“Parece que estos ataques constates alternan el uso de diferentes familias de malware”, afirma Paul Wood, analista de MessageLabs Intelligence. “Por ejemplo, un día podrían dedicarse a propagar especialmente variantes de Zeus (conocido como Zbot), mientras que otro día pueden dedicarse a distribuir variantes de SpyEye. El 10 de febrero, estos ataques se han multiplicado aún más y han sido propagados simultáneamente, utilizando cada familia de malware su propio empaquetador polimórfico para evadir mejor la detección de los antivirus tradicionales.”
Aunque la amplia mayoría de los ataques estaban relacionados con Zeus y SpyEye, muchos de ellos comparten parecidos con el conocido troyano Bredolab, lo que indica que algunas de las prestaciones asociadas con Bredolab también se utilizan en Zeus y SpyEye. Todos estos ataques utilizan un archivo adjunto ZIP que contiene un ejecutable con código malicioso. En febrero, el 1,5% del malware bloqueado contenía adjuntos con archivos ZIP y el análisis posterior mostró que el 79,2% de ellos guardaba relación con la última ola de ataques de Bredolab, Zeus y SpyEye.
“Durante las dos primeras semanas de febrero, MessageLabs Intelligence identificó al menos cuatro motores polimórficos diferentes que usan estos empaquetadores en los servidores para cambiar la estructura del código de los malware Zeus, Bredolab y SpyEye y para aumentar la cantidad de variantes de cada uno de ellos”, afirma Wood. “Teniendo en cuenta las dificultades técnicas para mantener esta cantidad de motores polimórficos y que cada uno evoluciona con rapidez para generar una cantidad de variantes enorme en estas tres familias, ésta es una de las primeras veces que MessageLabs Intelligence ha identificado malware colaborando a nivel técnico a gran escala y volumen”.
A lo largo del año pasado, los archivos maliciosos ejecutables han aumentado su frecuencia junto a los archivos PDF - el formato de archivo más popular para la distribución de malware. Los PDF representan ahora una proporción mayor de los tipos de archivos de documentos utilizados como vectores de ataque. En 2009, aproximadamente el 52,6% de los ataques dirigidos a usuarios específicos utilizaron archivos PDF, en comparación con el 65% en 2010, lo que supone un aumento del 12,4%. A pesar del descenso en este mes, si la tendencia continúa de la misma forma que lo ha hecho a lo largo del año pasado, el 76% del malware dirigido a usuarios específicos se podría utilizar para ataques basados en PDF a mediados de 2011.
“Los ataques dirigidos a usuarios específicos basados en PDF han llegado y no van a desaparecer. Es más, se estima que van a hacerse más peligrosos a medida que los autores de malware sigan innovando en el suministro, construcción y ofuscación de las técnicas necesarias para este tipo de malware”, comenta Wood.
Otros aspectos destacados:
Spam: en febrero de 2011, la proporción mundial de spam en el tráfico de correo electrónico proveniente de fuentes malas nuevas y previamente desconocidas fue del 81,3 % (1 de cada 1,23 correos electrónicos), un aumento de 2,7% puntos porcentuales desde enero.
Virus: la proporción mundial de virus transmitidos a través de emails en el tráfico de correo electrónico proveniente de fuentes malas nuevas y previamente desconocidas fue de 1 de cada 290,1 correos electrónicos (0,345 %) en febrero, un aumento de 0,07 % puntos porcentuales desde enero. En febrero, el 63,5% de virus transmitidos a través del correo electrónico contenía enlaces a sitios web maliciosos, un descenso de 1,6 % puntos porcentuales desde enero.
Amenazas en terminales (endpoints): las amenazas contra dispositivos terminales como, por ejemplo, portátiles, PC y servidores, pueden penetrar en una organización a través de diferentes mecanismos, entre los que se incluyen los ataques de paso por visita a sitios web infectados y por los ataques de troyanos y gusanos que se propagan copiándose en unidades sustituibles. Los análisis de malware bloqueados con mayor frecuencia durante el mes pasado indicaron que el virus Sality.AE fue el más prevalente. Sality.AE se propaga mediante archivos ejecutables e intenta descargar archivos maliciosos en Internet.
Phishing: en febrero, la actividad de phishing fue de 1 de cada 216,7 correos electrónicos (0,462 %), un aumento de 0,22 % puntos porcentuales desde enero.
Seguridad Web: Los análisis de la actividad de la seguridad en la Web muestra que el 38,9 % de los dominios maliciosos bloqueados fueron nuevos en febrero, un descenso de 2,2 % puntos porcentuales desde enero. Asimismo, un 20,3 % de todos el malware basados en web bloqueado fue nuevo en febrero, un descenso de 2,2 % puntos porcentuales desde el mes pasado. MessageLabs Intelligence también identificó una media de 4.098 nuevos sitios web por día que albergan malware y otros programas potencialmente no deseados como spyware y adware, una disminución del 13,7 % desde enero.
Tendencias geográficas:
China fue el país que recibió más spam en febrero, con una tasa del 86,2 %.
En EE.UU. y Canadá el 81,4 % de correo electrónico fue spam. Los niveles de spam en el Reino Unido fueron del 81,1 %.
En Holanda, el spam representó el 82,2 % del tráfico de correo electrónico, mientras que los niveles de spam alcanzaron el 81,2 % en Alemania, el 81,7 % en Dinamarca y el 81,0 % en Australia.
Los niveles de spam en Hong Kong alcanzaron el 82,8 % y el 80,4 % en Singapur. Los niveles de spam en Japón fueron del 78,5 %. En Sudáfrica, el spam representó el 81,6 % del tráfico de correo electrónico.
Sudáfrica siguió siendo el país más afectado por malware transmitido por correo electrónico, con 1 de cada 81,8 correos electrónicos bloqueados como maliciosos en febrero.
En Reino Unido, 1 de cada de 139,0 correos electrónicos contenían malware. En los EE.UU. los niveles de virus fueron 1 de cada 713,6 y 1 de cada 328,8 en Canadá. En Alemania, los niveles de virus alcanzaron 1 de cada 393,1; 1 de cada 451,1 en Dinamarca y 1de cada 910,4 en Holanda.
En Australia, 1 de cada 365,8 correos electrónicos fueron maliciosos, y 1 de cada 455,3 en Hong Kong; en Japón fue 1 de cada 1.331,0 en comparación con 1 de cada 828,9 en Singapur y 1 en cada 457,0 en China.
Tendencias verticales:
En febrero, el sector que recibió más spam - con una tasa del 84,3 % - siguió siendo el sector del automóvil.
Los niveles de spam en educación fueron del 82,6 %; el 81,7 % para el sector químico y farmacéutico; 81,4 % para servicios de TI; 80,8 % para establecimientos comerciales; 80,1 % para el sector público y 80,2 % para el sector financiero.
En febrero, el sector público/gubernamental siguió siendo el más afectado por malware, con 1 de cada 41,1 correos electrónicos bloqueados como maliciosos.
Los niveles de virus en el sector químico y farmacéutico fueron de 1 de cada 458,3; 1 de cada 394,4 para el sector de servicios de TI; 1 de cada 514,3 para establecimientos comerciales; 1 de cada 137,2 en educación y 1 de cada 436,9 en el sector financiero.
Informe completo (inglés): http://www.messagelabs.co.uk/mlireport/MLI_2011_02_February_FINAL-en.PDF
Fuentes: CanalPDA e.Security y Symantec MessageLabs
