Informes sobre spam y phishing

Spam en octubre de 2011

Octubre en cifras

  • En relación a septiembre, el porcentaje de mensajes spam en el tráfico de correo aumentó en un 1,4%, alcanzando un promedio del 79,9%.
  • En relación a septiembre, la proporción de mensajes phishing en el tráfico de correo se redujo en dos tercios, y representa el 0,01%.
  • En octubre, el 2,5% de los mensajes de correo contenía archivos maliciosos, es decir, un 2% menos que el mes anterior.

Revisión de los principales sucesos del mes

Temas de actualidad

Octubre ofreció a los spammers una variedad de temas de actualidad para llamar la atención de sus destinatarios en base a sus preferencias, humor y las características del mensaje. De hecho, este mes se caracterizó no sólo por varios sucesos sensacionales, sino también porque marca la llegada de dos fiestas celebradas en todo el planeta.

Para los spammers, siguen vivos

Sin duda lo notaste: los spammers no conocen los escrúpulos. Para un spammer, la muerte de una celebridad es un medio tan válido como cualquier otro para llamar la atención sobre los mensajes que envía.

Steve Jobs

Steve Jobs, fundador de Apple, falleció el 5 de octubre. Para sorpresa de todos, los spammers no reaccionaron de inmediato. Fue necesario esperar que pasara un día tras su fallecimiento para que aparecieran los primeros mensajes spam afirmando que el fundador de Apple seguía vivo o comentando sobre la reacción de la compañía que él creó ante esta trágica noticia.

A lo largo de todo el mes detectamos varios envíos spam que explotaban este suceso. En general, estos mensajes contenían enlaces a un código malicioso.

En particular, detectamos un mensaje fraudulento que ofrecía una “actualización de iTunes” por 30 USD especialmente realizada en memoria del creador de este servicio.

Entre los mensajes “consagrados” a la muerte de Jobs que no contenían ningún código malicioso, ni rastros de fraude, logramos detectar uno que ofrecía al destinatario una guía de meditación.

Contra nuestras expectativas, ninguno de los mensajes spam de octubre que se aprovecharon de la muerte de Steve Jobs se relacionaba con la publicidad de medicamentos.

Gadafi

El 20 de octubre, el mundo se enteraba de la muerte del líder libio Gadafi. Como era de esperar, esta noticia propició la propagación de una multitud de mensajes enviados en nombre de los “parientes de Gadafi” o de los “militares al servicio del régimen de Gadafi”. Cada uno de ellos “había obtenido una parte de los numerosos tesoros del fallecido líder libio”. Si nos tomamos la molestia de sumar las cantidades mencionados en estos mensajes fraudulentos de tipo nigeriano, podríamos llegar a pensar que Gadafi poseía ingentes riquezas. El más modesto de los mensajes evoca la suma de 12,5 millones de dólares americanos para compartir.

La persona más activa del “entorno de Gadafi” habría sido su “segunda esposa” en cuyo nombre se enviaron varias versiones de mensajes fraudulentos de tipo nigeriano.

Cabe recordar que los mensajes fraudulentos tipo nigeriano, conocidos también como cartas nigerianas, son casos de estudio de fraudes, por lo que recomendamos a los usuarios que nunca los respondan. Para los autores de este tipo de mensajes, la muerte de una persona conocida en el contexto político de un país, constituye un motivo para lanzar una nueva ola de ataques. Los spammers cuentan con que la evocación de una persona real en un contexto real confiere a sus mensajes una cierta legitimidad. Nos gustaría creer que los spammers se equivocan y que ningún usuario con una pizca de sentido común creería en la autenticidad de un mensaje enviado por la “segunda esposa del difunto coronel Gadafi” ofreciendo al destinatario compartir una porción de los 12,5 millones de dólares que acaba de heredar.

Se acercan las fiestas de año

Los spammers también se aprovecharon de dos fiestas celebradas en todo el mundo, como Halloween y Año nuevo, en sus mensajes de spam en octubre.

Halloween

Los spammers volvieron a reaccionar vivamente a la fiesta de Halloween que se celebra a finales de octubre.

El spam de Halloween posee una interesante característica. Aunque los mensajes para esta ocasión suelen ser muy variados, todos se envían en acuerdo con un partner.

Entre los artículos que los mensajes spam ofrecen en esta ocasión, detectamos ofertas de disfraces, invitaciones a fiestas, regalos y postales con el tema de Halloween, e incluso campañas especiales de fabricantes de medicamentos y de software barato.

Las fiestas de fin de año YA están en nuestras puertas

La propagación de mensajes spam inspirados en Navidad y Año nuevo suele comenzar en octubre, cuando los preparativos para las fiestas comienzan en el mundo real. Las muestras de mensajes que obtuvimos publicitan regalos de fin de año, bombones y varias opciones para pasar las vacaciones.

En noviembre, el volumen de estos mensajes aumenta significativamente porque las promociones para Navidad y Año nuevo alcanzan su velocidad crucero. Además de la publicidad para regalos de fin de año, los viajes o las tarjetas de felicitación, también se encuentran las inevitables “ofertas especiales” de artículos que no guardan relación ni con Navidad ni con Año nuevo. Se trata, más que todo, de promociones de fin de año a cargo de fabricantes de Viagra y de ofertas de copias de relojes de marca.

Revisión estadística

Países fuente de spam


Países fuente de spam en octubre 2011 (Top 20)

En octubre, el flujo de spam en todo el mundo estuvo distribuido de forma más o menos equitativa. Vale la pena recordar que en el tercer trimestre de 2011, casi un 50% del total del spam provino de países que figuraban en el Top 5 de nuestra clasificación. En octubre, estos países fueron responsables de sólo el 33,4% del spam. Al mismo tiempo, un volumen considerable de spam provino de otros países, pertenecientes a la categoría “otros” (+7%).

Los cuatro primeros países de la clasificación siguen siendo los mismos. Sólo han permutado sus posiciones. Se trata de India (-4,7%), Corea del Sur (-0,7%), Brasil (-4,1%) e Indonesia (-3,4%).

Perú, que ocupaba la quinta posición en septiembre, se mantuvo en el Top 20 en octubre, aunque cayó a la 19? posición (-3,6%).

Italia (+2,47%) reemplaza a Perú en la 5? posición. Cabe hacer notar que los países de Europa occidental están bien representados en el Top 10 de octubre mientras que en los meses anteriores sólo Italia representaba a esta región.

Recordemos que durante tres meses observamos una sincronía en la propagación del spam en dos grupos de países: India, Brasil y Ucrania, por una parte, e Indonesia, Perú y Tailandia, por otra. Sucedía lo contrario con la propagación de spam desde Rusia y Vietnam. Estas correlaciones no se manifestaron en octubre. Continuaremos con nuestras observaciones, y en los próximos meses publicaremos los nuevos datos sobre las correspondencias a nivel de variaciones de volumen de spam propagado desde varios países. Por el momento, podemos afirmar sin duda alguna que los spammers siguen favoreciendo la táctica que evita concentrar la potencia de las redes zombi de propagación de spam en un solo país o región en favor de una distribución entre varios países de, por lo general, en regiones diferentes.

Adjuntos maliciosos en los mensajes

En octubre, el 2,5% de los mensajes de correo contenía archivos maliciosos, es decir, un 2% menos que el mes anterior.

Los tres países que encabezaban las detecciones del módulo Antivirus Mail no variaron en octubre, pero intercambiaron lugares. Rusia ocupa el primer lugar con una gran ventaja. Las detecciones del Antivirus Mail en este país prácticamente se han duplicado (+8,26%) en relación a septiembre. El porcentaje de detecciones en Estados Unidos y Gran Bretaña también ha aumentado, pero de forma menos significativa (+2,1% y +1,2%, respectivamente).

Entre las modificaciones, hay que señalar el incremento de las detecciones en Vietnam (+2,7%) y en Australia (+1,65%), así como una reducción del 1,8% en India.

Asimismo, se advierte el ingreso de la República de Sudáfrica en la segunda posición (+1,2%).


Distribución de las detecciones del módulo Antivirus Mail por país en octubre de 2011

La lista de programas maliciosos detectados con más frecuencia por nuestro módulo antivirus en el flujo de correo de octubre no presenta mayores sorpresas.


Top 10 de programas maliciosos propagados por correo en octubre de 2011

El primer lugar del Top 10 vuelve a pertenecer a Trojan-Spy.HTML.Fraud.gen Este troyano causó el 13% de las detecciones del módulo antivirus. Vale la pena recordar que Trojan-Spy.HTML.Fraud.genes un programa malicioso que aparece como una página HTML que imita a la página de inicio del sitio de una entidad financiera o de un servicio online.

Email-Worm.Win32.Mydoom.m, el único gusano de correo que aparecía en la clasificación de septiembre, ocupa la segunda plaza. Otros gusanos de correo que en octubre lo acompañan son: Email-Worm.Win32.Bagle.gt, en la 5? posición, seguido por Email-Worm.Win32.NetSky.q.

Recordemos que Mydoom.m y NetSky.q cumplían sólo dos funciones: la recopilación de direcciones de correo desde los ordenadores infectados y el envío de sus copias a estas direcciones. Bagle.gt, además de la función clásica de los gusanos de correo, se conecta a un recurso de internet para descargar programas maliciosos.

El gusano Worm.Win32.Mabezat.b, que ocupa la tercera posición, también se envía a las direcciones de correo detectadas en el ordenador infectado y crea su copia en los discos locales o en los recursos de red accesibles del ordenador.

La cantidad de modificaciones de Trojan.Win32.Yakes volvió a disminuir: mientras que en septiembre tres programas del Top 10 pertenecían a esta familia, en octubre sólo quedaban dos. Ocupan la 4? y 9? posiciones. Al igual que Trojan-Downloader.Win32.Agent.gxwf que encontramos en el 4? lugar, Yakes es un clásico troyano de descarga. Cuando se instala en el ordenador, se conecta con un determinado recurso de red y recupera los enlaces para descargar otros programas maliciosos.

Phishing

En relación a septiembre, la proporción de mensajes phishing en el tráfico de correo se redujo en dos tercios, alcanzando el 0,01%.


Top 10 de las organizaciones víctimas de ataques phishing*

*La clasificación se basa en el porcentaje de URLs phishing en Internet. No indica el nivel de riesgo de las organizaciones que se mencionan, pero ilustra la popularidad de varios servicios entre los autores de ataques phishing. Los autores de ataques phishing prefieren atacar los servicios más usados y los preferidos de los usuarios.

La clasificación de las organizaciones víctimas de ataques phishing cambió totalmente en relación a los meses anteriores. Las principales diferencias tienen que ver con la notable reducción de la cantidad de ataques contra las redes sociales y los juegos online, por una parte, y el incremento de ataques contra los bancos, por otra.

Así, el porcentaje que le corresponde a Facebook disminuyó en la mitad, lo que coloca a esta red social en la 3? posición. Las redes sociales Habbo y Orkut, que ocupaban la 4? y la 5? posiciones respectivamente en septiembre, ya no aparecen en la clasificación de octubre. El porcentaje de ataques contra Orkut ha disminuido en un 3,9%, mientras que el de los ataques contra Habbo lo ha hecho en un 6,3%. La proporción de ataques contra el juego online RunScape disminuyó en la mitad, pasando del 4,6% al 2,3%.

La reducción parcial de los ataques contra las organizaciones del Top 10 se explica por el crecimiento del interés de los autores de ataques phishing en los líderes de la clasificación, es decir, el sistema de pago PayPal y el sitio de subastas eBay. Sin embargo, en octubre, la porción de ataques contra PayPal y eBay también decayó en relación a septiembre. Las cifras registradas son del 1,3% y del 0,4%, respectivamente. Pero la cantidad de ataques contra la banca en su conjunto ha aumentado en un 1,2% y el índice de incremento para los bancos individuales está entre el 1,5% y el 2,6%. Entonces, el porcentaje de ataques contra las redes sociales y los juegos online ha disminuido por el aumento de ataques contra los bancos.

Es probable que esta tendencia esté relacionada con los pronósticos alarmantes de los expertos financieros sobre la situación económica a nivel mundial. Parecería que los autores de ataques phishing pretenden amasar la mayor cantidad posible de dinero real cuyo valor es hoy superior al del dinero virtual.

Temas del spam


Spam en octubre de 2011

El Top 5 de las categorías de spam en inglés no sufrió cambios en relación a septiembre. Los mensajes fraudulentos siguen ocupando el primer lugar. Aunque han disminuido en un 7,7%, se mantienen en un alto nivel.

El porcentaje de spam financiero aumentó ligeramente y se adueñó de la 2? posición.

Habíamos indicado que la posición de dominio de estas dos categorías está relacionada con la crisis financiera.

La 3? plaza vuelve a corresponder a la categoría “Artículos y servicios varios” debido a los mensajes inspirados en Halloween y Navidad.

Conclusión

Los cambios a nivel de las organizaciones víctimas de ataques phishing son interesantes. Como ya indicamos líneas arriba, para los ciberdelincuentes el valor del dinero real parece estar en aumento en relación al del dinero virtual. Aún es muy temprano para adelantar criterios sobre el desarrollo posterior de la situación, pero seguiremos, no obstante, la hipótesis que afirma que la estabilización de la situación financiera se traducirá en el regreso de los ataques phishing en busca de dinero virtual, menos arriesgado.

Octubre confirmó una vez más que los autores de spam están dispuestos a utilizar cualquier acontecimiento que sirva para llamar la atención de los destinatarios de sus mensajes. No debemos olvidar nunca que no importa cuán intrigante sea el asunto de un mensaje no deseado, muy rara vez el contenido será agradable para el destinatario. Seamos prudentes al navegar en Internet. No debemos nunca abrir los mensajes no deseados que llegan a nuestra bandeja de entrada.

Spam en octubre de 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada