Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago sep
oct    
Artículos analíticos más populares



¡Felicidades, acabas de ganar! La realidad detrás de las loterías online



El spam en septiembre de 2014



Evolución de las amenazas informáticas en el primer trimestre de 2014



Keyloggers: Qué son y cómo detectarlos (primera parte)



Ataques contra boletos: robo a usuarios desconectados
 
Información para autores potenciales
¡Escríbanos!

¿Quiere usted ser uno de nuestros autores y ver su trabajo publicado en nuestro sito web Viruslist.com? ¡Escríbanos!

 

  Home / Análisis

Spam en septiembre de 2009

9.11.2009   |   Comentar

Maria Namestnikova

Particularidades del mes

  • El spam en el tráfico de correo ha subido un 1.2% en comparación con agosto y este mes ha alcanzado una media del 86.3%.
  • Se han encontrado vínculos a sitios phishing en el 0.84% de todos los mensajes electrónicos, lo que representa una disminución del 0.25% en comparación con agosto.
  • El 1.22% de los mensajes contenía ficheros maliciosos, es decir un 1.17% más que en el mes anterior.
  • Los spammers continúan usando las posibilidades del HTML para evadir los filtros.

Porcentaje de spam en el tráfico de correo

En septiembre de 2009 el porcentaje medio de spam en el tráfico de correo ha sido del 86.3%. El punto más bajo del mes se registró el 18 de septiembre (83.3%). Los usuarios recibieron más spam el 27 de septiembre (91.3%). En septiembre la cantidad media de spam recibido por los usuarios no descendió a menos del 83%, un fenómeno que observamos por primera vez.

Porcentaje de spam en septiembre de 2009


Un 1.22% de los mensajes electrónicos contenía adjuntos maliciosos. Esto es bastante más que el porcentaje de los meses anteriores (+1.17% en comparación con agosto).

Adjuntos maliciosos en el spam

Programas maliciosos contenidos en el spam en septiembre de 2009

 новое окно

En septiembre la lista de los 10 programas maliciosos líderes ha cambiado bastante. Los gusanos de la familia NetSky, que encabezaban la lista el mes anterior, han sufrido una fuerte caída. Si en agosto la tercera parte de los mensajes infectados propagaban miembros de esta familia, en septiembre sólo una variedad del gusano (Email-Worm.Win32.NetSky.q) ha permanecido en la lista, en el último lugar.

Los líderes indiscutibles de este mes son los troyanos de la familia FraudLoad. Casi la mitad de los mensajes infectados contenían troyanos de esta familia. Como su nombre indica, el troyano instala en el equipo infectado un antivirus falso que extorsiona a la víctima.

Inesperadamente, Trojan-Downloader.Win32.Murlo.cba ha ocupado el primer puesto de la lista. Se trata de un ejemplar bastante antiguo que se encuentra en el 28.5% de los mensajes spam que contienen adjuntos maliciosos.

Los troyanos de la familia Zbot, a pesar de lo que se esperaba, han tenido una pobre representación este mes. En el noveno lugar se encuentra Trojan-Spy.Win32.Zbot.gen, que estaba presente en el 0.81% de los mensajes infectados. Trojan-Spy.Win32.Zbot.gen es un programa troyano-espía destinado a robar la información confidencial del usuario. Hay más información disponible sobre este virus en este enlace: www.viruslist.com/en

También es necesario mencionar que los backdoors de la familia Bredolab, que tenían una amplia presencia en la lista de los 10 programas maliciosos líderes en agosto, en septiembre la abandonaron del todo.

Para difundir adjuntos maliciosos, los spammers usaron un truco que no es nuevo, pero que al parecer es muy efectivo. El adjunto malicioso se empaquetaba en un archivo zip que venía en mensajes idénticos a las notificaciones de grandes y respetadas compañías de correo, DHL y UPS.

Los envíos masivos de este tipo de spam empezaron a finales de mayo y principios de junio, pero se volvieron más activos en septiembre. En septiembre el spam supuestamente proveniente de DHL es muy diferente al de junio. En primer lugar, en junio este tipo de spam estaba dirigido a los usuarios de lengua alemana. En segundo lugar en junio no se adjuntaban programas maliciosos en archivos comprimidos, sino que los delincuentes incluían un vínculo a una página web nociva en los mensajes.

En septiembre la situación cambió: los envíos en nombre de DHL eran idénticos a los envíos masivos de UPS, que por su parte no sufrió prácticamente ningún cambio. Esto es un indicio de que los organizadores de envíos masivos de spam usan los mismos métodos y tecnologías.

 новое окно

 новое окно

También debemos mencionar que los programas maliciosos propagados en estos mensajes eran diversos. Entre otros, se detectó a Bredolab.

Este backdoor también se propagaba en los mensajes supuestamente provenientes de Western Union. En este caso fue evidente el uso de la ingeniería social: se le decía al usuario que había recibido una transferencia bancaria por una suma bastante grande y que en el adjunto podría encontrar el número de la transferencia (MTCN =Money Transfer Control Number), imprescindible para recibir el dinero. Por supuesto, el adjunto no contenía ningún número de transferencia.

 новое окно

También hubo un envío masivo que contenía un archivo zip y se hacía pasar por una notificación legítima de una tienda online. Pero estaba hecha de una forma bastante confusa: no contenía ni el nombre de la tienda, ni un saludo al destinatario, ni una dirección a la que contestar.

 новое окно

Captura de pantalla de YourOrder

También se continuó enviando mensajes falsos en nombre de Hallmark. En el mensaje se afirmaba que el usuario había recibido una tarjeta. Para verla, como de costumbre, se le proponía al usuario a seguir un vínculo que llevaba a una página web que contenía un programa malicioso.

 новое окно

Phishing

Se han encontrado vínculos a sitios phishing en el 0.84% de todos los mensajes electrónicos, lo que representa una disminución del 0.25% en comparación con agosto. En septiembre PayPal ha vuelto al primer lugar de la estadística de organizaciones atacadas. La cantidad de ataques se ha duplicado en comparación con agosto (+18.68%) y casi ha alcanzado el nivel de julio (40.19% en julio y 37.33% en septiembre). El sistema de subastas eBay sigue con un porcentaje muy similar al de agosto (+0.45%) y ocupa el tercer puesto. En el segundo puesto de la estadística está la organización norteamericana IRS, dedicada a la recaudación de impuestos, contra la cual se ha lanzado el 11.08% de todos los ataques phishing en septiembre. En realidad, no se trató de ataques phishing en el sentido clásico. Con ayuda de mensajes falsificados supuestamente enviados por IRS los delincuentes propagaban Zbot (Trojan-Spy.Win32.Zbot). El banco CHASE, que había ocupado el primer lugar en la estadística de agosto, en septiembre no está entre los 10 primeros, ocupando el 11? lugar. En septiembre se lanzó cerca del 2% de ataques, que es un 28% menos que en agosto.

Organizaciones víctimas de ataques phishing en septiembre de 2009

 новое окно

A finales de septiembre los delincuentes enviaron un mensaje phishing que se parecía mucho a los envíos de PayPal:

 новое окно

Los phishers conservaron el logotipo del sistema de pagos online y el aspecto general del mensaje, amén de que el campo “Remitente” era similar al original. Sin embargo, un usuario perspicaz se da cuenta de inmediato de ciertas irregularidades. En primer lugar, todos los vínculos que en la página legítima de PayPal o en el mensaje llevan a páginas necesarias, en el mensaje de los spammers se han convertido en inscripciones inactivas de color celeste y el único enlace verdadero que se puede pinchar es el de “Verificar identidad”. En segundo lugar, el envío tiene fecha de diciembre de 2009, pero en el texto se menciona “el futuro octubre”. En tercer lugar, la frase “De conformidad con los nuevos cambios en el Contrato de Servicio, cualquier cuenta no verificada será borrada del sistema al término de 72 horas después de recibir este mensaje” hace pensar en el phishing.

Este mensaje también es interesante porque los phishers, al tratar de darle un aspecto que se gane la confianza del usuario, cometieron un error más. No pusieron la letra “h” al principio de la dirección (“ttp” en lugar de “http”) y como resultado el navegador no puede identificar el protocolo y le es imposible remitir al usuario al sitio phishing. De esta manera, hasta el usuario más distraído no puede enviar sus datos de registro a los delincuentes.

Otro interesante envío phishing estaba dirigido a los clientes del banco Alliance & Leicester. Los usuarios recibían un mensaje con el siguiente contenido:

 новое окно

Por supuesto, el vínculo del mensaje llevaba a un sitio phishing que pedía escribir el login y contraseña para leer el mensaje recibido. Este envío es curioso porque los phishers no pudieron o no quisieron ocultar que se trataba de un envío masivo. Si el lector presta atención al campo “Destinatario”, se dará cuenta de que todos los destinatarios a quienes se envió el mensaje tienen una dirección que empiezan con un nombre tan “raro” como Alexander.

Además, en septiembre los phishers se interesaron por las cuentas de juegos de WOW, algo que ya habíamos mencionado en nuestro weblog: http://www.viruslist.com/es/weblog?page=1.

Países fuente de spam

 новое окно

En septiembre EEUU ha vuelto a ocupar el primer puesto en la estadística de países fuente de spam. Casi una tercera parte del spam se envió desde este país (32.47%, que es un 28.67% más que en agosto). Brasil bajó al segundo lugar, pasando a propagar la mitad de spam que en el mes anterior (5.97% contra el 11.8% de agosto). Entre los diez primeros hay bastante países asiáticos: Vietnam (que bajó su porcentaje en un 2.61% respecto agosto, pero conserva el tercer puesto), Corea (que también bajó en un 1.3% respecto a agosto, pero subió un puesto), China (que subió un 0.3% en comparación con agosto, e India (que bajó en un 3%). Polonia, que en la estadística de agosto ocupaba el segundo puesto, ha vuelto al nivel de julio, propagando un 3.25% de spam (-4.75%). En septiembre España está entre los líderes, ocupando el décimo lugar con un porcentaje del 1.94%.

Spam en castellano – temática del spam

Entre los temas del spam en castellano, los mensajes más propagados son los de “Medicina, bienes y servicios para la salud”.

Los vendedores de Viagra probaron en septiembre un nuevo método, falsificando sus envíos masivos con ofertas de comprar tabletas “masculinas” como un envío legítimo de noticias.

 новое окно

Sin embargo, al pinchar cualquiera de los vínculos de estas “noticias”, se abre el consabido sitio web de publicidad de Viagra ilegal.

Se ha continuado importunando a los usuarios españoles con envíos masivos tradicionales:

 новое окно

Los estafadores que envían “cartas nigerianas” también han estado muy activos durante septiembre. En algunos de sus mensajes no se limitan a usar los esquemas tradicionales, sino que también hacen referencia a temas que han sido de actualidad en los últimos meses. De esta manera, en el mensaje que mostramos más abajo, los estafadores usan el escandaloso tema de los piratas de Somalia y piden ayudarles a transferir el dinero confiscado.

 новое окно

Además, se ha detectado un interesante envío masivo en inglés que ofrece un análisis gratuito de sitios web:

 новое окно

El spam original

Los spammers han propuesto a los usuarios del mundo occidental resolver sus problemas económicos relacionados con la crisis por medio de casas de empeño online. El envío masivo tenía el siguiente aspecto:


En la carta se proponía vender joyas de oro en un sitio web determinado. Pero al pinchar los vínculos del mensaje, se abría algo totalmente inesperado:

 новое окно

Se trataba de un antivirus falso. Muchos usuarios ya saben que esta trampa se ha convertido en una fuerte tendencia entre los delincuentes cibernéticos. Como vemos en la captura, se le ofrece al usuario analizar y reparar su equipo con la ayuda de este “instrumento” por sólo 40 dólares.

Pero el “antivirus”, que muestra como si estuviera ejecutando muchas actividades, no hace nada en absoluto: ni bueno, ni (aunque parezca extraño) malo, a excepción de exigir 40 dólares.

 новое окно

Los métodos y trucos de los spammers

En el spam en inglés una vez más encontramos envíos masivos de tablas html elaboradas de forma especial. Sin embargo, en septiembre no estaban tan bien hechas como en el mes anterior:


Conclusión

En septiembre, la tendencia más marcada en el spam ha sido el sustancial crecimiento de la cantidad de mensajes infectados. Hacemos especial hincapié en que los métodos de ingeniería social que los spammers usaron para propagar spam (falsificación en forma de mensajes supuestamente enviados por grandes organizaciones o tiendas online) son un truco viejo, pero que conserva su efectividad.

Fuente:
Kaspersky Lab
Enlaces sobre temas similares
Analysis
Kaspersky Security Bulletin. El spam en 2013
El spam en octubre de 2013
El spam en junio de 2013
El spam en mayo de 2013
El spam en marzo de 2013
 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com