parecía un mensaje con codificación errada o cifrado. En el asunto del mensaje había frases alarmantes sobre las deudas de la compañía. El adjunto contenía un fichero zip.

Los delincuentes contaban con que el usuario, al no poder entender el contenido del mensaje y asustado por el encabezado, abriría el adjunto. El adjunto contenía el programa malicioso Troyan.Win32.FraudST.atc, cuya principal funcionalidad es enviar spam farmacéutico desde el ordenador infectado.

Escribimos sobre otro mensaje (de un killer comedido) que debía asustar al usuario en nuestro informe de septiembre.

Los nigerianos “honrados”

En el arsenal de los estafadores permanecen los viejos esquemas. Hace tiempo que no mencionamos en los informes las estafas “nigerianas”, porque parece que ya todo el mundo las conoce. Pero este tipo de estafa se sigue usando, lo que indica que es eficiente y hay gente que todavía cae en la trampa de los “nigerianos”.

Hay que reconocer que los “nigerianos” durante largos años han perfeccionado sus trucos de ingeniería social y saben cuáles de ellos son los más efectivos. Así, en este trimestre hemos visto un mensaje cuyo inicio puede tocar el corazón de cualquiera: “Realmente lamento tener que ponerme en contacto con usted de este manera. Entiendo que Internet está lleno de estafadores que tratan de robarle a la gente el dinero ganado con el sudor de la frente. Pero yo soy musulmana, y no puedo mentir a nadie, porque eso va en contra de mi religión”.

Más adelante se relata sobre el triste destino de la familia de un enemigo de Gaddafi, y al final se pide al lector sacar dinero de 7 tarjetas de crédito, cuyas cuentas tienen fuertes cantidades de dinero.

Recordamos que estos esquemas de estafa usan uno de los siguientes escenarios:

  1. con diferentes pretextos los estafadores le piden al usuario el número de su cuenta, para después sacar dinero de las mismas;
  2. si el usuario consiente en sacar dinero en efectivo, le piden enviar determinada suma para “gastos de trámite”, después de lo cual terminan la comunicación;
  3. los estafadores usan al ayudante voluntario para que se haga responsable de sus maquinaciones financieras, lo que puede hacer que vaya a la cárcel.

Métodos y trucos de los spammers: como ocultar un sitio web

El uso de sitios hackeados con javascript no es el único método que los spammers utilizan para evitar que sus sitios pasen a formar parte de las listas de rechazados.

Este trimestre nos hemos topado con mensajes spam que contenían enlaces que conducían a sitios web legítimos, pero que alojaban una inyección SQL. Al pulsar el enlace el usuario llegaba a un sitio vulnerable a las inyecciones SQL, que lo remitía al sitio de una tienda creada por los spammers.

Además, los spammers siguen usando activamente los servicios “en la nube” de Google para evadir los filtros. En el mensaje de más abajo, el enlace conduce a un documento “en la nube”, que a su vez contiene un enlace a uno de los sitios publicitados por los spammers.

Estadística del spam

Porcentaje del spam

El porcentaje del spam en el tercer trimestre de 2011 se ha reducido en un 2,7% y supone el 79,8% del tráfico de correo.

La cantidad de spam en el correo se ha ido reduciendo durante todo el trimestre, excepto la última semana de septiembre, cuando este índice alcanzó el 82,1%. La tendencia se observa bien en este diagrama:


Cantidad de spam en el tráfico de correo en el tercer trimestre de 2011

Lo más probable es que el anormalmente bajo índice de septiembre no se mantenga por mucho tiempo y ya en octubre la cantidad de spam en el tráfico de correo vuelva a crecer.

Distribución de las fuentes de spam por países y regiones

En la distribución de las fuentes de spam por país seguimos observando la tendencia de 2011: se está enviando cada vez más spam desde los países en vías de desarrollo. Así, los tres primeros son India (+0,7%), Indonesia (+4,7%) y Brasil (+0,8%).


Países-fuente de spam en el tercer trimestre de 2011

Hacemos notar que ningún país de Europa Occidental ha entrado en el TOP10. Rusia y EE.UU. tampoco entraron en el TOP10, y de los países de Europa Oriental sólo están Ucrania y Polonia.

