Spam e phishing nel primo trimestre del 2016

Contenuti

Spam: le caratteristiche peculiari del trimestre

La principale tendenza: repentino aumento della quantità di spam nocivo all’interno dei flussi e-mail

Nel primo trimestre del 2016 è stato da noi osservato un drastico aumento del numero dei messaggi e-mail indesiderati contenenti allegati maligni. Nel corso di questi ultimi due anni, il numero dei rilevamenti eseguiti dall’antivirus e-mail presso i nostri clienti è generalmente oscillato fra i 3 ed i 6 milioni al mese; verso la fine dello scorso anno, tuttavia, tale quantità ha iniziato a crescere, finché all’inizio del 2016 si è verificato un aumento a dir poco repentino della stessa.

Spam e phishing nel primo trimestre del 2016

Numero di rilevamenti effettuati dal modulo antivirus e-mail presso i clienti di Kaspersky Lab

Nel mese di marzo, il numero dei rilevamenti eseguiti ha raggiunto 22.890.956 unità, ovvero una quantità di oltre 4 volte superiore ai valori medi registrati mensilmente nel corso dell’anno precedente.

Apparentemente, con il notevole sviluppo conosciuto dalla tecnica definita “drive-by-download”, gli allegati maligni ai messaggi e-mail avrebbero dovuto, da tempo, lasciare il campo ai siti web nocivi, ai quali l’utente giunge, di solito, tramite il link malevolo presente nel messaggio di posta. L’utilizzo delle e-mail, tuttavia, continua a presentare innegabili vantaggi, per i malintenzionati; tali “benefici” consistono nel fatto che il contenuto dei messaggi di spam può, di per se stesso, motivare non solo ad eseguire il download del file dannoso, ma può anche indurre l’utente a lanciare l’esecuzione dell’allegato infetto sul proprio dispositivo. È anche possibile che la nuova ondata di popolarità di cui godono gli allegati maligni sia collegata al fatto che, negli ultimi due anni, gli sviluppatori della maggior parte dei browser più diffusi si sono preoccupati di aggiungere ai propri prodotti l’apposita protezione nei confronti delle possibili visite, da parte dell’utente, a siti web infetti, o a siti Internet subdolamente allestiti dai phisher (sia utilizzando sviluppi software propri, sia stringendo partnership con noti vendor antivirus); la protezione integrata nei client di posta elettronica, di fatto, non ha ancora raggiunto simili livelli. Pertanto, se la potenziale vittima non si avvale di un efficace programma antivirus, si rivelerà più semplice, per i malfattori, infettare la macchina dell’utente attraverso la posta elettronica.

Ma che cosa c’è, nei messaggi di spam maligno?

La varietà dei file nocivi allegati alle e-mail malevole è davvero sorprendente. Si va dai classici file eseguibili (EXE) ai documenti che presentano le tipiche estensioni dei file di Office (DOC, DOCX, XLS, RTF), provvisti di macro dannose incorporate al loro interno; un ruolo di particolare rilievo è inoltre attribuibile ai programmi malware scritti in Java e Javascript (file JS, JAR, WSF, WRN, ed altri ancora).

Spam e phishing nel primo trimestre del 2016

L’allegato nasconde un Trojan downloader, scritto in Java

Spicca, poi, un ulteriore elemento: la grande varietà di lingue utilizzate per comporre i messaggi di spam nocivo. In effetti, oltre all’inglese, ci siamo spesso imbattuti in e-mail di spam dannoso elaborate in russo, polacco, tedesco, francese, spagnolo, portoghese ed altre lingue ancora.

spam_report_q1_2016_it_3

Nel file archivio allegato al messaggio si cela il temibile Trojan bancario Gozi

Nella maggior parte dei casi, i messaggi di spam malevolo sono stati camuffati sotto forma di notifiche fasulle relative a fatture insolute, oppure in veste di corrispondenza aziendale.

spam_report_q1_2016_it_4

Il file .doc, allegato al messaggio di posta, è in realtà un Trojan downloader. Utilizzando una macro dannosa, scritta in Visual Basic, il file malevolo genera il download e la successiva esecuzione del malware crittografico Cryakl.

spam_report_q1_2016_it_5

Il file archivio contenuto nell’e-mail ospita un programma malware di tipo Backdoor, in grado di caricare ulteriori software nocivi sul computer sottoposto ad attacco

Occorre infine dedicare particolare attenzione, nello specifico, ai messaggi e-mail contenenti Trojan downloader in grado di scaricare sul computer-vittima il famigerato malware crittografico Locky. Per realizzare il processo di infezione, i malfattori si sono avvalsi di varie tipologie di file: si è trattato, inizialmente, di file .doc provvisti di macro dannose; in seguito, i malintenzionati sono passati all’utilizzo di script JS. Per cercare di bypassare i filtri, gli spammer hanno in pratica reso unico, nell’ambito di una singola campagna di spam, ogni file nocivo da essi distribuito. I messaggi e-mail “incriminati”, inoltre, si sono caratterizzati per i contenuti più disparati, così come per l’impiego di una grande varietà di lingue, per ciò che riguarda la loro composizione. Questo, tuttavia, non costituisce motivo di particolare sorpresa, visto che gli attacchi informatici condotti mediante l’utilizzo del temibile malware crittografico in questione sono stati rilevati, attraverso il KSN (Kaspersky Security Network), in ben 114 paesi diversi.

spam_report_q1_2016_it_6

Esempi di messaggi e-mail contenenti il ransomware crittografico Locky

Il contenuto delle e-mail di spam nocivo qui sopra riportate è associato a documenti di natura finanziaria; tali messaggi, con vari pretesti, cercano di motivare il potenziale utente-vittima, affinché quest’ultimo provveda ad aprire l’allegato malevolo.

Se l’attacco portato da Locky ha buon esito, tale ransomware provvede a codificare, sul computer preso di mira, i file provvisti di determinate estensioni (i documenti utilizzati nelle ordinarie attività di ufficio, i contenuti multimediali e vari altri file); in seguito, il malware fa sì che l’utente visualizzi un messaggio contenente un link destinato a condurre verso il sito – collocato nei meandri della rete Tor – in cui i malintenzionati espongono le loro specifiche richieste. Da parte nostra, abbiamo esaminato in dettaglio, nel nostro blog dedicato ai temi della sicurezza informatica, lo schema di funzionamento del software crittografico in questione.

Visto che Locky, spesso, non risulta contenuto direttamente all’interno del messaggio di spam, non possiamo di fatto considerare la quota ad esso relativa nel novero degli altri programmi malware che popolano il traffico e-mail. Tuttavia, gli script adibiti, in particolar modo, al download e all’esecuzione di Locky (rilevati come Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent, HEUR:Trojan-Downloader.Script.Generic) hanno rappresentato, da soli, oltre il 50% del volume complessivo dei programmi maligni individuati nei flussi di posta elettronica.

Lo spam “terroristico”

Il terrorismo, al giorno d’oggi, rappresenta uno dei temi maggiormente discussi nell’ambito dei mass media, così come nei periodici incontri a cui partecipano i leader politici mondiali. Gli attacchi terroristici che, sempre più spesso, colpiscono i paesi europei ed asiatici, stanno indubbiamente divenendo la principale minaccia per la comunità internazionale. I malintenzionati della Rete, da parte loro, sfruttano attivamente le tematiche legate al terrorismo allo scopo di mettere in atto i consueti inganni, trucchi e raggiri a danno degli utenti, allarmati per il rischio di possibili attentati.

In molti paesi, al fine di prevenire gli attacchi terroristici, sono state urgentemente adottate speciali misure di sicurezza, ed è stato innalzato il livello di allerta; di tale circostanza si sono subito approfittati gli spammer dediti alla distribuzione di temibili software nocivi. Tali malintenzionati, ad esempio, hanno cercato di convincere i destinatari di simili e-mail riguardo al fatto che l’allegato al messaggio di posta da essi inviato conteneva un file con preziose informazioni, grazie alle quali ogni possessore di un telefono cellulare avrebbe potuto facilmente individuare un ordigno esplosivo situato nei paraggi, prima dello scoppio dello stesso. Nel messaggio si sottolineava, poi, che la tecnologia in questione era stata scoperta dal Dipartimento della Difesa degli Stati Uniti d’America, e che essa risultava disponibile per un facile utilizzo da parte di tutti. Nella circostanza, l’allegato malevolo, inserito sotto forma di file eseguibile EXE, è stato rilevato come Trojan-Dropper.Win32.Dapato: si tratta di un programma Trojan utilizzato per compiere il furto dei dati personali, organizzare attacchi DDoS, installare ulteriori programmi malware sulla macchina infetta, e per altri scopi ancora.

spam_report_q1_2016_it_7

Anche i cosiddetti truffatori “nigeriani” non sono rimasti certo in disparte, ed hanno sfruttato il tema del terrorismo per forgiare le loro abituali “storie”, spesso al limite dell’inverosimile. Gli autori dei messaggi e-mail, nella fattispecie, si sono presentati in veste di collaboratori di un’inesistente divisione dell’FBI, incaricati della conduzione di indagini riguardo a crimini di natura terroristica e finanziaria. La complicata trama narrata nei messaggi di posta fraudolenti qui di seguito riportati si riassume nel fatto che il destinatario dell’e-mail non ha potuto ricevere, sinora, un’enorme somma di denaro a lui destinata in qualità di fondi derivanti da una cospicua eredità, od altro; per risolvere definitivamente il problema emerso, la potenziale vittima del raggiro dovrà per forza mettersi in contatto con la persona che ha inviato il messaggio. I “nigeriani” indicano, come motivo del ritardato trasferimento dell’ingente somma, la mancanza dell’indispensabile conferma in merito alla legittimità di tali fondi, e al fatto che gli stessi appartengono, di diritto, al destinatario dell’e-mail; i truffatori, inoltre, tirano ugualmente in ballo l’intervento di terze persone, ovvero degli impostori che avrebbero agito in maniera illecita allo scopo di impadronirsi delle risorse finanziarie in questione.

spam_report_q1_2016_it_8

Allo stesso modo, in altre e-mail “nigeriane” è stato menzionato espressamente, dai truffatori, che gli ingenti fondi disponibili, una parte dei quali veniva generosamente offerta al destinatario del messaggio, erano stati ottenuti in maniera legale, e non avevano quindi nulla a che fare con il traffico di droga, il riciclaggio di denaro, il terrorismo o atti criminosi di altro genere. In questo modo, i malintenzionati hanno cercato di prevenire ogni eventuale dubbio, da parte del potenziale utente-vittima, sulla loro effettiva “onestà”, adoperandosi per far sì che quest’ultimo avviasse, subito dopo, una pericolosa corrispondenza e-mail con gli interlocutori.

spam_report_q1_2016_it_9

Il tema del terrorismo è stato utilizzato dai truffatori della Rete anche nell’ambito di altre “storie”, direttamente ispirate alla delicata situazione che sta attraversando il Medio Oriente. Così, alcuni messaggi e-mail sono stati inviati, apparentemente, a nome di soldati dell’esercito statunitense impegnati a combattere il terrorismo sul territorio dell’Afghanistan, i quali sono alla ricerca di un intermediario che consenta loro di poter custodire al sicuro, ed in seguito investire, le ingenti somme di denaro di cui dispongono. Un altro autore “nigeriano”, poi, comunica di non far parte né dell’ISIS, né di qualsiasi altra organizzazione terroristica; si professa però musulmano, e desidera elargire, per qualche nobile causa, una parte della cospicua somma di denaro a sua disposizione. Il “musulmano” non ha tuttavia fiducia nei confronti delle organizzazioni che si occupano di beneficenza e desidera, quindi, che la somma venga trasferita direttamente al destinatario del messaggio e-mail. Un’altra trama “nigeriana” si basa poi sul racconto di un sedicente uomo d’affari americano, il quale, a causa della guerra e del terrorismo, ha perso metà del proprio business, condotto sul territorio di Siria ed Iraq, ed è ora alla ricerca di un partner che lo possa aiutare ad investire i fondi rimanenti.

spam_report_q1_2016_it_10

Nel frattempo, non hanno affatto perso la loro “popolarità”, all’interno dei flussi mondiali di spam fraudolento, le e-mail “nigeriane” che sfruttano le tematiche inerenti alla complessa e delicata situazione socio-politica attualmente attraversata dalla Siria; tali messaggi truffaldini sono stati ampiamente distribuiti, anche nel corso del primo trimestre dell’anno, nel tentativo di raggirare gli utenti.

spam_report_q1_2016_it_11

Ci siamo infine imbattuti anche nello spam pubblicitario diffuso da fabbriche e stabilimenti cinesi, attraverso il quale sono stati offerti dispositivi di vario genere atti a garantire la sicurezza pubblica; spiccano, tra questi ultimi, i dispositivi preposti al rilevamento delle sostanze esplosive, così come altri prodotti utilizzati a fini anti-terroristici.

spam_report_q1_2016_it_12

Un’ulteriore tendenza: significativo aumento dello spam “nigeriano”

A quanto pare, la crisi economica non è stata superata nemmeno dai “nigeriani”, visto che in questi ultimi tempi, tale categoria di cyber-truffatori è risultata particolarmente attiva. Secondo le osservazioni da noi effettuate, nel corso del trimestre qui preso in esame, il numero delle e-mail fraudolente riconducibili a tale specifica tipologia è sensibilmente aumentato. Inoltre, mentre in precedenza i truffatori cercavano di indurre la vittima a rispondere al messaggio di posta propinando al destinatario dell’e-mail una “storia” alquanto lunga e dettagliata, per risultare ancor più credibili e convincenti (ricordiamo, a tal proposito, che gli spammer, in qualità di prova “inconfutabile”, hanno spesso inserito nei loro messaggi persino dei link destinati a condurre ad articoli situati nelle risorse web di noti mass media), i “nigeriani”, adesso, si limitano, sempre più di frequente, ad inviare un breve testo, senza alcun dettaglio, ma con la consueta proposta di entrare al più presto in contatto con il mittente dell’e-mail. Talvolta, in simili messaggi può essere indicato l’importo relativo ad un’ingente somma di denaro, la quale sarà poi oggetto della successiva, auspicata (da parte dei malintenzionati), corrispondenza; anche in tal caso, però, non viene fornito alcun dettaglio riguardo alla provenienza del denaro, né all’effettivo proprietario dello stesso.

spam_report_q1_2016_it_13

Probabilmente, i malintenzionati contano, in questa maniera, di coinvolgere nel loro astuto schema truffaldino anche i destinatari delle e-mail più esperti ed informati, che già conoscono i classici trucchi praticati dai “nigeriani”; un’altra ipotesi, del tutto plausibile, è che messaggi del genere, così brevi, siano semplicemente concepiti per un pubblico di persone di solito molto occupate, che non intendono di certo perder tempo a leggere messaggi e-mail eccessivamente lunghi, provenienti, per di più, da mittenti sconosciuti.

