Lo spam nel mese di Novembre 2013

25 dic 2013
Corporate News, Malware

Tat’jana Šerbakova

Marija Vergelis

Sommario

Le peculiarità del mese

Nel mese di novembre, nonostante l'abituale periodo di relativa calma sul mercato del lavoro, dovuto in particolar modo all'approssimarsi del termine di chiusura dell'anno finanziario, abbiamo rilevato, all'interno dei flussi e-mail globali, numerosi mailing di massa recanti offerte di impiego sia a carattere temporaneo che permanente. E' piuttosto singolare il fatto che la maggior parte dei messaggi di spam riconducibili a tale specifica tipologia non contenesse, in pratica, informazioni precise e dettagliate riguardo al potenziale datore di lavoro, oppure al tipo di impiego disponibile. Nel mese passato, un consistente numero di mailing di massa è stato inoltre dedicato alle più classiche tematiche delle vacanze invernali, con un elevato numero di messaggi di spam volti a pubblicizzare proposte di viaggio di vario genere, nonché soggiorni in note località sciistiche, in occasione delle attese festività di fine anno. Inoltre, gli spammer hanno attivamente "utilizzato" due ricorrenze particolarmente popolari e sentite nel mondo occidentale - il Giorno del Ringraziamento e il Giorno dei Veterani - per reclamizzare prodotti e servizi di vario genere. Sottolineiamo, allo stesso modo, come siano incessantemente proseguite, lungo tutto l'arco del mese oggetto del presente report, le campagne di spam fraudolento volte a sfruttare, per fini illeciti, gli avvenimenti più tragici ed eclatanti che si sono prodotti sulla scena internazionale. In particolar modo, gli spammer hanno cercato di sottrarre denaro agli utenti della Rete con il pretesto di raccogliere donazioni in favore delle vittime del devastante tifone che si è recentemente abbattuto sulle Filippine.

Le feste continuano...

In novembre, attraverso un elevato numero di mailing di massa commissionati da imprese di piccole e medie dimensioni, gli spammer hanno inoltre proposto sostanziosi sconti su prodotti e servizi di vario genere, con l'intento di "onorare" al meglio il Giorno dei Veterani (Veterans Day), la sentita ricorrenza che si celebra negli Stati Uniti il giorno 11 novembre. Nella circostanza, per attirare al massimo l'attenzione dei destinatari di tali messaggi e-mail, gli spammer hanno fatto ampiamente ricorso ai consueti slogan pubblicitari e alle abituali frasi ad effetto, promettendo ugualmente forti sconti sulle merci offerte.  Ad esempio, attraverso messaggi di spam reclamizzanti la vendita di autovetture a prezzi particolarmente vantaggiosi, sono stati offerti sconti estremamente elevati in qualità di omaggio e tributo di profonda stima nei confronti di tutti i veterani di guerra americani.

 

Ovviamente, gli spammer non si sono dimenticati nemmeno il Giorno del Ringraziamento, festività ampiamente celebrata negli Stati Uniti, ed in alcuni altri paesi, l'ultimo giovedì del mese di novembre; anche tale sentita ricorrenza è stata largamente "sfruttata" dai professionisti dello spam allo scopo di pubblicizzare i più disparati prodotti e servizi. In vari mailing di massa, gli spammer hanno cercato di attirare al massimo l'attenzione dei destinatari dei messaggi non solo nominando esplicitamente la suddetta festività nell'oggetto dell'e-mail, ma anche proponendo sgargianti composizioni, ricche di colori ed immagini, con la consueta rappresentazione del tacchino - simbolo principe del Thanksgiving Day - ed il racconto di fatti curiosi e divertenti riguardo al simpatico volatile in questione. Nel mese di novembre, abbiamo altresì individuato, all'interno del traffico di posta elettronica, un consistente numero di messaggi di spam - tra quelli "dedicati" al Giorno del Ringraziamento - appositamente elaborati per reclamizzare prodotti farmaceutici di vario genere, nonché mega-sconti su dispositivi ed apparecchi elettronici.

Nella circostanza, desideriamo sottolineare come il contenuto e l'oggetto di tali messaggi indesiderati non sempre corrispondessero, poi, all'effettivo contenuto della pagina web sulla quale sarebbe giunto l'utente dopo aver cliccato sul link pubblicitario appositamente inserito nel corpo dell'e-mail. Ad esempio, in uno dei mailing di massa da noi individuati, i link presenti nel messaggio di spam avrebbero dovuto condurre - in apparenza - verso un file MP3, il quale, secondo quanto sostenuto dagli spammer, avrebbe dovuto aiutare, in qualche modo, a sopportare l'«ecatombe dei tacchini»; in realtà, cliccando su tali link, l'utente sarebbe inconsapevolmente giunto su un sito web preposto a reclamizzare prodotti farmaceutici ed affini per aumentare la "potenza maschile".

 

 

In questo periodo, i preparativi in vista delle imminenti festività di fine anno si fanno ogni giorno più intensi e frenetici; di pari passo, ovviamente, in seno al traffico di posta elettronica aumenta in maniera considerevole il numero dei messaggi e-mail di spam ispirati alle più tradizionali tematiche del Natale e dell'Anno Nuovo. Così, alla vigilia delle festività natalizie, numerose società di piccole e medie dimensioni invadono, attraverso gli spammer, le e-mail box degli utenti della Rete proponendo i più disparati prodotti e servizi - dai classici tour, viaggi e soggiorni di fine anno a speciali dispositivi per affrancare piccoli pacchi postali. Inoltre, in aggiunta alle consuete pubblicità delle tradizionali cartoline di auguri, abbiamo rilevato, nello spam di novembre, la presenza di varie proposte relative alla realizzazione di video-cartoline, con tanto di inserimento del logo aziendale e degli auguri personalizzati della potenziale società committente. Come al solito, gli spammer non si sono dimenticati neppure dei più piccoli, i quali, come è noto, in occasione delle feste natalizie non si aspettano di ricevere soltanto i classici doni, ma anche le "magiche" letterine inviate da Babbo Natale (o Santa Claus). Di fatto, una delle campagne di spam da noi individuate nei flussi di spam di novembre reclamizzava proprio l'opportunità di poter ordinare online l'invio di lettere del genere.

 

Quando le donazioni finiscono nelle tasche di truffatori senza scrupoli

Certi tragici eventi, che periodicamente affliggono, purtroppo, gli scenari internazionali, divengono spesso, per gli spammer, un'ulteriore occasione per poter realizzare profitti illeciti. In effetti, all'interno del traffico e-mail, rileviamo regolarmente la presenza di un nutrito numero di campagne di spam fraudolento volte a sfruttare il clamore via via suscitato da crudeli attentati terroristici, oppure da imponenti catastrofi naturali o di altro genere, per sottrarre significative somme di denaro agli utenti. I truffatori, spesso, diffondono messaggi e-mail a nome di non ben precisati membri o rappresentanti di organizzazioni umanitarie di vario genere, oppure riferiscono di iniziative condotte congiuntamente con queste ultime, allo scopo di fornire aiuti concreti alle vittime delle sciagure. Nel mese di novembre 2013, ad esempio, i truffatori della Rete hanno inviato un consistente numero di e-mail "nigeriane" a nome della «Croce Rossa», la maggiore organizzazione umanitaria del pianeta, pregando i destinatari dei messaggi di prestare aiuto nei confronti degli abitanti delle Filippine rimasti vittima del devastante tifone.

 

Nell'occasione, per far sì che gli utenti-vittima non sospettassero in alcun modo l'inganno ordito nei loro confronti, i truffatori non hanno richiesto una determinata somma di denaro, ma si sono semplicemente "limitati" a sottolineare come, anche l'importo più esiguo donato dal destinatario dell'e-mail, si sarebbe potuto rivelare, in loco, un contributo enorme in favore di tale causa umanitaria. Sottolineiamo, tuttavia, come tali messaggi provenissero, in tutta evidenza, da un indirizzo di posta elettronica fasullo; per contattare il sedicente coordinatore locale della «Croce Rossa», poi, l'utente desideroso di effettuare una donazione in favore delle vittime del tifone, avrebbe dovuto utilizzare uno strano e misterioso numero di telefono, mentre l'indirizzo personale di posta elettronica relativo al rappresentante dell'organizzazione umanitaria in questione risultava, a sua volta, essere registrato su un dominio del tutto diverso ed estraneo. Molto spesso ci imbattiamo in e-mail fraudolente i cui link conducono, di fatto, verso pagine HTML contenenti informazioni dettagliate riguardo alle catastrofi o agli eventi tragici che si verificano periodicamente; al tempo stesso, tali pagine riferiscono in merito alle donazioni effettuate. Nella circostanza, i link inseriti nei messaggi da noi rilevati all'interno del traffico di spam di novembre, sono risultati essere preposti a condurre il destinatario dell'e-mail fraudolenta verso una pagina web contenente sia filmati inerenti al disastro naturale che ha sconvolto l’arcipelago delle Filippine, sia informazioni aggiuntive riguardo alle modalità previste per eseguire il trasferimento del denaro richiesto. Inoltre, nel tentativo di convincere ulteriormente l'utente-vittima riguardo all'autenticità e alla credibilità del messaggio in questione, i truffatori hanno ben pensato di aggiungere al testo dell'e-mail un collegamento ipertestuale verso il sito web ufficiale della «Croce Rossa».

Posti di lavoro vacanti

Di solito, la fine della stagione autunnale e l'inizio dell'inverno coincidono con un periodo di relativa calma nell'ambito del mercato del lavoro. Prima della conclusione dell'anno di esercizio, le società sono solite stilare i propri bilanci finanziari e, al tempo stesso, cercano di allestire progetti ed attività da svolgere nell'anno successivo; è per tale motivo che, in questo periodo, le imprese non conducono quasi mai in maniera particolarmente attiva la ricerca di nuovi collaboratori. Tuttavia, nel mese di novembre, abbiamo continuato a rilevare, all'interno dei flussi di posta elettronica globali, un elevato numero di mailing di spam recanti offerte di impiego. E, nella circostanza, non si è certo trattato di comunicazioni e notifiche ufficiali - riguardo a potenziali posti di lavoro vacanti - provenienti da note agenzie di reclutamento online.

 

Per mezzo delle e-mail in questione, per lo più prive di elementi personalizzati, si segnalava tuttavia al destinatario del messaggio di spam la disponibilità di posti vacanti. Inoltre, attraverso di esse, si proponevano condizioni particolarmente vantaggiose; tra l'altro, il potenziale candidato al posto di lavoro vacante avrebbe potuto agevolmente scegliere tra un'occupazione part-time ed un'attività lavorativa a tempo pieno. Ad ogni caso, spesso mancava un'effettiva descrizione del tipo di impiego proposto; per ottenere ulteriori informazioni, il destinatario del messaggio si sarebbe quindi dovuto rivolgere all'indirizzo di posta elettronica indicato nell'e-mail, diverso dall'indirizzo del mittente del messaggio in questione. Infine, l'indirizzo al quale l'utente avrebbe dovuto inviare la propria risposta, unitamente al curriculum vitae, risultava diverso da messaggio a messaggio, mentre il contenuto delle suddette e-mail rimaneva invece costantemente invariato.

Talvolta, ad ogni caso, tali messaggi di spam presentavano anche il nominativo della società intenta alla ricerca di nuovi collaboratori, così come una breve descrizione delle attività svolte da quest'ultima. Alcuni dei mittenti, poi, precisavano di aver ricavato i dati del destinatario del messaggio dal curriculum dello stesso, precedentemente fornito a qualche agenzia per la ricerca di personale. Allo stesso modo, nei messaggi di spam in causa venivano indicati i principali requisiti professionali richiesti ai candidati, così come il livello di remunerazione proposto.

 

Le vacanze invernali

Le festività di fine anno sono ormai alle porte e, ovviamente, sono in molti coloro che desiderano combinare le stesse con un periodo di agognata vacanza. Proprio per tale motivo, alla fine della stagione autunnale cresce considerevolmente, all'interno dei flussi e-mail, la presenza di campagne di spam volte a pubblicizzare proposte di viaggi e tour di ogni genere, in coincidenza con le festività natalizie. Non ha fatto eccezione, in tal senso, nemmeno lo scorso mese di novembre.

 

 

Difatti, in aggiunta alle tradizionali offerte di viaggi e tour in paesi caldi, particolarmente diffuse in questo periodo dell'anno, abbiamo individuato, nel traffico di spam di novembre 2013, un considerevole numero di proposte di viaggio dal carattere e dal sapore tipicamente invernale, per trascorrere al meglio l'imminente periodo di vacanza natalizio, quali, ad esempio, soggiorni in noti comprensori sciistici, con possibilità di effettuare escursioni in motoslitta e praticare, ugualmente, snowboard e sci di fondo.

Ripartizione geografica delle fonti di spam

Quota di spam nel traffico di posta elettronica

 
Quote di spam rilevate settimanalmente all’interno del traffico di posta elettronica

Come evidenzia il grafico qui sopra riportato, durante le prime tre settimane del mese oggetto del presente report, la quota percentuale relativa ai messaggi di spam rilevati in seno ai flussi e-mail globali è gradualmente aumentata; nell'ultima settimana del mese di novembre 2013, tuttavia, l'indice in questione ha presentato un'evidente inversione di tendenza, attestandosi in tal modo su valori percentuali decisamente più contenuti. Complessivamente, in novembre, la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 72,5% del volume totale di messaggi e-mail circolanti in Rete.

Geografia delle fonti di spam

 
Geografia delle fonti di spam rilevate nel mese di novembre 2013 - Graduatoria su scala mondiale

La graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - è rimasta sostanzialmente invariata rispetto all’analogo rating del mese precedente. Nel mese di novembre, la prima posizione della speciale classifica da noi stilata è andata nuovamente ad appannaggio della Cina, con una quota pari al 23,3% (+ 2% rispetto ad ottobre 2013); il "colosso" dell'Estremo Oriente detiene ormai da diversi mesi la leadership del rating in questione. Così come un mese fa, il secondo ed il terzo gradino del "podio" virtuale risultano occupati, rispettivamente, da Stati Uniti (18%) e Corea del Sud (14,5%); gli indici percentuali ascrivibili a tali paesi presentano variazioni piuttosto trascurabili rispetto agli analoghi valori fatti registrare in ottobre. Al quarto posto della graduatoria da noi elaborata troviamo poi Taiwan (6,7%); la quota riconducibile al paese dell'Estremo Oriente insulare risulta tuttavia leggermente diminuita (- 0,4%). Così come in precedenza, alla quinta piazza del rating globale delle fonti di spam si è di nuovo insediata la Russia (5,4%); rispetto al mese precedente l'indice attribuibile al più esteso paese del globo è comunque diminuito di 1,4 punti percentuali.

Osserviamo, inoltre, come la quota relativa allo spam proveniente dal territorio dell'Ukraina (2,9%) abbia fatto registrare un lieve decremento (- 1%) rispetto ad ottobre 2013; tale paese ha così "perso" una posizione in classifica, passando dalla settima all'ottava posizione della graduatoria qui esaminata. Allo stesso modo, risulta leggermente diminuita la quota ascrivibile al Canada (- 0,4%); di fatto, il paese nordamericano - nono nella graduatoria relativa allo scorso mese di ottobre - non fa più parte della TOP-10 qui sopra riportata. Come si può vedere, la posizione lasciata vacante dal Canada è stata occupata dal Giappone; rispetto al mese precedente, l'indice percentuale attribuibile al Paese del Sol Levante ha fatto registrare un significativo aumento, pari allo 0,9%.

L'ultima piazza della TOP-10 di novembre 2013 risulta infine occupata dalla Romania (1,6%), la cui quota è leggermente aumentata (+ 0,2%) rispetto all'analogo rating stilato un mese fa; in tal modo, il paese dell'Europa Orientale è salito di ben tre posizioni in classifica.

 
Geografia delle fonti di spam rilevate nel mese di novembre 2013 relativamente ai messaggi e-mail indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei

Nel mese di novembre 2013 la prima posizione della speciale classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei è andata nuovamente ad appannaggio della Corea del Sud, leader incontrastato - ormai da tempo - di tale rating; la quota attribuibile al paese dell’Estremo Oriente ha fatto peraltro segnare un sensibile aumento (+ 4,7%) rispetto ad ottobre 2013, e si è quindi nuovamente attestata su un valore complessivo estremamente elevato (56%). Il secondo gradino del "podio" virtuale di novembre risulta occupato, così come in precedenza, da Taiwan (6,4%); nell'arco di un mese, la quota percentuale relativa al paese dell'Estremo Oriente insulare è tuttavia diminuita di un punto percentuale. Gli Stati Uniti, con un indice pari al 5,5%, si sono di nuovo collocati nelle posizioni di assoluto vertice della classifica relativa alle fonti geografiche dello spam “europeo”. Nel mese analizzato nel presente report la quota riconducibile agli USA ha fatto registrare un incremento di oltre un punto percentuale (+ 1,4%); il paese nordamericano è in tal modo salito dalla quarta alla terza piazza della graduatoria.

Risulta leggermente aumentata (+ 0,4%), rispetto ad un mese fa, la quota relativa allo spam inviato in Europa dal territorio di Hong Kong; la regione amministrativa speciale della Repubblica Popolare Cinese è andata quindi ad occupare la quarta posizione del rating "europeo" di novembre. Ricordiamo che, nel mese precedente, Hong Kong si trovava al sesto posto dell'analoga graduatoria. Allo stesso modo, ha fatto registrare un significativo aumento (+ 0,6%) l'indice attribuibile a Singapore; la città-stato del sud-est asiatico è così entrata a far parte della TOP-10 di novembre 2013, insediandosi direttamente all'ottavo posto della stessa.

Abbiamo invece osservato, riguardo alla Russia (2,5%), una situazione diametralmente opposta; nell'arco di un solo mese, la quota percentuale riconducibile al più esteso paese del globo si è in effetti più che dimezzata (- 2,7%): la Federazione Russa ha in tal modo "perso" due posizioni in classifica, scendendo dalla terza alla quinta piazza della graduatoria. La stessa identica sorte è spettata all'Ukraina (2,3%): tale paese ha visto diminuire il proprio indice di 1,2 punti percentuali, ed è così passato dalla quinta alla settima posizione del rating. Per lo stesso motivo non fanno più parte della TOP-10 in questione né il Kazakhstan (- 0,6%), né l'Italia (- 0,8%).

L'ultima piazza della TOP-10 di novembre 2013 risulta occupata dalla Romania (1,3%); la quota percentuale ascrivibile ai flussi di spam generati entro i confini del paese situato nell'Europa Orientale - e diretti verso gli utenti della Rete europei - è rimasta in pratica invariata (- 0,1%) rispetto all’analogo indice riscontrato nello scorso mese di ottobre.

 
Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di novembre 2013

Non si sono registrate variazioni di rilievo nemmeno all'interno della speciale graduatoria relativa alla ripartizione delle fonti di spam per macro-aree geografiche mondiali; tale classifica risulta ancora una volta capeggiata dall’Asia, con una quota pari al 58,6%; nel mese di novembre 2013, l’indice attribuibile al continente asiatico è aumentato di 2,6 punti percentuali rispetto all’analogo valore riscontrato nel mese precedente. Ciò testimonia, quindi, un maggior livello di attività da parte degli spammer insediati nella macro-regione asiatica. Così come in precedenza, al secondo posto della speciale classifica "regionale" si è insediata l'America Settentrionale (19,5%); la quota ascrivibile al continente nordamericano ha presentato un lieve incremento (+ 0,5%) rispetto all'analogo rating di ottobre 2013. Il terzo gradino del "podio" virtuale è nuovamente andato ad appannaggio dell'Europa Orientale (13,8%); l'indice relativo a tale macro-regione geografica ha tuttavia evidenziato una significativa flessione rispetto ad un mese fa, pari - nel complesso - a 2,3 punti percentuali.  Al quarto e al quinto posto del rating "regionale" delle fonti di spam si sono infine collocate, ancora una volta, Europa Occidentale (- 0,7%) ed America Latina (- 0,02%).

Allegati maligni rilevati nel traffico di posta elettronica

La TOP-10 del mese di novembre 2013 relativa ai software nocivi più frequentemente rilevati all'interno dei flussi di posta elettronica globali si presenta nel modo seguente:

 
TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica nel mese di novembre 2013

La TOP-10 del mese di novembre 2013 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica mondiali risulta capeggiata, così come nel mese precedente, dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen (5,17%); la quota attribuibile a tale programma malevolo ha fatto tuttavia registrare una significativa diminuzione (pari, all'incirca, ad un punto percentuale e mezzo) rispetto all’analogo indice rilevato in ottobre. Ricordiamo, nella circostanza, che il suddetto programma malware è stato elaborato dai suoi autori sotto forma di pagine HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli. Il malware in questione viene abitualmente distribuito dai malfattori sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da organizzazioni commerciali e finanziarie di primaria importanza, nonché da negozi online particolarmente frequentati dagli utenti della Rete.

Proseguendo la nostra analisi, risulta evidente come, all'interno dei flussi di spam maligno, continuino a manifestare un elevato livello di attività i software nocivi appartenenti alla famiglia denominata Bublik. In effetti, anche nella graduatoria di novembre 2013 compaiono ben quattro rappresentanti della nota famiglia di malware, insediatisi, rispettivamente, al 2°, 3°, 8° e 10° posto della classifica. Le principali funzionalità di cui sono provvisti tali programmi dannosi consistono nel download e nella successiva installazione sul computer-vittima di nuove versioni di programmi maligni, a totale insaputa dell'utente. Una volta portato a termine il proprio compito, i programmi malware riconducibili alla famiglia Bublik non rimangono allo stato attivo, anche se provvedono a realizzare una copia di se stessi all'interno della cartella <%temp%>. Riteniamo infine di particolare utilità sottolineare come i trojan-downloader Bublik siano soliti camuffarsi sotto forma di applicazioni o documenti Adobe.

Il quarto posto del rating di novembre 2013 è andato ad appannaggio del software nocivo classificato come Email-Worm.Win32.Bagle.gt, abitualmente diffuso in forma di allegato ai messaggi e-mail. Si tratta, come è noto, di un virus-worm di posta elettronica preposto a raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi auto-diffondersi in Rete tramite gli account di posta illecitamente carpiti. Tale programma maligno risulta inoltre provvisto di ulteriori "doti": esso è stato appositamente creato dai virus writer per interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare dalla Rete ulteriori file malevoli sui computer sottoposti ad attacco, all'insaputa degli utenti-vittima.

La quinta e la sesta posizione della speciale graduatoria da noi stilata risultano occupate, rispettivamente, dai malware denominati Trojan.Win32.Buzus.ofhx e Trojan-Spy.Win32.Zbot.qsec. Tali programmi malevoli vengono utilizzati  dai malintenzionati con il preciso intento di realizzare il furto, sui computer-vittima, dei dati sensibili relativi agli account bancari degli utenti (ad esempio i dati necessari per ottenere l'accesso ai sistemi di banking online). Di norma, il "lavoro" svolto dai software nocivi riconducibili a tale specifica tipologia non è mai accompagnato da alcun genere di "effetto visivo"; ciò complica considerevolmente il loro rilevamento all'interno del computer sottoposto ad attacco, nel caso in cui quest'ultimo non sia adeguatamente protetto da un'efficace soluzione anti-virus. Inoltre, per fini di autodifesa, i programmi malware appartenenti alle suddette famiglie si avvalgono delle sofisticate tecnologie rootkit, le quali consentono - a tali software dannosi - di poter nascondere la presenza, nel computer-vittima, dei propri file e processi eseguibili.

Osserviamo, infine, come alla settima piazza della graduatoria qui analizzata sia andato a collocarsi il malware classificato dagli esperti di sicurezza IT come Trojan-Ransom.Win32.Gimemo.blyq. Si tratta, nella fattispecie, di un programma spyware preposto al furto dei cookie presenti nei browser web, così come delle password utilizzate nell'ambito dei client FTP e dei programmi di posta elettronica; come al solito, i dati sensibili carpiti agli utenti vengono poi trasmessi ai malintenzionati di turno.

 
Ripartizione per paesi dei rilevamenti eseguiti nel mese di novembre 2013 dall’antivirus e-mail

Il primo posto della classifica qui sopra riportata - riguardante i paesi nei quali, durante il mese di novembre 2013, il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail - è andato ad appannaggio della Gran Bretagna (12,3%). La quota ascrivibile al Regno Unito ha fatto complessivamente registrare un incremento di 2,4 punti percentuali rispetto al mese precedente. La Germania, scalzata dalla prima posizione del rating, si è collocata sul secondo gradino del "podio" virtuale, facendo segnare una quota pari all' 11,2%. L'indice relativo agli Stati Uniti è risultato pari al 10%; in tal modo gli USA sono andati ad occupare la terza piazza della speciale graduatoria.

Complessivamente, nel periodo oggetto del presente report, le quote relative ai rimanenti paesi presenti in graduatoria non hanno subito significative variazioni percentuali. Segnaliamo, ad ogni caso, l'ingresso del Qatar (1,5%) all'interno della TOP-20 di novembre 2013. Concludiamo la nostra breve analisi sottolineando come, nel mese qui analizzato, la quota percentuale riguardante i rilevamenti effettuati dall’antivirus e-mail entro i confini del territorio della Federazione Russa abbia fatto segnare una significativa diminuzione, attestandosi così su un valore medio pari all’ 1,9%.

Peculiarità e tratti caratteristici dello spam nocivo di novembre.

Nel mese di novembre 2013 gli spammer hanno attivamente  distribuito programmi malware nelle caselle di posta elettronica degli utenti sotto forma di messaggi Voicemail. Abbiamo osservato come, nella maggior parte dei casi, il testo di tali messaggi di spam malevolo, da noi rilevati in seno al traffico e-mail di novembre, fosse stato elaborato sulla base di un unico modello: «Le è stato inviato un messaggio Voicemail, della durata di XX minuti XX secondi, da parte della società/utente N: data, orario. Il Suo messaggio Voicemail è stato allegato alla presente e-mail e potrà essere riprodotto ed ascoltato in qualsiasi momento sulla maggior parte dei computer». Il "messaggio vocale" sopra descritto, quindi, a detta dei malfattori, si sarebbe dovuto trovare all'interno dell'apposito archivio ZIP allegato all'e-mail; in realtà, l'archivio compresso in questione, di solito denominato <message.zip>, conteneva un temibile programma malware.

 

Con lo stesso identico schema truffaldino - ovvero attraverso notifiche fasulle relative alla presunta ricezione di messaggi vocali - i malfattori hanno inviato nelle caselle di posta elettronica degli utenti un considerevole numero di e-mail a nome di Skype, il servizio di messaggistica istantanea e videochiamate in assoluto più diffuso presso il pubblico della Rete. Nella circostanza, i cybercriminali, in qualità di nominativo del mittente, avevano inserito la dicitura "Skype Voice Message", mentre, di fatto, l'indirizzo di posta del mittente dell'e-mail malevola non aveva proprio nulla a che vedere con il noto servizio online, apparendo, invece, come un insieme confuso di lettere generate automaticamente. Tali e-mail indicavano ugualmente la durata del file vocale "ricevuto" dal destinatario del messaggio di posta, così come la data e l'orario della presunta "chiamata". Come al solito, secondo i malfattori, l'utente-vittima avrebbe potuto ascoltare il messaggio vocale in questione semplicemente aprendo l'archivio ZIP allegato all'e-mail maligna, file denominato, nell'occasione, <Skype_Voice_Message-DB43D7B84C.zip>. In realtà, l'archivio compresso allegato al messaggio di posta elettronica conteneva un pericoloso programma malware, rilevato dalle soluzioni antivirus di Kaspersky Lab come Trojan-PSW.Win32.Tepfer.sjsm. Si tratta, nella fattispecie, di un programma spyware preposto al furto dei cookie presenti nei browser web e, allo stesso tempo, delle password utilizzate nell'ambito dei client FTP e dei programmi di posta elettronica; i dati confidenziali sottratti agli utenti-vittima vengono in seguito inoltrati ai "padroni" del suddetto malware, ovverosia a quei malfattori che, di volta in volta, diffondono in Rete il temibile software nocivo.

 

Phishing

I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non abbia subito sostanziali variazioni rispetto all’analogo rating del mese precedente.

 
TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di novembre 2013 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Anti-phishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

Così come nello scorso mese di ottobre, al primo posto della speciale graduatoria da noi stilata troviamo la categoria «Social network», con una quota pari al 26,9% (- 1,3% rispetto al mese precedente). La seconda e la terza posizione del rating risultano occupate, rispettivamente, dalle categorie "Posta elettronica, programmi di instant messaging" (19,2%) e “Motori di ricerca” (16,5%); gli indici percentuali relativi a tali categorie hanno entrambi fatto registrare un lieve incremento rispetto agli analoghi valori riscontrati un mese fa.

La quota relativa alla categoria denominata "Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari" (16,1%) ha evidenziato un ulteriore aumento (+ 0,7%) rispetto all'analogo rating di ottobre 2013; tale raggruppamento ha così conservato la quarta piazza della graduatoria sopra riportata.

Rileviamo infine come, nell'arco di un mese, l'indice relativo ai "Vendor IT" (9,2%) abbia fatto registrare un significativo aumento (+ 2,2%); tale gruppo è così salito al quinto posto della speciale classifica relativa alle organizzazioni maggiormente prese di mira dai phisher nel corso del periodo oggetto del presente report. Per contro, la categoria che raggruppa i fornitori di servizi di telefonia e gli Internet provider ha visto diminuire la propria quota di 2,9 punti percentuali, ed è in tal modo scesa alla sesta posizione della graduatoria.

Nel mese di novembre 2013 i phisher hanno di nuovo "dedicato" le loro losche attenzioni al noto istituto bancario "Australia and New Zealand Banking Group". I messaggi e-mail distribuiti nell'ambito di una campagna di phishing riconducibile a tale specifica tipologia presentavano, nel campo <From>, indirizzi diversi tra loro; variavano, allo stesso modo, anche l'oggetto dei messaggi in questione ed i link di phishing in essi presenti. Il contenuto delle suddette e-mail, tuttavia, rimaneva costantemente invariato. In sostanza, attraverso tali messaggi ingannevoli, i malfattori richiedevano all'utente di confermare se le transazioni elencate nell'e-mail erano state effettivamente eseguite da quest'ultimo oppure da un altro utente. Per effettuare il login ed accedere quindi al proprio account, il destinatario dell'e-mail di phishing avrebbe dovuto cliccare sul link appositamente inserito nel messaggio; tale collegamento ipertestuale, in realtà, avrebbe condotto l'utente-vittima verso una pagina web allestita dai phisher, la cui composizione ed il cui contenuto imitavano (quasi) alla perfezione la pagina Internet presente sul sito ufficiale dell'istituto bancario sopra menzionato. Naturalmente, i dati inseriti dall'utente all'interno del form truffaldino presente sulla pagina web di phishing qui sotto riprodotta sarebbero andati a finire dritti dritti nelle mani dei malintenzionati.

Per far sì che la falsa notifica non apparisse immediatamente agli occhi dei destinatari del messaggio come la classica e-mail fraudolenta - nella quale, in genere, il mittente minaccia in modo brusco e repentino il blocco o la chiusura dell'account bancario dell'utente-vittima - i phisher hanno pensato bene, stavolta, di inserire tale nota in calce all'e-mail, in maniera non troppo evidente. In effetti, qualora si consulti velocemente l'e-mail di phishing in causa, la suddetta nota può addirittura passare del tutto inosservata. E' inoltre interessante osservare come, nel tentativo di conferire un’ulteriore parvenza di legittimità e di ufficialità al messaggio e-mail contraffatto, i phisher abbiano utilizzato, nel campo <From>, il dominio ufficiale dell'istituto bancario ed abbiano ugualmente apposto, nella parte conclusiva del messaggio, una sorta di firma automatica, utilizzando illecitamente la denominazione "Australia and New Zealand Banking Group".

 

Conclusioni

La quota dello spam presente nel traffico di posta elettronica globale è rimasta invariata rispetto al mese precedente; tale importante indice si è in effetti attestato nuovamente su un valore medio pari al 72,5%. Il quadro relativo alla ripartizione mondiale delle fonti di spam e alla diffusione geografica dei messaggi e-mail indesiderati non presenta, da parte sua, variazioni di rilievo rispetto all'analoga situazione riscontrata nel mese di ottobre 2013.

Così come avevamo previsto, anche nel corso del mese di novembre gli spammer hanno continuato a condurre un elevato numero di campagne di spam (nella fattispecie anche di tipo "grafico") volte a sfruttare i temi più classici delle più importanti e sentite festività della stagione invernale; segnaliamo, tra gli innumerevoli mailing di massa da noi individuati all'interno dei flussi e-mail globali, un imponente numero di campagne di spam "dedicate" alle imminenti festività di Natale e Capodanno. Inoltre, gli spammer hanno attivamente sfruttato due ricorrenze particolarmente popolari e sentite nel mondo occidentale - il Giorno del Ringraziamento e il Giorno dei Veterani - allo scopo di reclamizzare prodotti per il dimagrimento e farmaci per aumentare la "potenza maschile"; da parte loro, numerose aziende hanno cercato di attirare nuovi clienti proponendo sostanziosi sconti "festivi" su articoli e servizi di ogni genere. Nel mese di dicembre, nel periodo in cui i preparativi per le imminenti festività di fine anno si fanno ancor più febbrili, all'interno del traffico di posta elettronica mondiale raggiungerà il proprio picco massimo, in termini di quantità, lo spam direttamente o indirettamente collegato alle classiche tematiche del Natale e del Nuovo Anno.

Nonostante il periodo di relativa calma sul mercato del lavoro, abbiamo rilevato, nel traffico e-mail di novembre, numerosi mailing di massa recanti offerte di impiego per potenziali candidati di ogni angolo del globo. Inoltre, a causa delle imminenti ferie e vacanze invernali, all'interno dei flussi e-mail è stata da noi spesso individuata la presenza di campagne di spam esplicitamente volte a pubblicizzare proposte di viaggi e tour di vario genere, nonché ameni soggiorni in note località sciistiche. E' perfettamente lecito attendersi che la conduzione di simili mailing di massa continui anche dopo le festività di fine anno, per tutto il prossimo mese di gennaio.

Desideriamo ugualmente porre in evidenza come siano incessantemente proseguite, lungo tutto l'arco del mese oggetto del presente report, le campagne di spam fraudolento volte a sfruttare, per loschi fini, i più eclatanti e tragici avvenimenti che si sono prodotti in questo periodo sulla scena internazionale. In particolar modo, gli spammer hanno cercato di sottrarre in maniera illecita significative somme di denaro agli utenti della Rete con il pretesto di realizzare consistenti donazioni in favore delle vittime del devastante tifone che si è recentemente abbattuto sull'arcipelago delle Filippine. 

In novembre, una significativa parte dei messaggi di spam preposti a recapitare temibili programmi maligni nelle e-mail box degli utenti della Rete, è risultata essere composta da false notifiche relative al presunto ricevimento, da parte del destinatario dell'e-mail, di messaggi di posta vocale. Nella circostanza, i malintenzionati hanno bersagliato in particolar modo Skype, il servizio di messaggistica istantanea e videochiamate in assoluto più diffuso presso il pubblico di Internet.

La speciale classifica riguardante le organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non ha subito significative variazioni rispetto all’analogo rating dello scorso mese di ottobre. L'indice relativo ai «Social network» ha fatto complessivamente registrare una diminuzione superiore al punto percentuale; nonostante ciò, tale categoria ha conservato la prima posizione all'interno della TOP-10O da noi stilata. Così come avevamo previsto un mese fa, sta continuando ad aumentare il numero delle campagne di phishing aventi come specifico bersaglio le organizzazioni di natura finanziaria. Riteniamo di particolare importanza sottolineare ancora una volta come, nel periodo che precede le principali festività dell'anno, spesso caratterizzato da frenetiche attività preparatorie e da un generale stato di euforia (a volte anche di disattenzione...), occorra invece dimostrarsi particolarmente cauti ed accorti nei confronti delle varie notifiche e comunicazioni che quotidianamente ci giungono da negozi online e servizi di prenotazione di ogni genere, così come da banche e servizi di pagamento. Alla vigilia delle vacanze di fine anno, come al solito, aumenta in maniera considerevole il numero degli acquisti effettuati online da parte degli utenti della Rete e, di conseguenza, la quantità delle transazioni finanziarie eseguite in Internet; è proprio per tale specifico motivo che, in questo periodo dell'anno, i truffatori virtuali sono soliti intensificare le campagne di phishing da essi condotte, contando, in particolar modo, sul possibile stato di temporanea “disattenzione” dei destinatari dei messaggi di posta fraudolenti.

 

 

© 1997 - 2014 Kaspersky Lab ZAO.

Produttore leader di Software Antivirus.
Kaspersky Lab Italia - P.IVA 09923201009