Informes sobre spam y phishing

Spam en el tercer trimestre de 2013

Las cifras del trimestre

  • El porcentaje de spam en el total del tráfico de correo electrónico disminuyó en un 2,4% respecto al segundo trimestre del año, quedando en un 68,3%.
  • El porcentaje de los mensajes de correo phishing se triplicó, alcanzando el 0,0071%.
  • Se detectaron adjuntos maliciosos en el 3,9% de todos los mensajes de correo, lo que significa un 1,6% más que en el trimestre previo.

Retomando lo esencial

En el tercer trimestre de 2013, los spammers que suelen contentarse con la repetición de trilladas promociones de medicamentos para aumentar la potencia, fueron bastante creativos al combinar técnicas de ingeniería social con trucos para burlar los filtros antispam.

En uno de sus envíos masivos usaron el siguiente método: el asunto del mensaje de correo consistía en una serie de símbolos que vistos en conjunto se leía la palabra ‘Viagra’, mientras que el cuerpo del mensaje era un solo enlace a un sitio farmacéutico.

 

Este enfoque minimalista ayuda a burlar los filtros de contenidos, pues no habiendo palabras claves que detectar, el filtro no puede reconocer el término ‘Viagra’, cosa que el ojo humano sí es capaz de hacer. Debido a que cada mensaje de correo contenía un ‘código’ distinto para Viagra, tampoco era suficiente añadir una nueva palabra clave a la base de datos, puesto que UTF-8 incluye símbolos de todos los idiomas, incluso de los más raros. La mayoría de los idiomas tienen sus propias letras, modificadores y símbolos, aunque se basen en el conocido alfabeto latino. En consecuencia, existen más de 100 símbolos que se parecen a la letra ‘a’. Por eso, no sorprende que existan cientos de millones de combinaciones potenciales que reproduzcan ‘Viagra’.

Otro envío masivo (spam farmacéutico) supuestamente proveniente de conocidos recursos de correo electrónico o redes sociales alentaba a los destinatarios a inscribirse, leer un nuevo mensaje o responder a una falla en la entrega. Sin embargo, cuando el usuario desprevenido activaba el enlace enviado, se lo dirigía hacia una tienda online que vendía medicamentos para aumentar la potencia.

 

Los spammers imitaron las notificaciones oficiales de muchas compañías, como Apple, Yahoo, Google, Amazon, eBay, Twitter, Instagram, o Skype, entre otras. Los spammers no se esforzaron mucho con estos mensajes, pues  estaban diseñados con la misma plantilla y sólo variaba el nombre de la compañía. 

Curiosamente, esta estrategia (notificación falsa, enlace a un sitio comprometido y desvío hacia el sitio final) es muy común entre los spammers para distribuir sus códigos maliciosos. Este tipo de spam se propaga mediante programas partner en los que los spammers lucran por cada usuario que activa el enlace y termina con su equipo infectado. Los términos para los mensajes publicitarios son los mismos, salvo que los spammers ganan una comisión por las píldoras que se venden a través de los enlaces distribuidos. Esto significa que los atacantes usan las mismas tácticas para diferentes programas partner. En el tercer trimestre del año registramos casos que usaban el mismo envío masivo para dos programas partner distintos: los enlaces en los mensajes de correo dirigían a los usuarios a diferente recursos, según la región o la hora. Por ejemplo, a los usuarios en países en los que los medicamentos sólo se venden bajo receta médica, se los dirigía hacia un sitio que ofrecía Viagra, mientras que al resto de los destinatarios se los desviaba hacia recursos fraudulentos o maliciosos.

Asimismo, otro envío masivo empleaba técnicas de ingeniería social (notificaciones falsas supuestamente provenientes de un conocido recurso) y ofuscación de enlaces.

 

Los mensajes imitaban las notificaciones del servicio de Google Message Center. El cuerpo del mensaje contenía un enlace al dominio Google. Pero en realidad los spammers estaban usando el servicio Google.Translate para camuflar sus propios sitios web, ya que solicitaban la traducción de la dirección del sitio web. Sin embargo, los ciberdelincuentes no solicitaban ninguna traducción real, pues los sitios ya contenían textos en inglés que se volvían a traducir al inglés.

