domingo, 22 de junio de 2014

Informe Spam de abril 2014

El spam en la mira

En abril, los envíos masivos fueron sobre la Pascua, que los spammers utilizaron para publicitar sus productos; asimismo, algunos ciberestafadores enviaron notificaciones falsas de ganadores de loterías y programas maliciosos camuflados como saludos electrónicos.
Los ciberestafadores también enviaron spam con ofertas para ganar dinero con acciones de compañías farmacéuticas norteamericanas; este tipo de spam se conoce como pump-and-dump (compraventa). Varios mensajes extensos publicitaron los servicios de una serie de instituciones médicas y clínicas dentales, así como opciones para dejar malos hábitos y tratamientos de rehabilitación para drogadictos y alcohólicos.

Spam de Pascua

La Pascua es uno de las principales fiestas religiosas para los cristianos de todas las denominaciones, y se la celebra en todo el mundo. Cada año, en las vísperas de esta celebración, las bandejas de entrada de correo se inundan con spam relacionado con esta festividad. En abril, el spam en inglés incluyó envíos masivos tradicionales de programas afiliados, que no cambian mucho de un año a otro, y ofertas de productos de marca relacionados con la Pascua.
Los spammers no se olvidaron de sus acostumbrados anuncios para bajar de peso y rejuvenecer. Las ofertas para bajar de peso rápidamente y para tratamientos antiarrugas se fusionaron con el tema de la Pascua, nombre que aparecía en el cuerpo del mensaje.
Los spams fraudulentos también adquirieron un giro festivo en sus anuncios de ganadores de loterías inexistentes. El nombre de esta celebración se usó en el campo Asunto de los mensajes para atraer la atención de los destinatarios, mientras que los saludos festivos al comienzo del mensaje intentaban convencerlos de las supuestas buenas intenciones del remitente.

Jugando con el mercado

En abril vimos una nueva forma del spam conocido como pump-and-dump (compraventa). Los ciberestafadores responsables de estos envíos publicitaron ofertas para comprar acciones de ciertas compañías a precios muy bajos, pero que supuestamente aumentarían notablemente en un futuro cercano. Como resultado, la demanda de acciones de la compañía en cuestión creció, los precios se inflaron artificialmente, con lo que los ciberestafadores podrían vender sus respectivas acciones. Los precios de las acciones comenzaron a bajar, y los inversionistas engatusados se quedaron con acciones depreciadas y perdieron su inversión. En general, los ciberestafadores suelen elegir compañías poco conocidas para elaborar estos esquemas de compraventa de acciones en mercados secundarios. En abril, usaron Rich Pharmaceuticals, una compañía norteamericana.
Los mensajes spam pump-and-dump que se detectaron tenían como supuesto remitente una variedad de compañías que ofrecen servicios de inversiones y bolsa a potenciales inversionistas. Para que los mensajes parecieran reales, los ciberdelincuentes usaron los logotipos de las compañías legítimas y afirmaban que sus mensajes provenían de esas compañías, aunque en el campo “De” de los mensajes no aparecían los nombres oficiales. Para que sus mensajes fraudulentos sean difíciles de detectar, los ciberdelincuentes usaron imágenes y textos aleatorios al final del cuerpo del mensaje.

Spammers al acecho de tu salud

En abril, los artículos y servicios médicos en el spam se concentraron en tratamientos para determinadas enfermedades. Por ejemplo, se ofrecían curas para la calvicie, problemas de vejiga, diabetes, artritis y otras enfermedades, así como exámenes médicos completos. La mayoría de los mensajes estaban diseñados como archivos de imágenes con enlaces que conducían a los usuarios a sitios fraudulentos en los que podían ver una lista de los servicios ofrecidos, listas de clínicas especializadas, y comparaciones de precios para una serie de servicios. Estos mensajes se rastrearon a direcciones registradas en dominios de dudosa reputación y reciente creación.
En abril, las clínicas dentales recurrieron al spam para ofrecer sus servicios a bajo coste de implantes dentales de varias marcas.

Spammers contra los malos hábitos

Los envíos masivos en abril ofrecían a los fumadores una alternativa para dejar este mal hábito y cambiarlo por cigarrillos electrónicos. Si el destinatario activaba el enlace a la tienda online que aparecía en el mensaje, podría ordenar cualquier cantidad de cigarrillos electrónicos de cualquier sabor. El cuerpo del mensaje también incluía todas las ventajas de los cigarrillos electrónicos en comparación con los tradicionales de tabaco y nicotina.
Además de luchar contra el tabaquismo, los spammers también ofertaron programas de rehabilitación para los narcodependientes y alcohólicos. Los mensajes estándar con estas ofertas provenían de direcciones de correo que cambiaban constantemente y que estaban registradas en dominios de reciente creación. Los enlaces en los mensajes conducían a sitios fraudulentos que contenían ofertas para una variedad de servicios médicos, pero que no estaban necesariamente relacionados con el tratamiento ofertado.

Datos estadísticos

Porcentaje de spam en el tráfico de correo


Porcentaje de spam en el tráfico de correo
En promedio, el porcentaje de spam en el tráfico de correo de abril alcanzó el 71,1%, es decir, un 7,6% más que en marzo. Los niveles más altos de spam se dieron en la última semana del mes (73%), y los más bajos en la penúltima (69,6%).

Distribución geográfica de las fuentes de spam

A fines de abril, las tres primeras fuentes de spam en todo el mundo cambiaron un poco en relación al mes anterior. China volvió al primer lugar (24,1%) después de que su porcentaje disminuyera levemente en un 0,5%. Corea del Sur ocupó el segundo lugar, con un 15,6% tras haber estado en la tercera posición el mes anterior; la cantidad de spam proveniente de este país aumentó en un 2,4%. Estados Unidos ocupó la tercera posición con un 12,1%, tras disminuir un 5%, lo que también afectó la clasificación de las otras fuentes de spam.
 
Fuentes de spam en el mundo
Rusia y Taiwán mantuvieron sus posiciones en el Top 5 (9,1% y 6,5%, respectivamente). El porcentaje de Rusia aumentó en un 2,5%.
También se observaron incrementos en el porcentaje de spam de Vietnam (4,2%), Ucrania (2,7%), y Filipinas (1,9%); en promedio, los indicadores de estos países aumentaron en un 0,6%. Como resultado, Filipinas ocupó la novena posición de la clasificación. Recordemos que en marzo, Filipinas ocupaba el 11œ lugar.
Japón completó el Top 10 de abril con un 1,9%; el porcentaje de spam proveniente de este país apenas cambió, pero perdió una posición. Al final del mes, Rumania abandonó el Top 10 (1,4%).
En Francia se registró una creciente actividad spam (1%), lo que le permitió a este país ingresar en el Top 20, en el 12œ lugar. Alemania también apareció en la clasificación de abril con un 0,7%.
 
Fuentes de spam en Europa
A fines de abril, el líder de las fuentes de spam dirigido a países europeos fue Corea del Sur, con un aumento del 5,5%, totalizando un 56,3%. Taiwán subió de la tercera a la segunda posición (7,8%) después de un aumento del 1,8%. El Top 3 se completó con Estados Unidos con el 6% (0,7% menos que en marzo).
Rusia (5,1%) se mantuvo firme en su cuarta posición tras un aumento del 0,8%. El incremento en el volumen de spam proveniente de Francia también se notó en Francia (3,1%), lo que lo catapultó del 19œ al 5œ lugar.
La cantidad de spam dirigido a Europa proveniente de Ucrania (1,5%) y Rumania (1,3%) disminuyó en un 0,3% y un 0,4%, respectivamente. Reino Unido ocupó la décima posición (1,2%) tras una disminución del 0,5% durante el mes.
La cantidad de spam proveniente de China, Polonia e Italia cayó en abril (2%, 0,3% y 0,6%, respectivamente). Por el contrario, en Alemania se observó un ligero aumento en las actividades de los spammers, alcanzando un 0,9% al final del mes.
En abril se unieron a esta lista Holanda (0,8%) y Turquía (0,4%).
 
Fuentes regionales de spam
En cuanto a las fuentes regionales de spam, Asia permanece a la cabeza con el 59,8%. Le siguen Europa del Este con el 16,9%, intercambiando posiciones con Norteamérica que cayó del segundo al tercer lugar (12,3%). El porcentaje de spam proveniente de Europa del Este aumento en más del 2%, mientras que el de Norteamérica cayó en un 5%.
Las regiones de Europa Occidental (5,3%) y Sudamérica (2,9%) también experimentaron aumentos en la cantidad de spam (0,6% y 0,5%, respectivamente).

Malicious attachments in email

Adjuntos maliciosos en los mensajes de correo
 
Top 10 de programas maliciosos propagados por mensajes de correo
Como es costumbre, la lista de programas maliciosos propagados por mensajes de correo sigue liderada por Trojan-Spy.HTML.Fraud.gen. Nos gustaría creer que tras numerosas publicaciones y recordatorios cobre esta amenaza, la cantidad de usuarios víctimas estaría en un mínimo. Recordemos que se trata de la misma amenaza que aparece como un sitio web phishing HTML y que envía un mensaje de correo camuflado como una importante notificación de bancos, tiendas online y otros servicios.
Al Top 10 de abril se le unieron varios representantes de la familia Bublik. Todas la amenazas de esta familia en el Top 10 se descargan en los ordenadores infectados mediante un troyano de la familia ZeuS/Zbot (que hemos mencionado repetidas veces en nuestros informes). Las amenazas de esta familia están diseñadas para atacar a ordenadores de servidores y de usuarios, y para interceptar datos. Aunque ZeuS/Zbot es capaz de ejecutar una variedad de acciones maliciosas, a menudo se lo utiliza para robar información bancaria. También instala CryptoLocker, un programa malicioso que exige un rescate para descifrar los datos secuestrados del usuario.
El gusano Email-Worm.Win32.Bagle.gt, que ocupó la séptima posición en abril, le añadió una pizca de variedad a clasificación generalmente dominada por los ataques Bublik. Tras infectar un ordenador, el gusano Email-Worm.Win32.Bagle.gt se autoenvía a todas las direcciones de correo que encuentra en el ordenador. Su principal objetivo es descargar y ejecutar archivos desde Internet sin que sus víctimas se enteren.
 
Distribución de las detecciones antivirus de correo, por país
En abril, la clasificación de países por el número de detecciones antivirus de correo estuvo encabezada por Estados Unidos con un 11,73% (un 0,28% menos que en marzo). Reino Unido (9,95%) y Alemania (9,47%) ocuparon la segunda y tercera posiciones, respectivamente.
El porcentaje de detecciones antivirus de correo aumentó en un 2,13% en Brasil, que alcanzó un 4,13%, y como resultado, este país trepó hasta la quinta posición en la clasificación. La participación de Rusia disminuyó en un 0,25%, cayendo del 16œ al 20œ lugar. Mientras tanto, el porcentaje de detecciones antivirus de correo en otros países no tuvo cambios notables en abril.

Características especiales del spam malicioso

El día después de Pascua, los ciberdelincuentes realizaron envíos masivos de saludos electrónicos en alemán utilizando los nombres de usuarios cuyas cuentas de correo piratearon. Los mensajes contenían deseos de bienestar y un saludo electrónico (en un adjunto) que ocultaba al troyano Trojan-PSW.Win32.Fareit.aonw. A diferencia de otras modificaciones Fareit, esta amenaza es menos ambiciosa, pues no roba contraseñas de programas, pero descarga y ejecuta otro troyano, Trojan, Trojan-Spy.Win32.Zbot.sbba, que está diseñado para atacar servidores y robar datos personales.
También en abril, Kaspersky Lab detectó varios ataques maliciosos de grandes proporciones camuflados como faxes enviados por el reconocido servicio de fax online, eFax, que permite enviar y recibir faxes como adjuntos de correo. Los mensajes fraudulentos incluyen una notificación sobre la llegada de un fax, y para ser más persuasivos aun, indican el número de páginas del fax. Sin embargo, el archivo comprimido contiene un programa malicioso, es decir, Trojan-Downloader.Win32.Cabby.a, que es un troyano descargador no muy grande que contiene un archivo CAB en su cuerpo, con el documento o gráfico que se le muestra al destinatario cuando lo ejecuta. Mientras la víctima está ocupada viendo el adjunto, Cabby procede a descargar otras amenaza sin que el usuario se entere. En los casos que hemos observado, el programa malicioso secundario pertenecía a la misma familia ZeuS/Zbot ampliamente propagada (Trojan-Spy.Win32.Zbot.shqe).

Phishing

En abril Kaspersky Lab reunió a las organizaciones más atacadas en una categoría que incluye clientes de correo, clientes de mensajería instantánea y motores de búsqueda. Al final del mes, esta categoría se posicionó a la cabeza de la clasificación con el 31,9%. Las redes sociales ocuparon el segundo lugar con el 23,8%, a pesar de haber disminuido en un 0,2%. Las organizaciones financieras y de pago se colocaron en el tercer lugar con el 13%, también con una disminución del 0,2% desde marzo. El porcentaje de ataques contra tiendas online (12,1%) disminuyó en un 0,8%. Los indicadores de otras categorías también sufrieron leves cambios que no afectaron su posición en la clasificación.
 
Clasificación del Top 100 de organizaciones más atacadas por phishers, por categoría
Esta clasificación se basa en las detecciones del componente anti-phishing de Kaspersky Lab, que se activan cada vez que un usuario pulsa un enlace phishing, que puede encontrarse en un mensaje spam o en una página web.
Los phishers suelen atacar a grandes compañías chinas, incluyendo Tencent, una compañía de telecomunicaciones que entre otros servicios ofrece soporte técnico para un cliente de mensajería instantánea, QQ. Los ciberestafadores intentaron robar los datos de ingreso y contraseñas del cliente desde sus oficinas personales recurriendo a una trampa muy conocida. Una falsa notificación les avisa a los usuarios que su cuenta había recibido una solicitud de desbloqueo. Puesto que la supuesta solicitud fue enviada por un tercer usuario, se había bloqueado el acceso a la cuenta para evitar el robo de sus datos personales.
Para rechazar la solicitud, se le pedía al usuario que activara un enlace que conducía a un sitio web phishing. La notificación se enviaba como una imagen para burlar los filtros antispam y le otorgaba al mensaje una apariencia legítima.

Conclusiones

En abril, el porcentaje de spam en el tráfico mundial de correo aumentó en un 7,6%, totalizando un 71,1%. Los mayores niveles de spam se registraron en la última semana del mes (73%).
La cantidad de mensajes spam relacionados con la Pascua que se enviaron en este mes alcanzó niveles sin precedentes. Los spammers enviaron principalmente ofertas de diferentes artículos y servicios relacionados con la Pascua, además de artículos y servicios que no tenían ninguna relación con la festividad. Se mencionó la Pascua incluso en las notificaciones fraudulentas de ganadores de lotería para llamar la atención de los potenciales destinatarios y poder engañarlos. Asimismo, durante la Pascua, los ciberdelincuentes enviaron saludos electrónicos con programas maliciosos.
En abril, el Top 3 de las fuentes de spam en todo el mundo incluyó a China (24,1%), Corea del Sur (15,6%) y Estados Unidos (12,1%). Asia se mantuvo como la primera fuente regional de spam con el 59,8%.
Al final del mes, apareció otra categoría, clientes de correo y motores de búsqueda, que encabezó la lista de organizaciones más atacadas por phishers (31,9%). Las redes sociales ocuparon la segunda plaza (23,8%), mientras que las organizaciones financieras y de pago ocuparon la tercera (13%).


Saludos.
Lexer Pars.

No hay comentarios:

Publicar un comentario