Borrar
Archivo
Los cibercriminales buscan cita en San Valentín

Los cibercriminales buscan cita en San Valentín

El bot Necurs aumenta su actividad el 14 de febrero, al igual que en otras fechas en las que los cibercriminales saben que hay más tráfico en internet

José A. González

Madrid

Miércoles, 14 de febrero 2018, 15:30

Necesitas ser suscriptor para acceder a esta funcionalidad.

Compartir

El amor también llama a la puerta de los bots y en este caso llega a los buzones de correo electrónico. Los cibercriminales tienen apuntadas en rojo las fechas de mayor tráfico en internet, Navidades, Black Friday y Ciber Monday; y, también, San Valentín.

IBM X-Force ha observado un aumento general de correos no deseados relacionados con la búsqueda de pareja en Internet, desde el botnet Necurs. Este repunte comenzó a mediados de enero y continúa a medida que se acerca San Valentín. “Necurs es uno de los botnets más grandes del mundo. Surgió en 2012 como un infector y rootkit, y rápidamente se asoció con pandillas de cibercrimen de élite para convertirse en parte de las principales fuerzas de spam e infección en el ámbito del malware”, señala Eduardo Argüeso, director de la unidad de IBM Security en España.

«Si los spams son conocidos por tener bastantes errores de ortografía y gramática, estos mensajes destacaban por su buena redacción»

Eduardo Argüeso, director de la unidad de IBM Security

La campaña actual de Necurs ha llegado a más de 230 millones de correos no deseados en cuestión de dos semanas, después de que el botnet lanzara decenas de millones de mensajes en dos grandes ataques. El primero comprendió el periodo entre el 16 de enero y el 18 de enero, y el segundo episodio se produjo entre el 27 de enero y el 3 de febrero. “A diferencia de la mayoría de las redes de bots, Necurs se destaca por su complejidad técnica, diversidad de asociaciones y evolución continúa en una era en la que incluso las infraestructuras maliciosas más complejas ya no soportan las interrupciones”, añade Argüeso

Con un ritmo de a un ritmo de 30 millones de emails al día, la actual campaña de Necurs lanza a sus posibles víctimas unos textos muy breves supuestamente escritos por mujeres rusas residentes en Estados Unidos. “Si los spams son conocidos por tener bastantes errores de ortografía y gramática, estos mensajes destacaban en cambio por su buena redacción”, destaca IBM en su web.

Contacto por mail

En el email aparecía un correo electrónico con el nombre de la supuesta remitente, quien luego pedía al receptor contactar con ella usando otra dirección que hacía referencia a una persona completamente distinta. “La mejor manera de impedir estos emails es mediante la formación y sensibilización de los usuarios en relación a este tipo de correos maliciosos que nunca se deben abrir o responder”, puntualiza el director de la unidad de IBM Security en España.

IBM recuerda que el principal objetivo de estas campañas es atraer a sus víctimas para que compartan fotos comprometidas y así poder extorsionarles, pedirles dinero para ir a visitarles o infectar sus equipos con un malware. “Lo primordial es concienciar a los usuarios de las amenazas que suponen este tipo de correos maliciosos, que nunca se deben abrir ni responder. Y por supuesto, nunca pinchar en los enlaces que vengan en esos correos ni seguir las instrucciones que puedan incluir”, recuerda Argüeso.

Además, Necurs destaca por sus vínculos con malware que propaga troyanos bancarios, como Dridex y Trickbot, además de los ransonware Locky, Scarab y Jaff. Pero no solo de virus viven los operadores de Necurs, sino que también distribuyen spams para otros intentos de fraude.

Envío masivo

El spam se envió desde aproximadamente 950.000 direcciones IP diferentes. El principal remitente en la lista de direcciones IP era una alojada a través de un ISP con sede en Pakistán. Esa dirección IP (103.255.5.117) había sido reportada por spams unas 655 veces, en el momento en que se escribió este artículo, y actualmente está clasificada en cuestión de riesgos con un 10 sobre 10, según IBM X-Force Exchange.

Los remitentes procedían en la mayoría de los casos de Vietnam e India, con un 55% de las direcciones de IP durante la campaña.

Reporta un error en esta noticia

* Campos obligatorios