Kaspersky Security Bulletin. Lo spam nell'anno 2013

23 gen 2014
Corporate News, Spam News

Tat’jana Šerbakova
Marija Vergelis

Sommario

Le peculiarità del mese

Nel mese di gennaio 2014, le attenzioni degli spammer si sono trasferite dalle importanti festività ormai trascorse, in special modo Natale e Capodanno, alle nuove ed imminenti ricorrenze previste sul calendario. Altro argomento particolarmente attuale e diffuso all'interno dei flussi di spam che hanno caratterizzato il primo mese del 2014 è risultato essere il tema della videosorveglianza, realizzata tramite telecamere a circuito chiuso, allo scopo di garantire un adeguato livello di sicurezza per abitazioni private e locali aziendali. In seno al traffico e-mail di gennaio abbiamo individuato la presenza di numerose campagne di spam dedicate a tale specifica tematica, volte ad offrire prodotti e servizi legati alla sfera della sicurezza personale ed aziendale; i mailing di massa riconducibili a tale particolare tipologia sono stati allestiti dagli spammer sia in lingua russa che in lingua inglese.

Lungo tutto l'arco del mese oggetto del presente report gli spammer fraudolenti hanno continuato a distribuire nelle caselle di posta elettronica degli utenti un considerevole numero di e-mail "nigeriane" volte a sfruttare in maniera indebita le tematiche connesse alla morte di personaggi famosi, quali Nelson Mandela, ex-presidente della Repubblica Sudafricana, e Ariel Sharon, ex-premier israeliano; tutto ciò, ovviamente, allo scopo di raggirare i potenziali utenti-vittima e carpire, a questi ultimi, consistenti somme di denaro.

Spam e festività

Le più importanti festività della stagione invernale sono ormai alle spalle; gli spammer, di conseguenza, hanno subito diretto le loro insistite attenzioni verso altre significative ricorrenze ed eventi celebrativi del periodo, quali, in special modo, l'attesa Festa di San Valentino. All'interno del traffico e-mail di gennaio 2014, nel segmento anglofono dello spam, abbiamo ad esempio individuato non solo le tradizionali campagne di spam allestite dalle cosiddette partnership "floreali" (i programmi di partenariato dediti alla vendita online di prodotti e composizioni floreali) non solo gli abituali messaggi di posta volti a pubblicizzare servizi relativi all'organizzazione di romantiche cenette, oppure offerte di allettanti tour e viaggi - ma anche singolari proposte riguardanti l'opportunità di effettuare regali decisamente inconsueti, come il poter dedicare alla propria “dolce metà” una delle stelle del firmamento, assegnando a quest'ultima il nome della persona amata. 

 

Per ciò che riguarda il successivo mese di febbraio, ci attendiamo non solo un aumento del numero complessivo dei messaggi di spam ispirati ai più classici temi delle festività stagionali, ma anche un'ulteriore diversificazione, in senso generale, della composizione tematica delle cosiddette e-mail "spazzatura". Prevediamo infine, nel corso delle prossime settimane, un significativo aumento del numero dei mailing di massa "dedicati" al Giorno di San Patrizio, importante festività celebrata il 17 marzo di ogni anno in numerosi paesi del mondo.

Le mogli «nigeriane» di Nelson Mandela

Nel mese oggetto del presente report, gli spammer fraudolenti specializzati nell'invio delle cosiddette e-mail "nigeriane" hanno attivamente sfruttato, in maniera indebita, alcuni dei tragici avvenimenti che, nel corso degli ultimi mesi, si sono prodotti sulla scena internazionale, con il preciso intento di avvalersi di nuove e spesso improbabili argomentazioni per la composizione dei consueti messaggi-truffa. Non è ad esempio passata affatto inosservata, agli occhi dei "nigeriani" della Rete, la morte di Ariel Sharon, ex primo ministro israeliano, avvenuta lo scorso 12 gennaio; in effetti, trascorsa appena una settimana dal tragico evento, è stata da noi individuata un'estesa campagna di spam fraudolento, volta a sfruttare il clamore suscitato da tale avvenimento. In gennaio, tuttavia, gli spammer "nigeriani" si sono indebitamente avvalsi, in misura nettamente maggiore, di un ulteriore evento legato alla morte di una persona celebre con conseguente risonanza planetaria, ovvero la scomparsa di Nelson Mandela.  A dir la verità, come abbiamo sottolineato nel nostro precedente report mensile dedicato al fenomeno spam, i primi mailing di massa "nigeriani" in cui si è fatto esplicito riferimento al nominativo del defunto ex-presidente della Repubblica Sudafricana sono stati individuati nel traffico e-mail globale già nello scorso mese di dicembre.

Nel mese di gennaio 2014, come era lecito aspettarsi, le caselle di posta elettronica degli utenti della rete sono state invase da nuovi messaggi e-mail nocivi riconducibili a tale specifica tematica. Come è noto, nel corso della sua lunga esistenza, Nelson Mandela si è sposato per ben tre volte; tale particolare circostanza non è di certo sfuggita agli spammer, visto che questi ultimi hanno attivamente utilizzato i nominativi delle consorti del celebre personaggio politico sudafricano nel tentativo di convincere i destinatari dei messaggi di posta da essi elaborati riguardo alla veridicità delle fantasiose "storie" riportate nelle e-mail "nigeriane" preparate per l’occasione, racconti come al solito totalmente inventati, privi di qualsiasi fondamento.

Come si può vedere nel primo dei due screenshot qui sotto riportati, una di queste e-mail fraudolente, da noi individuata nel traffico di spam del mese di gennaio, risulta essere stata inviata, in apparenza, dal consulente legale di Winifred Madikizela, seconda moglie del defunto ex-presidente della Repubblica Sudafricana; è interessante notare, in particolar modo, come nella circostanza il messaggio non contenga i consueti dettagli relativi al tipo di collaborazione richiesta dal mittente al destinatario dell'e-mail. Attraverso il messaggio di posta in causa, in effetti, viene genericamente comunicato che la ex-moglie di Nelson Mandela, al pari dell'avvocato di quest'ultima, necessita di aiuto non solo per ottenere un'enorme somma di denaro ed un'ingente quantità di lingotti d'oro precedentemente depositati presso una società di sicurezza, ma anche per realizzare i successivi investimenti previsti mediante l'utilizzo di tali ricchezze. Più precisamente, il mittente dell'e-mail qui esaminata informa di essere alla ricerca di una persona onesta e rispettabile, che sia obbligatoriamente, allo stesso tempo, anche cittadino straniero. Lo screenshot esemplificativo evidenzia come, nella circostanza, gli spammer "nigeriani" abbiano provveduto ad inserire nel corpo del messaggio da essi elaborato, quale informazione di contatto, il numero di un telefono cellulare, da utilizzare per venire direttamente a conoscenza di ulteriori dettagli riguardo alla “irrinunciabile” operazione finanziaria proposta. E' piuttosto interessante osservare come i truffatori richiedano di essere in ogni caso contattati dal destinatario dell'e-mail, anche qualora l'utente-vittima non risulti interessato all'offerta da essi avanzata; lo scopo dichiarato che si prefiggono i mittenti del messaggio è, in effetti, quello di individuare ad ogni costo qualcuno disposto a fornire il proprio aiuto, per cui, nel caso in cui la persona interpellata non accetti la proposta, questi ultimi non esiteranno un solo attimo - a detta loro - prima di rivolgersi ad altri. Tale stratagemma di natura psicologica è stato adottato dai malintenzionati per cercare di indurre il potenziale utente-vittima ad accettare immediatamente la proposta ricevuta, visto che, magari, in certi individui, il solo pensiero che una ricchezza incalcolabile possa andare a finire nelle mani di un'altra persona potrebbe teoricamente rivelarsi ben più forte e convincente del più comune buon senso.

 

Segnaliamo ugualmente, tra le più significative e-mail "nigeriane" volte ad utilizzare le tematiche legate alla recente scomparsa dell'ex-presidente del Sudafrica, i messaggi di posta distribuiti, tramite un'ulteriore campagna di spam nocivo, a nome di Graça Machel, la terza moglie di Nelson Mandela. Nella circostanza, i truffatori hanno cercato di impietosire l'utente-vittima con il triste racconto dell'accanita lotta in corso, tra i numerosi familiari di Mandela, per entrare in possesso delle cifre milionarie lasciate in eredità da quest'ultimo, sottolineando a più riprese l'avidità di certi membri dell'estesa famiglia del leader sudafricano, dai quali, a detta del mittente dell'e-mail, ci si sarebbe potuto attendere qualsiasi cosa. Quale “conferma” dell'autenticità del racconto qui sopra descritto, all'interno dell'e-mail "nigeriana" era stato appositamente inserito un link preposto a condurre il destinatario del messaggio verso il sito web di un noto ed autorevole quotidiano britannico. Confidando sull'inesperienza e sull'ingenuità di un buon numero di utenti della Rete, così come sul naturale senso di compassione nei confronti dell'«infelice e sfortunata moglie del presidente», i malintenzionati di turno non hanno infine esitato a richiedere urgente assistenza per lo svolgimento delle operazioni di trasferimento, e successiva custodia sul conto bancario del destinatario del messaggio-truffa, della stratosferica somma di denaro prospettata.

 

Videosorveglianza

In questi ultimi tempi, all'interno dei flussi e-mail, stiamo rilevando un numero sempre maggiore di campagne di spam recanti offerte di acquisto, e successiva installazione, di sistemi di videosorveglianza, sia per abitazioni private che per sedi e locali aziendali. In genere, simili proposte commerciali presentano specifiche peculiarità. Si tratta, principalmente, di messaggi e-mail di spam inviati a nome di rappresentanti di varie società specializzate nella produzione e nell'allestimento di sistemi di videosorveglianza. E' alquanto singolare osservare come negli indirizzi di posta relativi al mittente, presenti in tali messaggi, non figuri, di solito, alcuna precisa indicazione od allusione riguardo al nominativo dell'azienda produttrice o installatrice. Nella maggior parte dei casi, inoltre, il campo <From> riporta un nome e un cognome che non sempre coincidono con il nominativo del manager che si è di fatto occupato dell'invio dell'e-mail pubblicitaria.

 

E' curioso rilevare come, nell'ambito dei mailing di massa riconducibili a tale particolare tipologia, allestiti dagli spammer in lingua inglese, l'accento sia stato posto in particolar modo sulla sfera della sicurezza personale, e sulla possibilità, attraverso l'installazione di tali sistemi, di monitorare il comportamento del proprio coniuge, della baby-sitter o del personale addetto all'esecuzione di piccole riparazioni all'interno delle abitazioni private. Osserviamo infine, relativamente ai messaggi redatti in lingua inglese, come nella maggior parte dei casi, quale informazione di contatto, sia stato inserito non un numero telefonico, bensì un link preposto a condurre il destinatario dell'e-mail verso un sito pubblicitario facente capo alla società fornitrice dell'equipaggiamento di sicurezza, oppure verso un negozio Internet adibito alla vendita online di telecamere di sorveglianza.

Ripartizione geografica delle fonti di spam

Quota di spam nel traffico di posta elettronica

 
Quote di spam rilevate settimanalmente all’interno del traffico di posta elettronica

Nella prima settimana del nuovo anno è stato da noi osservato un significativo decremento della quota di spam presente all'interno dei flussi e-mail globali, dovuto, principalmente, alla generale diminuzione delle attività condotte dagli spammer durante i giorni festivi. La situazione si è tuttavia presentata in maniera radicalmente diversa già nella seconda settimana del mese di gennaio 2014; in tale periodo è stato in effetti registrato, in seno al traffico e-mail mondiale, un sensibile e repentino aumento del numero delle campagne di spam, allestite da coloro che si dilettano quotidianamente ad inondare le e-mail box degli utenti della Rete di messaggi di posta elettronica indesiderati. Nella seconda metà del mese oggetto del presente report, ad ogni caso, la situazione sopra descritta si è nuovamente normalizzata. In gennaio, complessivamente, la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 65,7%.

Geografia delle fonti di spam

Rispetto all'analogo rating del mese precedente, all'interno della speciale graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio, nel mese di gennaio 2014, sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - sono intervenuti i cambiamenti qui di seguito descritti.

 
Geografia delle fonti di spam rilevate nel mese di gennaio 2014 - Graduatoria su scala mondiale

Come evidenzia il grafico qui sopra riportato, la prima posizione della speciale classifica da noi stilata è andata ad appannaggio degli Stati Uniti, con una quota pari al 21,9%. Nell'arco di un mese l'indice relativo agli USA ha fatto complessivamente registrare un incremento di quasi 3 punti percentuali; gli Stati Uniti sono in tal modo passati dal secondo al primo posto della TOP-10 in questione. Il secondo gradino del "podio" virtuale di gennaio 2014 risulta occupato dalla Cina (16%), il paese che deteneva la leadership nell'ambito dell'analoga graduatoria relativa al mese precedente; sottolineiamo, nella circostanza, come la quota ascrivibile al "colosso" dell'Estremo Oriente, nel breve volgere di un mese, sia diminuita di ben 7 punti percentuali. Alla terza piazza del rating qui analizzato si è di nuovo insediata la Corea del Sud (12,5%); l'indice ascrivibile ai flussi di spam generati entro i confini del paese asiatico ha fatto ad ogni caso registrare una lieve flessione - pari, all'incirca, all' 1,5% - rispetto all'analoga quota riscontrata nel mese di dicembre 2013.

Così come in precedenza, la quarta posizione della classifica relativa alle fonti dello spam globale è andata ad appannaggio di Taiwan (6,2%). La quinta posizione del rating da noi stilato risulta nuovamente occupata dalla Russia: in gennaio, l’indice percentuale riguardante i messaggi e-mail indesiderati provenienti dal territorio della Federazione Russa ha fatto segnare un valore pari a 6 punti percentuali. All'ultima piazza della speciale TOP-10 relativa al mese oggetto del presente report troviamo infine la Romania; la quota ascrivibile ai flussi di spam generati entro i confini del paese situato nell'Europa Orientale - e diretti verso gli utenti della Rete ubicati in ogni angolo del globo - è risultata pari al 2% (+ 0,4% rispetto all’analogo indice rilevato nello scorso mese di dicembre).

E' stato inoltre da noi osservato, in gennaio, un lieve aumento delle quote di spam riconducibili ad Italia (1,5%) e Spagna (1%), così come degli indici ascrivibili a due entità geografiche situate nel continente asiatico, ovvero Hong Kong (1%) e Filippine (1,1%). Concludendo la nostra breve analisi in merito alla graduatoria relativa alla geografia delle fonti dello spam "mondiale", rileviamo una situazione di pronunciata stabilità riguardo ai rimanenti paesi presenti  in classifica, sia per ciò che riguarda le rispettive posizioni occupate nel rating, sia relativamente agli indici percentuali ad essi attribuibili.     

 
Geografia delle fonti di spam rilevate nel mese di gennaio 2014 relativamente ai messaggi e-mail indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei

La prima posizione della speciale graduatoria relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei, è andata nuovamente ad appannaggio della Corea del Sud. La quota ascrivibile al paese asiatico ha fatto tuttavia registrare una sensibile diminuzione (- 5,8%) rispetto allo scorso mese di dicembre, attestandosi in tal modo su un valore complessivo pari al 47,2%, pur sempre decisamente elevato. Sul secondo gradino del "podio" virtuale di gennaio 2014 troviamo poi Taiwan (5,8%); ricordiamo, a tal proposito, come un mese fa il paese dell'Estremo Oriente insulare occupasse la terza posizione di questa speciale graduatoria "regionale" delle fonti di spam. Con una quota pari al 5,3%, alla terza piazza del rating "europeo" si sono collocati gli Stati Uniti, il cui indice, rispetto ad un mese fa, è diminuito di 2,1 punti percentuali.

La quarta posizione della graduatoria qui esaminata risulta poi occupata da Hong Kong: la quota riguardante i messaggi e-mail indesiderati provenienti dal territorio della regione amministrativa speciale della Repubblica Popolare Cinese ha fatto complessivamente segnare un valore pari a 3 punti percentuali. Così come nel mese precedente, la quinta piazza della speciale graduatoria da noi stilata è andata ad appannaggio della Russia (3%); l'indice attribuibile al più esteso paese del globo ha presentato un lieve incremento (+ 0,3%) rispetto all'analogo rating di dicembre 2013. Risultano leggermente aumentate - nell'ambito della classifica riguardante la geografia delle fonti di spam rilevate nel mese di gennaio 2014 relativamente ai messaggi e-mail indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei - anche le quote percentuali inerenti a Spagna (2,4%) e Italia (2%). All'ultima piazza della speciale TOP-10 qui sopra inserita troviamo infine la Romania; la quota ascrivibile ai flussi di spam generati entro i confini di tale paese è risultata pari all' 1,7%.

La Cina (1,4%), da parte sua, ha "perso" ben sette posizioni in classifica, uscendo, di fatto, dalla TOP-10 della graduatoria qui analizzata; l'indice relativo allo spam "europeo" proveniente dal territorio della Repubblica Popolare Cinese ha evidenziato un decremento di quasi due punti percentuali rispetto al mese precedente.

Desideriamo infine sottolineare come, lungo tutto l'arco del periodo analizzato nel presente report, si siano ugualmente intensificate - anche se non in maniera particolarmente pronunciata - le attività condotte dagli spammer insediati entro i confini di Gran Bretagna (1,4%), Germania (1,3%) e Francia (0,9%).

 
Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di gennaio 2014

La graduatoria del mese di gennaio 2014 relativa alla ripartizione delle fonti di spam per macro-regioni geografiche mondiali risulta ancora una volta dominata dall’Asia, con una quota pari al 49%. L’indice attribuibile al continente asiatico ha fatto tuttavia registrare una sensibile diminuzione (- 7,6%) rispetto all’analogo valore riscontrato nello scorso mese di dicembre. Così come in precedenza, al secondo posto della speciale classifica "regionale" si è insediata l'America Settentrionale (22,7%); la quota ascrivibile al continente nordamericano risulta aumentata del 2,8% rispetto ad un mese fa. Il terzo gradino del podio "virtuale" è andato nuovamente ad appannaggio dell'Europa Orientale (15%); l'indice relativo a tale macro-regione geografica ha anch'esso evidenziato un significativo aumento rispetto a dicembre 2013, pari - nel complesso - a 1,3 punti percentuali. La quarta e la quinta piazza del rating in questione sono infine andate ad appannaggio, rispettivamente, di Europa Occidentale (5,8%) ed America Latina (4%).

Allegati nocivi rilevati nel traffico di posta elettronica

La TOP-10 del mese di gennaio 2014 relativa ai software nocivi più frequentemente rilevati all'interno dei flussi di posta elettronica globali si presenta nel modo seguente:

 
TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica nel mese di gennaio 2014

Osserviamo, in primo luogo, come rispetto al mese precedente, nell'ambito della TOP-10 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica globali, sia rimasta invariata la posizione occupata dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen, il temibile programma nocivo che, già da molti mesi, capeggia incontrastato la graduatoria qui sopra riportata. Ricordiamo, nella circostanza, come tale software dannoso sia stato elaborato dai suoi autori sotto forma di una pagina HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; il Trojan-Spy in questione è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli. Il malware Fraud.gen viene abitualmente distribuito dai malfattori della Rete tramite la posta elettronica, sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da famosi istituti bancari, celebri negozi Internet, software house di primaria importanza, etc.

La seconda, la terza, la quarta, l'ottava e la nona posizione della speciale graduatoria qui analizzata risultano occupate, rispettivamente, dai programmi malware classificati con la denominazione di Trojan-PSW.Win32.Fareit.amzb, Trojan-PSW.Win32.Fareit.anaq, Trojan-PSW.Win32.Fareit.annp, Trojan-PSW.Win32.Fareit.anai e Trojan-PSW.Win32.Fareit.amzs. Traspare, in tutta evidenza, come tali software nocivi siano tutti quanti riconducibili alla medesima famiglia di malware; si tratta di insidiosi Trojan preposti al furto delle password di cui si avvalgono gli utenti per accedere ai propri account online; le password carpite vengono poi trasmesse al server di comando e controllo appositamente allestito dai malintenzionati di turno. Allo stesso modo, i suddetti programmi nocivi sono in grado di realizzare pericolosi ed insistiti attacchi DDoS (Distributed Denial of Service), generare il download ed avviare l'esecuzione di software arbitrario nel sistema informatico preso d'assalto. Di fatto, tutti e cinque i sample di malware da noi analizzati sono risultati essere perfettamente in grado di produrre il download e la successiva esecuzione, sul computer-vittima, di temibili programmi Trojan appartenenti alla famigerata famiglia di malware denominata Zbot; si tratta, nella fattispecie, di sofisticati software dannosi appositamente creati dai virus writer per attaccare sia i server che i computer degli utenti, allo scopo di intercettare e carpire dati di natura sensibile e riservata. Sebbene i trojan sopra menzionati siano in grado di eseguire attività dannose di vario genere, nella maggior parte dei casi essi vengono utilizzati per compiere il furto delle informazioni bancarie custodite nei computer degli utenti, incluso - ovviamente - i dati sensibili relativi alle carte di credito. I malware in questione possono ugualmente generare l'installazione di CryptoLocker, un programma "estorsore" che richiede all'utente-vittima una certa somma di denaro per effettuare la decodifica dei dati precedentemente criptati. La variante di software nocivo rilevata dalle soluzioni anti-malware di Kaspersky Lab come Trojan-PSW.Win32.Fareit.anai provvede, da parte sua, a scaricare sul computer sottoposto ad attacco un particolare programma Trojan, preposto ad installare un'estensione maligna per il browser; quest'ultima, successivamente, inizia a "spiare" furtivamente le query inserite dall'utente-vittima all'interno dei maggiori motori di ricerca, per poi sostituire, di volta in volta, i risultati forniti dai vari search engine, a seconda degli specifici interessi dei malintenzionati. I programmi malware riconducibili alla famiglia Fareit sono ugualmente specializzati nel furto dei "wallet" utilizzati nell'ambito del sistema Bitcoin (si tratta, nello specifico, dei "portafogli" virtuali nei quali vengono custoditi, sul computer dell'utente o in altri luoghi virtuali, i Bitcoin generati) e di altre criptovalute (in totale, circa 30 diverse valute digitali).

Alla quinta piazza della TOP-10 da noi stilata si è insediato Asprox, un worm di rete abitualmente preposto all'invio di messaggi di spam. Esso è in grado di infettare automaticamente i siti web presi di mira, effettuare il download ed avviare l'esecuzione di ulteriori software nocivi, raccogliere preziose informazioni sensibili all'interno del computer-vittima sottoposto ad attacco, quali, ad esempio, le password custodite nella macchina infetta, così come i dati utilizzati per ottenere l'accesso agli account relativi ai programmi di posta elettronica ed ai client FTP.

Chiude la TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica globale nel corso del mese di gennaio 2014 il malware classificato dagli esperti di sicurezza IT con la denominazione di Email-Worm.Win32.Bagle.gt. Si tratta, come è noto, di un worm di posta elettronica preposto a raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi auto-diffondersi in Rete tramite gli account di posta illecitamente carpiti. Tale programma maligno risulta inoltre provvisto di ulteriori funzionalità: esso è stato appositamente creato dai virus writer per interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare dalla Rete ulteriori file nocivi sui computer sottoposti ad attacco, all'insaputa degli utenti-vittima. Per realizzare l'invio dei messaggi infetti, Email-Worm.Win32.Bagle.gt utilizza la propria libreria SMTP.

 
Ripartizione per paesi dei rilevamenti eseguiti nel mese di gennaio 2014 dall’antivirus e-mail

Il primo posto della classifica qui sopra riportata - riguardante i paesi nei quali, durante il mese di gennaio 2014, il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail - è andato ad appannaggio degli Stati Uniti (+ 3,5%). La quota relativa alla Gran Bretagna, leader dell'analogo rating di dicembre, ha fatto invece registrare una diminuzione pari al 3,41%; il Regno Unito si è in tal modo collocato in seconda posizione. Così come in precedenza, sul terzo gradino del "podio" virtuale si è collocata la Germania, il cui indice ha presentato una lievissima flessione (- 0,39%) rispetto ad un mese fa.

E' risultata in aumento, rispetto allo scorso mese di dicembre, la quota inerente ai rilevamenti effettuati dall’antivirus e-mail entro i confini del territorio della Federazione Russa; l'indice relativo alla Russia si è in tal modo attestato su un valore medio pari al 2%. Concludendo la nostra breve analisi, rileviamo il significativo incremento delle quote ascrivibili a Messico e Sudafrica; tali paesi sono così entrati a far parte della TOP-20 di gennaio 2014, andando rispettivamente a collocarsi al diciassettesimo e al diciottesimo posto della graduatoria.

Peculiarità e tratti caratteristici dello spam nocivo di gennaio

Nel mese scorso, le attenzioni dei malfattori dediti alla distribuzione di pericolosi programmi nocivi nelle caselle di posta elettronica dei destinatari dei messaggi e-mail maligni, si sono concentrate, in particolar modo, nei confronti degli utenti di WhatsApp, celebre applicazione multi-piattaforma di messaggistica istantanea, appositamente sviluppata per i dispositivi mobili. WhatsApp, come è noto, sta rapidamente acquisendo una popolarità sempre maggiore presso il vasto pubblico dei proprietari di smartphone. Il messenger in questione, difatti, consente ai propri utenti di inviare messaggi di testo, così come di condividere agevolmente immagini, file audio e video. Nonostante al momento attuale l'applicazione di instant messaging WhatsApp risulti disponibile esclusivamente per smartphone, nonostante non venga richiesto alcun indirizzo di posta elettronica per poter creare un account che permetta di poter usufruire di tale servizio, i malintenzionati, nel corso del mese di gennaio, hanno ugualmente preso di mira i potenziali utenti WhatsApp, distribuendo in Rete, mediante i consueti messaggi e-mail nocivi, una notevole quantità di notifiche fasulle.

 

Sono stati in effetti da noi individuati, all'interno dei flussi di posta elettronica del primo mese dell'anno, numerosi messaggi di spam camuffati sotto forma di comunicazioni ufficiali provenienti (in apparenza!) dal servizio WhatsApp; attraverso tali e-mail si comunicava al destinatario del messaggio che un non ben precisato amico, oppure semplicemente un generico "conoscente", aveva inviato all'utente preso di mira una qualche foto, oppure un'immagine. In realtà, l'archivio compresso allegato al messaggio di posta elettronica conteneva un pericoloso programma malware, rilevato dalle soluzioni antivirus di Kaspersky Lab come Backdoor.Win32.Androm.bjkd. Si tratta, nella fattispecie, di un noto programma backdoor, la cui principale funzionalità consiste nel generare il download di ulteriori software nocivi sul computer-vittima sottoposto ad attacco.

Phishing

I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non abbia subito sostanziali variazioni rispetto all’analogo rating del mese precedente.

 
TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di gennaio 2014 -
Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Anti-phishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali nocivi contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

Così come nello scorso mese di dicembre, al primo posto della speciale graduatoria da noi stilata troviamo la categoria "Social network", con una quota pari al 27,3%; sottolineiamo, nella circostanza, come l'indice percentuale ascrivibile agli attacchi condotti dai phisher nei confronti delle reti sociali abbia fatto registrare - rispetto al mese precedente - un incremento quantificabile in 0,9 punti percentuali. La seconda e la terza posizione del rating continuano ad essere occupate, rispettivamente, dalle categorie "Posta elettronica, programmi di instant messaging" (19,7%) e “Motori di ricerca” (16,9%); gli indici percentuali relativi a tali categorie hanno entrambi fatto registrare un lieve incremento rispetto agli analoghi valori riscontrati un mese fa.

La quota percentuale attribuibile alla categoria "Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari" (15,7%) ha invece evidenziato una leggera flessione (- 0,2%); tale raggruppamento ha ad ogni caso conservato la quarta piazza della graduatoria qui sopra riportata.

Sono ugualmente diminuiti, anche se in maniera non significativa, gli indici relativi alle categorie "Fornitori di servizi di telefonia ed Internet provider" (8,29%) e "Vendor IT" (5,93%); nonostante ciò, tali gruppi hanno conservato, rispettivamente, la quinta e la sesta piazza nell'ambito della speciale TOP-100 dedicata alla diffusione del fenomeno phishing.

Nel mese di gennaio 2014, i malfattori dediti alla conduzione di vasti attacchi di phishing hanno distribuito nelle caselle di posta elettronica degli utenti della Rete un'ingente quantità di e-mail fasulle mascherate sotto forma di notifiche ufficiali provenienti (apparentemente!) da note aziende specializzate nel commercio elettronico. Ad esempio, ai destinatari dei messaggi fraudolenti inviati a nome di un sedicente "manager" di Walmart, la multinazionale statunitense proprietaria della più estesa catena di negozi al dettaglio del mondo intero, si comunicava che era risultato impossibile, per vari motivi, procedere alla consegna della merce "ordinata". Per poter risolvere rapidamente l'inatteso problema, l'utente avrebbe quindi dovuto compilare un determinato modulo, da inviare entro una settimana al mittente dell'e-mail. Nel tentativo di convincere ulteriormente l'utente-vittima riguardo all'autenticità e alla credibilità del messaggio in questione, i malintenzionati avevano provveduto ad elaborare tali e-mail di phishing nello stile utilizzato dal sito ufficiale, inserendo, di fatto, il logo della società americana presa di mira ed apponendo, nella parte conclusiva del messaggio, una sorta di firma automatica. Ad ogni caso, la mancanza di un tipo di approccio "personalizzato", così come la stessa presenza di un elenco generico riguardo ai motivi della mancata "consegna" della merce, avrebbero dovuto immediatamente insospettire ed allertare i destinatari di tali e-mail di phishing. 

 

Nel mese di gennaio, all'interno dei traffico di posta elettronica, abbiamo ugualmente rilevato la conduzione di una particolare campagna di phishing in lingua tedesca, costituita da messaggi e-mail contraffatti provenienti, in apparenza, da Amazon, il gigante dell'e-commerce mondiale. Attraverso tale mailing di massa maligno si comunicava ai potenziali utenti-vittima che il servizio di sicurezza di Amazon.de aveva rilevato l'accesso non autorizzato, da parte di computer estranei, all'account aperto dal destinatario dell'e-mail presso il celebre negozio online. L'utente avrebbe quindi dovuto fornire al più presto, al massimo entro 48 ore, una debita conferma riguardo ai propri dati personali, relativi all'account violato, altrimenti quest'ultimo sarebbe stato inevitabilmente bloccato. Nella circostanza, il link preposto a condurre i potenziali utenti-vittima verso l'apposita pagina web di phishing allestita dai malintenzionati, era stato inserito in calce al messaggio "incriminato". Come evidenzia lo screenshot qui sotto riportato, la composizione delle suddette e-mail fraudolente non ricorda proprio per nulla i messaggi e-mail abitualmente inviati da Amazon alla propria clientela; con ogni probabilità, nell'occasione specifica, i cybercriminali hanno cercato di far leva sull'inesperienza o la disattenzione di certi utenti, avvalendosi, all'interno del campo <From>, di un indirizzo di posta elettronica a prima vista del tutto autentico, quale unico elemento per conferire una parvenza di legittimità ai messaggi e-mail da essi diffusi in Rete.

 

Conclusioni

Nel mese di gennaio 2014 la quota dello spam presente nel traffico di posta elettronica globale ha fatto registrare un decremento del 7,6%, attestandosi in tal modo su un valore medio pari al 65,7%. Così come avevamo previsto, la sensibile diminuzione dell'indice percentuale relativo ai messaggi e-mail indesiderati rilevati all'interno dei flussi di posta elettronica è stata principalmente determinata dal fisiologico periodo di "quiete" che si è registrato durante la prima settimana del nuovo anno, caratterizzato sia dalla generale riduzione delle attività lavorative, sia dal fatto che un considerevole numero di botnet è risultato inattivo.

Nella circostanza, gli spammer hanno allestito mailing di massa volti a reclamizzare regali di ogni genere, così come servizi relativi all'organizzazione di eventi e viaggi turistici. Rileviamo, inoltre, come nel mese di gennaio gli spammer abbiano "sfruttato" un'ulteriore popolare ricorrenza stagionale, la Festa di San Valentino, sia nell'ambito delle campagne di spam condotte in lingua inglese, sia nel quadro dei mailing elaborati in lingua russa. Abbiamo ad esempio individuato, nel traffico e-mail di gennaio, le tradizionali campagne di spam allestite dalle cosiddette partnership "floreali" (quei programmi di partenariato dediti alla vendita online di articoli e composizioni floreali, soprattutto alla vigilia di festività particolarmente significative), così come gli abituali messaggi di posta pubblicizzanti servizi per organizzare cene romantiche e, per finire, innumerevoli offerte di acquisto di regali specificamente dedicati alla Festa degli Innamorati. 

Come era lecito attendersi, anche nel corso del mese oggetto del presente report gli spammer fraudolenti hanno continuato a distribuire nelle caselle di posta elettronica degli utenti un considerevole numero di e-mail "nigeriane" volte a sfruttare in maniera indebita le tematiche connesse alla morte di Nelson Mandela, avvenuta all'inizio dello scorso mese di dicembre; questa volta, i truffatori della Rete si sono presentati ai destinatari dei messaggi fraudolenti nelle vesti delle mogli - o di improbabili collaboratori delle mogli - del defunto ex-presidente della Repubblica Sudafricana. In gennaio, inoltre, i cosiddetti "nigeriani" dello spam si sono indebitamente avvalsi, per organizzare le loro truffe online a danno di potenziali utenti-vittima, del clamore suscitato dalla notizia relativa alla morte di Ariel Sharon, l'ex primo ministro israeliano.

Come è noto, per "alimentare" le miriadi di messaggi e-mail indesiderati distribuiti quotidianamente attraverso i sistemi di posta elettronica, gli spammer traggono costantemente ispirazione dai più importanti avvenimenti che via via si producono sulla scena mondiale: nel corso del mese analizzato nel presente report, ad esempio, le attenzioni degli spammer sono state ugualmente catturate da un ulteriore importante evento planetario, ovvero i XXII Giochi Olimpici Invernali, programmati a Sochi (Federazione Russa) dal 7 al 23 febbraio 2014. Abbiamo così individuato, all'interno dei flussi di spam di gennaio, la conduzione di numerosi mailing di massa preposti a reclamizzare le più disparate repliche di articoli ed accessori di lusso decorati con il logo delle Olimpiadi invernali.

Come abbiamo visto in precedenza, nel periodo oggetto del nostro consueto report mensile dedicato al fenomeno spam, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non ha subito sostanziali variazioni rispetto all’analogo rating del mese precedente. Così come nello scorso mese di dicembre, al primo posto della speciale graduatoria da noi stilata troviamo in effetti la categoria "Social network", la cui quota percentuale, nell'arco di un mese, è risultata leggermente aumentata (+ 0,9%). La seconda e la terza posizione del rating di gennaio sono andate ad appannaggio, rispettivamente, delle categorie "Posta elettronica, programmi di instant messaging" e “Motori di ricerca"; gli indici percentuali relativi a tali raggruppamenti hanno fatto entrambi registrare un lieve incremento rispetto agli analoghi valori riscontrati nel mese di dicembre 2013.

Infine, nell'ambito delle e-mail contraffatte mascherate sotto forma di notifiche e comunicazioni ufficiali, in realtà contenenti pericolosi software nocivi, continuano a predominare i messaggi inviati (in apparenza!) dai più celebri social network globali, così come le proposte "provenienti" da noti servizi di messaggistica istantanea. Sottolineiamo, nello specifico, come nel mese di gennaio 2014 le attenzioni dei cybercriminali dediti alla distribuzione di insidiosi programmi malware nelle caselle di posta elettronica dei destinatari dei messaggi e-mail dannosi, si siano concentrate, in particolar modo, nei confronti degli utenti di WhatsApp, celebre applicazione multi-piattaforma di instant messaging, appositamente creata per gli smartphone.

 

 

 CONDIVIDI