A Trend Micro alerta para o aumento no volume de spam, desde 2012. A empresa, que havia testemunhado o declínio de um 'exploit kit' previamente bem-sucedido, aponta que "o velho virou novo de novo", graças a diferentes técnicas utilizadas pelos 'spammers'. Enquanto houve tipos tradicionais de spam, também surgiram várias evoluções que permitem que os 'spammers' evitem a detecção e possam atingir mais usuários. Além disso, o spam passou – desde o começo do ano passado – a ser mais utilizado para carregar malware.
Figura 1. Volume de spam desde 2008 (clique na imagem)
Spams sobre saúde (Spike)
No início do terceiro trimestre, os especialistas da Trend Micro perceberam um aumento no número de spams relacionados à saúde. Em um certo ponto, esse tipo de spam constituiu 30% de todo o spam que vimos, com mais de dois milhões de amostras suspeitas por dia. O conteúdo dessas mensagens executou uma ampla gama de dicas para perda de peso para relacionar a produtos farmacêuticos.
O que é notável sobre esse spam em particular é que essas mensagens evoluíram do uso de abordagens diretas tradicionais – com uma imagem do produto e um banner, ou algo do gênero, chamando o público a comprar -, para métodos mais sutis. Spams de saúde agora usam um template de newsletter para vender produtos. O uso dessa diagramação tem dois objetivos: evitar a detecção pelos filtros anti-spam e parecer mais legítimo para os usuários. Muitas mensagens até parecem ser de fontes de informações americanas confiáveis, como CBS, CNBC, CNN, The New York Times e USA Today.
Figure 2. Exemplo de spam relacionado a temas de saúde
Essa mensagem foi enviada a partir de computadores em vários países, incluindo India (10%), Espanha (8%), Itália (7%) e Estados Unidos (6%).
A morte lenta do Blackhole Exploit Kit
O Blackhole Exploit Kit (BHEK) é um notório 'exploit kit' que foi amplamente usado em inúmeras campanhas de spam. Esse kit era altamente adaptável, incorporando vulnerabilidades, 'tópicos fortes' e até redes sociais em muitas campanhas.
Em 2013, foram 198 campanhas de spam BHEK, um número pequeno comparado ao do ano anterior. O volume pode ter diminuído, mas não tornou tais campanhas menos efetivas. Por exemplo, mensagens de spam foram enviadas apenas algumas horas acontecimentos-chave, como o nascimento do 'bebê real' inglês. Nessa corrida específica, o volume de mensagens do tipo falando sobre o herdeiro inglês alcançou a taxa de 0,8% de todas as mensagens de spam coletadas durante o ano.
Figura 3. Número de campanhas BHEK de março de 2012 a dezembro de 2013
O final do terceiro trimestre foi marcado pela prisão de Paunch, uma pessoa que acreditavam ser o criador do BHEK. A Trend Micro notou que, nas duas semanas seguintes à sua prisão, não ocorreram corridas significativas de spam BHEK. O número de spam BHEK diminuiu até que, em dezembro, não houve mais nenhum.
A mudança em anexos com malware
Além da publicidade e da venda de produtos farmacêuticos, o spam também é utilizado para distribuir malware. Mesmo assim, podem existir maneiras mais completas de infectar sistemas – o uso de anexos com malware continua frequente no panorama de ameaças. Isso sugere que existem usuários que continuam caindo em técnicas simples de enganação, como estimular usuários a clicar no anexo. O número de spams com anexos maliciosos flutuou ao longo do ano, antes de aumentar continuamente nos últimos meses.
Figura 4. Volume de mensagens de spam com anexos maliciosos
Do primeiro para o terceiro trimestre do ano, ZBOT/ZeuS foi o principal malware de família distribuído por spam. Essa família é conhecida por roubar informações financeiras. Até a metade do terceiro trimestre, no entanto, percebemos que o TROJ_UPATRE tomou o lugar o ZBOT e se tornou o malware anexo top. Em novembro, cerca de 50% de todos os spams maliciosos com anexo continham UPATRE malware.
O UPATRE se tornou conhecido por fazer o download de outros malware, incluindo ZBOT malware e ransomware, particularmente CryptoLocker. Esse tipo de ataque é duplamente arriscado para usuários porque, não só as informações serão roubadas, como os arquivos ficarão inacessíveis.
Para a Trend Micro, o panorama de spam de 2013 irá se firmar com um precedente para as ameaças que iremos ver no ano seguinte. São elas: spammers' irão combinar técnicas antigas de spam para evitar serem detectados e ter sucesso ao atingir usuários; spam continuará a ser usado para espalhar malware e spam em redes sociais irão ter um volume drasticamente maior.
