¿CÓMO ES EL SPAM DE HOY EN DÍA? #2
La muestra proporcionada por mis colegas del Laboratorio Antispam, como ilustración para este tipo spam adjunto en e-mail, tiene casi todas las características para tratarlo como un mensaje legítimo.
El asunto apunta a una revisión de un documento (algo con lo que probablemente tratemos en nuestra rutina diaria), el PDF adjunto parece bastante correcto (excepto el nombre, tal vez, pero de nuevo, todos utilizamos nombres peculiares – Yo nombré el primer borrador del documento que está leyendo como ESP30YA – como de sugerente es esto para alguien?), el cuerpo del mensaje está vacío (de nuevo, nos encontramos con que esto sucede a menudo, especialmente cuando enviamos documentos al cliente de correo desde una aplicación externa). La única rareza es la dirección e-mail tras el nombre del remitente, la cual nos podría ofrecer una pista – posiblemente generada automáticamente.
En cuanto al PDF en sí – es en realidad una lista de software pirata, con enlaces que apuntan a las páginas de descarga, algo que solíamos recibir antes como simples mensajes de texto o imágenes ofuscadas.
Por otra parte, el spam por e-mail que sirve para la distribución de malware, por lo general se basa en la premisa de que un adjunto dañino o un archivo peligroso es abierto por el destinatario. Una vez activado, un gusano de correo masivo como Win32.Bagle@mm, el cual llega como un archivo .zip adjunto a un e-mail, comienza a buscar direcciones e-mail almacenadas en el equipo, en todo tipo de documentos que puedan contener este tipo de información, incluyendo archivos .txs, .html y .xml. Mientras tanto, desactiva casi 200 tipos de servicios de los principales productos de seguridad, incluyendo (pero no limitado a) antivirus, cortafuegos, herramientas de monitorización, etc. Utilizando su propio motor SMTP(23), este malware se envía a sí mismo a direcciones que ha cosechado.
(23) Acrónimo de Simple Mail Transfer Protocol, el estándar basado en texto para la transmisión de e-mail entre un cliente de correo y un servidor de correo.
La línea del asunto y el cuerpo pueden variar, dependiendo de la variante del virus. Bagle también envía como adjuntos archivos .gif mostrando la contraseña para el archivo .zip que el destinatario debe utilizar para desempaquetar los archivos almacenados en ese archivo(24).
Sin embargo, los archivos adjuntos a un e-mail spam, no son los únicos componentes potencialmente peligrosos. Los hipervínculos de un mensaje también pueden ser dañinos. Por ejemplo, el supuesto vídeo adjunto al e-mail mostrado en la siguiente imagen, pide “un códec especial” para poder ser visionado. Si comete el error de hacer clic en el botón de reproducción o en el enlace bajo la (falsa) ventana de reproducción, su navegador se abrirá automáticamente y será redirigido a un sitio web que descarga e instala, en efecto, un troyano.
Puede darse una situación similar con un archivo de audio adjunto. En otra campaña de spam, el mensaje no deseado lleva un archivo .wma de 3.5 MB. Cuando intenta reproducir el .wma adjunto – por lo general llevan el nombre de un artista muy popular – el encubierto Trojan.Downloader.WMA.Wimad, abrirá automáticamente su navegador con el fin de obtener el códec “apropiado” – nada más que un magnífico adware(25).
Sin embargo, dado que el formato multimedia más popular es, en efecto, el .mp3, los spammers aprovechan para explotarlo también. En lugar de texto y/o imágenes, insertan archivos de audio publicitando productos y servicios. Ahora, por favor, tómese un momento y piense que su servidor de correo y su equipo doméstico/de oficina están abrumados con toneladas de mensajes, cada uno de ellos con 5 o 6 MB de información completamente inútil como adjunto. También piense en cuanto tiempo deberá esperar frente a su monitor para descargar un simple adjunto como este y, cuantas otras cosas útiles podría hacer mientras tanto…
Los ejemplos y casos presentados hasta ahora son solo unos pocos ejemplos dentro de una gran variedad de tipos de spam y sus mecanismos de distribución. Las posibilidades son enormes, especialmente con la aparición de nuevas amenazas cada día. Por no mencionar que una vez un mecanismo o técnica se vuelve obsoleta, menos efectiva o contraatacada, los spammers y los creadores de malware vuelven a sus bancos de trabajo de diseño y producción.
(24) Para un descripción completa, por favor consulte “Información sobre el virus – Win32.Bagle.GU@mm”, en la enciclopedia de virus de BitDefender, visitada por última vez el 10 de Junio de 2008, http://www.bitdefender.com/VIRUS-1000122-en--Win32.Bagle.GU@mm.html.
(25) Para una descripción detallada de esta amenaza, por favor consulte “Trojan.Downloader.WMA.Wimad.N”, en la enciclopedia de virus de BitDefender, visitada por última vez el 20 de Junio de 2008, http://www.bitdefender.com/VIRUS-1000277-en--Trojan.Downloader.WMA.Wimad.N.htmly, “Adware.PlayMp3z.A”, en la enciclopedia de virus de BitDefender, visitada por última vez el 20 de Junio de 2008 http://www.bitdefender.com/VIRUS-1000279-en--Adware.PlayMp3z.A.html.A
“Las técnicas de spam por e-mail están cambiando continuamente, pero también se vuelven a utilizar. Hemos visto algunos de los métodos más productivos de los últimos dos o tres años volviendo a emerger hoy en día, justo cuando pensábamos que su efectividad estaba a punto de expirar.
Andra Miloiu
Analista de Spam de BitDefender
Copyright 2011. Site powered by Bitdefender