Además, sigue vigente la otra tendencia de 2011, la estabilidad. La participación de las diferentes regiones casi no ha sufrido cambios durante todo el trimestre.


Dinámica de la distribución de las fuentes de spam por regiones, tercer trimestre de 2011

Merece la pena destacar que el porcentaje de todas las regiones, excepto Asia y América Latina ha bajado en comparación con el segundo trimestre.


Distribución de las fuentes de spam por región en el segundo y tercer trimestre de 2011

Ya nos hemos acostumbrado a la supremacía de Asia y América Latina en la distribución de spam, hasta el punto de que no nos causa sorpresa. Sin embargo recordamos que hace un año, en el tercer trimestre de 2010, los países de Europa Occidental y los EE.UU. sumaban el 36%, es decir, más de la tercera parte del total del spam. Entonces, América Latina sólo enviaba el 10% del total.

Distribución temática del spam

En el tercer trimestre la distribución del spam por categorías ha cambiado de forma notable.


Correlación porcentual de las tendencias temáticas del spam en el sector ruso de Internet , tercer trimestre de 2011.

En comparación con el trimestre anterior, ha bajado tres veces (-39,9%) la rúbrica “Educación” y también se han reducido las otras rúbricas del spam “solicitado”, por ejemplo, “Ocio y viajes” (-4,3%) y “Demás bienes y servicios” (-1,6%). Al mismo tiempo ha crecido notablemente la categoría del spam propagado mediante programas de afiliados: “Fármacos y otros bienes y servicios relacionados con la salud” (+10,9%), “Imitaciones de artículos de lujo” (+5,2%), “Spam para adultos” (+4,1%) y “Estafas informáticas” (+1,9%).

Ha aumentado bastante el porcentaje de publicidad de los servicios de envío de spam (+9%). En parte esto se debe a que algunas campañas de spam son envíos en gran escala, de muchos millones de mensajes y que pueden enviarse de 5 a 10 veces a las mismas direcciones. Al parecer, los spammers tratan de evadir los filtros de esta manera. Pero precisamente la gran cantidad de mensajes hace que sea fácil bloquearlos.


Proporción entre el spam “solicitado”, de programas de afiliados y publicidad de servicios de spam en el segundo y tercer trimestre

Como podemos ver en el diagrama, la cantidad de spam enviada mediante los programas de afiliados está creciendo. Y esto significa que en el correo hay más spam peligroso y delictivo. Y es que precisamente mediante los programas de afiliados es que se envía spam pornográfico, spam con programas maliciosos y publicidad de artículos falsificados. El mismo tipo de organización de los programas de afiliados crea condiciones favorables para la distribución de spam delictivo, ya que todos los participantes del proceso conservan su anonimato: los dueños del programa de afiliados, los spammers y el cliente no se conocen.

El spam y la política

Pondremos aparte el spam político. En la mayoría de los países no está penado por la ley, ya que no es comercial. Pero según la clasificación de Kaspersky Lab, cualquier envío masivo es spam.

A finales de 2011 se celebrarán en Rusia las elecciones parlamentarias, y en marzo de 2012, la del presidente de Rusia. Y a pesar de que no serán muy pronto, el spam político ya empieza a tomar fuerza. Por lo general, en el spam enviado durante la lucha pre electoral, los candidatos tratan de ganarse la simpatía de los electores y de hacer quedar mal a sus rivales. Pero este trimestre hemos registrado envíos masivos de carácter extremista: en los mensajes, en vez de llamar a votar por uno u otro partido, se propone “hacer fracasar las seudoelecciones antipopulares”, y en algunos, se llama “junta sangrienta” al poder actual. A continuación citamos el mensaje más inofensivo de estos envíos.

(Traducción: ¡Únete a nosotros!
Somos una fuerza real, que crece cada día.
Únete a nuestras filas y echaremos a Putin y Medvedev juntos.
Por el futuro de Rusia!!!
Nuestro sitio:
Correo electrónico: )

Mensajes con adjuntos maliciosos

Porcentaje de mensajes con adjuntos nocivos

En el tercer trimestre de 2011 la cantidad de mensajes con adjuntos maliciosos aumentó en un 1,17% y alcanzó el 5,03%. En el siguiente diagrama presentamos la distribución de este índice por mes durante el tercer trimestre de 2011.


