Lo spam nel mese di aprile 2012

31 mag
Notizie Virus

Marija Namestnikova

Sommario

Aprile in cifre

Le principali tematiche dello spam di aprile 2012

I nuovi trucchi adottati nell'ambito dello spam fraudolento e dello spam nocivo

Wikipedia e Amazon: esperimento fallito?

Diablo III: una campagna di phishing prima della release

Lo spam «politico»

Gli altri temi di attualità dei flussi di spam

Le statistiche di aprile 2012

Geografia delle fonti di spam

Allegati nocivi rilevati nel traffico di posta elettronica

Ripartizione per paesi dei rilevamenti eseguiti dall'antivirus e-mail

TOP 10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica

Phishing

Composizione tematica dello spam

Conclusioni

Aprile in cifre

  • Rispetto allo scorso mese di marzo, la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un incremento del 2,2%, attestandosi in tal modo su un valore medio pari al 77,2%.
  • La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle e-mail è rimasta invariata rispetto al valore riscontrato nel mese precedente, facendo segnare un indice pari allo 0,01% del volume complessivo di messaggi di posta elettronica circolanti in Rete.
  • Nel mese di aprile 2012 sono stati individuati file nocivi nel 2,8% dei messaggi e-mail; anche il valore di tale indice è rimasto inalterato rispetto alla quota percentuale rilevata nel mese di marzo.
  • Oltre il 20% degli attacchi di phishing individuati e neutralizzati nel corso del mese è risultato indirizzato nei confronti degli utenti di Facebook.

Le principali tematiche dello spam di aprile 2012

I nuovi trucchi adottati nell'ambito dello spam fraudolento e dello spam nocivo

Gli spammer dediti alla distribuzione in Rete di pericolosi codici nocivi e subdoli messaggi di phishing continuano a cercare di individuare in ogni circostanza il percorso più breve ed efficace per insinuarsi all'interno dei computer degli utenti. Lo spam nocivo si caratterizza per tempi di sviluppo e propagazione alquanto rapidi: in effetti, i malintenzionati arricchiscono costantemente il loro «arsenale» con nuove armi costituite da «innovazioni» tecnologiche all'avanguardia e metodi di ingegneria sociale sempre più sofisticati.

Wikipedia e Amazon: esperimento fallito?

Nel corso del mese di aprile abbiamo rilevato la conduzione di campagne di spam a prima vista simili ai mailing di massa contenenti messaggi e-mail mascherati da comunicazioni e notifiche «ufficiali» provenienti da Facebook. Lo screenshot qui sotto riportato evidenzia, ad esempio, un messaggio di posta elettronica apparentemente inviato dai server del più esteso social network del pianeta, in cui viene trasmessa al destinatario una classica «richiesta di amicizia» da parte di un utente. Così come la maggior parte dei messaggi di spam camuffati da notifiche ufficiali provenienti da Facebook, distribuiti nel corso di quest'ultimo anno nelle caselle di posta elettronica degli utenti della Rete, anche le e-mail contraffatte allestite dagli spammer in occasione di questo mailing di massa si sono caratterizzate per l'elevata qualità, al punto tale da non suscitare nel destinatario alcun dubbio o sospetto riguardo alla loro effettiva autenticità. Secondo lo schema previsto, cliccando su uno qualunque dei collegamenti ipertestuali contenuti nel messaggio, l'utente non sarebbe affatto giunto sul sito web del popolare social network, bensì sarebbe stato indirizzato verso una pagina Internet infettata da codice nocivo. Questa volta ci siamo trovati di fronte a qualcosa di diverso, in quanto i link presenti nelle e-mail «incriminate» risultavano preposti a condurre gli ignari utenti non verso gli abituali domini violati, quanto verso alcune pagine web nocive presenti nei siti Internet di Wikipedia o Amazon.

Nella circostanza, i malintenzionati avevano probabilmente provveduto a sistemare script dannosi in alcune pagine di Wikipedia create, così come all'interno di pubblicità false sul sito Amazon.com. Per quale motivo abbiamo utilizzato il termine dubitativo «probabilmente»? Il fatto è che lo stratagemma sapientemente ordito dai malfattori non ha in realtà funzionato nel migliore dei modi, in quanto gli esperti di sicurezza IT dei siti web hanno reagito con estrema rapidità, al punto che già prima della conclusione stessa della campagna di spam i link inseriti nei messaggi di spam erano stati inibiti, non risultando più «funzionanti».

