Informes sobre spam y phishing

Spam en septiembre de 2013

Peculiaridades del mes

Una vez entrado el primer frío de otoño en septiembre, hemos detectado un número muy grande de envíos masivos con varias ofertas para ahorrar en gastos de electricidad y conservar el calor en las viviendas. Este tipo de envíos suelen ser comunes tanto en el segmento ruso de Internet, como en el inglés. En septiembre, una parte importante de los envíos masivos la ocuparon las ofertas de seguros de coche y la publicidad de servicios de imprenta (entre ellos, de calendarios para el año 2014). El spam de fiesta en septiembre, enviado sobre todo en inglés, estaba dedicado al Día de todos los Santos, una fiesta popular del mundo occidental.

Smap de Halloween

Todos los años en vísperas de las fiestas de Halloween registramos un gran número de envíos de spam dedicados a esta popular fiesta. Tradicionalmente, se envía en inglés la publicidad de disfraces, y hasta los consabidos envíos masivos de bolsos de marcas famosas vienen con imágenes de calabazas –el símbolo más importante de la fiesta de otoño– y con ofertas de grandes descuentos. Los representantes de pequeñas y medianas empresas también han enviado spam con ofertas de sus artículos al estilo de la fiesta. Como siempre, para atraer la atención de los usuarios, en el asunto de los mensajes se menciona el nombre de la fiesta.  

En septiembre también hemos detectado envíos en francés dedicados a Halloween. Los spammers enviaban mensajes con publicidad de disfraces y de varios accesorios para el Día de todos los Santos.

Una vez llegado el invierno y el primer frío, siempre aumentan los gastos de calefacción y de electricidad. Los spammers no han dudado en aprovechar este factor estacional. Uno de los temas más frecuentes de los envíos masivos no solicitados fueron los modos de conservar el calor en las viviendas y de reducir los gastos de gas, agua y electricidad.

En los envíos de este tema en inglés los mensajes con publicidad de instalación en los edificios de paneles solares (una fuente de electricidad autónoma) eran los más frecuentes. Los mensajes de este tipo llegaron en varios formatos: algunos contenían poco texto; otros, un vistoso banner de publicidad.

 

En todos estos casos había un enlace largo que llevaba a un dominio recién registrado, diferente para cada mensaje. Después, una serie de redirecciones podía llevar al usuario a un sitio web con una descripción del programa de subsidios estatales para la instalación de paneles solares en los EE.UU., o a un sitio web que contenía listas de ofertas de instalación de los mismos y tiendas que comercializaban estas instalaciones:

 

Con frecuencia detectamos envíos con ofertas de instalación de ventanas con aislamiento térmico para bajar los gastos de electricidad. Estos mensajes contenían enlaces largos. Al hacer clic sobre cualquiera de ellos, el usuario, después de una serie de redirecciones, llegaba al sitio web de una tienda donde se podía obtener más información y hacer un encargo.

También hemos detectado envíos de los fabricantes de lámparas LED que usaban activamente el tema del ahorro en gastos de electricidad. Por lo general, estos mensajes llegaban firmados por uno de los managers de la empresa productora y contenían todos sus datos de contacto. En un texto corto, pero muy informativo, se describía la gama de productos básicos. El mensaje contenía también un enlace al sitio web de la empresa. Estos mensajes se parecían mucho a una correspondencia de negocios, pero las frases de saludo eran muy generales e indicaban la ausencia de un destinatario determinado. Asimismo, las direcciones de los remitentes eran letras al azar y no tenían nada que ver con las direcciones electrónicas de contacto que se indicaban en los mensajes.

 

Seguros de coches

Los spammers de habla inglesa usaban el tema del seguro de coches como incentivo para atraer la atención de los usuarios cuyos datos personales intentaban obtener. En los mensajes abundaban los encabezados sobre un modo fácil de reducir considerablemente las tarifas mensuales del seguro de coches. Los enlaces de los mensajes llevaban a un sitio web recién creado desde donde se remitía al destinatario a otro recurso que no tenía nada que ver con el seguro. Allí había un banner que ofrecía ganar un Macbook Air, un iPhone o un iPad si se respondía a tres preguntas. Después de responder a las preguntas y seleccionar el regalo deseado, se le pedía al usuario introducir sus datos personales, incluyendo el nombre y apellidos, la dirección con el código postal, el teléfono y el correo electrónico. De esta manera, al conseguir la atención del destinatario con la publicidad de un artículo, le tentaban y llevaban a un sitio web de contenido completamente distinto, donde intentaban obtener sus datos personales con el pretexto de entregarle un regalo de valor.

Distribución geográfica de las fuentes de spam

En septiembre de 2013 el spam en el tráfico postal disminuyó en un 1,4% y fue de un 66,2%. En el ranking de los países fuente de spam difundido por todo el mundo, los primeros tres siguen siendo los mismos del mes pasado. China (22%) sigue ocupando el primer lugar. En comparación con el mes pasado, su índice aumentó en un 1%. En el segundo lugar está EE.UU. (18%), pero el spam enviado desde este país, al contrario, se ha reducido en un 1%. La tercera posición pertenece a Corea del Sur (14%), cuyo índice disminuyó en un 1,4%. Desde estos tres países en septiembre se envió en conjunto el 54% del spam mundial.

 
Países fuentes de spam en el mundo

En el 4? lugar, como en el mes pasado, está Taiwán (6%). El spam enviado desde este país aumentó en un 0,8%.

Casi en un 2% aumentó el spam enviado desde India (5%), lo que le permitió subir a la 5? posición desde la 8?.

Como habíamos pronosticado, en septiembre Japón ingresó en el TOP 10. Este país está en la posición 9? con un índice del 2,4%. Canadá cierra el Top 10 (2%), al haber subido dos posiciones.

Como observamos, el spam se ha reducido en Bielorrusia (0,8%), que el mes pasado todavía formaba parte del Top 10, pero ahora perdió 6 posiciones. Lo mismo pasa en Alemania (0,7%). 

Los índices de los demás países no han cambiado mucho.

 
Países fuentes de spam en Europa

Según los datos del mes de septiembre, el primer lugar entre los países fuentes de spam en Europa lo ocupa Corea del Sur (54%), el spam enviado desde este país bajó un 6%. Luego sigue Taiwán (5,6%). India, que el mes pasado era solo el sexto, ahora ocupa el tercer lugar (4,8%). El spam enviado desde este país aumentó un 2,7%.

El mes pasado EE. UU. (3,6%) ocupaba la tercera posición, pero en septiembre este país bajó a la 6?, aunque su índice bajó solo un 0,3%.

Rusia (4,3%) y Vietnam (4,1%) siguen estando en las posiciones 4? y 5? respectivamente. Pero el spam proveniente de estos países aumentó en cerca de un 1,5%.

En septiembre Malasia entró también en nuestro listado (1,2%), quedando entre los diez primeros. Aumentaron considerablemente los índices de otros dos países de la Región Asiática: Japón (1,2%) y Hong Kong (1%), desde los cuales se envió un 0,6% y un 0,9% más de spam respectivamente.

Pero el flujo de spam desde Alemania, al contrario, ha bajado un poco, en un 0,8%. El país abandonó el Top 10, desplazándose a la 16? posición con un índice del 0,7%.

 
Regiones fuente de spam

Entre las regiones, el líder de difusión de spam sigue siendo Asia (59%), su índice aumentó en un 4% comparado con el mes pasado. Luego sigue América del Norte (20%) cuyo índice en septiembre aumentó en un 2%. En tercer lugar sigue Europa del Este (12%) cuyo índice, al contrario, bajó en un 2%. Luego vienen las regiones de Europa Occidental (4%) y América Latina (2,4%).

Adjuntos maliciosos en el correo

En septiembre el TOP 10 de programas maliciosos que se difunden por correo ha sufrido cambios importantes: tenemos 5 programas nuevos en este listado.

 
TOP 10 de programas maliciosos que se difunden por correo electrónico

Solo Spy.HTML.Fraud.gen sigue en la misma posición. Este programa ocupa el primer lugar hace ya varios meses.  Recordemos que Fraud.gen forma parte de la familia de programas troyanos que usan la tecnología spoofing. Estos troyanos son páginas HTML falsificadas y se envían por correo electrónico como un mensaje importante de grandes bancos comerciales, tiendas online, empresas de software, etc.

En septiembre, las posiciones 2?, 3?, 6? y 9? las ocupan programas nuevos en nuestro listado –malware de la familia Bublik. La función básica de los programas de este tipo es la descarga e instalación no autorizada en el equipo víctima de nuevas versiones de programas maliciosos. Una vez realizada su tarea, el programa se desactiva y se copia a sí mismo en la carpeta %temp%. Se camufla como una aplicación o un documento de la empresa Adobe.

La 4? posición la ocupa el malware Email-Worm.Win32.Bagle.gt. Este programa gusano es un archivo ejecutable que se difunde como adjunto de mensajes electrónicos. Se envía a sí mismo a todas las direcciones de correo electrónico que encuentre en el equipo infectado. Este gusano también tiene la función de descargar archivos de Internet sin que el usuario se dé cuenta. Para enviar los mensajes infectados, Email-Worm.Win32.Bagle.gt usa su propia biblioteca SMTP.

En la 5? posición de septiembre tenemos a Trojan-PSW.Win32.Fareit.xvf. Este es otro programa nuevo del listado y se dedica robar las cuentas de usuario (id. de inicio de sesión y contraseña) en los equipos infectados. Descarga de manera autónoma sus propias actualizaciones, pero no se enraíza en el sistema. Se hace pasar por documentos y aplicaciones de Adobe.

La 7? posición la ocupó Trojan.Win32.Llac.dleq. La funcionalidad básica de este programa maliciosos es vigilar al usuario. El malware recoge la información sobre el software instalado (básicamente, sobre los antivirus y contrafuegos), la información sobre el equipo (procesador, SO, unidades), intercepta la imagen desde la cámara web, intercepta la pulsación de teclas (keylogger), y recaba información confidencial desde distintas aplicaciones.

En la 8? posición tenemos a un viejo conocido, Email-Worm.Win32.Mydoom.l. Recordemos que este gusano de red con funcionalidad de backdoor se difunde como adjunto de mensajes electrónicos, a través de redes de intercambio de archivos y los recursos de red abiertos para la escritura. El gusano busca en el equipo infectado las direcciones para enviar los mensajes mediante su propia conexión directa con el servidor SMTP del destinatario.

En la última posición de ТОР 10 vemos a Email-Worm.Win32.Mydoom.m, otro gusano que envía sus copias por correo electrónico. Para buscar las direcciones de las víctimas el gusano escanea las libretas de direcciones MS Windows y el caché del browser Internet Explorer. El gusano envía solicitudes de búsqueda ocultas a los sistemas de búsqueda, abre los enlaces desde la primera página de resultados de búsqueda que contienen direcciones del listado que se descarga de los servidores de maliciosos. De esta manera, el gusano aumenta artificialmente el número de visitas a sitios web.

 
Distribución de la activación del antivirus de correo por país

Según la frecuencia de las activaciones del antivirus de correo, los líderes siguen siendo los mismos del mes pasado: el primer lugar lo vuelve a ocupar Alemania (12,67%), EE.UU. (11,33%) sigue estando en segundo lugar, y en tercer lugar vemos a Reino Unido, cuya participación aumentó en comparación con agosto y ahora es del 9,86%.

Rusia sigue ocupando la 9? posición, aunque las activaciones del antivirus de correos en este país han bajado al 2,6%.

Cabe destacar también que este mes Arabia Saudí entró en el TOP 10 (2,41%).

Peculiaridades del spam malicioso

Los estafadores muy raras veces usan proveedores de Internet y de teléfono, pero en septiembre hemos registrado varios envíos maliciosos que usan los nombres de empresas extranjeras de este ámbito para engañar a los usuarios.

Los spamers han usado el nombre de la empresa británica de telecomunicaciones BT Group para el envío del troyano de descarga Trojan-Downloader.Win32.Dofoil, que descarga e inicia los programas maliciosos en el equipo de la víctima. En un mensaje falsificado se comunicaba que el usuario acababa de cambiar la dirección de correo electrónico en su cuenta personal y que ahora se iba a usar para las notificaciones sobre las modificaciones y las actualizaciones. Para más información, se le ofrecía al destinatario abrir el adjunto, que en realidad era un troyano. Para convencer al destinatario de que el mensaje es legal, los estafadores usaban una dirección de remitente legal a primera vista así como el enlace al sitio web oficial de la empresa. Pero la ausencia de fórmulas de saludo y el archivo ejecutable del mensaje adjunto BT.Email Address Details.pdf.exe deberían alertar al usuario.

 

Las falsificaciones de notificaciones bancarias no son algo raro, y en septiembre hemos detectado un envío malicioso presuntamente a nombre del banco Webster. Esta vez en el mensaje se comunicaba que la empresa realiza el seguimiento de todas las transacciones y de los clientes para revelar acciones sospechosas en el sistema de pago. Al mensaje se adjuntaba un troyano de descarga Trojan-Downloader.Win32.Angent, camuflado como un informe. Para que los mensajes parecieran legales, los enviaban desde una dirección falsificada que parecía oficial, y en el cuerpo del mensaje había un enlace a la página real del sitio web de la empresa, así como una autofirma.

 

Phishing

El ranking de empresas atacadas por phishers no ha sufrido muchos cambios. Entre los tres líderes, igual que en agosto, en la primera posición están las redes sociales (28,1%).

 
Distribución del TOP 100 de empresas atacadas por phishers por categorías

El ranking de categorías de empresas acatadas por phishers se basa en la activación de nuestro componente antiphishing en los equipos de usuario. El antiphishing detecta todos los enlaces phishing por los cuales intenta pasar el usuario tanto para los enlaces en un mensaje de spam como en Internet.

El índice de los servicios de correo (18,1%) aumentó en un 0,8%, y siguen ocupando la segunda posición. La tercera posición la ocupan los sistemas de búsqueda (16%), los ataques a organizaciones de esta categoría han bajado en solo un 0,1%.

El índice de empresas financieras y de pago (14,9%) aumentó un 1%, y según los datos del mes de septiembre esta categoría sigue ocupando la 4? posición.

Los vendedores de IT han perdido un 0,5% y han cedido la posición 5? del ranking a los proveedores de telefonía y de Internet cuyo índice, al contrario, aumentó en un 0,6%.

En septiembre los phishers han vuelto a dirigir su atención a importantes bancos de Australia y Nueva Zelanda. Recordemos que en julio de 2013 ya detectamos un envío de notificaciones falsificadas en nombre del banco Australia and New Zealand Banking Group. Esta vez los phishers intentaron engañar a los clientes del banco Westpack, uno de los bancos líderes de Australia.

Para engañar a las víctimas, los estafadores no inventaron nada nuevo, sino que usaron un viejo truco. En un mensaje falsificado se comunicaba que en el sistema de verificación de seguridad del servicio de banking en línea se habían registrado tres intentos de entrar en la cuenta de usuario, por lo que el acceso a la misma se había bloqueado. Para restaurar el acceso a la cuenta los estafadores piden que el usuario abra el archivo adjunto al mensaje. En el archivo Westpac_form-413-217-9908.zip había una página HTML donde el usuario tenía que rellenar los campos con información personal. Luego, todos los datos introducidos en estos campos se enviaban a los estafadores.

Cabe destacar que aunque los phishers usaban en la página los colores y el logotipo del sitio web oficial del banco, no copiaron completamente la presentación, y no se podía usar las pestañas superiores, porque al pulsarlas se abría la página oficial del sitio en una ventana aparte. Para engañar a los usuarios, los phishers indicaban también la información detallada de la cuenta, por ejemplo, las direcciones IP desde las cuales supuestamente se habían registrado los intentos erróneos de introducir la contraseña.

 

Conclusión

El porcentaje de spam mundial sigue bajando y en septiembre se redujo al 66%. Como siempre, en este mes los spammers han prestado atención a las peculiaridades de la temporada, de las cuales depende la actividad de los consumidores potenciales de los productos y de los servicios de publicidad. Así, en septiembre aumentó el número de ofertas vinculadas con el ahorro de energía eléctrica y protección de los edificios contra el frío. También se detectaron envíos vinculados al tema de dos fiestas populares en todo el mundo, el Día de todos los Santos y el Año Nuevo. Igualmente, el mes que viene esperamos un aumento en el spam vinculado con el Año Nuevo.  

Como habíamos pronosticado, el índice de los ataques a las redes sociales ha bajado, y el de las operaciones financieras y de pago ha subido. Pero estos cambios no han sido muy importantes y el ranking de empresas atacadas por los phishers no ha cambiado mucho. Es probable que en octubre los índices de las redes sociales sigan bajando y el número de ataques a las entidades financieras, por el contrario, aumente. También hemos notado que los estafadores intentan desplazar el vector del ataque desde lo habitual –los bancos y los servicios de mensajeros– hacia varias empresas de telecomunicaciones.

Spam en septiembre de 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada