Lo spam nel primo trimestre del 2012

30 mag
Notizie Virus

Dar'ja Gudkova
Marija Namestnikova

Kaspersky Anti-Spam offre una protezione accurata e completa nei confronti dello spam a tutti gli utenti dei sistemi di posta elettronica ubicati in ogni angolo del pianeta. Nei nostri laboratori anti-spam viene quotidianamente analizzato un numero elevato di messaggi email (oltre un milione), catturati grazie alle speciali «trappole» da noi allestite. Al fine di garantire un elevato livello di protezione contro lo spam a tutti i nostri utenti applichiamo in ogni frangente un accurato filtraggio dei contenuti ed eseguiamo un'attenta analisi delle intestazioni tecniche dei messaggi email: oltre a ciò, ci avvaliamo di un database di firme per spam grafico costantemente aggiornato, così come delle più avanzate tecnologie «in-the-cloud». I nostri analisti provvedono in tal modo a rilasciare nuove firme 24 ore su 24, 7 giorni alla settimana.

Caratteristiche del trimestre

Il primo trimestre del 2012 in cifre

  1. La quota relativa allo spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 76,6% del volume complessivo di messaggi email circolanti in Rete. Il valore di tale indice è quindi diminuito del 3% rispetto all'analoga quota percentuale rilevata nel quarto trimestre dell'anno 2011.
  2. Così come in precedenza, le maggiori quantità di messaggi email indesiderati sono state distribuite nelle caselle di posta elettronica degli utenti del Web da parte di spammer insediati nel territorio di paesi situati nel continente asiatico (44%) e nella macro-regione latino-americana (21%).
  3. Sono stati individuati allegati nocivi nel 3,3% dei messaggi di posta elettronica; evidenziamo come, rispetto al trimestre precedente, si sia assistito ad un lieve incremento dei valori relativi a tale indice (+ 0,1%).
  4. La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle e-mail ha fatto segnare un valore medio pari allo 0,02% del volume complessivo di messaggi di posta elettronica distribuiti in Rete.

Spam e festività

Il primo trimestre dell'anno, come sappiamo, è tradizionalmente ricco di festività e ricorrenze. Gli spammer, naturalmente, hanno cercato di approfittare al massimo di tale circostanza a loro favorevole. In effetti, pare proprio che questi ultimi non si siano lasciati «sfuggire» nemmeno una delle numerose festività e celebrazioni che hanno costellato i primi tre mesi del 2012: la Festa di San Valentino, il Carnevale, il 23 febbraio (Giorno dei Difensori della Patria, festività russa) e il successivo 8 marzo (Giornata Internazionale della Donna), il Giorno di San Patrizio, ed infine, ovviamente, le festività di Pasqua.

Lo spam «festivo», nella maggior parte dei casi, si è limitato alle tradizionali réclame di prodotti farmaceutici ed affini, articoli di lusso contraffatti e similari. I messaggi email indesiderati riconducibili a tali specifiche tipologie sono risultati spesso «addobbati» a festa, con motivi e simboli tipici delle ricorrenze via via celebrate; in essi, poi, gli spammer hanno cercato di avvalersi di argomentazioni che risultassero particolarmente convincenti, come se i prodotti e i servizi pubblicizzati fossero assolutamente indispensabili per festeggiare al meglio la ricorrenza di turno. Nella circostanza, hanno avuto particolarmente spazio i messaggi di spam distribuiti in Rete nell'ambito delle attività dei programmi di partenariato; citiamo, quale esempio, le e-mail contenenti offerte di vendita di prodotti floreali.

Lo spam «politico» nel segmento russo di Internet

Come previsto, nel corso del primo trimestre del 2012, all'interno del segmento russo di Internet sono state condotte innumerevoli campagne di spam legate a temi di natura politica. Nella maggior parte dei casi, così come nel trimestre precedente, le email prodotte e distribuite nell'ambito di tali mailing di massa si sono caratterizzate per argomentazioni e toni alquanto prossimi all'estremismo. In seno allo spam politico sono inoltre apparsi vari messaggi apparentemente riconducibili al PCUS (Partito Comunista dell'Unione Sovietica): nella circostanza, risulta davvero difficile poter determinare con certezza se si sia trattato di email dai contenuti autentici o contraffatti.

Si sono poi manifestate ulteriori varianti di spam «politico». Ad esempio, in una delle email di spam in questione, si proponeva al destinatario di consultare le modalità di partecipazione ad un meeting di natura politica (riportiamo, qui sotto, lo screenshot relativo a tale mailing di massa). Al messaggio risultava allegato un file in formato .doc, per aprire il quale l'utente avrebbe dovuto consentire l'esecuzione di particolari macro. In caso di assenso da parte di quest'ultimo, sul computer-vittima si sarebbe immediatamente installato un programma Trojan, preposto a mettere fuori uso il sistema operativo Windows.

E' difficile dire se, nella specifica circostanza, i malintenzionati abbiano semplicemente sfruttato il tema del meeting politico quale argomentazione di particolare ed irrinunciabile interesse per il destinatario dell'email di spam, oppure si sia trattato di un attacco mirato nei confronti di rappresentanti dell'opposizione. Ad ogni caso, il malware possedeva un tratto distintivo ben preciso e inequivocabile: esso non era provvisto delle tipiche funzionalità che caratterizzano i programmi malware di natura «commerciale». Tale software nocivo non effettuava il furto di alcuna password o login, né generava il download di pericolosi bot, né compiva analoghe azioni dannose. Il suo unico obiettivo era invece quello di mettere fuori combattimento il computer da esso contagiato, mandandolo in crash.

Metodi e trucchi adottati dagli spammer

Le campagne di spam nocivo

E' impossibile non riconoscere come, tra le folte schiere degli spammer, siano proprio coloro che si dedicano alla distribuzione in Rete di programmi malware a risultare in assoluto i più creativi, originali ed innovativi nel campo dell'ingegneria sociale. Oltre alla campagna di spam sopra descritta, contenente le necessarie «istruzioni» per prendere parte ad un meeting di natura «politica», nel corso dei primi tre mesi dell'anno 2012 ci siamo ovviamente imbattuti in numerosi altri metodi e trucchi utilizzati dagli spammer «nocivi».

Una volta portati a termine mailing di massa basati su false notifiche ufficiali provenienti - in apparenza - dall'associazione statunitense NACHA (The Electronic Payments Association), gli spammer in questione si sono dilettati nella contraffazione di email apparentemente distribuite nelle email box degli utenti dalla società Better Business Bureau (BBB). BBB è una compagnia privata preposta a fornire a consumatori ed imprenditori di Stati Uniti e Canada informazioni e valutazioni sulle aziende che operano sul mercato (incluso giudizi, pareri, lamentele, reclami, statistiche, rating e molto altro ancora), al fine di facilitare l'assunzione di decisioni riguardo ad acquisti ed investimenti.

Il principale bersaglio della campagna di spam era rappresentato da piccole e medie imprese. In tali messaggi email si faceva esplicito riferimento ad una non ben precisata «lamentela» ricevuta da Better Business Bureau, ricorrendo poi al classico metodo dell'intimidazione: qualora l'utente non avesse fornito alcuna risposta al presunto reclamo, l'impresa interessata dalla «lamentela» avrebbe rischiato il declassamento o addirittura la cancellazione all'interno degli appositi rating stilati da BBB. In realtà, cliccando sul link nocivo inserito nel corpo del messaggio, l'ignaro utente sarebbe giunto su un sito violato contenente uno script nocivo; quest'ultimo avrebbe poi provveduto al redirecting del computer-vittima verso un sito, recante il famigerato kit di exploit denominato Blackhole.

Uno schema di attacco del tutto simile è stato utilizzato dai malintenzionati nell'ambito di un'ulteriore campagna di spam, in cui i messaggi nocivi inviati verso le caselle di posta elettronica degli utenti erano stati subdolamente mascherati da notifiche provenienti da una nota compagnia aerea. Nella circostanza, veniva proposto all'utente di effettuare direttamente online l'operazione di check-in su un volo della US Airways.

Seguendo il link contenuto nel corpo del messaggio - come evidenzia lo screenshot sopra riportato - l'utente sarebbe andato a finire su un sito che ospitava uno script dannoso, preposto a reindirizzare nuovamente il malcapitato verso un sito nocivo appositamente allestito dai malfattori, contenente il kit di exploit Blackhole. Ovviamente, qualora gli exploit in questione fossero poi riusciti a reperire un programma vulnerabile utilizzato dall'utente, sul computer-vittima sottoposto ad attacco sarebbe stata installata una delle varianti del noto programma trojan ZeuS/Zbot.

Oltre a quanto sopra citato, i mailing di massa nocivi orditi dagli spammer sono stati di volta in volta camuffati sotto forma di notizie di finanza, offerte di lavoro, avvisi di trasferimenti bancari, notifiche provenienti da social network e molto altro ancora.

Lo spam fraudolento

Nel trimestre analizzato, ha dato ampia prova di fervida fantasia anche la categoria dei truffatori della Rete. I cosiddetti spammer «nigeriani» non hanno quindi mancato di offrire cifre da capogiro ai destinatari delle loro email, citando stavolta il nome del defunto leader libico Gheddafi nei loro messaggi. I malintenzionati hanno inoltre indossato le vesti fasulle di un fantomatico direttore dell' FBI, cercando in tal modo di impadronirsi dei dati personali degli utenti.

Ha attirato in particolar modo la nostra attenzione una campagna di spam apparentemente condotta dal noto raggruppamento di hacker conosciuto con l'appellativo di Anonymous. In tali messaggi e-mail - elaborati con lo stile inconfondibile, le frasi tipiche e persino il celebre motto divenuto un vero e proprio biglietto da visita della suddetta organizzazione di hacktivisti - i falsi Anonymous invitavano il destinatario dell'e-mail a sostenere le azioni di protesta da essi “condotte” nei confronti di enti ed organizzazioni governative di vari paesi del globo. Per far ciò, l'utente-vittima avrebbe dovuto semplicemente comunicare il proprio nominativo, il paese di residenza ed il proprio numero di cellulare all'indirizzo di posta elettronica indicato nel messaggio fraudolento in questione.

In tal caso, i truffatori hanno ovviamente cercato di far leva sull'elevato grado di popolarità raggiunto su scala globale dal noto gruppo di hacktivisti. Tra l'altro, la richiesta di fornire il proprio nominativo e il numero di telefono potrebbe a prima vista anche apparire del tutto scontata ed innocua; il fatto è che, purtroppo, i malintenzionati possono utilizzare i dati carpiti in una maniera per nulla gradita, ad esempio sottoscrivendo, grazie alle credenziali subdolamente sottratte, qualche costoso servizio a pagamento, a carico dell'utente-vittima.

E' curioso osservare come nel campo “From” dell'email esemplificativa qui sopra riportata compaia il nome di dominio dell'organizzazione finanziaria statunitense Nacha. Riteniamo alquanto improbabile che i truffatori di turno abbiano effettivamente voluto collegare il mailing di massa alle attività condotte in seno alla suddetta organizzazione. E' molto più verosimile, invece, che le persone le quali si sono dedicate alla distribuzione in Rete di tali email abbiano in precedenza fatto ricorso a messaggi di spam nocivi mascherati sotto forma di notifiche provenienti da Nacha, e si siano poi semplicemente dimenticati di modificare il campo “From” sul modello fornito dal bot.

Le statistiche sul fenomeno spam

Quota di spam nel traffico di posta elettronica - Botnet smantellate

Nel primo trimestre del 2012 la quota relativa allo spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 76,6% del volume complessivo di messaggi email circolanti in Rete. Il valore di tale indice è quindi diminuito del 3% rispetto all'analoga quota percentuale rilevata nel quarto trimestre dell'anno 2011.


Quote percentuali di spam rilevate nel traffico di posta elettronica nel corso del primo trimestre del 2012

Uno dei principali fattori che hanno determinato la sensibile diminuzione - rispetto al trimestre precedente - del numero dei messaggi di posta elettronica indesiderati presenti all'interno dei flussi email è rappresentato dal buon esito delle operazioni di smantellamento della seconda versione della botnet denominata Hlux/Kelihos (estesa rete-zombie di tipo peer-to-peer), condotte dagli esperti di Kaspersky Lab in collaborazione con gruppi di ricercatori di CrowdStrike Intelligence Team, Dell SecureWorks ed i membri di HoneyNet Project. A dir la verità, gli analisti e i ricercatori avevano assegnato alla botnet la denominazione di Kelihos.B, sottolineando come, per la creazione della stessa, i cybercriminali avessero fatto ricorso ad una seconda versione modificata del bot originale. Secondo i dati da noi raccolti, al momento della sua neutralizzazione, la rete-zombie Hlux/Kelihos risultava composta da oltre 100.000 computer infetti. La botnet in questione era stata individuata per la prima volta dagli esperti di malware nel mese di dicembre 2010, immediatamente dopo l'avvenuta chiusura dei centri di comando e controllo di network nocivo di prima fascia, quali Pushdo/Cutwail e Bredolab. Nel mese di settembre 2011 veniva inibita e smantellata con successo la prima variante di Hlux; i cybercriminali provvedevano tuttavia, in tempi estremamente rapidi, alla creazione di una nuova versione del bot, in maniera tale che, già alla fine del medesimo mese di settembre 2011, faceva la sua comparsa sulla scena del malware una nuova versione della botnet analizzata, variante provvista di funzionalità ancor più sofisticate ed estese. Ed è proprio questa seconda versione di Hlux ad essere stata smantellata durante il mese di marzo 2012.

Geografia dello spam

Ripartizione delle fonti di spam per regioni geografiche

Desideriamo innanzitutto sottolineare come, all'interno della speciale classifica relativa alle macro-regioni geografiche fonti dello spam mondiale, si osservi un'indubbia prosecuzione delle tendenze che avevano caratterizzato l'anno 2011: anche se con ritmi lenti, sta costantemente crescendo l'indice percentuale complessivamente attribuibile ai paesi situati sul continente asiatico (+ 3,83%) e su quello latino-americano (+ 2,66%). Risulta inoltre in significativo aumento la quota percentuale riconducibile ai messaggi di spam diffusi in Rete dal territorio di Africa (+ 0,67%) e Medio Oriente (+ 1,09%). E nonostante le quantità di spam provenienti dalla macro-regione africana e dall'area medio-orientale siano per il momento da ritenersi piuttosto contenute, le dinamiche di crescita degli indici che si osservano nell'ambito delle due vaste aree geografiche appena citate risultano essere particolarmente incisive e pronunciate. In effetti, rispetto al trimestre precedente, la quantità complessiva di messaggi indesiderati distribuiti in Rete dagli spammer insediati sul territorio di paesi africani è cresciuta del 20%, mentre il volume totale dello spam diffuso dalla macro-regione medio-orientale ha fatto segnare un incremento ancor più consistente, pari al 29,6%.

 
Ripartizione delle fonti di spam per regioni geografiche - Il 4° trimestre del 2011 ed il 1° trimestre del 2012 a confronto

Le quote percentuali ascrivibili all'Europa Occidentale e all'Europa Orientale continuano a diminuire, al punto che nel primo trimestre del 2012 esse hanno complessivamente rappresentato solo il 23,43% del volume totale di tutti i messaggi email «spazzatura» circolanti in Rete; rispetto agli analoghi valori riscontrati nel quarto trimestre del 2011 si è così registrata, a livello di continente europeo, una flessione pari all' 8,35%. E' lecito presupporre che l’avvenuto smantellamento della botnet Hlux possa generare nell'immediato futuro ulteriori cambiamenti a livello di ripartizione geografica delle fonti dello spam mondiale.

Ripartizione delle fonti di spam per paesi

La leadership della graduatoria relativa alla geografia delle fonti di spam continua a rimanere saldamente ad appannaggio dell'India: nel primo trimestre dell'anno, la quota percentuale attribuibile ai messaggi email «spazzatura» distribuiti nelle caselle di posta elettronica degli utenti della Rete dagli spammer insediati nel territorio del grande paese asiatico ha fatto registrare un valore pari a circa l' 11,8% del volume complessivo dello spam mondiale; i gradini inferiori del «podio» virtuale del rating da noi stilato risultano poi occupati da Indonesia e Brasile. Desideriamo porre in particolare evidenza come la composizione della TOP 20 in questione sia rimasta sostanzialmente invariata rispetto all'analoga classifica relativa all'ultimo trimestre del 2011; inoltre, a testimonianza della pronuciata situazione di «stabilità» che sembra contraddistinguere la graduatoria sopra riportata, rileviamo come gli indici percentuali relativi ai paesi entrati a far parte del rating analizzato nel presente capitolo del report presentino solo lievi variazioni - contenute entro la soglia dell' 1% - rispetto agli analoghi valori riscontrati nel trimestre precedente.



Geografia delle fonti di spam rilevate nel primo trimestre del 2012 - Ripartizione per paesi

Mentre nell'ambito di una macro-regione geografica l'intensità delle campagne di spam condotte dai territori dei vari paesi in essa situati risulta generalmente caratterizzata da variazioni che si producono in maniera sincrona, è di particolare interesse osservare come, nel continente asiatico, tale fenomeno non si manifesti affatto: ogni paese asiatico presente nella graduatoria in questione evidenzia difatti dinamiche del tutto proprie riguardo alla diffusione dei messaggi di spam. Ad esempio, per ciò che riguarda il primo trimestre del 2012, Corea del Sud e Vietnam - paesi collocatisi rispettivamente alla quarta e alla quinta piazza del rating qui analizzato - presentano trend quasi opposti, messi in risalto dal grafico qui sotto inserito:



Dinamiche relative alla diffusione dei messaggi di spam dal territorio di Corea del Sud e Vietnam - 1° trimestre 2012

Ciò testimonia in maniera inequivocabile il fatto che i computer-zombie dislocati nei paesi del continente asiatico fanno parte di botnet ben distinte tra loro. In linea di massima, tale considerazione non dovrebbe sorprenderci più di tanto: al momento attuale, difatti, l'Asia rappresenta un'area geografica particolarmente «appetibile» per i botmaster; ne consegue, quindi, che reti-zombie di vario tipo e natura, nettamente distinte ed indipendenti l'una dall'altra, si «spartiscano», in qualche modo, i computer infetti ubicati in tale macro-regione mondiale.

Allegati nocivi nella posta elettronica

Quote percentuali relative ai messaggi email contenenti allegati nocivi

Nel primo trimestre del 2012 sono stati individuati allegati nocivi nel 3,3% dei messaggi di posta elettronica; osserviamo come, rispetto al trimestre precedente, si sia assistito ad un lieve incremento dei valori relativi a tale indice (+ 0,1%). Il grafico qui sotto riportato evidenzia la distribuzione delle quote percentuali riscontrate nel corso dei primi tre mesi dell'anno relativamente alla presenza di allegati nocivi in seno al traffico email globale.



Quote percentuali relative ai messaggi di posta elettronica contenenti allegati nocivi, rilevati nel traffico email nel corso del primo trimestre del 2012

Come si può vedere, la quota più elevata di messaggi di posta elettronica recanti allegati nocivi è stata registrata nello scorso mese di gennaio, con un valore medio pari ad oltre il 4% del volume complessivo delle email circolanti in Rete. Nei successivi mesi di febbraio e marzo 2012 tale indice è risultato tuttavia ugualmente piuttosto elevato, attestandosi su un valore medio pari al 2,8%.

L'elevata quota raggiunta dal cosiddetto spam “nocivo” nel mese di gennaio 2012 trova la sua logica spiegazione nel tradizionale lungo periodo di vacanza che contraddistingue ogni inizio di anno nuovo in Russia; inoltre, nelle rimanenti settimane del primo mese dell'anno, sul territorio della Federazione Russa abitualmente si registra un livello di attività lavorativa un po' più contenuto del solito. Con ogni probabilità, a seguito di un naturale e fisiologico calo di ordini e commissioni, numerosi botmaster si sono dedicati alla conduzione di campagne di spam svolte nell'ambito dei programmi di partenariato, assegnando le loro priorità soprattutto a partnership dedite alla distribuzione, nelle e-mail box degli utenti della Rete, di massicce quantità di spam “farmaceutico” e pericolosi codici nocivi.

Verosimilmente, la significativa diminuzione delle quote inerenti ai codici nocivi distribuiti dai malintenzionati all'interno dei flussi di posta elettronica, flessione registratasi nei successivi mesi di febbraio e marzo, rappresenta un fenomeno esclusivamente momentaneo; vi sono difatti ragionevoli motivi per presupporre che, nel corso del secondo trimestre del 2012, l'indice relativo ai mailing di massa nocivi torni di nuovo a salire. E' tra l'altro opportuno ricordare, nella circostanza, come, per realizzare la diffusione di programmi malware attraverso i messaggi di spam, i malfattori non si avvalgano soltanto di allegati dannosi alle email, ma ricorrano altresì ampiamente all'uso di link nocivi. Pertanto, una diminuzione della quantità di allegati rilevati nel traffico di posta elettronica non corrisponde sempre ad un'effettiva diminuzione del numero delle campagne di spam intraprese dai cybercriminali.

I paesi maggiormente bersagliati dai mailing di massa nocivi

Per ciò che riguarda il primo trimestre del 2012, il grafico relativo alla suddivisione per paesi dei rilevamenti effettuati dal nostro antivirus email si presenta nel modo seguente:



Ripartizione per paesi dei rilevamenti eseguiti dall'antivirus email nel corso del primo trimestre del 2012

Nel primo trimestre del 2012, la quota relativa ai rilevamenti effettuati dal nostro modulo antivirus specificamente dedicato alla posta elettronica sul territorio della Federazione Russa - paese leader dell'analoga graduatoria complessivamente stilata per l'anno 2011 - non è andata oltre il 2%; ciò non ha «consentito» alla Russia di entrare a far parte della TOP 10 in questione. La prima posizione della speciale graduatoria è andata invece ad appannaggio degli USA, sebbene, rispetto al trimestre precedente, l'indice relativo ai rilevamenti realizzati dall'antivirus email entro i confini del territorio statunitense abbia fatto segnare solo un lieve incremento, pari ad appena mezzo punto percentuale. Al contrario, è in sostanza raddoppiata la quota ascrivibile ad Hong Kong; la regione amministrativa speciale della Repubblica Popolare Cinese è andata in tal modo ad insediarsi al secondo posto della speciale TOP 10 sopra riportata.

Nel nostro report annuale dedicato al manifestarsi del fenomeno spam nel corso del 2011 avevamo posto in risalto come, per tutto l'arco dell'anno appena citato, gli esperti di Kaspersky Lab avessero osservato l'inverso andamento delle dinamiche relative al rilevamento di codici nocivi sul territorio di Stati Uniti ed India: in effetti, quando negli USA venivano individuate e neutralizzate le maggiori quantità di spam, si assisteva contemporaneamente, in India, ad una considerevole diminuzione delle quote inerenti ai rilevamenti eseguiti dall'antivirus email, e viceversa. Tale correlazione, tuttavia, nel primo trimestre del 2012 non si è più manifestata.

In precedenza, nell'ambito dell'analogo resoconto dedicato al terzo trimestre del 2011, avevamo sottolineato come le similarità esistenti tra il «panorama internettiano» statunitense e quello australiano avessero di per se stesse generato un andamento sincrono delle variazioni relative agli indici percentuali riguardanti i rilevamenti effettuati dal nostro antivirus dedicato alla posta elettronica sul territorio di Stati Uniti ed Australia. Tale specifica tendenza si è mantenuta inalterata anche nel corso del primo trimestre del 2012.



Dinamiche relative ai rilevamenti eseguiti dall'antivirus email sul territorio di Stati Uniti e Australia - Periodo: dicembre 2011 - marzo 2012

Un'analisi ancor più dettagliata dei dati statistici ha evidenziato una coincidenza, lungo tutto l'arco del mese di marzo 2012, dei picchi locali relativi ai rilevamenti di malware effettuati sul territorio dei due suddetti paesi, a seguito dell'attività svolta dall'antivirus email.



Dinamiche relative ai rilevamenti quotidianamente eseguiti dall'antivirus e-mail sul territorio di Stati Uniti e Australia - Periodo: mese di marzo 2012

Top-10 dei programmi malware maggiormente diffusi nei messaggi di posta elettronica

La prima posizione della speciale graduatoria da noi stilata relativamente ai programmi nocivi rilevati con maggior frequenza dal nostro antivirus email nel corso del primo trimestre del 2012 risulta occupata dal malware Trojan-Spy.HTML.Fraud.gen. La quota percentuale attribuibile a tale software nocivo si è attestata su un valore leggermente superiore al 14% del volume complessivo dei rilevamenti di malware effettuati dal nostro antivirus dedicato alla posta elettronica durante il periodo analizzato nel presente report. Ricordiamo, nella circostanza, come Trojan-Spy.HTML.Fraud.gen sia stato elaborato dai suoi autori sotto forma di una pagina HTML in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web. I dati di registrazione inseriti dall'utente in tali «form» vengono poi ovviamente carpiti dai malintenzionati di turno. L'utilizzo di tale specifico programma malware costituisce, di fatto, uno dei principali metodi di attacco presenti nel sempre nutrito «arsenale» dei phisher.



Top-10 relativa ai programmi nocivi maggiormente diffusi nei messaggi email nel primo trimestre del 2012

Nel primo trimestre dell'anno 2012, il secondo gradino del “podio” virtuale è andato nuovamente ad appannaggio di Email-Worm.Win32.Mydoom.m. Si tratta di un worm di posta elettronica il quale, al pari dell' “illustre confratello” Mydoom.l (collocatosi all' 8° posto della classifica qui sopra riportata) è provvisto di due sole funzionalità: esso si limita difatti alla raccolta illecita degli indirizzi email presenti nei computer contagiati (indirizzi che il worm in questione naturalmente provvede poi a trasmettere al malintenzionato che ha ordito l'azione cybercriminale); tali account di posta elettronica vengono in seguito utilizzati per il processo di auto-diffusione condotto in Rete dal suddetto malware. Vantano le stesse identiche funzionalità anche i tre worm di posta elettronica insediatisi, rispettivamente, al 6°, 7° e 9° posto del rating qui analizzato, worm appartenenti alla famiglia di malware denominata Email-Worm.Win32.NetSky. Un ulteriore worm di posta elettronica – Email-Worm.Win32.Bagle.gt – è poi andato a collocarsi alla quarta piazza della speciale graduatoria da noi stilata. Oltre alle suddette funzionalità, tipiche dei più comuni email worm, Bagle.gt possiede ulteriori “doti”: tale programma malware è difatti in grado di interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare sui computer-vittima altri programmi nocivi.

E' di particolare rilievo sottolineare come il processo di auto-diffusione dei worm di posta elettronica risulti del tutto «incontrollabile» da parte dei malintenzionati che li dispiegano; in effetti, il meccanismo insito negli e-mail worm non presuppone l'utilizzo di alcun tipo di comando o controllo da parte dei «padroni» dei malware in questione. Sono ormai alcuni anni che le famiglie di worm presenti nel rating del primo trimestre dell'anno continuano ad auto-diffondersi all'interno dei flussi email ma, con ogni probabilità, già da molto tempo esse non generano più alcun tipo di beneficio o profitto a coloro che le hanno create e sviluppate. Oltre all'insistita e massiccia distribuzione del programma malware Trojan-Spy.HTML.Fraud.gen, prediletto dai phisher, in questi primi tre mesi del 2012 abbiamo assistito alla diffusione in Rete, da parte dei cybercriminali, di ulteriori nuove varianti di numerosi Trojan-Downloader e Trojan-Dropper.

Spesso, certe campagne di spam nocivo vengono condotte e si esauriscono in tempi estremamente rapidi, al punto che le firme antivirus preposte a neutralizzare i malware distribuiti tramite i suddetti mailing di massa non fanno nemmeno in tempo ad apparire all'interno dei database antivirus. In tal caso, l'antivirus email provvederà a bloccare per mezzo di metodi proattivi gli allegati nocivi diffusi attraverso i flussi di posta. Nel primo trimestre del 2012 è stato rilevato in maniera proattiva l' 11% di tutti i programmi dannosi individuati dal nostro antivirus specificamente dedicato alla protezione dei sistemi di posta elettronica.

E' inoltre di fondamentale importanza tener sempre ben presente il fatto che i malintenzionati sono soliti realizzare la diffusione in Rete dei codici nocivi non solo tramite gli allegati ai messaggi email, ma anche attraverso i cosiddetti link nocivi.

Phishing

Nel primo trimestre del 2012, la quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle email ha presentato una lieve flessione rispetto all'analogo indice riscontrato nel trimestre precedente, facendo pertanto segnare un valore medio pari allo 0,02% del volume complessivo dei messaggi di posta elettronica distribuiti in Rete.



Quote percentuali mensili relative ai messaggi di phishing riscontrati nel traffico e-mail nel corso del primo trimestre del 2012

Dal mese di gennaio dell'anno in corso, Kaspersky Lab provvede a pubblicare sotto nuova veste, all'interno dei propri report, il consueto rating relativo alle organizzazioni/enti/istituti/risorse web maggiormente sottoposti agli attacchi condotti dai phisher. La classifica delle 100 organizzazioni i cui clienti sono risultati bersaglio prediletto degli assalti di phishing è stata da noi suddivisa in categorie. Essa si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web. Informazioni più dettagliate riguardo ad ognuna delle categorie sopra menzionate sono disponibili al seguente link.



TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel primo trimestre del 2012 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo «Anti-phishing»

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Anti-phishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

Durante tutto il primo trimestre del 2012, le dinamiche di ripartizione degli attacchi di phishing in base alle varie categorie sopra menzionate sono state caratterizzate da tratti di pronunciata stabilità. L'unica variazione di un certo rilievo intervenuta all'interno della speciale graduatoria dedicata agli assalti portati in Rete dai phisher è rappresentata dal consistente aumento - osservato nel corso del mese di gennaio - della quota percentuale relativa agli attacchi condotti nei confronti della nota piattaforma online Amazon. In tal modo, la categoria «Negozi Internet ed aste online» è andata ad occupare il secondo posto dell'analogo rating relativo al primo mese dell'anno 2012. Tuttavia, già nel successivo mese di febbraio, la categoria «Social network» consolidava la propria posizione sul secondo gradino del «podio» virtuale di tale graduatoria, in ragione dell'elevata percentuale di attacchi di phishing eseguiti nei confronti di Facebook, la celeberrima rete sociale. Da notare come Facebook abbia effettivamente guidato per ben due mesi consecutivi la graduatoria «individuale», riservata alle singole organizzazioni più frequentemente bersagliate dai phisher.

Desideriamo nella circostanza sottolineare come, secondo i dati ottenuti attraverso il KSN (Kaspersky Security Network), circa il 70% dei link di phishing inibiti si sia manifestato proprio nell'ambito dei client di posta elettronica. Ciò significa che le e-mail rimangono tuttora il principale canale di diffusione dei link di phishing.

Conclusioni

Le quantità di spam presenti nel traffico di posta elettronica stanno progressivamente diminuendo; è ovvio che una simile notizia può solo essere accolta con ampia e generale soddisfazione da parte degli esperti di sicurezza IT, degli analisti del fenomeno spam e, soprattutto, da parte degli utenti. Tali positive circostanze vengono in particolar modo determinate dalla lotta sempre più attivamente condotta nei confronti delle botnet da parte di numerose organizzazioni indipendenti. Tuttavia, come dimostra la pratica, per combattere efficacemente spam e minacce IT, il semplice smantellamento delle reti-zombie si dimostra spesso insufficiente. Si rivela difatti sempre di più indispensabile operare in stretta collaborazione con le forze di cyberpolizia e gli organi competenti; debbono essere condotte in ogni frangente indagini approfondite, ed occorre altresì dare pienamente corso, in tempi rapidi, ai necessari severi procedimenti giudiziari. Annotiamo già, con particolare soddisfazione, come siano state già intraprese numerose azioni ed iniziative in tal senso. Ad esempio, negli Stati Uniti, alcune organizzazioni operanti in ambito finanziario, unitamente a Microsoft, hanno sporto una querela collettiva nei confronti dei titolari della famigerata botnet ZeuS, ritenuti responsabili di aver violato numerose leggi, tra cui il CAN-SPAM Act (provvedimento legislativo entrato in vigore negli USA nel 2004, volto a combattere il dilagare del fenomeno spam) ed il RICO Act (Racketeer Influenced and Corrupt Organizations Act), legge federale statunitense preposta a combattere il racket ed il crimine organizzato in genere.

Rispetto al trimestre precedente, il quadro «geografico» dello spam è rimasto sostanzialmente invariato; non bisogna tuttavia ritenere che una simile situazione, di apparente «stabilità», possa mantenersi tale anche nell'immediato futuro. In effetti, la neutralizzazione e lo smantellamento delle botnet, in genere, esercitano una forte influenza sulla ripartizione geografica delle fonti dello spam mondiale, in quanto i cybercriminali, una volta colpiti nei loro interessi, cercano immediatamente di allestire in tempi rapidi nuove reti-zombie in luoghi ritenuti più sicuri o perlomeno più «redditizi».

Nel corso del primo trimestre del 2012 abbiamo ugualmente assistito ad una significativa diminuzione della quota percentuale relativa al numero di allegati nocivi individuati nei messaggi di posta elettronica; tale indice continua a mantenersi su livelli decisamente elevati. E' inoltre di particolare importanza evidenziare come una considerevole quantità di spam maligno contenga non i consueti allegati nocivi, bensì link dannosi che conducono a siti web nocivi con exploit, malware particolarmente utilizzati nel corso degli attacchi di tipo «drive-by download». Tali specifiche campagne di spam si caratterizzano per il fatto che i link contenuti nelle email allestite dai malintenzionati, tramite redirecting di vario genere e natura, trasferiscono l'ignaro utente verso siti provvisti di pericolosi kit di exploit, elaborati dai virus writer con il preciso intento di scovare sui computer-vittima le vulnerabilità eventualmente presenti in alcune delle applicazioni di più largo uso, quali Java, Flash Player e Adobe Reader. Generalmente, coloro che si dedicano all'organizzazione di tali campagne di spam si contraddistinguono per un elevato livello di «creatività» e fanno regolarmente ricorso a vari astuti metodi di ingegneria sociale.

Al momento attuale può quindi rivelarsi estremamente pericoloso, per l'utente, sia cliccare sul link presente nel messaggio di spam ricevuto, sia aprire il file allegato a quest'ultimo (anche qualora si tratti di un semplice documento di testo). Per di più, alcuni sofisticati malware vengono addirittura sviluppati dai loro autori in maniera tale che possa risultare pericolosa già l'apertura stessa del messaggio email di spam. Cogliamo l'occasione per ricordare ancora una volta, a tutti gli utenti, quanto sia indispensabile provvedere in maniera tempestiva all'aggiornamento dei software utilizzati, così come eliminare immediatamente i messaggi di spam ricevuti, senza aprirli.