Diablo III: una campagna di phishing prima della release

Nei primi giorni di giugno avrà luogo un evento atteso da folte schiere di utenti di gaming online: «Diablo III», l'ultima release del celebre videogioco di ruolo, verrà commercializzato. Gli esperti di sicurezza IT intravedono già qualche elemento di apprensione legato alle nuove caratteristiche previste per il gioco online: la società Blizzard Entertainment ha implementato all'interno dell'ultima versione del celebre MMORPG (Massively Multiplayer Online Role-Playing Game), la possibilità, per ogni giocatore, di comprare e vendere i propri oggetti (anche in valuta reale, non solo in valuta virtuale) attraverso apposite «case d'asta». Sulla base di tali presupposti è ragionevole pensare che i futuri utenti di Diablo III possano rapidamente divenire oggetto di attenzioni da parte dei phisher.

Nel corso del mese analizzato, all'interno dei flussi di spam hanno fatto la loro comparsa numerosi messaggi di phishing volti a sfruttare l'evidente impazienza degli utenti di giochi online. In tali e-mail, veniva offerta al destinatario l’opportunità di sperimentare la versione beta del videogioco. Per beneficiare di tale «privilegio», il «gamer» avrebbe dovuto semplicemente accedere al sito <battle.net>, per verificare il proprio account. Naturalmente, il link contenuto in tali messaggi di phishing non avrebbe diretto il giocatore online verso il servizio sopra menzionato (battle.net), bensì lo avrebbe portato su una pagina web nociva, appositamente allestita dai malintenzionati per carpire i dati riservati. E' interessante osservare come, all'interno di tale campagna di spam, i testi delle e-mail diffuse in Rete variassero leggermente, di messaggio in messaggio;

Impadronendosi dei dati di registrazione utilizzati dall'utente per usufruire del servizio battle.net, i malintenzionati si sarebbero di fatto «guadagnati» la possibilità di accedere agli account precedentemente aperti dal giocatore online - «raggirato» dal messaggio di phishing - su popolari videogiochi quali Warcraft e Starcraft, account peraltro particolarmente «richiesti» sul mercato nero della cybercriminalità.

Lo spam «politico»

Nel mese di aprile 2012 abbiamo assistito ad un vero e proprio fiorire di messaggi di posta elettronica indesiderati riconducibili a temi di natura politica, indirizzati in particolar modo verso il pubblico della Rete ubicato sul territorio di Stati Uniti e Francia. Ad esempio, nell'ambito delle e-mail di spam, il nome di Barack Obama è risuonato con una frequenza quasi analoga a quella registratasi nel corso del primo anno di mandato dell'attuale presidente USA. Obama è stato così menzionato non solo nei messaggi «politici», ma anche nel quadro di numerose e-mail indesiderate reclamizzanti prodotti che imperversano nel mondo dello spam. E' proprio questo il caso di una particolare campagna di spam in cui, sfruttando proprio il nome di Barack Obama, è stato proposto ai  destinatari dei messaggi di posta elettronica l'acquisto delle «miracolose» pillole blu, alias viagra contraffatto.

E' evidente come, con l'approssimarsi delle elezioni di novembre 2012, negli USA stia progressivamente crescendo l'interesse degli utenti della Rete sia riguardo la lotta per la carica presidenziale, sia nei confronti della personalità dell'attuale presidente statunitense e dei vari candidati. Gli spammer faranno di tutto per cavalcare al meglio tale situazione, a loro potenzialmente favorevole, dedicandosi alla distribuzione di di messaggi elettorali propagandistici. Per questo motivo è lecito attendersi, nei prossimi mesi, un sensibile aumento, all'interno dei flussi di spam, del numero dei messaggi contenenti link preposti a condurre verso pagine web contenenti informazioni di stampo sensazionalistico sui candidati in corsa per la Casa Bianca. Cliccando sui link inseriti in tali e-mail di spam, nella migliore delle ipotesi gli utenti si imbatteranno in fastidiose pubblicità di farmaci e nel peggiore dei casi dovranno vedersela con insidiosi e pericolosi programmi nocivi.

Allo stesso tempo, si è attivato anche lo spam politico condotto sul suolo francese. Nel bel mezzo della corsa per le elezioni presidenziali era più che lecito attendersi una vera e propria invasione di mailing di massa a sfondo politico; contrariamente a quanto previsto, tuttavia, le campagne di spam di tal genere individuate sono risultate in numero sensibilmente ridotto.


Gli altri temi di attualità dei flussi di spam

All'interno dello spam mondiale ha avuto ampio riflesso la difficile situazione che sta attraversando la Siria. I cosiddetti spammer «nigeriani», ad esempio, hanno distribuito nelle e-mail box un consistente numero di messaggi di posta apparentemente provenienti da «avvocati e funzionari di banca, operanti sul territorio del paese» in questione. Verso la fine del mese abbiamo rilevato messaggi e-mail provenienti dalla «moglie di Assad». E' importante sottolineare come i nostri analisti di spam individuino con una certa regolarità, all'interno del traffico e-mail, messaggi falsi inviati dai membri «delle famiglie dei leader» di vari paesi che versano in una situazione politico-economica instabile. A volte, le e-mail «nigeriane» vengono addirittura redatte a nome dei leader politici stessi. E' quindi possibile che in futuro possano fare la loro comparsa messaggi fasulli apparentemente composti dallo stesso Bashar al-Assad.

Continuano a ritmo sempre più serrato le campagne di spam volte a sfruttare le tematiche legate al Campionato Europeo di Calcio 2012, che si svolgerà in Polonia ed Ukraina nel prossimo mese di giugno. L'interesse degli utenti nei confronti di tale evento sportivo sta salendo rapidamente, giorno dopo giorno. Da parte nostra rileviamo come, nell'ambito del fenomeno spam, siano già in corso molteplici mailing di massa che propongono agli appassionati di calcio camere in hotel polacchi ed ukraini.

La trentesima edizione dei Giochi Olimpici estivi è stata già oggetto di attenzioni da parte dei truffatori della Rete specializzati in lotterie online. In effetti, abbiamo intercettato con cadenza quasi quotidiana un numero di e-mail di spam fraudolento, in cui si comunicava al destinatario una improbabile vincita ad una lotteria.

Le statistiche di aprile 2012

Geografia delle fonti di spam

 

Geografia delle fonti di spam rilevate nel mese di aprile 2012 (TOP-20)

Desideriamo evidenziare come la TOP-20 di aprile 2012 relativa alla ripartizione delle fonti geografiche dei flussi mondiali di spam abbia subito profonde e significative variazioni rispetto alle graduatorie nei mesi precedenti.

Il cambiamento di maggior rilievo è indubbiamente rappresentato dalla scalata degli Stati Uniti dalla ventesima alla seconda posizione della classifica in questione. La quota percentuale relativa ai messaggi e-mail indesiderati distribuiti dagli spammer dal territorio statunitense ha fatto registrare un aumento di oltre il 7%. A sua volta, l'indice riguardante lo spam diffuso dal territorio della Repubblica Popolare Cinese ha fatto segnare un incremento del 5%; in tal modo, il «colosso» dell'Estremo Oriente è andato ad occupare la quinta posizione della graduatoria. Contemporaneamente, la quota relativa ai messaggi «spazzatura» distribuiti in Rete dal territorio dell'Indonesia è addirittura diminuita del 5,2%; il paese è così sceso dal secondo gradino del «podio» virtuale di marzo 2012, per andare a collocarsi alla dodicesima posizione della TOP-20 qui analizzata.

Da parte nostra, riteniamo che un simile mutamento del «panorama» inerente alle fonti dello spam mondiale debba essere di sicuro collegato all'avvenuta ridistribuzione delle potenzialità «offensive» delle botnet di spam, cioè allo «spostamento» di una parte di esse proprio verso quelle regioni in cui, nel corso di questo ultimo anno, era stata invece registrata una riduzione del livello delle attività. E' importante sottolineare come, nel primo trimestre del 2012, Stati Uniti e Cina (e in particolar modo Hong Kong) abbiano costituito uno dei bersagli prediletti dai malintenzionati. Il contagio informatico di un considerevole numero di nuovi computer sul territorio dei paesi qui sopra menzionati ha quindi prodotto la creazione di nuove reti-zombie all'interno di tali aree geografiche.

Gli indici percentuali relativi ai rimanenti paesi entrati a far parte del rating hanno evidenziato variazioni contenute entro la soglia del 2,5% - rispetto agli analoghi valori riscontrati nel mese precedente.

Allegati nocivi rilevati nel traffico di posta elettronica

Nel mese di aprile 2012 sono stati individuati file nocivi nel 2,8% dei messaggi e-mail; il valore di tale indice è rimasto inalterato rispetto all'analoga quota percentuale rilevata nel precedente mese di marzo.

Ripartizione per paesi dei rilevamenti eseguiti dall'antivirus e-mail

Ripartizione per paesi dei rilevamenti eseguiti nel mese di aprile 2012 dall'antivirus e-mail

La prima posizione della graduatoria è andata ancora una volta agli Stati Uniti d'America, così come è in sostanza avvenuto per tutto l'arco del primo trimestre dell'anno. Nel mese di aprile 2012, la quota attribuibile ai rilevamenti effettuati dal modulo Kaspersky Mail Antivirus entro i confini del territorio statunitense ha fatto registrare solo un lieve incremento - pari allo 0,64% - rispetto all'analogo valore rilevato nel mese precedente.

Australia (- 3,9%) ed Hong Kong (- 2%), al secondo e al terzo posto a marzo, sono stati invece scavalcati dal Vietnam nella classifica di aprile 2012. Il paese del sud-est asiatico, salito dalla quarta alla seconda posizione della graduatoria, ha fatto registrare un incremento del 2,4% della quota ascrivibile ai rilevamenti eseguiti dall'antivirus e-mail sul proprio territorio.

Le variazioni inerenti agli indici percentuali riconducibili a tutti gli altri paesi presenti nella classifica sopra riportata si sono mantenute entro la soglia del 2%.

TOP 10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica

Top-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica

nel mese di aprile 2012

Il 13,7% di tutti i rilevamenti di software nocivo compiuti nel mese di aprile 2012 dall'Antivirus e-mail di Kaspersky Lab nell'ambito dei sistemi di posta elettronica ha riguardato il malware Trojan-Spy.HTML.Fraud.gen. Rispetto allo scorso mese di marzo, la quota relativa al programma nocivo ha fatto registrare un aumento dell' 1,6%. Ricordiamo, nella circostanza, come Trojan-Spy.HTML.Fraud.gen sia stato elaborato dai suoi autori sotto forma di una pagina HTML in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web. I dati di registrazione inseriti dall'utente in tali «form» vengono poi carpiti dai malintenzionati di turno. L'utilizzo di tale programma malware costituisce, di fatto, uno dei principali metodi di attacco.

Così come in precedenza, all'interno della classifica riguardante i software nocivi individuati con maggior frequenza nel traffico e-mail, continuano a ritagliarsi notevole spazio i worm di posta elettronica Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m ed Email-Worm.Win32.NetSky.q. Ricordiamo come i worm di posta elettronica riconducibili alle famiglie Mydoom e Netsky siano provvisti di funzionalità tutt'altro che complesse: questi si limitano alla raccolta illecita degli indirizzi e-mail presenti nei computer contagiati; gli account di posta elettronica carpiti vengono in seguito utilizzati per il processo di auto-diffusione condotto in Rete dai programmi nocivi. Bagle.gt è l'unico worm presente nella Top-10 che è provvisto di ulteriori «doti»: tale programma malware è difatti in grado di interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare sui computer-vittima software nocivi.

Desideriamo inoltre sottolineare la comparsa in classifica del trojan-script identificato come Trojan-Downloader.JS.Iframe.cvq. A tale software è attribuibile quasi il 2% del volume complessivo dei rilevamenti effettuati nel corso del mese di aprile 2012 dal nostro antivirus. Un'ulteriore quota del rating, pari a circa il 10% del totale dei rilevamenti di malware eseguiti, è riconducibile a software nocivi basati su script (i cosiddetti «script malware») individuati e neutralizzati tramite metodi proattivi. Si tratta, indiscutibilmente, di un dato alquanto allarmante, visto che gli script malware presenti nei messaggi e-mail in formato HTML avviano le loro attività distruttive non appena l'utente provvede ad aprire il messaggio ricevuto.

Phishing

La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle e-mail è rimasta invariata rispetto all'analogo valore riscontrato nel mese precedente, facendo segnare un indice pari allo 0,01% del volume complessivo di messaggi di posta elettronica circolanti in Rete.

TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di aprile 2012 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali nocivi contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

La graduatoria di aprile 2012 relativa alle organizzazioni più bersagliate dai phisher evidenzia un significativo cambiamento rispetto agli analoghi rating elaborati nel corso del primo trimestre dell'anno: in effetti, per la prima volta da quattro mesi a questa parte, la categoria «Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari» (23,61%) ha ceduto la prima posizione della classifica alla categoria «Social network» (28,83%). Rispetto al precedente mese di marzo, la quota riconducibile alle reti sociali ha fatto registrare un aumento del 6% circa.

Confrontando i dati statistici, osserviamo come sia leggermente diminuita la quota ascrivibile alla categoria «Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari»; riscontriamo ugualmente la flessione di valori percentuali, in particolar modo per ciò che riguarda gli indici relativi agli attacchi di phishing condotti nei confronti delle categorie «Negozi Internet e aste online», «Motori di ricerca», «Vendor IT» e del complesso di organizzazioni comprese nella generica «Altre categorie». Le variazioni relative alle quote percentuali sono risultate piuttosto trascurabili in relazione agli analoghi valori riscontrati nel mese precedente; queste si sono tutte mantenute entro la soglia limite dell' 1,5%.

Il dato di maggior rilievo che contraddistingue il rating di aprile 2012 è rappresentato dall’incremento dell'indice relativo ai social network, attualmente divenuti il vettore prediletto dai malintenzionati per la conduzione di attacchi di phishing nei confronti degli utenti della Rete.

Composizione tematica dello spam

Categorie tematiche rilevate nei flussi di spam del mese di aprile 2012

Rispetto al precedente mese di marzo, le quote relative alle categorie «Truffe informatiche» e «Finanze personali», tematiche presenti da ben cinque mesi ai vertici della speciale classifica da noi stilata hanno fatto registrare variazioni non significative. Il valore dell'indice relativo alla prima categoria è diminuito di 2,2 punti percentuali, mentre la quota riconducibile alla seconda tematica ha evidenziato un leggero aumento, pari allo 0,8%.

Osserviamo inoltre come continui a mantenersi su livelli decisamente elevati la quota percentuale ascrivibile ai messaggi di spam reclamizzanti i più svariati giochi d'azzardo online (quota leggermente superiore al 6%).

La maggior parte delle e-mail indesiderate preposte a pubblicizzare i cosiddetti «casinò online» contiene manifesti segnali di frode, oppure reca pericolosi codici nocivi; spesso, tale tipologia di messaggi «spazzatura» evidenzia, contemporaneamente, entrambe le caratteristiche. La categoria «Finanze personali», poi, è costituita da dubbie proposte di facili guadagni e veloci concessioni di crediti; anche in tale circostanza, quindi, si percepisce in maniera più che evidente l'odore di truffa.

Riassumendo possiamo affermare che oltre la metà delle campagne di spam condotte nel corso del mese di aprile 2012 ha avuto quale preciso obiettivo il furto delle informazioni finanziarie o personali degli utenti della Rete, oppure direttamente il furto del denaro posseduto da questi ultimi, al pari dell'installazione di pericolosi codici nocivi sui computer-vittima infettati dal malware.

Il cambiamento di maggior è indubbiamente rappresentato dal consistente aumento della quota relativa alla categoria tematica «Arredamenti e interni» (+ 4,75% rispetto all'analoga classifica di marzo 2012). A quanto pare, un simile flusso di messaggi di spam è da ricollegare al numero di azioni pubblicitarie intraprese da numerose aziende produttrici di mobili ed arredamenti.

Le quote percentuali inerenti alle altre categorie presenti nella classifica di aprile 2012 dedicata alla composizione tematica dello spam hanno fatto registrare variazioni non particolarmente significative rispetto ai valori riscontrati nello scorso mese di marzo; tali variazioni si sono tutte mantenute entro la soglia limite dell' 1,5%.

Conclusioni

Riteniamo sia doveroso mettere evidenza come lo spam stia divenendo un fenomeno sempre più pericoloso: la quota percentuale relativa ai messaggi «spazzatura» contenenti allegati nocivi sta facendo registrare livelli elevati; all'interno dei flussi di posta elettronica viene individuato un consistente numero di e-mail di spam recanti link nocivi; si registra poi un numero sempre maggiore di messaggi indesiderati contenenti programmi nocivi riconducibili agli «script malware». Il fatto che tali campagne di spam stiano proliferando e vengano costantemente ripetute, testimonia in maniera inequivocabile il fatto che un numero di utenti non stia ancora applicando le dovute misure di sicurezza nell'utilizzo quotidiano dei sistemi di posta elettronica e del web. Spesso gli utenti non immaginano neppure di quale entità e pericolosità possano essere le minacce informatiche che incombono su di essi nel momento in cui si procede alla semplice apertura di messaggi di spam «nocivo»; tali minacce hanno l’obiettivo di compromettere il funzionamento del computer-vittima sottoposto ad infezione, oppure si prefiggono di carpire i dati personali e i dati sensibili custoditi in quest'ultimo, o addirittura di realizzare il furto di somme di denaro.

Per i prossimi mesi prevediamo il ritorno, all'interno dei flussi di spam, dei consueti mailing di massa preposti a distribuire messaggi e-mail indesiderati contenenti «notizie sensazionali», riguardanti, ad esempio, l'attuale presidente degli Stati Uniti d'America, Barack Obama. I phisher, dal canto loro, si dedicheranno probabilmente ad un «uso» sempre maggiore del social network quale vettore per la conduzione di attacchi di phishing; le reti sociali più estese su scala planetaria diverranno sempre di più uno degli «strumenti» prediletti dai malintenzionati della Rete. E' altrettando verosimile che nell'immediato futuro i phisher facciano sempre più «affidamento» sul gaming online quale fondamentale veicolo.