Investigadores de Websense siguieron varias campañas recientes de spam dirigidas a usuarios de servicios populares como Skype y Evernote, ellos creen que han sido iniciadas por el grupo llamado ru:8080, quienes ya tienen una trayectoria de suplantar servicios legítimos de Internet con ayuda de spam, como en los casos de Pinterest, Dropbox y otros.

Estas últimas campañas inician con correos falsos supuestamente alertando a los destinatarios con un mensaje o una imagen que han recibido a través de Skype y Evernote, las imágenes contienen un enlace oculto que lleva a sitios comprometidos para descargar un kit de explotación.

Anteriormente, el grupo prefería utilizar Blackhole, pero con la detención y proceso judicial de su creador, lo dejaron atrás y cambiaron a Magnitude, después a Angler y por último al exploit Goon.

Este grupo centra sus acciones en los usuarios del Reino Unido, pero también se dirige hacia los usuarios de Estados Unidos y Alemania.

"Hemos visto evidencia e informes del grupo ru:8080 sobre el cambio al exploit Angler apenas en diciembre pasado, pero no habíamos notado ningún ataque por correo electrónico a gran escala hasta hace poco", señaló el equipo de Websense.

Este grupo normalmente roba información a través de troyanos como Cridex, Zeus GameOver o con enlaces fraudulentos que dirigen a los usuarios a ZeroAccess, por ejemplo. También se sabe que son capaces de distribuir ransomware y gusanos.

En este último caso, el malware entregado es una variante de Zeus que fue detectada inicialmente por un pequeño grupo de antivirus comerciales.

"El cambio de un exploit a otro indica varias posibilidades, una de ella es que utilizar un sólo malware como servicio por un largo período se considera demasiado arriesgado para mantener una operación rentable", especulan los investigadores. "Alternativamente, los atacantes están evaluando qué exploit funciona mejor; o podría ser que múltiples atacantes estén aprovechando la misma botnet para reorientar su estructura".