Porcentaje de mensajes con adjuntos nocivos

Como se puede observar en el diagrama, el mayor porcentaje de mensajes maliciosos en el correo electrónico (casi un 6%) tuvo lugar en agosto. En julio y septiembre este índice también fue bastante alto y superó el índice medio del trimestre anterior.

Hacemos hincapié en el hecho de que cuando se presentan condiciones de inestabilidad económica, se hacen mucho más populares los programas de afiliados que instalan códigos maliciosos, por lo que también aumentan los envíos masivos que contienen adjuntos maliciosos.

Países a los que se han hecho envíos masivos con adjuntos maliciosos

En el tercer trimestre de 2011 la distribución por países de las reacciones de nuestro antivirus de correo fue la siguiente:


Distribución de las reacciones del antivirus de correo según países

La mayor cantidad de reacciones del antivirus de correo, al igual que en los dos primeros trimestres de 2011, ocurrió en Rusia. Pero al mismo tiempo, en comparación con el segundo trimestre, la participación de Rusia se redujo en un 2,7%. El índice de EE.UU. se redujo en el mismo porcentaje, pero este país ha conservado su posición en la estadística (segundo puesto). Vietnam, que durante el segundo trimestre ocupó el tercer puesto, a finales del trimestre bajó al séptimo (-2,9%). En el tercer lugar está Inglaterra, en cuyo territorio se registró el 7,3% de las reacciones del antivirus de correo, un 1,1% más que en el trimestre anterior. India ha ocupado una vez más el cuarto puesto, cuyo índice ha vuelto a los valores del primer trimestre (+1,5%).

Cabe destacar dos interesantes tendencias del último semestre.

  1. Los cambios en la cantidad de reacciones del antivirus de correo en el territorio de EE.UU. e India ocurren a contrafase. Cuando en EE.UU. se detectan más mensajes maliciosos, en India el porcentaje de éstos baja, y viceversa.


    Dinámica de las reacciones del antivirus de correo en EE.UU. e India en el segundo y tercer trimestre de 2011

    Por el momento es difícil decir con seguridad a qué se debe, pero seguiremos observando el fenómeno.

  2. Los cambios en el porcentaje de las reacciones del antivirus de correo en el territorio de EE.UU. y Australia ocurren de forma sincrónica. Es posible que se deba a la similitudes del “paisaje de Internet” en estos países.

    q3_spam2011_pic20s_sp
    Dinámica de las reacciones del antivirus de correo en EE.UU. y Australia en el segundo y tercer trimestre de 2011

Estadística de los programas maliciosos en el correo


TOP 10 de programas maliciosos en el correo, tercer trimestre de 2011

En el tercer trimestre de 2011 Trojan-Spy.HTML.Fraud.gen, como ya es tradición, sigue ocupando el primer puesto, a pesar de que en septiembre este programa malicioso lhabía cedido su puesto a otro programa malicioso, que describiremos más adelante. Recordamos que Trojan-Spy.HTML.Fraud.gen es una página html que imita el formulario de alta en bancos online y otros servicios en Internet. Los datos de alta ingresados en este “formulario” caen en manos de los delincuentes. Aquí hay más información sobre este programa.

En el tercer lugar está el mismo programa malicioso que sacó a Trojan-Spy.HTML.Fraud.gen del primer puesto en septiembre, Trojan.Win32.FraudST.atc. Este programa malicioso es un bot de spam, cuya principal funcionalidad es el envío de spam farmacéutico desde el ordenador infectado.

Los gusanos de correo cedieron un poco sus posiciones . Sólo tres representantes de esta familia entraron en el TOP10: Email-Worm.Win32.Mydoom.m (segundo puesto), Email-Worm.Win32.Netsky.q (cuarto puesto) y Email-Worm.Win32.Bagle.gt (sexto puesto). Recordamos que las funcionalidades de los primeros dos programas maliciosos se limitan a la recopilación de direcciones de correo electrónico en el equipo víctima, para luego enviarse a sí mismos. Bagle.gt tiene funcionalidades más complejas: además de recopilar direcciones de correo electrónico y enviarse a sí mismo, puede descargar otros programas maliciosos en el ordenador del usuario.

Phising

La cantidad de phishing en el tercer trimestre de 2011 ha crecido un poco y ha alcanzado una media del 0,03% del total del tráfico de correo.

Porcentaje de mensajes phishing en el correo en el tercer trimestre de 2011

Las dos organizaciones más atacadas por los phishers en el segundo trimestre de 2011 siguen siendo el sistema de pagos PayPal (-15,28%) y la subasta eBay (+4,23%). La cantidad de ataques contra PayPal fue mayor a la tercera parte de los ataques phishing lanzado durante el trimestre.


TOP10 de las organizaciones más atacadas por los phishers en el tercer trimestre de 2010*

* La estadística se elabora tomando como base la cantidad de URLs phishing propagados en la red para robar los datos de alta de los usuarios en diferentes servicios. Esta estadística no es un indicador del nivel de seguridad de las organizaciones mencionadas. La estadística refleja la popularidad y autoridad de los servicios entre los usuarios, lo que también se refleja en su popularidad entre los phishers.

Cabe destacar que por debajo de los líderes tradicionales de la estadística están tres redes sociales: Facebook (+4,94%), Habbo (+3,3%) y Orkut (+3,05%). Una parte de los ataques phishing contra Google (+1,34) mencionados en el octavo puesto, también afectó a la red social Google+.

El séptimo puesto lo ocupa el juego online Runescape (+0,96%), que hace tiempo está por delante, por su popularidad entre los phishers, de su “colega” World of Warcraft, que no logró entrar en el TOP10 del tercer trimestre.

Sólo en el sexto y noveno puesto de la estadística vemos bancos: Santander (-1,33%) y Halifax (+0,82%). La compañía Cielo S.A., que nunca antes había aparecido en nuestras estadísticas, ocupa el décimo puesto. Este es el sistema de pagos más grade en América Latina.

El tercer trimestre de 2011 muestra con gran claridad que los phishers han perdido el interés por los sistemas bancarios tradicionales. Ya hemos hablado sobre esta tendencia en nuestros informes anteriores, pero nunca habían entrado sólo dos bancos. La explicación es que el robo de dinero real es más peligroso para los phishers que el de dinero virtual. Pero el valor de ambos es prácticamente igual.

Además, a finales de septiembre aparecieron envíos masivos destinados a los estudiantes becarios.

Las páginas phishing a las que podían llegar los estudiantes que recibieron estos mensajes contenían un formulario donde se les pedía ingresar sus datos de registro en el sistema financiero para estudiantes de Inglaterra y algunos otros datos personales. Desde luego, los datos enviados no cumplían ninguna función benéfica, sino que caían en manos de los delincuentes.

Conclusión

En el tercer trimestre, gracias a la colaboración entre Kaspersky Lab y Microsoft se logró derrotar una botnet más, Hlux/Kelihos. Como ha mostrado la práctica de los últimos dos años, la clausura de botnets da los mejores resultados en la lucha contra los spammers.

Pero, a pesar de que la cantidad de spam ha bajado, su contenido se ha hecho sustancialmente más peligroso. El porcentaje de spam con adjuntos maliciosos se ha mantenido en un nivel alto durante todo el trimestre. Como resultado, la media del trimestre ha alcanzado el punto más alto de toda la historia (5,03%). Además, ha crecido la cantidad de mensajes fraudulentos y del spam “para adultos”. Este crecimiento de mensajes fraudulentos, de aquellos que contienen adjuntos maliciosos y del spam pornográfico está condicionado por el periodo de vacaciones y la segunda ola de la crisis económica mundial que le siguió. Los spammers, en este periodo de calma forzada, que se suma a la complicada situación económica, buscan un “trabajo” que les permita seguir a flote. La propagación de código malicioso y enlaces a sitios pornográficos (donde también hay peligro de contagio) sigue siendo rentable para los participantes en programas de afiliados: los usuarios continúan pulsando los enlaces con “vídeos picantes” o descargando archivos sospechosos independientemente del estado de la economía.

La cantidad de “cartas nigerianas” en el tráfico de correo también crecerá, porque durante las crisis económicas los usuarios están dispuestos a creer en cualquier posibilidad (por fantástica que parezca) de estabilizar su situación. Los spammers nigerianos, sin duda, no desperdiciarán esta oportunidad.

Spam en el tercer trimestre de 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada