Chávez y el nuevo Papa, protagonistas del spam en el primer trimestre del año
América Latina ocupa la 5ta posición en el ránking de regiones fuentes de spam en el mundo
Sunrise, 29 de mayo de 2013—En el primer trimestre de 2013, la cantidad de correo electrónico no deseado, a pesar de que fluctuó de mes en mes, casi no ha cambiado en comparación con el trimestre anterior, según el último informe de spam del Q1 de 2013 de Kaspersky Lab.
Como de costumbre, los spammers tratan de llamar la atención de los usuarios hacia sus mensajes: usan nombres célebres, sucesos mundiales o simplemente falsifican mensajes de notificaciones de recursos populares. La mayoría de estos mensajes contienen enlaces a programas maliciosos, entre ellos exploits.
Entre los adjuntos maliciosos enviados en el spam encontramos con más frecuencia programas usados para robar logins y contraseñas a los usuarios. Entre los ciberdelincuentes, gozan de particular popularidad los troyanos dirigidos al robo de información de servicios de banca online. Además, muchos envíos masivos de spam contenían enlaces a conjuntos de exploits: en el primer trimestre de 2013 el más popular entre los delincuentes fue Blackhole.
urante el primer trimestre de 2013 la cantidad de spam en el tráfico de correo ha sufrido grandes fluctuaciones y alcanzado una media del 66,55%. Esto es un 0,53% más que el trimestre anterior.
Noticias frescas con enlaces maliciosos
Después de la muerte del líder venezolano, aparecieron en el spam mensajes con un título sensacionalista: ¿La CIA «eliminó» a Hugo Chávez? Los autores del mensaje insinuaban que el gobierno de EE.UU. y la CIA estaban involucrados en la muerte de Hugo Chávez y le proponían al usuario seguir el enlace para ver un vídeo sobre el tema.
Los incautos usuarios que hacían clic en el enlace acababan en un sitio comprometido desde donde se les redirigía a un recurso malicioso. Si el sistema operativo de la víctima potencial cumplía ciertos parámetros, se usaba un exploit (detectado de forma proactiva por Kaspersky Anti-Virus como HEUR:Exploit.Java.CVE-2012-0507.gen) para instalar un programa malicioso en el equipo del usuario.
Pero no sólo Hugo Chávez llamó la atención de los spammers este trimestre. En otro envío masivo, con un texto sensacionalista y un enlace malicioso los delincuentes usaban el nombre del nuevo Papa para atraer la atención de los destinatarios. El envío masivo de spam fingían ser notificaciones de la BBC y la CNN y le ofrecía al destinatario leer noticias sobre el nuevo papa. Por ejemplo, uno de los titulares ofrecía comentar el posible juicio contra el papa por violencia sexual.
El esquema de infección del equipo mediante este envío masivo malicioso repetía el esquema usado en el envío masivo que contenía el enlace malicioso a la «noticia» de la muerte de Hugo Chávez: después de pulsar el enlace, se remitía al usuario a un sitio hackeado desde donde se descargaba a su equipo un exploit (por lo general del conjunto de exploits Blackhole) que infectaba el sistema con un programa malicioso.
Falsificaciones sociales
Los spammers, sobre todo aquellos que quieren infectar el equipo del usuario con programas maliciosos, siguen usando las notificaciones falsificadas de diferentes servicios conocidos. Este trimestre, a las conocidas redes sociales como Facebook, Twitter, se ha sumado el servicio Foursquare. Se ha usado una regla simple: cuanto mayor sea la popularidad del servicio, mayor será la probabilidad de que los spammers envíen notificaciones falsificadas en su nombre.
Con mayor frecuencia en estos mensajes los ciberdelincuentes enviaban enlaces a conjuntos de exploits capaces de encontrar vulnerabilidades en el equipo del usuario y usarlas para instalar diferentes programas maliciosos.
Uso de los servicios legales
En el primer trimestre de 2013 hemos detectado un envío masivo típico del spam que publicita medicamentos para hombres donde se usaban los siguientes trucos:
- El encabezado “Borrar cuenta de Instagram” es un típico ejemplo de ingeniería social. Para captar la atención del usuario se le dice que se borrará su cuenta en un servicio popular. Si el usuario tiene una cuenta en Instagram, lo más probable es que abra el mensaje en vez de borrarlo de inmediato.
- La dirección real a la que lleva el enlace malicioso está camuflada mediante dos métodos legales. Al principio los spammers usaron el servicio de enlaces cortos de Yahoo!, y después procesaron el enlace obtenido en el traductor online Google Translate. Este servicio puede traducir las páginas web de los enlaces proporcionados por el usuario y generar un enlace propio para la traducción. La combinación de estos métodos hace que cada enlace del envío sea único y además, el uso de dos nombres de dominio conocidos contribuye a que el enlace le parezca legal al destinatario del spam.
Los spammers usan con frecuencia los servicios de enlaces cortos. En primer lugar, de esta manera tratan de engañar a los filtros antispam, haciendo que en cada mensaje haya un enlace único. En segundo, el uso de servicios de enlaces cortos no les cuesta nada a los delincuentes, a diferencia de la compra de dominios o el hackeo de sitios legítimos. Por su parte, los grandes servicios de enlaces cortos tratan de hacer un seguimiento del contenido de los sitios a los cuales se remite a los usuarios y son rápidos en eliminar los enlaces maliciosos.
Regiones- Fuentes del spam
En el primer trimestre de 2013 Asia (55.7%) se mantuvo como la región líder fuente de spam, seguida por Norte América (17.6%) y Europa del Este (13.6%). América Latina (4.2%) ocupó el quinto lugar.
En América Latina, Brasil es el único país de la región que se encuentra dentro de los top 20 países fuentes de spam en todo el mundo. Sin embargo, es interesante que este trimestre Brasil bajó de la quinta a la novena posición debido a que el tráfico de spam procedente de este país bajo a la mitad comparado con el último trimestre de 2012. Esto se debió a que Brasil internamente cerró el portal TCP 25, el cual había servido como el portal por defecto para el tráfico SMTP. Este es el portal por el cual la mayoría del spam proveniente de computadoras infectadas sale del país. El cierre del portal TCP 25 es una práctica estándar de los proveedores de Internet, pero en esta ocasión, los proveedores actuaron siguiendo instrucciones superiores.
Phising
En el primer trimestre de 2013 la cantidad de mensajes phishing en el flujo total de correo electrónico se ha reducido 4,25 veces, con lo que su nivel es del 0,004%.
En este trimestre, de nuevo se han vuelto frecuentes los ataques phishing a las redes sociales (37,6%). Los ciberdelincuentes hicieron muchas falsificaciones de las notificaciones de Facebook y LinkedIn. En el segundo lugar están los sistemas de búsqueda (16,2%). La alta posición de los motores de búsqueda se puede explicar porque las grandes compañías que son sus dueñas también ofrecen muchos otros servicios, como espacio en discos virtuales, correo electrónico, redes sociales y muchas otras cosas. Con frecuencia la contraseña de todos los servicios es la misma, por eso los sistemas de búsqueda son tan apetecidos por los delincuentes cibernéticos.
En el tercer puesto están las organizaciones financieras y de pagos (14,2%). Queremos destacar que, a diferencia de, por ejemplo las redes sociales, donde gran parte de los ataques corresponden a una o dos organizaciones, la distribución de los ataques a los bancos es más uniforme: se ataca una enorme cantidad de diferentes bancos, tanto grandes y famosos en todo el mundo.
Para más información, por favor lea el reporte completo de spam de Q1 de 2013.
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía se ubicó entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 15 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para los consumidores, pequeñas y medianas empresas y grandes compañías. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios en todo el mundo. Para obtener mayor información, visite http://latam.kaspersky.com.
*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2012-2016 y Acciones de Proveedores 2011» – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de Endpoint Security en 2011.