Infraestructura de entrega por correo electrónico

Infraestructura de entrega por correo electrónico

Publicado el: 1 de octubre de 2019|Categorías: Artículos|Etiquetas: , , |

Observemos lo que ocurre detrás de la cortina, en lugar de los tipos de correos electrónicos o las cargas útiles, y echemos un vistazo a la forma en que se distribuyen los correos electrónicos maliciosos. Existen dos métodos principales que los estafadores utilizan para lanzar campañas de spam: botnets y kits de herramientas de correo electrónico masivo.

Infraestructura de entrega por correo electrónico

Botnets

Los botnets de correo electrónico no deseado son por lejos los principales culpables de la mayoría de dichos correos que se envía hoy. Los siguientes son algunos de los actores clave en el panorama de botnets de correo no deseado.

Necurs

El botnet Necurs surgió por primera vez en 2012 y ha diseminado una variedad de amenazas, que van desde Zeus hasta ransomware. Si bien su actividad ha recibido mucha más atención en el pasado, Necurs parece haber quedado en segundo plano, al menos en términos de cobertura de prensa. Sin embargo, este botnet sigue estando muy activo. De hecho, el botnet Necurs es el principal vehículo de distribución para una variedad de estafas, incluida la extorsión digital.

Para obtener más información sobre Necurs, consulte el análisis Los muchos tentáculos del botnet Necurs, desarrollado por Cisco Talos.

Emotet

Muchos de los correos no deseados enviados por Emotet se ubican en la categoría de paquetes y facturación. Emotet es un malware modular e incluye un complemento de spambot. Teniendo en cuenta cómo los agentes detrás de Emotet ganan dinero usándolo como canal de distribución para otras amenazas, el objetivo de la mayoría del correo electrónico no deseado enviado por el módulo spambot es infectar más sistemas con Emotet, lo que amplía aún más el alcance de los canales de distribución maliciosos.

Debido a que Emotet roba contenido de los buzones de entrada de las víctimas, a menudo es capaz de crear mensajes de subprocesos maliciosos, pero de aspecto realista, que a los destinatarios les parecen ser parte de conversaciones establecidas. Emotet también es conocido por robar credenciales SMTP, revisando los propios servidores de correo electrónico salientes de las víctimas como vehículo para el correo malicioso saliente.

Para obtener más información sobre Emotet, lea nuestro informe anterior de amenazas en Defensa contra las amenazas críticas de la actualidad, la serie de informes sobre ciberseguridad.

“Cisco Email Security disminuyó el tiempo dedicado a la detección y disminuyó el correo electrónico no deseado en un 80 % aproximadamente”.
Jacquelyn Hemmerich, Funcionario de seguridad, Ciudad de Sarasota, FL

Gamut 

El botnet Gamut ha estado ocupado enviando correo no deseado de citas y relaciones íntimas, principalmente en torno a la premisa de conocer personas en su área. En otras campañas, los agentes detrás del botnet envían mensajes que pregonan la venta de productos farmacéuticos u oportunidades de trabajo.  

Han registrado una variedad de dominios, aunque la infraestructura en sí parece bastante simple, con varios subdominios en un dominio y, a menudo, señalando una dirección IP. Si bien Cisco no ha confirmado si los servicios ofrecidos son legítimos, el proceso de registro parece intentar suplantar la información personal.

Infraestructura de entrega por correo electrónico

Correo electrónico no deseado enviado por el botnet Gamut

Kits de herramientas de correo electrónico masivo

Un enfoque alternativo que muchos remitentes de correo no deseado adoptan es la compra de kits de herramientas para enviar una gran cantidad de correos electrónicos. Muchas de estas herramientas son semilegítimas, lo que significa que, si estuviera vendiendo sus propias cortinas de ducha hechas a mano y personalizadas, podría usar uno de estos kits de herramientas para crear conciencia de marca a través del correo electrónico masivo a su propia lista de correo de suscripción. Sin embargo, algunas de las características incluidas en estos kits de herramientas, como las que permiten la rotación del envío de direcciones IP y la reconstrucción personalizada de adjuntos para generar valores de hash exclusivos, son mucho menos propensas a ser utilizadas en tales situaciones. 

Recientemente, los ingenieros de Cisco Talos descubrieron grupos de Facebook en los que los agentes maliciosos vendían herramientas de correo electrónico masivo junto con extensas listas de direcciones de correo electrónico, probablemente tomadas de violaciones de datos. En estos casos, los compradores de dichas herramientas las usaban claramente para fines nefastos.

Infraestructura de entrega por correo electrónico

Ejemplo de kit de herramientas de correo electrónico no deseado.

Autor: Cisco Systems, Inc
Fragmento de Serie de Ciberseguridad de Cisco 2019 – Seguridad del Correo Electrónicos

    Nombre*:

    Apellido*:

    Teléfono*:

    Empresa*:

    Email*:

    Ciudad*:

    Comparte esta historia!

    Newsletter Semanal

    Lo más relevante de ciberseguridad y tecnología.

    Recibir Newsletter Semanal