Metodi e trucchi adottati dagli spammer: servizi di URL brevi ed offuscamento

Nel nostro ultimo report annuale, dedicato al 2015, abbiamo riferito in dettaglio riguardo all’offuscamento dei domini nell’ambito dello spam. Tale specifica tendenza è proseguita anche nel primo trimestre del 2016, integrando, tra l’altro, nuovi trucchi e sotterfugi.

I malintenzionati continuano ad avvalersi dei servizi di URL brevi, ma i metodi utilizzati per “inquinare” i link così ottenuti sono di fatto cambiati.

In primo luogo, gli spammer hanno iniziato ad inserire numerosi caratteri di vario genere tra il dominio relativo al servizio di URL brevi ed il link finale: si tratta, più precisamente, di barre oblique (slash), lettere e punti.

spam_report_q1_2016_it_14

Inoltre, viene offuscato sia il link sul quale normalmente clicca l’utente, sia il collegamento ipertestuale riguardante l’immagine caricata all’interno del messaggio di posta.

spam_report_q1_2016_it_15

Oltre ai punti e alle lettere, gli spammer hanno inserito, tra le barre oblique, persino dei tag di commento casuali; nonostante questo, i link in causa hanno continuato ad essere interpretati correttamente dal browser:

spam_report_q1_2016_it_16

spam_report_q1_2016_it_17

Occorre inoltre prestare attenzione ad un altro elemento: come si può vedere nello screenshot qui sopra riportato, nel campo riservato all’oggetto dell’e-mail, gli spammer hanno inserito il nome Edward; lo stesso nome si ritrova anche all’interno del tag di commento utilizzato per “imbrattare” il link. In pratica, il nome proprio di persona viene ricavato da uno specifico database, in maniera tale che il tag “inquinante” risulti poi unico per ogni singolo messaggio di cui si compone il mailing di spam.

Anche nello spam diffuso nel segmento russo di Internet sono stati utilizzati sia le tecniche di offuscamento, sia i servizi di URL brevi; l’algoritmo impiegato, tuttavia, è risultato diverso.

spam_report_q1_2016_it_18

In effetti, per imbrattare i link gli spammer hanno utilizzato il carattere @. Ricordiamo, a tal proposito, che @ prima del nome di dominio può essere impiegato per identificare l’utente nell’ambito del dominio (tale metodo, di fatto, non viene più utilizzato). Per i siti web che non richiedono alcuna procedura di identificazione, tutto quello che precede il carattere @ verrà semplicemente ignorato dal browser. Questo significa che, nel messaggio qui sopra riportato, ad esempio, il browser aprirà inizialmente il sito ask.ru/go, sul quale poi eseguirà la subquery “url=”, passando infine all’URL indicato di seguito, appartenente al servizio di link brevi.

spam_report_q1_2016_it_19

Anche il collegamento ipertestuale presente nell’e-mail qui sopra inserita è stato inquinato con il carattere @. Inoltre, il link è stato ugualmente alterato, talvolta, per mezzo di subquery aggiuntive, le quali includevano l’indirizzo di posta elettronica dell’utente, per far sì che il collegamento risultasse unico su ogni messaggio facente parte del mailing di massa.

Le statistiche del primo trimestre 2016

Quota di spam nel traffico di posta elettronica

spam_report_q1_2016_it_20

Quote percentuali di spam rilevate nel traffico di posta elettronica mondiale – Primo trimestre 2016

La quota dello spam presente nei flussi e-mail globali è rimasta sostanzialmente invariata lungo tutto l’arco degli ultimi mesi del 2015. Nel gennaio del 2016, però, è stato da noi registrato un sensibile aumento dell’indice relativo ai messaggi di posta indesiderata, superiore ai 5 punti percentuali. Nel successivo mese di febbraio, ad ogni caso, il livello dello spam è ritornato sui valori precedenti; in marzo, infine, la quota inerente alle cosiddette e-mail “spazzatura” è di nuovo salita, anche se in maniera non particolarmente significativa. Riassumendo, nel primo trimestre del 2016 la quota relativa ai messaggi di spam presenti all’interno del traffico di posta elettronica mondiale si è attestata su un valore medio pari al 56,92% del volume totale dei messaggi e-mail circolanti in Rete.

Geografia delle fonti di spam

spam_report_q1_2016_it_21

Geografia delle fonti di spam rilevate nel primo trimestre del 2016 – Graduatoria su scala mondiale

Gli Stati Uniti, paese leader della speciale graduatoria delle fonti geografiche dello spam mondiale rilevate nel corso dell’anno 2015 – relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail indesiderate – hanno mantenuto la prima posizione, nell’ambito di tale ranking, anche nel primo trimestre del 2016; la quota ascrivibile agli USA, nel periodo qui esaminato, ha fatto registrare un valore medio pari al 12,43%. Il secondo e il terzo gradino del “podio” virtuale sono andati ad appannaggio, rispettivamente, di Vietnam (10,30%) ed India (6,19%), con quote percentuali sensibilmente inferiori. Alla quarta piazza della graduatoria è andato poi a collocarsi il Brasile (5,48%), mentre il quinto posto della stessa risulta occupato dalla Cina (5,09%).

La Russia, in seconda posizione nell’ultima classifica annuale da noi stilata, relativa all’intero 2015, nel primo trimestre del 2016 è invece scesa al settimo posto del rating, avendo fatto segnare, complessivamente, un indice pari al 4,89%. La quota attribuibile alla Federazione Russa risulta lievemente inferiore all’indice percentuale fatto registrare dalla Francia (4,90%), collocatasi al sesto posto della graduatoria.

Dimensioni dei messaggi di spam

spam_report_q1_2016_it_22

Dimensioni delle e-mail di spam – Quarto trimestre del 2015 e primo trimestre del 2016 a confronto

Come da tradizione ormai consolidata, anche nel trimestre oggetto del presente report, il quadro relativo alla ripartizione delle e-mail di spam in base alle dimensioni delle stesse vede nuovamente prevalere, con il solito ampio margine percentuale, i messaggi “spazzatura” aventi dimensioni estremamente contenute, sino a 2 kilobyte (81,86%); la quota percentuale ad essi ascrivibile ha evidenziato un incremento pari al 2,7%. Risulta poi aumentata in maniera significativa la quota inerente alle e-mail indesiderate con dimensioni comprese tra i 20 Kb ed i 50 Kb; tale indice è in effetti salito dal 3,02% al 7,67%. Per contro, è sensibilmente diminuita, rispetto al trimestre precedente, la quota relativa ai messaggi di spam aventi dimensioni comprese tra i 2 Kb ed i 5 Kb; essa è in effetti passata, nell’arco di soli tre mesi, dall’8,91% al 2,50%.

Allegati maligni rilevati nel traffico e-mail

Attualmente, la maggior parte dei programmi malware viene rilevata in maniera proattiva, per mezzo di strumenti automatici; questo complica considerevolmente la raccolta di dati statistici riguardo alle specifiche varianti di software nocivo. Abbiamo pertanto deciso di fornire le statistiche relative alla TOP-10 delle famiglie di malware maggiormente diffuse nel traffico e-mail, offrendo così un quadro più completo dal punto di vista informativo.

TOP-10 relativa alle famiglie di malware

  1. Trojan-Downloader.JS.Agent.
  2. Tipico rappresentante di questa insidiosa famiglia di software malevoli è lo script offuscato, compilato in JavaScript. I downloader in questione si avvalgono della tecnologia ADODB.Stream, la quale consente loro di scaricare file DLL, EXE e PDF, e lanciare poi l’esecuzione degli stessi sul computer-vittima.

  3. Trojan-Downloader.VBS.Agent.
  4. Tale famiglia si compone di script VBS. Così come nel caso della famiglia JS.Agent, che occupa la prima posizione della speciale graduatoria da noi stilata, anche i malware VBS.Agent utilizzano la tecnologia ADODB.Stream; questi ultimi, tuttavia, generano, prevalentemente, il download di archivi ZIP, estraendo poi dai file compressi ulteriori programmi maligni, in seguito lanciati sul computer sottoposto ad attacco.

  5. Trojan-Downloader.MSWord.Agent.
  6. I software malevoli appartenenti a questa famiglia si presentano sotto forma di file provvisti di estensione DOC, con tanto di apposita macro incorporata, scritta in VBA (Visual Basic for Applications). La macro dannosa viene automaticamente eseguita al momento dell’apertura del documento; essa provvede a scaricare dal sito web dei malintenzionati un ulteriore file nocivo, successivamente eseguito sul computer dell’utente-vittima.

  7. Backdoor.Win32.Androm.Andromeda.
  8. Battezzata dagli esperti di sicurezza informatica con l’appellativo di Andromeda (altrimenti conosciuta come Gamarue), questa famigerata famiglia di malware raggruppa diverse varianti di bot modulare universale, sulla cui base risulta possibile, per i malfattori, creare ed organizzare estese botnet provviste delle più svariate possibilità. Le principali funzionalità di cui sono dotati tali bot modulari sono le seguenti: download di un file eseguibile, il quale sarà successivamente custodito ed eseguito all’interno del computer-vittima; download e caricamento di determinate DLL nocive (senza che le stesse vengano necessariamente salvate su disco); possibilità di effettuare auto-aggiornamenti ed auto-rimuoversi dal sistema sottoposto ad attacco informatico. È di particolare interesse sottolineare come i cybercriminali siano soliti estendere le funzionalità qui sopra descritte tramite appositi plug-in, i quali possono essere, in qualunque momento, agevolmente caricati dai malintenzionati, nelle quantità che si rivelano di volta in volta necessarie.

  9. Trojan.Win32.Bayrob.
  10. I programmi Trojan riconducibili a questa famiglia di malware sono in grado di scaricare dal relativo server di comando e controllo ulteriori moduli nocivi, in seguito lanciati sulla macchina infetta; i Trojan in questione, inoltre, possono ugualmente agire in veste di proxy server. Essi vengono principalmente utilizzati per effettuare l’invio di spam e per realizzare il furto dei dati personali.

  11. Trojan-Downloader.JS.Cryptoload.
  12. Il tipico rappresentante di tale famiglia altro non è se non un JavaScript offuscato. Gli oggetti nocivi ad essa riconducibili sono essenzialmente preposti a generare il download e la successiva esecuzione di un temibile malware crittografico sul computer-vittima.

  13. Trojan-PSW.Win32.Fareit.
  14. Gli scopi principali che si prefiggono i programmi maligni appartenenti alla famiglia Fareit sono rappresentati dai seguenti elementi: furto dei dati utilizzati nell’ambito dei client FTP installati sul computer infetto; sottrazione delle credenziali relative ai programmi adibiti al cloud storage; furto dei cookie presenti nei browser web; sottrazione delle password utilizzate per i programmi di posta elettronica. I Trojan Fareit provvedono poi a trasmettere le informazioni illecitamente carpite al server allestito dai malintenzionati. Alcuni rappresentanti di tale famiglia sono infine in grado di scaricare ed eseguire ulteriori programmi nocivi sui computer presi di mira.

  15. Trojan.Win32.Agent.
  16. I programmi dannosi riconducibili a questa famiglia hanno la capacità di distruggere, bloccare, modificare o copiare dati; essi sono ugualmente in grado di creare problemi alle prestazioni di computer o reti di computer.

  17. Trojan-Downloader.Win32.Upatre.
  18. Si tratta di programmi Trojan tutt’altro che complessi, i quali presentano, per di più, dimensioni decisamente esigue (non oltre i 3,5 Kb); le funzionalità di cui sono provvisti si limitano al caricamento del “payload” sulla macchina infetta, payload rappresentato, di solito, da insidiosi Trojan-Banker appartenenti alla famiglia attualmente nota con tre diversi appellativi – Dyre/Dyzap/Dyreza. Il compito principale al quale risultano adibiti tali Trojan bancari è rappresentato dal furto dei dati sensibili relativi alle operazioni di pagamento condotte online dagli utenti.

  19. Trojan-Spy.HTML.Fraud.
  20. Nota famiglia di programmi Trojan realizzati sotto forma di pagine HTML fasulle. Questi oggetti maligni vengono distribuiti attraverso la posta elettronica, camuffati in veste di importanti comunicazioni o notifiche provenienti (in apparenza!) da famosi istituti bancari, celebri negozi Internet, software house di primaria importanza, etc. In pratica, se l’utente inserisce i propri dati confidenziali all’interno dei campi presenti nella pagina HTML contraffatta, allegata al messaggio di posta, e provvede poi a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali da egli introdotte nel form malevolo cadranno direttamente ed inevitabilmente nelle mani di cybercriminali senza scrupoli.

Paesi maggiormente bersagliati dai mailing di massa maligni

All’interno della speciale graduatoria trimestrale relativa ai paesi verso i quali vengono inviate le maggiori quantità di spam nocivo – ovvero i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – si sono di nuovo verificati significativi cambiamenti.

spam_report_q1_2016_it_23

Suddivisione per paesi dei rilevamenti effettuati dal modulo antivirus e-mail nel corso del primo trimestre del 2016

La prima posizione del rating risulta occupata dalla Germania (18,93%), così come si era verificato in precedenza per ciò che riguarda l’analoga classifica riepilogativa dell’intero anno 2015. Al secondo posto, inaspettatamente, si è insediata la Cina (9,43%); ricordiamo, a tal proposito, che nell’ambito del ranking annuale, qui sopra menzionato, il paese-colosso dell’Estremo Oriente occupava soltanto la 14a posizione. Sul terzo gradino del “podio” virtuale è poi salito il Brasile (7,35%).

L’Italia, da parte sua, con una quota pari al 6,65%, è andata a collocarsi in quarta posizione, mentre la quinta piazza della graduatoria da noi stilata è andata ad appannaggio della Gran Bretagna (4,81%). Al sesto posto del rating trimestrale troviamo la Russia, il cui indice si è attestato su un valore pari al 4,47%.

Gli Stati Uniti (3,95%), che per molti mesi di seguito avevano fatto parte della TOP-5 relativa ai paesi maggiormente presi di mira dai flussi di spam recanti messaggi e-mail con allegati maligni, nel primo trimestre del 2016 si sono invece collocati soltanto in ottava posizione.

Phishing

Nel primo trimestre dell’anno in corso, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati ben 34.983.315 rilevamenti eseguiti grazie al sistema “Anti-phishing”.

Geografia degli attacchi

La leadership relativa alla graduatoria che tiene conto delle quote percentuali più elevate di utenti sottoposti ad attacco, da parte dei phisher, all’interno dei vari paesi, è andata nuovamente ad appannaggio del Brasile (21,5%); l’indice riguardante il paese sudamericano ha fatto segnare un incremento di 3,73 punti percentuali. Rispetto al trimestre precedente, risultano ugualmente aumentate le quote inerenti a Cina (16,7%) e Gran Bretagna (14,6%); gli indici percentuali relativi a questi due paesi hanno quindi presentato una crescita, rispettivamente, del 4,4% e del 3,68%. La quota ascrivibile al Giappone (13,8%), paese leader dell’analogo rating annuale, riguardante il 2015 nel suo complesso, ha invece evidenziato una diminuzione pari a 3,18 punti percentuali.

spam_report_q1_2016_it_24

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al primo trimestre del 2016

* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

TOP-10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing

Brasile 21,5%
Cina 16,7%
Gran Bretagna 14,6%
Giappone 13,8%
India 13,1%
Australia 12,9%
Bangladesh 12,4%
Canada 12,4%
Ecuador 12,2%
Irlanda 12,0%

Quadro delle organizzazioni sottoposte agli attacchi di phishing

La graduatoria delle organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti, sui computer degli utenti, dal componente euristico del sistema “Anti-phishing”. Tale componente è in grado di rilevare tutte le pagine web che presentano contenuti di phishing – sulle quali l’utente si imbatte cliccando sui link malevoli presenti nei messaggi e-mail oppure sui link nocivi disseminati nel World Wide Web – nel caso in cui i collegamenti ipertestuali che conducono a tali pagine non risultino ancora inseriti nei database di Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

8_it

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing nel corso del primo trimestre del 2016

Anche nel primo trimestre dell’anno corrente, così come in precedenza, la speciale classifica relativa alle organizzazioni sottoposte con maggiore frequenza agli attacchi portati dai phisher, risulta capeggiata dalla categoria “Portali Internet globali” (28,69%), la cui quota è lievemente aumentata (+ 0,39%). La seconda e la terza posizione della graduatoria sono invece occupate da due categorie riconducibili alla sfera finanziaria: si tratta, rispettivamente, di “Banche” (+ 4,81%) e “Sistemi di pagamento” (- 0,33%). Al quarto e al quinto posto del rating troviamo poi le categorie “Social network e blog” (11,84%) e “Negozi online” (8,40%), le quali, durante il primo trimestre del 2016, hanno perso, rispettivamente, lo 0,33% ed il 4,06%.

Negozi online

Gli attacchi rivolti agli utenti dei negozi Internet si rivelano di particolare interesse in quanto, nella maggior parte dei casi, essi sono accompagnati dal furto dei dati sensibili relativi alle carte di credito, così come dalla sottrazione di altre informazioni di natura personale.

spam_report_q1_2016_it_26

Suddivisione dei negozi Internet in base al numero di attacchi subiti da parte dei phisher – Situazione relativa al primo trimestre del 2016

Il negozio online maggiormente “popolare”, presso le folte schiere dei phisher, si è rivelato essere l’App Store di Apple. Nel primo trimestre del 2016, la quota relativa a quest’ultimo, nell’ambito della categoria “Negozi online”, si è attestata al 27,82%. Il secondo posto della speciale graduatoria è stato “conquistato” da un altro celebre negozio Internet: si tratta di Amazon (21,60%), il cui indice presenta, comunque, un valore sensibilmente inferiore rispetto a quello fatto registrare dal leader del ranking qui preso in esame.

spam_report_q1_2016_it_27

Esempio di pagina web di phishing allestita allo scopo di realizzare il furto dell’ID Apple e dei dati relativi alla carta di credito posseduta dalla vittima

Chiude la TOP-3 riguardante i negozi online più frequentemente presi di mira dagli attacchi di phishing, la piattaforma Steam (13,23%), che gode di notevole popolarità presso i gamer di tutto il mondo; tale servizio è principalmente orientato alla distribuzione di giochi e programmi per computer. Esso occupa la 19a posizione del rating generale relativo alle organizzazioni maggiormente attaccate dai phisher.

La diffusione dei link malevoli preposti a condurre verso pagine web di phishing che sfruttano le tematiche inerenti ai giochi online e ai servizi di gaming, avviene tramite appositi banner, oppure attraverso messaggi subdolamente inseriti all’interno dei social network e dei forum. Più raramente, tale distribuzione viene effettuata per mezzo della posta elettronica.

spam_report_q1_2016_it_28

Desideriamo sottolineare, nella circostanza, come l’interesse dimostrato dai malintenzionati nei confronti di Steam e dei servizi di gaming in generale stia complessivamente crescendo; occorre dire, tra l’altro, che le risorse finanziarie e i dati personali di coloro che praticano il gaming online divengono sempre più spesso l’obiettivo non solo dei famigerati phisher, ma anche dei criminali informatici dediti allo sviluppo di temibili software nocivi.

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

La maggior parte degli attacchi di phishing di natura non mirata è rivolta agli utenti di alcuni dei marchi in assoluto più popolari. Tali società hanno una moltitudine di clienti in tutto il mondo;
grazie a questo, i truffatori vedono aumentare considerevolmente le proprie chance di cogliere nel segno, organizzando ripetuti attacchi di phishing rivolti al medesimo obiettivo.

Alle tre organizzazioni più frequentemente sottoposte agli assalti condotti dai phisher nel corso del primo trimestre del 2016 è riconducibile il 21,71% del numero totale di link di phishing complessivamente rilevati.

Organizzazione % di link di phishing
1 Yahoo! 8,51
2 Microsoft 7,49
3 Facebook 5,71

Risulta cambiata, rispetto al quarto trimestre del 2015, la composizione della “trojka” dei leader. La prima posizione della speciale classifica da noi stilata è andata nuovamente ad appannaggio della società Yahoo! (+ 1,45%); al secondo posto è poi salita Microsoft (+ 2,47%); chiude infine la TOP-3 che riunisce i principali obiettivi degli attacchi compiuti dai phisher – a livello di organizzazioni maggiormente bersagliate da parte di tale categoria di malintenzionati della Rete – la società Facebook (- 2,02%).

È di particolare interesse osservare come il phishing nei confronti di Facebook venga in pratica allestito in tutte le lingue.

spam_report_q1_2016_it_29

spam_report_q1_2016_it_30

Facebook, al tempo stesso, appare molto “popolare” anche tra i cybercriminali veri e propri, in veste di ambito strumento per la diffusione di contenuti nocivi. Uno di tali schemi malevoli è stato da noi illustrato in dettaglio, poco tempo fa, all’interno del nostro blog.

Conclusioni

Nel primo trimestre del 2016, la quota relativa ai messaggi di spam presenti nei flussi di posta elettronica globali è cresciuta di 2,7 punti percentuali rispetto all’analogo valore per essa rilevato nel trimestre precedente. Per ciò che riguarda tale importante indice, tuttavia, è ancora prematuro parlare di una specifica tendenza al rialzo. Il fatto è che, all’inizio di ogni anno, la quota dello spam aumenta sempre in maniera sensibile in ragione della fisiologica e significativa diminuzione – tipica dei periodi festivi – del volume complessivo della corrispondenza email ordinaria.

Così come in precedenza, la speciale graduatoria relativa alla ripartizione geografica delle fonti dello spam mondiale, risulta capeggiata dagli Stati Uniti. Sono ugualmente entrati a far parte della TOP-5 Vietnam, India, Brasile e Cina; si tratta di paesi di notevole importanza, in rapido sviluppo, provvisti di ottime, o perlomeno soddisfacenti, infrastrutture Internet.

I messaggi di spam divengono sempre più brevi. Nel primo trimestre dell’anno in corso, le e-mail indesiderate con dimensioni non superiori ai 2 Kb hanno in effetti superato la soglia dell’80% del volume complessivo di spam.

Nel primo trimestre del 2016 si è registrato un repentino aumento del numero delle e-mail di spam contenenti allegati maligni. La quota percentuale relativa alla quantità di allegati nocivi presenti nel traffico di posta elettronica mondiale ha raggiunto il proprio picco nel mese di marzo, superando di ben 4 volte i valori medi mensili per essa riscontrati nel corso del 2015. Una crescita talmente rapida è dovuta, in particolar modo, alla notevole popolarità acquisita dai cryptoblocker, i famigerati software estorsori, contenuti direttamente all’interno delle e-mail, oppure caricati sul computer-vittima attraverso un Trojan downloader.

Un simile aumento della quota di e-mail dannose conferma, di fatto, le nostre precedenti previsioni a lungo termine riguardo ad una progressiva criminalizzazione dello spam, all’innalzamento del livello di pericolosità dello stesso, unitamente alla diminuzione della sua quota complessiva all’interno dei flussi e-mail globali. La grande varietà di lingue utilizzate, l’ingegneria sociale, l’enorme numero delle più svariate tipologie di allegato, il testo dei messaggi che cambia in continuazione (talvolta completamente) nell’ambito di una singola campagna: tutti questi elementi, combinati tra loro, conducono decisamente lo spam verso nuovi livelli di pericolosità. Inoltre, i mailing di massa caratterizzati da contenuti dannosi coprono un’estensione geografica davvero molto ampia. Il quadro relativo alla distribuzione dei software nocivi tramite posta elettronica, nei vari paesi, è sensibilmente cambiato, nel corso di questo anno. Segnaliamo, in particolar modo, il fatto che la Cina è andata ad occupare la seconda posizione all’interno del rating inerente ai paesi-vittima.

Un’ulteriore conferma dell’attuale marcata tendenza verso la graduale criminalizzazione del fenomeno spam, è indubbiamente rappresentata dal consistente aumento – osservato nel primo trimestre dell’anno 2016 – del numero dei messaggi e-mail indesiderati di natura fraudolenta, e soprattutto delle quantità relative al cosiddetto spam “nigeriano”.

La quantità di spam nocivo all’interno dei flussi e-mail, tuttavia, continuerà difficilmente a crescere in maniera così repentina: in effetti, quanto più risulta diffuso lo spam maligno, tanto maggiore sarà il numero di persone consapevoli dell’elevata pericolosità dello stesso; questi utenti, di sicuro, non andranno ad aprire in alcun modo gli allegati malevoli presenti nei messaggi di spam. Proprio per questo motivo, l’intensità di tali attacchi, in genere, si placa progressivamente già dopo alcuni mesi. In sostituzione degli stessi, però, potrebbero presentarsene altri, magari ancor più complessi e pericolosi.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *