Lo spam nel mese di Aprile 2013

30 mag
Press Releases

Sommario

Aprile in cifre

  • Nel mese di aprile 2013 la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un incremento del 2,1%, attestandosi in tal modo su un valore medio pari al 72,2%.
  • La quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e-mail si è ridotta di tre volte rispetto all'analogo valore rilevato nel precedente mese di marzo, ed ha fatto pertanto segnare un indice pari allo 0,002% del volume complessivo di messaggi di posta elettronica circolanti in Rete.
  • Nel mese di aprile sono stati individuati allegati nocivi nel 2,4% dei messaggi e-mail; il valore di tale indice è pertanto diminuito dell’ 1,6% rispetto all'analoga quota percentuale rilevata nel mese precedente.

Peculiaridades del mes

In aprile, l’indice percentuale relativo al numero di messaggi di spam rilevati all’interno dei flussi e-mail ha fatto quindi registrare un incremento non particolarmente significativo (+ 2,1%) rispetto all’analoga quota riscontrata nel mese precedente. Al contempo, nel traffico di posta elettronica, è diminuita sensibilmente la quantità di e-mail di spam volte a sfruttare le tradizionali tematiche legate alle festività stagionali; gli spammer hanno tuttavia continuato ad utilizzare piuttosto attivamente i classici temi delle festività pasquali, allo scopo di reclamizzare prodotti e servizi di vario genere. Inoltre, per attirare l’attenzione dei destinatari dei messaggi di spam diffusi in Rete, i truffatori di turno hanno ampiamente utilizzato, per i loro loschi fini, i nominativi di noti leader politici di fama mondiale, così come i tragici eventi che si sono prodotti negli Stati Uniti nel corso del mese oggetto del presente report.

I drammatici avvenimenti negli USA sfruttati nell’ambito dello spam nocivo

Come al solito, anche nel mese di aprile 2013, gli eventi più eclatanti che si sono verificati sulla scena internazionale non sono affatto passati inosservati agli occhi degli spammer. I malintenzionati hanno in effetti ampiamente sfruttato il grande scalpore suscitato a livello globale dai tragici eventi statunitensi: le bombe fatte scoppiare nei pressi del traguardo della celebre maratona di Boston e la terribile esplosione che ha devastato un impianto di fertilizzanti in Texas.

Immediatamente dopo gli attentati di Boston, già nel giorno successivo, sono stati da noi individuati all’interno del traffico globale di spam alcune mailing di massa preposte alla diffusione di file e link nocivi. Riguardo ad una di queste campagne di spam, abbiamo aggiunto i dettagli nel nostro blog.

Le e-mail in questione erano state mascherate sotto forma di comunicazioni provenienti da note emittenti televisive (CNN e BBC); esse recavano un titolo dal tono provocatorio ed un vistoso link che avrebbe dovuto apparentemente condurre l’utente verso la lettura di un articolo dedicato ai drammatici eventi di Boston. Se il destinatario dell’e-mail di spam avesse cliccato sul suddetto link, sarebbe inevitabilmente giunto su un sito nocivo appositamente allestito dai cybercriminali, dal quale si sarebbe poi scatenato un severo attacco informatico nei confronti del suo computer, mediante l’utilizzo del famigerato kit di exploit denominato Blackhole 2. In caso di esito positivo dell’azione nociva svolta dal malware preposto a sferrare l’attacco, sul computer-vittima sarebbe stato caricato uno spyware altamente dannoso, classificato come Backdoor.Win32.Papras.ppk, specificamente creato dai virus writer per realizzare il furto di informazioni e dati custoditi tramite le connessioni protette HTTPS, nonché di cookie, screenshot e informazioni relative al computer preso di mira. I dati illecitamente sottratti sarebbero stati poi inoltrati, come di consueto, ai malintenzionati di turno.


Desideriamo a tal proposito ricordare come nel primo trimestre del 2013 abbiamo individuato, all’interno dei flussi e-mail, una campagna di spam dannosa dai toni e dai contorni simili a quella sopra descritta. Nella circostanza, attraverso la diffusione di messaggi nocivi composti in maniera del tutto simile a quello riprodotto nello screenshot qui sopra inserito, i malfattori avevano cercato di sfruttare le principali notizie di attualità relative allo scorso mese di marzo, ed in particolar modo quelle riguardanti l’elezione al soglio pontificio del nuovo Papa.

Nell’ambito di un’ulteriore campagna di spam i cybercriminali hanno distribuito nelle e-mail box degli utenti della Rete una serie di link preposti a condurre i destinatari dei messaggi verso pagine web il cui indirizzo conteneva parole quali <texas>, <boston>, <news>. Cliccando su uno di tali collegamenti ipertestuali l’utente-vittima sarebbe giunto su una pagina Internet contenente una selezione di video - tratti da YouTube - riguardanti i tragici avvenimenti che nel mese di aprile hanno profondamente scosso gli Stati Uniti. Anche questa pagina web celava - guarda a caso - la presenza di un pericoloso exploit, il quale avrebbe generato il download, sul computer-vittima, di un insidioso programma nocivo, rilevato dalle soluzioni anti-malware di Kaspersky Lab come Trojan-PSW.Win32.Tepfer. Si tratta, nella fattispecie, di un programma trojan abitualmente utilizzato dai malintenzionati per effettuare il furto dei dati sensibili (login e password) relativi agli account degli utenti.

 

Lo spam fraudolento

Nel mese oggetto del presente report sul fenomeno spam, i cosiddetti truffatori «nigeriani» hanno continuato a fare largo uso, nelle e-mail fraudolente da essi distribuite in Rete, dei nominativi di noti leader politici mondiali; nella circostanza, nelle campagne di spam condotte in aprile, sono stati menzionati in particolar modo Barack Obama e uno dei figli di Muammar Gheddafi. Come evidenzia lo screenshot  esemplificativo qui sotto riportato, attraverso l’e-mail truffaldina una sedicente funzionaria della Casa Bianca informa il destinatario del messaggio che il presidente degli Stati Uniti d’America intende procedere alla distribuzione di ben 100 lingotti d’oro a persone bisognose di tutto il mondo; in particolare, proprio il destinatario dell’e-mail in causa è stato prescelto quale fortunato assegnatario della preziosa barra di metallo. Nell’e-mail «nigeriana» in lingua tedesca, invece, un sedicente collaboratore di uno dei figli del defunto presidente libico, Muammar Gheddafi, si rivolge al destinatario del messaggio con la classica richiesta di assistenza per poter effettuare il trasferimento all’estero di una colossale somma di denaro, da destinare ad investimenti sicuri.

 

Lo schema d’azione fraudolento che i truffatori «nigeriani» si prefiggono di applicare a scapito delle potenziali vittime del raggiro, più o meno abilmente architettato, è ormai ben noto. Il loro scopo principale è quello di cercare di coinvolgere l’utente-vittima in uno scambio di corrispondenza sempre più fitto, che, secondo gli obiettivi dei malintenzionati, porti poi questi ultimi a sottrarre al malcapitato significative somme di denaro. In effetti, se il destinatario dell’e-mail «nigeriana» risponde al messaggio iniziale subdolamente recapitato, i truffatori, attraverso ulteriori comunicazioni, chiederanno poi di trasferire su un determinato conto bancario una somma del tutto trascurabile rispetto alla montagna di denaro promessa in cambio di aiuto. In genere, il pretesto per spillare dei soldi è quello di dover necessariamente provvedere in anticipo al pagamento di determinati servizi o prestazioni (consulenze da parte di qualche avvocato o giurista, applicazione di non ben precisate imposte sulle transazioni finanziarie da realizzare, etc.), “indispensabili” -  a detta dei truffatori - perché la “vittima” predestinata possa in seguito entrare in possesso della somma milionaria promessa. Gli spammer «nigeriani», ovviamente, confidano molto sul fatto che l’enorme differenza esistente tra la cifra richiesta e quella promessa in cambio di assistenza nella transazione finanziaria, induca la potenziale vittima del raggiro ad ignorare quasi del tutto ogni naturale forma di cautela e di attenzione, e ad eseguire, quindi, le specifiche richieste espresse dai malintenzionati.

I truffatori «nigeriani» hanno cercato di attirare in ogni modo l’attenzione dei destinatari delle e-mail fraudolente non soltanto con l’allettante promessa di facili guadagni, ma anche rivolgendo alle potenziali vittime della truffa ordita i tradizionali auguri di Pasqua; come si può vedere qui sotto, tale festività è stata spesso menzionata nell’oggetto dell’e-mail, oppure nella parte iniziale del messaggio.

 

Allo stesso modo, è stato ampiamente sfruttato il tema delle festività pasquali anche per le tradizionali notifiche di fantomatiche vincite ad inesistenti lotterie online; anche in tal caso, la parola “Pasqua” è stata spesso menzionata nel campo “Subject”. Per cercare di ingannare l’utente-vittima, in una di tali e-mail i malintenzionati hanno ad esempio provveduto ad inserire un link preposto a condurre verso un sito web del tutto legittimo, riconducibile ad una società realmente esistente, specializzata nell’organizzazione di lotterie. Tuttavia, come si può facilmente immaginare, la società in questione non aveva proprio nulla a che vedere con la “ricca lotteria” allestita dai truffatori.

Spam e festività

Nonostante nei paesi occidentali le festività pasquali fossero state ormai celebrate, nel mese di aprile gli spammer hanno continuato imperterriti a sfruttare insistentemente le tematiche connesse all’importante ricorrenza religiosa della cristianità, allo scopo di pubblicizzare repliche di articoli di lusso e offerte relative a concessioni di credito. Nell’ambito di uno di tali mailing di massa, gli spammer hanno ad esempio proposto ai destinatari dei messaggi uno speciale codice “pasquale”, grazie al quale si sarebbero potute acquistare riproduzioni di orologi di lusso beneficiando di uno sconto del 50%.

 

In aprile, all’interno del traffico di posta elettronica, sono state da noi nuovamente individuate varie campagne di spam dedicate alla Festa della Mamma. I temi utilizzati dagli spammer sono risultati essere quelli più tradizionali: articoli floreali e prodotti di lusso.

 

Abbiamo inoltre rilevato la conduzione di un singolare mailing di massa dedicato alla Festa del Papà (tradizionalmente celebrata negli Stati Uniti nel mese di giugno), attraverso il quale venivano reclamizzati sigari particolarmente pregiati.

 

Ripartizione geografica delle fonti di spam

Le prime tre posizioni della speciale graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - sono rimaste invariate rispetto all’analogo rating del mese precedente. La leadership è andata nuovamente ad appannaggio della Cina (23,9%), anche se la quota relativa al “colosso” dell’Estremo Oriente ha fatto registrare un decremento di quasi due punti percentuali. L’indice relativo ai messaggi e-mail indesiderati provenienti dal territorio degli Stati Uniti d’America è lievemente diminuito rispetto a marzo 2013, facendo così segnare un valore medio pari al 16,8%; gli USA hanno tuttavia mantenuto la seconda posizione nell’ambito della classifica da noi allestita. Complessivamente, nel mese oggetto del presente report, circa il 41% del volume complessivo dei messaggi di posta elettronica “spazzatura” diffusi su scala mondiale è stato inoltrato verso le e-mail box degli utenti dal territorio dei due suddetti paesi (- 2,4% rispetto all’analogo indice riscontrato nello scorso mese di marzo).

 
Geografia delle fonti di spam rilevate nel mese di aprile 2013 - Graduatoria su scala mondiale

La terza posizione del rating di aprile 2013 risulta occupata - così come nel mese precedente - dalla Corea del Sud (11,4%); l’indice relativo ai flussi di spam generati entro i confini del paese asiatico ha fatto registrare un incremento pari a 1,5 punti percentuali. Ha conservato la propria posizione all’interno della TOP-5 anche Taiwan (5,5%). L’India, che si era collocata al 5° posto della graduatoria di marzo 2013, in aprile ha visto diminuire la propria quota solo dello 0,5%; ciò ha comportato, tuttavia, la perdita di ben quattro posizioni all’interno del rating da noi stilato: con una quota pari al 2,9%, tale paese si è difatti piazzato in nona posizione. Il quinto posto della graduatoria di aprile è andato così ad appannaggio del Vietnam (4%). La Russia (3,3%), da parte sua, ha visto aumentare la propria quota di un punto percentuale, ed è in tal modo passata dalla decima alla settima posizione della speciale classifica. La Germania (1,6%), collocatasi all’ 8° posto del rating di marzo 2013, nel mese analizzato nel presente report ha fatto segnare una diminuzione della propria quota di quasi un punto percentuale, andando così ad occupare la dodicesima piazza della graduatoria relativa alla geografia delle fonti dello spam mondiale. Osserviamo infine come l’indice percentuale attribuibile all’Italia abbia fatto registrare una diminuzione piuttosto sensibile rispetto al mese precedente (- 2,1%); ciò ha determinato la perdita di ben otto posizioni in graduatoria. L’Italia è quindi passata dal sesto posto del mese di marzo 2013 all’attuale quattordicesima posizione.

 
Geografia delle fonti di spam rilevate nel mese di aprile 2013 relativamente ai messaggi e-mail indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei

La prima posizione della classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei, è andata nuovamente ad appannaggio della Corea del Sud; la quota attribuibile al paese dell’Estremo Oriente ha fatto segnare un marcato aumento (+ 6,6%) rispetto allo scorso mese di marzo e si è quindi ancora una volta attestata su un valore complessivo notevolmente elevato (43,4%). Per contro, in aprile, l’indice percentuale relativo alle quantità di spam inviate in Europa dal territorio della Repubblica Popolare Cinese è diminuito in maniera considerevole, facendo in tal modo registrare un valore medio pari a 3,7 punti percentuali. La Cina è pertanto scesa dal 2° al 5° posto del rating in questione.

Gli Stati Uniti, con un indice pari al 6,7%, si sono nuovamente collocati nelle posizioni di assoluto vertice della classifica relativa alle fonti geografiche dello spam “europeo”, nonostante nel mese analizzato nel presente report la quota riconducibile agli USA abbia fatto registrare un decremento del 3,4%. Da parte sua il Vietnam (5,2%), che occupava la quinta piazza dell’analoga graduatoria di marzo, ha “guadagnato” due posizioni in classifica e si è così collocato sul terzo gradino del “podio” virtuale di aprile. Evidenziamo, infine, come l’indice percentuale attribuibile all’Italia (1,9%) sia diminuito di oltre tre volte rispetto all’analogo valore riscontrato nel mese precedente. L’Italia, che si era attestata al quarto posto della nostra speciale graduatoria di marzo, ha quindi “ceduto” ben sette posizioni in classifica, collocandosi in tal modo all’ 11° posto del rating relativo al mese di aprile 2013.

 
Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di aprile 2013

La graduatoria relativa alla ripartizione delle fonti di spam per macro-regioni geografiche mondiali risulta ancora una volta dominata dall’Asia, con una quota pari al 55,7%; nel mese di aprile 2013, l’indice complessivamente attribuibile al continente asiatico ha fatto registrare un incremento di 1,5 punti percentuali rispetto all’analogo valore rilevato nel mese precedente. Così come nel rating di marzo 2013, il secondo e il terzo gradino del “podio” virtuale risultano occupati da America Settentrionale (17,6%) ed Europa Orientale (13,6%). Il quarto posto della speciale graduatoria sopra riportata è andato ad appannaggio dell’Europa Occidentale (6,1%).

Allegati maligni rilevati nel traffico di posta elettronica

Nel mese di aprile 2013, all’interno dei flussi di posta elettronica mondiali, la quota relativa alle e-mail contenenti allegati dannosi si è attestata su un valore medio pari al 2,4% del traffico e-mail globale, facendo in tal modo registrare un decremento di 1,6 punti percentuali rispetto all’analogo valore riscontrato nel mese precedente. Continua quindi a rimanere piuttosto elevato il numero delle e-mail di spam preposte a convogliare allegati nocivi verso le e-mail box degli utenti.

 
TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica  nel mese di aprile 2013

La TOP-10 del mese di aprile 2013 relativa ai software nocivi maggiormente diffusi nei flussi di posta elettronica globali risulta capeggiata, così come nel mese precedente, dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen (7,8%); la quota attribuibile a tale programma nocivo è aumentata di quasi un punto percentuale rispetto all’analogo indice rilevato in marzo. Ricordiamo, nella circostanza, che il suddetto programma malware è stato elaborato dai suoi autori sotto forma di pagine HTML in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, principalmente, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno inevitabilmente nelle mani dei malintenzionati. I cybercriminali di turno utilizzano poi i dati di registrazione illegalmente carpiti, inseriti dall'utente nei suddetti «form» fasulli, per impadronirsi delle somme di denaro depositate nei conti bancari violati.

La seconda posizione della speciale graduatoria analizzata nel presente capitolo del report è invece andataad appannaggio del programma nocivoclassificato come Email-Worm.Win32.Bagle.gt. Il payload nocivo del worm di posta elettronica in questione consiste principalmente nel raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi generare il processo di auto-diffusione in Rete tramite gli account di posta elettronica illecitamente carpiti. I worm riconducibili alla famiglia Bagle, in aggiunta alla funzionalità qui sopra descritta (funzionalità standard per i worm di posta elettronica), risultano tuttavia provvisti di ulteriore potenziale nocivo: essi sono difatti in grado di connettersi ed interagire con l’apposito centro di comando e controllo allestito dai cybercriminali, al fine di scaricare ed installare successivamente sui computer-vittima altri software nocivi.

Segnaliamo poi la presenza, sul terzo gradino del “podio” virtuale di aprile, del malware Backdoor.Win32.Androm.pta. Come è noto, i programmi backdoor consentono ai malintenzionati di assumere il pieno controllo del computer sottoposto a contagio informatico, a totale insaputa dell’utente-vittima. In tal modo i cybercriminali possono, ad esempio, effettuare il download ed avviare l’esecuzione di ulteriori file nocivi sul computer infetto, procedere all’invio di dati ed informazioni di qualsiasi genere utilizzando la macchina compromessa dal malware, nonché eseguire numerose altre attività nocive. Inoltre, i computer infettati da programmi nocivi di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta allestite dai malintenzionati. Desideriamo evidenziare come, nel corso del 2013, i programmi backdoor riconducibili alla famiglia denominata Backdoor.Win32.Androm siano spesso entrati a far parte della TOP-10 qui analizzata; verosimilmente, tale circostanza è strettamente legata ai reiterati tentativi messi in atto dai cybercriminali al fine di organizzare nuove botnet.

La quarta piazza della speciale classifica da noi stilata risulta occupata dal programma malware classificato come Trojan-PSW.Win32.Tepfer.hjva; si tratta di un trojan appositamente creato dai virus writer allo scopo di realizzare il furto delle password che consentono agli utenti di accedere agli account da essi aperti in Rete.

La quinta, l’ottava e la nona posizione della TOP-10 sopra riportata sono andate ad appannaggio di software nocivi appartenenti alla famiglia di malware denominata Trojan.Win32.Bublik. Tali programmi nocivi provvedono ad effettuare la raccolta di dati sensibili di varia natura all’interno del computer-vittima: password utilizzate per le connessioni FTP, dati necessari per ottenere l’autorizzazione ad usufruire di servizi di posta elettronica, certificati di vario genere. Inoltre, i malware in questione sono in grado di passare in rassegna ed esaminare i form visualizzati dall’utente all’interno dei browser Mozilla Firefox e Google Chrome, alla ricerca delle login e password memorizzate. I dati illecitamente sottratti vengono poi trasmessi ai malintenzionati.

 
Ripartizione per paesi dei rilevamenti eseguiti nel mese di aprile 2013 dall’antivirus e-mail

Gli Stati Uniti, con una quota pari al 12,4%, occupano, così come nel mese precedente, il primo posto della classifica qui sopra inserita, riguardante i paesi nei quali, durante il mese di aprile 2013, il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail. La Germania, con una quota pari al 10,7%, si conferma al secondo posto della speciale graduatoria da noi elaborata; sul terzo gradino del “podio” virtuale di aprile 2013 sale poi la Gran Bretagna (6,8%). Per ciò che riguarda le rimanenti posizioni della TOP-10, non si registrano variazioni di rilievo rispetto all’analogo rating di marzo 2013.

Nel corso del mese oggetto del presente report, gli spammer hanno ampiamente “sfruttato” il nome del noto corriere internazionale DHL nell’ambito di mailing di massa volte a distribuire ingenti quantità di allegati nocivi nelle e-mail box degli utenti della Rete. Abbiamo ad esempio rilevato, all’interno dei flussi di posta elettronica, la conduzione di numerose campagne di spam recanti messaggi e-mail in lingua inglese e olandese, mascherati sotto forma di notifiche e comunicazioni ufficiali provenienti (in apparenza) dalla suddetta società di trasporto e logistica.

Attraverso uno di tali messaggi di spam redatti in lingua inglese, ad esempio, si comunicava al destinatario dell’e-mail che, a seguito di un errore a livello di codice postale, il corriere non aveva potuto effettuare la consegna di un non ben precisato pacco a lui spedito. Per procedere al ritiro del collo in questione, l’utente si sarebbe così dovuto recare - secondo le intenzioni dei malfattori - presso il proprio ufficio postale, dopo aver stampato l’apposito report contenuto nel documento allegato al messaggio e-mail ricevuto. Come quasi sempre avviene in tali circostanze, anche nel caso specifico qui esaminato gli spammer cercano chiaramente di influenzare la decisione che il destinatario dell’e-mail andrà ad assumere; viene difatti comunicato che, qualora quest’ultimo non proceda in tempo debito al ritiro del pacco, il corriere reclamerà di diritto il pagamento di una certa somma di denaro, relativa alle spese di magazzinaggio. E’ singolare osservare come, nell’ambito di tali campagne di spam, l’importo della cifra “dovuta” e il termine entro il quale occorre provvedere al “ritiro” del collo, prima che scatti la multa prevista, risultino diversi da messaggio a messaggio.

In realtà, l’archivio zip allegato ai messaggi di spam sopra descritti - «DHL.REPORT.ID680.zip» - celava il file nocivo «DHL.REPORT.F3B5DJ7.exe». Sottolineiamo, nella circostanza, come il nome del file eseguibile risultasse identico in tutti i messaggi di spam distribuiti dai malintenzionati nelle e-mail box degli utenti; le cifre contenute nel nome dell’archivio zip presentavano invece variazioni a seconda del messaggio. Ovviamente, il file .exe non conteneva alcuna informazione riguardo al fantomatico pacco da ritirare, bensì nascondeva un pericoloso programma trojan riconducibile alla famiglia ZBot (ZeuS), ovvero il malware denominato Trojan-Spy.Win32.Zbot.krhu.

E’ ormai dal 2007 che il famigerato trojan ZeuS viene attivamente sfruttato dai cybercriminali di ogni parte del mondo non solo per compiere il furto dei dati personali degli utenti e delle password utilizzate da questi ultimi per accedere ai sistemi di pagamento online e ai sistemi di Internet banking, ma anche per organizzare botnet particolarmente estese. Grazie alla semplicità di configurazione e alla facilità di utilizzo nel carpire dati sul web, ZeuS è rapidamente divenuto uno degli spyware più diffusi e pericolosi in assoluto.

 

Esaminiamo un altro caso: tramite l’e-mail in lingua olandese qui di seguito riportata si comunica al destinatario del messaggio di spam che nel file allegato si trova la fattura emessa dalla società DHL per i servizi di trasporto resi. In realtà, l’archivio «Uw recentste DHL factuur.zip» ospita il file dannoso«Uw recentste DHL factuur.pdf.exe», rilevato dalle tecnologie euristiche di Kaspersky Lab come Trojan.Win32.Generic.

 

Al momento attuale, presso le folte schiere dei malintenzionati della Rete che si dilettano a diffondere file nocivi di ogni genere nelle caselle di posta elettronica degli utenti, sembrano godere di particolare popolarità anche le campagne di spam volte a distribuire messaggi e-mail nocivi camuffati sotto forma di notifiche e comunicazioni provenienti da noti negozi online. In aprile, ad esempio, abbiamo individuato all’interno dei flussi di spam una mailing di massa composta da messaggi e-mail contraffatti, apparentemente inviati a nome di Otto GmbH, il popolare negozio Internet tedesco specializzato nella vendita di abbigliamento e calzature. Nella circostanza, è da notare come i malfattori abbiano provveduto ad inserire nel campo “From”, nella prima parte dell’account del mittente, la menzione “otto-newsletter”, a prima vista del tutto legittima; si tratta, nella fattispecie, di uno dei trucchi preferiti dai malfattori, utilizzato per cercare di trarre più facilmente in inganno il destinatario del messaggio di spam.

 

Il mittente del messaggio riprodotto nello screenshot qui sopra inserito, ringrazia in primo luogo il destinatario dell’e-mail, a nome della società titolare del negozio online, per l’ordine effettuato; traspare immediatamente, ad ogni caso, come l’utente non venga invitato, in maniera più o meno esplicita, ad aprire il file allegato al messaggio di posta elettronica. Evidentemente, i malintenzionati confidano ampiamente nel fatto che l’utente, spinto dalla naturale curiosità, provveda di sua iniziativa ad aprire l’archivio allegato, ovvero «Besstellung_bei_OTTO.zip», all’interno del quale è stato celato un temibile file nocivo, rilevato dalle soluzioni anti-malware di Kaspersky Lab come un trojan appartenente alla famiglia Trojan.Win32.Bublik. Il software nocivo in causa viene abitualmente utilizzato dai cybercriminali per effettuare la raccolta, all’interno del computer-vittima, di login, password ed altri dati sensibili in esso custoditi. Ricordiamo a tal proposito come, in aprile uno dei programmi malware riconducibili alla suddetta famiglia si sia addirittura insediato al quinto posto della speciale graduatoria riservata ai software nocivi maggiormente diffusi in seno ai flussi e-mail mondiali.

Phishing

In aprile, la quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e-mail è diminuita di ben tre volte rispetto all'analogo valore rilevato nel precedente mese di marzo, ed ha fatto quindi segnare un indice pari allo 0,002% del volume complessivo di messaggi di posta elettronica circolanti in Rete.

 
TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di aprile 2013 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, le prime cinque posizioni della speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher siano rimaste sostanzialmente invariate rispetto all’analogo rating del mese precedente. La categoria che raggruppa i social network continua quindi a detenere la poco ambita leadership relativa al numero di attacchi di phishing subiti; l’indice percentuale attribuibile a tale categoria ha fatto persino segnare un incremento dell’ 1% rispetto al valore per essa riscontrato nel mese di marzo 2013, attestandosi in tal modo su un valore medio complessivo pari al 35,5%. Il secondo e il terzo gradino del “podio” virtuale risultano poi rispettivamente occupati dalle categorie “Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari” (17%) e “Motori di ricerca” (15,3%).

Così come nello scorso mese di marzo, la quarta posizione del rating qui sopra riportato è andata ad appannaggio della categoria “Vendor IT” (9,1%). Completa la TOP-5 relativa alle organizzazioni risultate maggiormente sottoposte agli attacchi di phishing durante il mese di aprile 2013, la categoria “Fornitori di servizi di telefonia ed Internet provider” (8,7%).

Conclusioni

Così come avevamo previsto un mese fa, in aprile il numero dei messaggi di spam volti a sfruttare le tradizionali tematiche legate alle festività stagionali ha fatto registrare una significativa flessione. All’interno del traffico di posta elettronica sono state comunque da noi individuate varie campagne di spam ispirate alla Pasqua ortodossa; evidenziamo, a tal proposito, come gli spammer abbiano utilizzato i classici temi delle festività pasquali non soltanto per reclamizzare i prodotti e i servizi più disparati, ma anche per cercare di ordire truffe e inganni di ogni genere nei confronti dei destinatari dei messaggi di posta elettronica da essi distribuiti in Rete. In seno ai flussi di posta indesiderata è stata ugualmente rilevata, piuttosto di frequente, la presenza di mailing di massa fraudolenti, in cui i malintenzionati di turno hanno “sfruttato” ampiamente, per i loro loschi fini, i nominativi di noti leader politici mondiali.

Purtroppo, gli eventi tragici che si producono sulla scena internazionale vengono raramente ignorati dalla categoria degli spammer: il mese di aprile 2013 non ha di certo rappresentato un’eccezione in tal senso. Dopo i drammatici avvenimenti che hanno profondamente segnato gli Stati Uniti durante il mese oggetto del presente report - le bombe fatte scoppiare alla maratona di Boston e la gigantesca esplosione che ha devastato un impianto chimico in Texas - la Rete è stata difatti letteralmente inondata da campagne di spam nocivo, volte a sfruttare l’enorme risonanza suscitata a livello planetario dagli eventi sopra citati. Complessivamente, in aprile, la quota di spam rilevata nel traffico di posta elettronica ha fatto tuttavia registrare un incremento non particolarmente significativo (+ 2,1%) rispetto all’analogo indice percentuale riscontrato nel mese precedente.

Nel corso del mese qui analizzato, come evidenzia la speciale graduatoria “globale” delle fonti di spam (relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura”),una considerevole parte - circa il 41% - dei messaggi indesiderati diffusi su scala mondiale è stata inoltrata verso le e-mail box degli utenti dal territorio di due soli paesi: Cina e Stati Uniti. La prima posizione della speciale classifica “regionale” relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei, è invece andata nuovamente ad appannaggio della Corea del Sud, leader assoluto del rating in questione; l’indice attribuibile al paese dell’Estremo Oriente, sommato alla quota riconducibile agli USA, rappresenta, in sostanza, circa la metà del volume complessivo dello spam distribuito verso il Vecchio Continente. Sul terzo gradino del podio “virtuale” si è collocato il Vietnam.

In aprile, il numero dei messaggi di phishing individuati nel flusso globale delle e-mail è diminuito di ben tre volte rispetto all'analoga quantità rilevata nel precedente mese di marzo; le prime cinque posizioni della speciale TOP-100 relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher sono tuttavia rimaste invariate rispetto a marzo 2013. Così come in precedenza, la categoria che raggruppa i social network continua a detenere con largo margine la leadership relativa al numero di attacchi di phishing subiti; è lecito attendersi che, nel mese di maggio, i social network continuino a mantenere la poco invidiata posizione di leader assoluto della graduatoria. Verosimilmente, nel corso del prossimo mese, sarà destinato a salire l’indice percentuale relativo alla categoria “Giochi online”: in effetti, con l’approssimarsi delle vacanze estive si accresce, tradizionalmente, il livello di attività online degli studenti di ogni ordine e grado, i quali utilizzano in maniera ancor più intensa del solito reti sociali e servizi ludico-ricreativi disponibili nel World Wide Web.