Pero los ciberpiratas tenían otro truco bajo la manga: algunos símbolos en el enlace (distintos para cada mensaje) se remplazaban con el correspondiente equivalente hexadecimal en ASCII. El navegador reconocía fácilmente el enlace ofuscado y abría el sitio apropiado, pero para los filtros antispam, cada enlace parecía único.

Noticias y programas maliciosos

El tercer trimestre de 2013 fue rico en acontecimientos que captaron la atención del público, como el nacimiento del bebé real en Reino Unido, la caza de Edward Snowden por el FBI, y el accidente ferroviario en España. Los ciberpiratas se aprovecharon de todas estas noticias para propagar sus programas maliciosos.

 

 

Los mensajes maliciosos que Kaspersky Lab detectó en el tercer trimestre de este año venían en varias formas, pero la mayoría imitaba los envíos masivos de noticias. Sin embargo, los enlaces insertados en todos los mensajes llevaban a sitios web comprometidos que desviaban a los usuarios hacia páginas infectadas con uno de los más famosos paquetes de exploits: Blackhole. Una vez que los usuarios desembarcaban en el sitio, Blackhole comenzaba a buscar vulnerabilidades en los programas instalados en sus equipos,  y cuando encontraba una, descargaba varios programas maliciosos, incluyendo troyanos espía diseñados para robar los datos personales de la víctima.

En octubre, las autoridades rusas arrestaron al autor de Blackhole, un individuo bajo el alias de Paunch. Aún no está claro cuál será el futuro de este paquete de exploits, ya que alguien podría hacerse cargo de su administración, o bien los spammers podrían migrar a otros paquetes. De cualquier manera, es posible que disminuya la cantidad de estos mensajes “de noticias”.

Datos estadísticos

Porcentaje de spam en el tráfico de correo electrónico

El porcentaje de spam en el total del tráfico de correo electrónico durante el tercer trimestre del año fue del 68,3%, un 2,4% menos que en el trimestre anterior.

 
Porcentaje de spam en el tráfico de correo electrónico en el tercer trimestre de 2013

Sin embargo, no hay que considerar esta disminución como el inicio de una tendencia, ya que el porcentaje en el tercer trimestre estuvo apenas un 0,3% por debajo de los indicadores del periodo entre enero y junio.

Fuentes de spam por país

 
Clasificación de las fuentes de spam por país en el tercer trimestre de 2013

En el tercer trimestre de este año, el Top 3 de las fuentes de spam permaneció invariable: China (-0,9%), EE.UU. (+1,2%), y Corea del Sur (+2,1%). El porcentaje combinado de estos tres países significó el 55% del total del tráfico de spam en el mundo.

Como en el trimestre anterior, Taiwán se colocó en la cuarta posición (+0,1%).

A continuación estuvo Rusia (+1,3%), cuya participación aumentó en más de 1,5 veces.

Curiosamente, el aumento de la participación de Rusia coincidió con una caída en los niveles del spam proveniente de otras ex repúblicas soviéticas: Bielorrusia (-0,9%), Ucrania (-0,9%), Kazajistán (-1,5%), países que en el trimestre anterior producían mucho más spam que Rusia.

 
Variaciones en los porcentajes de spam proveniente de Bielorrusia, Ucrania y Kazajistán en el tercer trimestre de 2013

Sin embargo, esto no significa de por sí que los spammers estén organizando nuevas redes zombi,  porque estas fluctuaciones pueden ser resultado, por ejemplo, de cambiar de una red zombi existente a otra para propagar envíos masivos a gran escala.

Fuentes de spam por región

 
Clasificación de las fuentes de spam por región en el tercer trimestre de 2013

En el tercer trimestre del año, el Top de fuentes de spam por región no tuvo cambios significativos respecto a los dos primeros trimestres del año. La participación de las regiones también se mantuvo casi invariable.

Asia permaneció como la primera fuente regional de spam (+0,2%). A continuación se situaron Norteamérica (+1,9%) y Europa occidental (-0,2%).

La participación de las otras regiones no revistió cambios notables.

Curiosamente, no siempre se evidencia una correlación entre la fuente del spam y su origen de creación. Por ejemplo, una gran cantidad de spam africano tiene a Rusia como destino, el surcoreano suele apuntar a Europa, mientras que el de Europa occidental se propaga equilibradamente alrededor del mundo.

Tamaño de los mensajes spam

 
Tamaño de los mensajes spam en el tercer trimestre de 2013

Como podemos ver en el gráfico, el porcentaje de mensajes spam con un tamaño menor a 1 KB va en aumento de un trimestre a otro. La mayoría de estos mensajes casi no contiene texto. Sólo incluyen un enlace que suele llevar al sitio de desvío o a un servicio de enlace corto que hace que cada mensaje sea único. Estos mensajes son difíciles de detectar para los filtros antispam y, por su reducido tamaño, pueden enviarse rápidamente y en grandes cantidades.

Adjuntos maliciosos en los mensajes de correo

El nivel de adjuntos maliciosos en el tercer trimestre fue un 1,6% mayor que en el anterior trimestre, alcanzando el 3,9% del total del tráfico de correo.

 
El Top 10 de programas maliciosos propagados por correo en el tercer trimestre de 2013

Trojan-Spy.HTML.Fraud.gen se colocó a la cabeza de la clasificación de los programas maliciosos más populares propagados por mensajes de correo en el tercer trimestre de este año. Este programa malicioso está diseñado para parecerse a una página html que funciona como un formulario de registro para servicios de banca online y que los phishers usan para robar información financiera.

Como sucedió en el trimestre anterior, Email-Worm.Win32.Bagle.gt ocupó la segunda posición. Este gusano de correo, a diferencia de otros,  puede enviar sus propias copias a los contactos en la lista del usuario y también puede recibir comandos remotos para instalar otros programas maliciosos.

Nuestra clasificación del tercer trimestre incluye dos gusanos de la familia Mydoom que ocuparon la tercera y cuarta posiciones. Estos programas maliciosos están diseñados para recopilar direcciones de correo de la lista de contactos del usuario. Este método de recopilación de direcciones significa que tu dirección de correo puede caer en las manos de los ciberdelincuentes incluso si no está disponible para el público. La familia Mydoom es muy antigua, pero sigue funcionando eficazmente en aquellos equipos cuyos programas no están actualizados. Compara las direcciones de los sitios que aparecen en la primera página de los resultados de búsqueda con las direcciones que ha descargado desde los servidores maliciosos. Cuando detecta una coincidencia, activa el enlace en la página del motor de búsqueda para incrementar la clasificación de resultados de búsqueda para determinados sitios.

Los representantes de la familia ZeuS/Zbot ocuparon la quinta, sexta, séptima y novena posiciones. Estos programas maliciosos están diseñados para robar información confidencial, por lo general datos de tarjetas bancarias, desde los ordenadores de los usuarios.

Trojan.Win32.Llac.dleq ocupó el octavo lugar. La principal tarea de este programa es espiar al usuario: recopila información sobre los programas (generalmente soluciones antivirus y cortafuegos) instalados en el equipo, sobre el mismo ordenador (procesador, sistema operativo, discos), intercepta las imágenes de la cámara web y las pulsaciones en el teclado (keylogger), y extrae datos confidenciales desde varias aplicaciones.

Trojan.Win32.Bublik.beyb ocupó la décima posición. La principal función de este troyano es descargar e instalar en secreto nuevas versiones de programas maliciosos en los ordenadores capturados. Aparece como un archivo .EXE con el icono de un documento de Adobe PDF.

La propagación de programas maliciosos mediante correo en el tercer trimestre de 2013 se muestra en este gráfico:

 
Top 10 de familias de programas maliciosos propagados por correo en el tercer trimestre de 2013

En el tercer trimestre de este año, la familia ZeuS/Zbot encabezó la clasificación. A continuación se colocó la familia Tepfer, aunque ninguna de sus modificaciones ingresó en el Top 10. Este tipo de troyano está diseñado para robar las contraseñas de las cuentas de los usuarios. La familia de troyanos Fraud ocupó la tercera posición, con Trojan-Spy.HTML.Fraud.gen como líder individual.

A la familia Bublik le correspondió la cuarta plaza, y la quinta a la familia Androm, que descarga y ejecuta archivos maliciosos en los ordenadores capturados.

La lista de países más atacados por los mensajes maliciosos tuvo algunas modificaciones desde el segundo trimestre del año.

 
Clasificación de detecciones email antivirus por país en el tercer trimestre de 2013

EE.UU. sigue a la cabeza de la lista (-0,2%). Alemania avanzó de la tercera a la segunda posición, mientras que Rusia descendió a la novena (-8,6%) posición que es más cercana a su clasificación habitual. Reino Unido ingresó al Top 3 con un aumento del 2,8%.

En el tercer trimestre de este año, nos encontramos con un envío masivo muy interesante: los ciberpiratas imitaron una copia del servicio de soporte técnico de una reconocida compañía antivirus.

 

Este mensaje informaba al usuario que el archivo que supuestamente envió para su análisis, resultó ser un programa malicioso. El “ingeniero del soporte técnico" incluso mencionaba el veredicto (en nuestro ejemplo, mydoom.j) y sugería usar la firma adjunta para desinfectar el ordenador. Sin embargo, cuando el usuario (que probablemente no había enviado ninguna copia) abría el adjunto, se encontraba  con un programa malicioso que Kaspersky Anti-Virus detecta como Email-Worm.Win32.NetSky.q.

Llama la atención que los spammers cometieran un error: la dirección que aparecía en el campo ‘De’ era la dirección oficial del servicio de soporte técnico de Symantec, mientras que la autofirma en el mensaje se refería a otra compañía antivirus: F-Secure.

Phishing

En el tercer trimestre de 2013, el porcentaje de mensajes de correo phishing se triplicó desde el trimestre precedente, alcanzando el 0,0071%.

 
Clasificación del Top 100 de organizaciones más atacadas por phishers,* por categoría en el tercer trimestre de 2013

*Esta clasificación se basa en las detecciones del componente antiphishing de Kaspersky Lab, que se activan cada vez que un usuario activa un enlace phishing, ya sea que el enlace se encuentre en un mensaje spam o en una página web.

En el tercer trimestre del año, las notificaciones de sitios de redes sociales fueron recurrentemente imitadas en los mensajes phishing. Los mensajes enviados a nombre de servicios de correo electrónico y motores de búsqueda ocuparon la segunda y tercera posiciones. En realidad, estas dos categorías resultan difíciles de separar porque muchas grandes compañías combinan las funciones de los motores de búsqueda con las del correo web.

En total, estas tres categorías representaron más del 60% de todos los ataques en el Top 100 de las organizaciones más atacadas por los phishers. Esta cifra muestra que la monetización del phishing se basa en gran medida en la venta de credenciales robadas de cuentas que pueden usarse para distribuir spam a todos los contactos del usuario atacado.

Las organizaciones financieras y de pago online, y bancos ocuparon la cuarta plaza en la lista de blancos de los phishers. Esto no implica que los phishers estén menos interesados en los bancos. Es más probable que los ataques contra instituciones individuales no suelen ser a gran escala como para incluirlos en el Top 100.

Conclusiones

En el tercer trimestre de 2013, los spammers recurrieron a trucos viejos y nuevos para burlar los filtros antispam, así como a técnicas de ingeniería social para persuadir a los usuarios a que activen sus enlaces maliciosos. Por ejemplo, uno de los trucos más conocidos para la propagación de programas maliciosos consiste en usar noticias de alto impacto y diseñar mensajes con formato de boletines noticiosos. Algunos trucos, como los mensajes falsos enviados a nombre de un reconocido recurso de Internet, fueron muy efectivos y varios programas partner los utilizaron. Por ejemplo, un enlace en un mensaje que imitaba una notificación de Facebook conducía, en diferentes momentos, a un sitio con publicidad de medicamentos o a un sitio con exploits.

Sin embargo, el arresto del creador de Blackhole ha sido una demostración de que los ciberdelincuentes no se salen con la suya, incluso en Rusia con su relativamente débil legislación contra la ciberdelincuencia. Seguiremos de cerca el desenvolvimiento de este caso.

El tercer trimestre del año fue testigo de leves cambios en las principales fuentes de spam por país. A nivel regional los cambios fueron incluso menos notables. Parece que la localización de las redes zombi es relativamente estable, o que al menos hay una pausa en la relocalización activa de estas redes.

A pesar de la ligera disminución en el porcentaje de spam en el tráfico de correo, la proporción de spam malicioso aumento en más del 1,5 veces en comparación al trimestre anterior. La mayoría de los programas maliciosos propagados por correo apuntaba a los datos de las cuentas de los usuarios, a sus contraseñas y a su información financiera confidencial.

En cuanto a los phishers, sus blancos favoritos fueron las cuentas de los usuarios en redes sociales, correo y otros recursos.

Spam en el tercer trimestre de 2013

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada