Autores
Particularidades del mes
- El spam en el tráfico de correo ha subido un 1.2% en comparación con agosto y este mes ha alcanzado una media del 86.3%.
- Se han encontrado vínculos a sitios phishing en el 0.84% de todos los mensajes electrónicos, lo que representa una disminución del 0.25% en comparación con agosto.
- El 1.22% de los mensajes contenía ficheros maliciosos, es decir un 1.17% más que en el mes anterior.
- Los spammers continúan usando las posibilidades del HTML para evadir los filtros.
Porcentaje de spam en el tráfico de correo
En septiembre de 2009 el porcentaje medio de spam en el tráfico de correo ha sido del 86.3%. El punto más bajo del mes se registró el 18 de septiembre (83.3%). Los usuarios recibieron más spam el 27 de septiembre (91.3%). En septiembre la cantidad media de spam recibido por los usuarios no descendió a menos del 83%, un fenómeno que observamos por primera vez.
Porcentaje de spam en septiembre de 2009
Un 1.22% de los mensajes electrónicos contenía adjuntos maliciosos. Esto es bastante más que el porcentaje de los meses anteriores (+1.17% en comparación con agosto).
Adjuntos maliciosos en el spam
Programas maliciosos contenidos en el spam en septiembre de 2009
En septiembre la lista de los 10 programas maliciosos líderes ha cambiado bastante. Los gusanos de la familia NetSky, que encabezaban la lista el mes anterior, han sufrido una fuerte caída. Si en agosto la tercera parte de los mensajes infectados propagaban miembros de esta familia, en septiembre sólo una variedad del gusano (Email-Worm.Win32.NetSky.q) ha permanecido en la lista, en el último lugar.
Los líderes indiscutibles de este mes son los troyanos de la familia FraudLoad. Casi la mitad de los mensajes infectados contenían troyanos de esta familia. Como su nombre indica, el troyano instala en el equipo infectado un antivirus falso que extorsiona a la víctima.
Inesperadamente, Trojan-Downloader.Win32.Murlo.cba ha ocupado el primer puesto de la lista. Se trata de un ejemplar bastante antiguo que se encuentra en el 28.5% de los mensajes spam que contienen adjuntos maliciosos.
Los troyanos de la familia Zbot, a pesar de lo que se esperaba, han tenido una pobre representación este mes. En el noveno lugar se encuentra Trojan-Spy.Win32.Zbot.gen, que estaba presente en el 0.81% de los mensajes infectados. Trojan-Spy.Win32.Zbot.gen es un programa troyano-espía destinado a robar la información confidencial del usuario. Hay más información disponible sobre este virus en este enlace: www.viruslist.com/en
También es necesario mencionar que los backdoors de la familia Bredolab, que tenían una amplia presencia en la lista de los 10 programas maliciosos líderes en agosto, en septiembre la abandonaron del todo.
Para difundir adjuntos maliciosos, los spammers usaron un truco que no es nuevo, pero que al parecer es muy efectivo. El adjunto malicioso se empaquetaba en un archivo zip que venía en mensajes idénticos a las notificaciones de grandes y respetadas compañías de correo, DHL y UPS.
Los envíos masivos de este tipo de spam empezaron a finales de mayo y principios de junio, pero se volvieron más activos en septiembre. En septiembre el spam supuestamente proveniente de DHL es muy diferente al de junio. En primer lugar, en junio este tipo de spam estaba dirigido a los usuarios de lengua alemana. En segundo lugar en junio no se adjuntaban programas maliciosos en archivos comprimidos, sino que los delincuentes incluían un vínculo a una página web nociva en los mensajes.
En septiembre la situación cambió: los envíos en nombre de DHL eran idénticos a los envíos masivos de UPS, que por su parte no sufrió prácticamente ningún cambio. Esto es un indicio de que los organizadores de envíos masivos de spam usan los mismos métodos y tecnologías.
También debemos mencionar que los programas maliciosos propagados en estos mensajes eran diversos. Entre otros, se detectó a Bredolab.
Este backdoor también se propagaba en los mensajes supuestamente provenientes de Western Union. En este caso fue evidente el uso de la ingeniería social: se le decía al usuario que había recibido una transferencia bancaria por una suma bastante grande y que en el adjunto podría encontrar el número de la transferencia (MTCN =Money Transfer Control Number), imprescindible para recibir el dinero. Por supuesto, el adjunto no contenía ningún número de transferencia.
También hubo un envío masivo que contenía un archivo zip y se hacía pasar por una notificación legítima de una tienda online. Pero estaba hecha de una forma bastante confusa: no contenía ni el nombre de la tienda, ni un saludo al destinatario, ni una dirección a la que contestar.
Captura de pantalla de YourOrder
También se continuó enviando mensajes falsos en nombre de Hallmark. En el mensaje se afirmaba que el usuario había recibido una tarjeta. Para verla, como de costumbre, se le proponía al usuario a seguir un vínculo que llevaba a una página web que contenía un programa malicioso.
Phishing
Se han encontrado vínculos a sitios phishing en el 0.84% de todos los mensajes electrónicos, lo que representa una disminución del 0.25% en comparación con agosto. En septiembre PayPal ha vuelto al primer lugar de la estadística de organizaciones atacadas. La cantidad de ataques se ha duplicado en comparación con agosto (+18.68%) y casi ha alcanzado el nivel de julio (40.19% en julio y 37.33% en septiembre). El sistema de subastas eBay sigue con un porcentaje muy similar al de agosto (+0.45%) y ocupa el tercer puesto. En el segundo puesto de la estadística está la organización norteamericana IRS, dedicada a la recaudación de impuestos, contra la cual se ha lanzado el 11.08% de todos los ataques phishing en septiembre. En realidad, no se trató de ataques phishing en el sentido clásico. Con ayuda de mensajes falsificados supuestamente enviados por IRS los delincuentes propagaban Zbot (Trojan-Spy.Win32.Zbot). El banco CHASE, que había ocupado el primer lugar en la estadística de agosto, en septiembre no está entre los 10 primeros, ocupando el 11? lugar. En septiembre se lanzó cerca del 2% de ataques, que es un 28% menos que en agosto.
Organizaciones víctimas de ataques phishing en septiembre de 2009
A finales de septiembre los delincuentes enviaron un mensaje phishing que se parecía mucho a los envíos de PayPal:
Los phishers conservaron el logotipo del sistema de pagos online y el aspecto general del mensaje, amén de que el campo “Remitente” era similar al original. Sin embargo, un usuario perspicaz se da cuenta de inmediato de ciertas irregularidades. En primer lugar, todos los vínculos que en la página legítima de PayPal o en el mensaje llevan a páginas necesarias, en el mensaje de los spammers se han convertido en inscripciones inactivas de color celeste y el único enlace verdadero que se puede pinchar es el de “Verificar identidad”. En segundo lugar, el envío tiene fecha de diciembre de 2009, pero en el texto se menciona “el futuro octubre”. En tercer lugar, la frase “De conformidad con los nuevos cambios en el Contrato de Servicio, cualquier cuenta no verificada será borrada del sistema al término de 72 horas después de recibir este mensaje” hace pensar en el phishing.
Este mensaje también es interesante porque los phishers, al tratar de darle un aspecto que se gane la confianza del usuario, cometieron un error más. No pusieron la letra “h” al principio de la dirección (“ttp” en lugar de “http”) y como resultado el navegador no puede identificar el protocolo y le es imposible remitir al usuario al sitio phishing. De esta manera, hasta el usuario más distraído no puede enviar sus datos de registro a los delincuentes.
Otro interesante envío phishing estaba dirigido a los clientes del banco Alliance & Leicester. Los usuarios recibían un mensaje con el siguiente contenido:
Por supuesto, el vínculo del mensaje llevaba a un sitio phishing que pedía escribir el login y contraseña para leer el mensaje recibido. Este envío es curioso porque los phishers no pudieron o no quisieron ocultar que se trataba de un envío masivo. Si el lector presta atención al campo “Destinatario”, se dará cuenta de que todos los destinatarios a quienes se envió el mensaje tienen una dirección que empiezan con un nombre tan “raro” como Alexander.
Además, en septiembre los phishers se interesaron por las cuentas de juegos de WOW, algo que ya habíamos mencionado en nuestro weblog: http://www.viruslist.com/es/weblog?page=1.
Países fuente de spam
En septiembre EEUU ha vuelto a ocupar el primer puesto en la estadística de países fuente de spam. Casi una tercera parte del spam se envió desde este país (32.47%, que es un 28.67% más que en agosto). Brasil bajó al segundo lugar, pasando a propagar la mitad de spam que en el mes anterior (5.97% contra el 11.8% de agosto). Entre los diez primeros hay bastante países asiáticos: Vietnam (que bajó su porcentaje en un 2.61% respecto agosto, pero conserva el tercer puesto), Corea (que también bajó en un 1.3% respecto a agosto, pero subió un puesto), China (que subió un 0.3% en comparación con agosto, e India (que bajó en un 3%). Polonia, que en la estadística de agosto ocupaba el segundo puesto, ha vuelto al nivel de julio, propagando un 3.25% de spam (-4.75%). En septiembre España está entre los líderes, ocupando el décimo lugar con un porcentaje del 1.94%.
Spam en castellano – temática del spam
Entre los temas del spam en castellano, los mensajes más propagados son los de “Medicina, bienes y servicios para la salud”.
Los vendedores de Viagra probaron en septiembre un nuevo método, falsificando sus envíos masivos con ofertas de comprar tabletas “masculinas” como un envío legítimo de noticias.
Sin embargo, al pinchar cualquiera de los vínculos de estas “noticias”, se abre el consabido sitio web de publicidad de Viagra ilegal.
Se ha continuado importunando a los usuarios españoles con envíos masivos tradicionales:
Los estafadores que envían “cartas nigerianas” también han estado muy activos durante septiembre. En algunos de sus mensajes no se limitan a usar los esquemas tradicionales, sino que también hacen referencia a temas que han sido de actualidad en los últimos meses. De esta manera, en el mensaje que mostramos más abajo, los estafadores usan el escandaloso tema de los piratas de Somalia y piden ayudarles a transferir el dinero confiscado.
Además, se ha detectado un interesante envío masivo en inglés que ofrece un análisis gratuito de sitios web:
El spam original
Los spammers han propuesto a los usuarios del mundo occidental resolver sus problemas económicos relacionados con la crisis por medio de casas de empeño online. El envío masivo tenía el siguiente aspecto:
En la carta se proponía vender joyas de oro en un sitio web determinado. Pero al pinchar los vínculos del mensaje, se abría algo totalmente inesperado:
Se trataba de un antivirus falso. Muchos usuarios ya saben que esta trampa se ha convertido en una fuerte tendencia entre los delincuentes cibernéticos. Como vemos en la captura, se le ofrece al usuario analizar y reparar su equipo con la ayuda de este “instrumento” por sólo 40 dólares.
Pero el “antivirus”, que muestra como si estuviera ejecutando muchas actividades, no hace nada en absoluto: ni bueno, ni (aunque parezca extraño) malo, a excepción de exigir 40 dólares.
Los métodos y trucos de los spammers
En el spam en inglés una vez más encontramos envíos masivos de tablas html elaboradas de forma especial. Sin embargo, en septiembre no estaban tan bien hechas como en el mes anterior:
Conclusión
En septiembre, la tendencia más marcada en el spam ha sido el sustancial crecimiento de la cantidad de mensajes infectados. Hacemos especial hincapié en que los métodos de ingeniería social que los spammers usaron para propagar spam (falsificación en forma de mensajes supuestamente enviados por grandes organizaciones o tiendas online) son un truco viejo, pero que conserva su efectividad.
Autores
De los mismos autores
En la misma categoría
Spam en septiembre de 2009