Na primeira metade deste ano o volume de spam aumentou 60% comparado com o primeiro semestre de 2013. Podemos atribuir este aumento a vários fatores: o predomínio do DOWNAD e o boom de emails de spam gerados por malwares (como o MYTOB). Ameaças frequentes como o UPATRE e ZeuS/ZBOT usam o spam como vetor de infecção para fazer seu ataque. Em nosso estudo sobre o cenário de spam de 2013, nós previmos que o spam seria usado para distribuir malwares. Isto continua sendo uma realidade.
Figura 1. Volume de Spam do segundo trimestre, 2014
Os ataques de Spam Focam nos Usuários Alemães
Quase 83% de todos os spams analisados são escritos em inglês. Os principais idiomas não-inglês usados nos spams são o Alemão seguido pelo Japonês. Identificamos ataques de spam escritos em alemão que usavam malwares disfarçados de arquivos de Control Panel (CPL). Malware CPL foi um dos principais vetores de ataque neste ano no Brasil. Já no final do segundo trimestre deste ano, vimos a aparição do EMOTET, um malware bancário que analisa o tráfego da rede para roubar os dados do usuário. Este malware chega através de mensagens de email que simulam boletos ou transferências bancárias. Baseado em nossa investigação, certos bancos na Alemanha estão incluídos na lista de websites monitorados por esta ameaça.
Figura 2. Pincipais 5 idiomas usados nos spams
Novas (e velhas) técnicas para a criação do spam
Com base nas fontes de nossos honeypots, os três principais tipos de spam sã0 relacionados a malware (20%), saúde (16%) e spam comercial e ações em bolsa (11%). Nós vimos um crescimento forte nos spams relativos a ações de bolsa nos últimos seis meses. Um exemplo de spam é sobre a comercialização de ações em bolsa que informa os usuários sobre dicas de compra e venda de ações e como eles poderiam enriquecer rapidamente. Em termos de técnicas usadas pelos spams, observamos que antes a sopa de letrinhas e as letras embaralhadas estavam incorporadas no HTML, mas agora elas estão no corpo da mensagem juntos com a linguagem newsclip para parecer que é legítimo e, assim, burlar os filtros de spam. Além disso, os spammers também estão combinando algumas técnicas antigas de uso de linguagem newsclip (usada na criação de newsletters) com spam de imagem ao invés de imagem pura. Isto é feito para evitar a detecção dos filtros de spam.
Figura 3. Principais categorias de Spam
Eventos, filmes e problemas recentes ainda são técnicas efetivas de engenharia social para iludir os usuários a abrir esses spams, que podem acarretar em roubo de dados e informações do sistema. KULUOZ, um malware distribuído pela Asprox botnet rouba as manchetes de noticiário da CNN e BBC colocando-as no corpo do email. Com essa técnica, os filtros de spam consideram que seja um email de notícias legítimo, ao invés de um spam.
Outra tendência é o abuso no uso de plataformas de armazenamento populares como o Dropbox para armazenar malwares. Em Maio, descobrimos que spam relacionado ao UPATRE utilizou um link do Dropbox, não apenas como parte de uso da engenharia social, mas também para baixar os arquivos maliciosos. Quando os usuários clicavam na URL, eram enviados ao Dropbox e acabavam por fazer download do UPATRE, um malware conhecido por baixar arquivos maliciosos do ZeuS que roubam informações.
O Spam e seu Impacto no Cenário de Ameaças
Com base nos dados de nossos honeypots , o número de emails relacionados a malware aumentou 22%. Em nosso post anterior, afirmamos que mais de 40% dos malwares relacionados a spam puderam contribuir a máquinas infectadas com o DOWNAD no Q2. Embora o DOWNAD ou Conficker surgiu em 2008, ele permanece como uma ameaça relevante ainda hoje. De fato, está entre os três principais malwares que afectam as empresas.
UPATRE é o líder nos principais malwares distribuídos por spam, seguido pelo TSPY_ZBOT e BKDR_KULUOZ. O UPATRE constitui mais de 33% do volume total de spam de malware. ZeuS é uma das principais fontes de malspam (spam de malware).
KULUOZ faz o download de malwares como o FAKEAV e ZACCESS e pode transformar sistemas infectados em distribuidores de spam. Em Abril, KULUOZ se aproveitou das notícias trágicas do acidente marítimo em Seul.
Figura 4. Principais 10 malwares nos spams
Figura 5. TROJ_UPATRE VS. Total malspam
O Spam no Segundo Semestre de 2014
O Spam continuará a ser um arsenal dos cibercriminosos para proliferação de suas atividades mal-intencionadas. Nós prevemos que na segunda metade do ano o volume de spam continuará crescendo. Os cibercriminosos podem se aproveitar das férias no hemisfério norte e eventos relevantes nos próximos meses.
Continuaremos a ver spam como fonte de malwares. Além disso, vemos que a distribuição de novos domínios por email está crescendo. Isto é provavelmente devido às características de um algoritmo de geração de domínio para envio de spams gerados por malware como o DOWNAD. Isso pode afetar o volume de spam, já que a criação de domínio já pode ser vista em um grande número de spams.