En 2016, los investigadores de Kaspersky Lab identificaron un importante aumento en el volumen de spam con anexos maliciosos. La mayoría de este tráfico provenía del botnet Necurs, que es considerado como el botnet que genera el mayor volumen de spam del mundo. Sin embargo, a finales de diciembre de 2016, la red prácticamente paró su actividad, y no por las vacaciones de navidad. El spam de este botnet se ha mantenido en un nivel mínimo prácticamente durante todo el primer trimestre de 2017.
Aparentemente, los cibercriminales parece que se han asustado ante la cada vez mayor publicidad sobre los codificadores y han decidido suspender los envíos masivos de correo.
Sin embargo, esta decisión no parece que sea suficiente para que este vector de ataque desaparezca.
Correos electrónicos con archivos protegidos con contraseña
Durante el primer trimestre de 2017, los “spammers” han hecho más complejas sus técnicas de detección. Entre otras fórmulas, los cibercriminales han empaquetado su malware en archivos protegidos con contraseñas. Una vez que el usuario recibe el correo electrónico, los “spammers” incitan a sus víctimas a abrirlo y a guardarlo de la forma habitual. Diseñan unos correos que simulan ser pedidos de cadenas de grandes almacenes o tiendas, operaciones y CVs, o promesas de grandes sumas de dinero. Muy a menudo, los correos se enviaron en nombre de conocidas empresas, grandes y pequeñas, con toda la información de contacto y detalles dando al remitente una falsa impresión de veracidad.
Una vez que la víctima abre el documento, el script malicioso se activa y procede a descargar el malware en el ordenador. La carga dañina es de todo tipo e incluye desde ransomware, spyware, backdoors o una nueva variante del famoso troyano Zeus.
Spam a través de servicios legales
Los filtros actuales de spam resuelven muy satisfactoriamente el problema de su detección cuando se envían usando correos electrónicos. Esto hace que los spammers busquen nuevos canales que les permitan sortear las barreras. Así, están aumentando su presencia en redes sociales y servicios de mensajería para poder diseminar toda su batería de ofertas fraudulentas y publicidad.
Los mensajes privados se apoyan normalmente en notificaciones de correo electrónico del receptor. En este caso, las cabeceras del correo electrónico se consideran legítimas, al contrario de lo que sucede con el spam tradicional. Esto significa que sólo será posible detectar el spam gracias al análisis del contenido del mensaje, algo mucho más difícil, sobre todo si tenemos en cuenta que la fuente de la información es legal y que la dirección de servicio ha sido añadida a la lista de emisores de confianza del receptor.
“A comienzos de 2017 fuimos testigos de un número importante de cambios en los flujos de spam, incluyendo la abrupta caída en el volumen de correos maliciosos originados por el mayor botnet mundial. Entre estos también hay que mencionar que los actores de riego de spam están avanzando mucho en sus trucos y técnicas anti detección, consiguiendo utilizar plataformas legales de comunicación y anexos protegidos con contraseñas. Esta tendencia seguirá, con documentos protegidos con contraseñas considerados como legítimos a los ojos de las víctimas, más aún cuando estos documentos consiguen evitar el escaneado por parte de la solución de seguridad TI”, afirma Darya Gudkiva, analista de spam en Kaspersky Lab.
