Chávez y el nuevo Papa, protagonistas del spam en primer trimestre del año

Colombia, mayo de 2013—En el primer trimestre de 2013, la cantidad de correo electrónico no deseado, a pesar de que fluctuó de mes en mes, casi no ha cambiado en comparación con el trimestre anterior, según el último informe de spam del Q1 de 2013 de Kaspersky Lab.

Como de costumbre, los spammers tratan de llamar la atención de los usuarios hacia sus mensajes: usan nombres célebres, sucesos mundiales o simplemente falsifican mensajes de notificaciones de recursos populares. La mayoría de estos mensajes contienen enlaces a programas maliciosos, entre ellos exploits.

Entre los adjuntos maliciosos enviados en el spam encontramos con más frecuencia programas usados para robar logins y contraseñas a los usuarios. Entre los ciberdelincuentes, gozan de particular popularidad los troyanos dirigidos al robo de información de servicios de banca online. Además, muchos envíos masivos de spam contenían enlaces a conjuntos de exploits: en el primer trimestre de 2013 el más popular entre los delincuentes fue Blackhole.

Durante el primer trimestre de 2013 la cantidad de spam en el tráfico de correo ha sufrido grandes fluctuaciones y alcanzado una media del 66,55%. Esto es un 0,53% más que el trimestre anterior.

Noticias frescas con enlaces maliciosos

Después de la muerte del líder venezolano, aparecieron en el spam mensajes con un título sensacionalista: ¿La CIA “eliminó” a Hugo Chávez?  Los autores del mensaje insinuaban que el gobierno de EE.UU. y la CIA estaban involucrados en la muerte de Hugo Chávez y le proponían al usuario seguir el enlace para ver un vídeo sobre el tema.

Los incautos usuarios que hacían clic en el enlace acababan en un sitio comprometido desde donde se les redirigía a un recurso malicioso. Si el sistema operativo de la víctima potencial cumplía ciertos parámetros, se usaba un exploit (detectado de forma proactiva por Kaspersky Anti-Virus como HEUR:Exploit.Java.CVE-2012-0507.gen) para instalar un programa malicioso en el equipo del usuario.

Pero no sólo Hugo Chávez llamó la atención de los spammers este trimestre. En otro envío masivo, con un texto sensacionalista y un enlace malicioso los delincuentes usaban el nombre del nuevo Papa para atraer la atención de los destinatarios. El envío masivo de spam fingían ser notificaciones de la BBC y la CNN y le ofrecía al destinatario leer noticias sobre el nuevo papa. Por ejemplo, uno de los titulares ofrecía comentar el posible juicio contra el papa por violencia sexual.

Con mayor frecuencia en estos mensajes los ciberdelincuentes enviaban enlaces a conjuntos de exploits capaces de encontrar vulnerabilidades en el equipo del usuario y usarlas para instalar diferentes programas maliciosos.

Uso de los servicios legales

En el primer trimestre de 2013 hemos detectado un envío masivo típico del spam que publicita medicamentos para hombres donde se usaban los siguientes trucos:

  1. El encabezado “Borrar cuenta de Instagram” es un típico ejemplo de ingeniería social. Para captar la atención del usuario se le dice que se borrará su cuenta en un servicio popular. Si el usuario tiene una cuenta en Instagram, lo más probable es que abra el mensaje en vez de borrarlo de inmediato.
  2. La dirección real a la que lleva el enlace malicioso está camuflada mediante dos métodos legales. Al principio los spammers usaron el servicio de enlaces cortos de Yahoo!, y después procesaron el enlace obtenido en el traductor online Google Translate.  Este servicio puede traducir las páginas web de los enlaces proporcionados por el usuario y generar un enlace propio para la traducción. La combinación de estos métodos hace que cada enlace del envío sea único y además, el uso de dos nombres de dominio conocidos contribuye a que el enlace le parezca legal al destinatario del spam.
  Share: