Spam e phishing nel secondo trimestre del 2015

Contenuti

Spam: le caratteristiche peculiari del trimestre

“Inquinamento” dei domini

È stata da noi già analizzata in dettaglio la situazione relativa sia al gran numero di nuove zone di dominio esistenti, sia alla creazione in massa, all’interno delle stesse, di domini di spam appositamente predisposti per la conduzione di mailing illegittimi. Un’ulteriore approfondita analisi delle campagne di spam via via effettuate ha evidenziato come gli spammer facciano affidamento non solo sull’enorme numero di nuovi domini – che essi possono peraltro cambiare a piacimento persino nell’ambito di uno stesso mailing tematico – ma anche sugli specifici metodi adottati per la realizzazione dei testi presenti nei messaggi e-mail indesiderati. Così, lungo tutto l’arco dello scorso trimestre, abbiamo individuato vari casi di “inquinamento” dei nomi di dominio inseriti nei link utilizzati per condurre l’utente verso i siti web di spam, così come evidenti casi di offuscamento del codice a livello di struttura HTML dei messaggi di posta elettronica inviati.

Spam e phishing nel secondo trimestre del 2015

In molti mailing di massa – per ciò che riguarda il metodo di scrittura dei link preposti a dirigere gli utenti verso i siti web pubblicitari – gli spammer hanno utilizzato gli indirizzi IP di tali siti Internet, anziché i relativi nomi di dominio. Inoltre, gli spammer non hanno fornito il normale indirizzo IP, ma hanno fatto ricorso ad indirizzi palesemente modificati ed alterati: nella circostanza, essi hanno fatto uso del sistema numerico ottale o esadecimale, oppure hanno provveduto ad aggiungere un numero arbitrario di zeri nella parte iniziale dell’indirizzo. In tal modo, l’indirizzo IP non viene cambiato e, al contempo, aumenta il numero di possibili varianti relativamente al metodo di scrittura dello stesso (fattore di variabilità all’interno di un singolo mailing di spam); gli spammer, in sostanza, confidano nel fatto che tali elementi possano trarre in inganno i filtri anti-spam. Questi metodi “alternativi” di scrittura degli indirizzi IP sono stati utilizzati dagli spammer sia nell’ambito dei link diretti, sia a livello di redirect appositamente “imbrattati”.

Spam e phishing nel secondo trimestre del 2015

Gli spammer hanno ugualmente provveduto ad “inquinare” gli stessi domini, scrivendo, ad esempio, il nome di dominio con caratteri sia maiuscoli che minuscoli (NEEDHosT.niNjA), oppure avvalendosi di vari metodi di codifica a livello di struttura HTML del messaggio. Allo stesso tempo, gli spammer hanno cercato di nascondere i loro domini sostituendo uno dei caratteri presenti nel nome della zona di dominio con il medesimo carattere utilizzato nell’ambito di un’altra codifica, oppure con uno simile ad esso, ottenendo, ad esempio, <domainname.com>, o < domainname.cⓞ>.

Spam e phishing nel secondo trimestre del 2015

Piuttosto di frequente, inoltre, all’interno di uno stesso messaggio di spam, si è fatto ricorso all’utilizzo di varie metodologie di “inquinamento”: modi alternativi di scrittura dell’indirizzo IP o alterazione del nome di dominio, consueto riempimento del corpo del messaggio con brani di testo “spazzatura”, privi di qualsiasi significato, allo scopo di mascherare completamente l’effettiva natura dell’e-mail di spam.

Gli avvenimenti mondiali nello spam “nigeriano”

Nel secondo trimestre dell’anno in corso, le cosiddette e-mail “nigeriane” sono state principalmente dedicate allo spaventoso terremoto verificatosi in Nepal, alle elezioni presidenziali svoltesi di recente in Nigeria e alla prossima edizione dei Giochi Olimpici estivi, che avrà luogo nel 2016 in Brasile, a Rio de Janeiro. Di anno in anno, gli avvenimenti più tragici che si producono sulla scena internazionale, ampiamente coperti dai mass media di tutto il mondo, vengono spudoratamente utilizzati dai truffatori della Rete per cercare di raggirare gli utenti; le “tristi storie” che infarciscono tale genere di messaggi di spam fraudolento, però, rimangono – più o meno – sempre le stesse.

Così, ad esempio, attraverso un’e-mail inviata a nome di un sedicente avvocato, il cui facoltoso cliente è deceduto in Nepal durante il terremoto, i truffatori chiedono al destinatario del messaggio di assumere il ruolo di parente prossimo della persona scomparsa, allo scopo di entrare rapidamente in possesso dell’eredità lasciata del defunto; nell’occasione, ovviamente, viene prospettata l’abituale lauta ricompensa per l’aiuto prestato. Servendosi di altri mailing truffaldini, i malintenzionati hanno poi distribuito messaggi a nome di varie organizzazioni, contenenti l’esplicita richiesta di fornire assistenza alle vittime del terremoto. Ad esempio, attraverso una di tali e-mail, un sedicente “membro della Croce Rossa Internazionale” chiede al destinatario del messaggio di prestare aiuto per la fornitura di un alloggio ad una famiglia di profughi, i cui componenti hanno deciso di trasferirsi in un altro paese, dove saranno poi reinvestiti i fondi finanziari in loro possesso.

Spam e phishing nel secondo trimestre del 2015

È stato da noi rilevato come gli indirizzi relativi ai mittenti delle e-mail “nigeriane” in questione fossero registrati presso servizi di posta elettronica gratuiti, anche nel caso in cui l’autore del messaggio risultava essere (a sua detta) un membro o un rappresentante di qualche organizzazione, come si può vedere negli esempi qui sopra riportati. Analizzando i flussi di spam fraudolento, ci siamo tuttavia imbattuti anche in truffatori decisamente più scaltri, i quali si erano “preoccupati” di conferire al nome e all’indirizzo del mittente dell’e-mail un aspetto di maggiore legittimità e credibilità. Nella fattispecie, i malintenzionati avevano distribuito in Rete messaggi fasulli contenenti l’esplicita richiesta di donazioni volontarie, allo scopo di prestare aiuto alle vittime del devastante terremoto avvenuto in Nepal.

Spam e phishing nel secondo trimestre del 2015

Non sono affatto passati inosservati, agli occhi dei truffatori “nigeriani”, nemmeno gli avvenimenti politici. Attraverso uno dei fantasiosi mailing di massa ideati nell’occasione, i malfattori hanno ad esempio cercato di attirare l’attenzione del destinatario del messaggio di posta elettronica con la promessa di trasferire a quest’ultimo la somma di 2 milioni di dollari USA; l’ingente cifra, a detta del mittente, era stata stanziata dal neoeletto presidente della Nigeria in qualità di compensazione per le truffe via via perpetrate dagli abitanti del proprio paese.

Spam e phishing nel secondo trimestre del 2015

Manca ancora molto tempo all’inizio dei prossimi Giochi Olimpici estivi, che si terranno a Rio de Janeiro, in Brasile, nel mese di agosto del 2016; abbiamo tuttavia già rilevato la presenza, all’interno dei flussi di spam globale, di false notifiche relative a fantomatiche vincite ottenute grazie a lotterie dedicate al popolare evento sportivo. Sottolineiamo, con l’occasione, come un elevato numero di simili e-mail fosse stato distribuito in Rete proprio alla vigilia del Campionato del Mondo di calcio svoltosi in Brasile nel 2014; in precedenza, all’interno di e-mail del genere, non venivano ancora menzionate le future Olimpiadi. Il contenuto dei suddetti messaggi fasulli si è rivelato essere di tipo standard: come al solito, la lotteria risulta allestita a nome di qualche ente od organismo ufficiale; l’indirizzo del destinatario dell’e-mail – guarda a caso – è stato casualmente scelto tra milioni e milioni di indirizzi di posta elettronica; per entrare in possesso della somma “vinta” occorre assolutamente rispondere al messaggio ricevuto, fornendo le informazioni personali richieste.

Spam e phishing nel secondo trimestre del 2015

È inoltre di particolare interesse osservare come stiano acquisendo una popolarità sempre maggiore, presso gli spammer, i messaggi e-mail che presentano, al loro interno, solo un breve testo, mentre le informazioni dettagliate che essi recano sono contenute nel file allegato, provvisto di estensione .pdf o .doc. Ciò può essere dovuto al fatto che, verosimilmente, i filtri anti-spam possono ritenere legittimo, con maggiore facilità, un messaggio e-mail dal testo breve. Ovviamente, i messaggi di posta elettronica con file allegati si rivelano particolarmente pericolosi per gli utenti, in quanto, per venire a conoscenza del contenuto della missiva, questi ultimi dovranno necessariamente aprire l’allegato; tale azione può, di fatto, generare l’infezione del computer-vittima.

Aggiornamento dell’algoritmo di ricerca di Google

La notizia relativa alla release di un ulteriore aggiornamento dell’algoritmo di ricerca di Google ha indubbiamente avuto ampi riflessi all’interno del traffico di spam che ha caratterizzato il secondo trimestre del 2015. Lo scopo dell’update realizzato dalla casa di Mountain View è stato quello di innalzare – nell’ambito dei risultati restituiti ai dispositivi mobili dal noto search engine – il ranking dei siti web “mobile-friendly”, ovvero quei siti Internet appositamente concepiti e adattati per ottimizzare la visualizzazione tramite smartphone.

Spam e phishing nel secondo trimestre del 2015

La notizia sopra descritta ha involontariamente prodotto, in seno al traffico di posta elettronica, un sensibile aumento delle campagne di spam dedicate alle tematiche proprie della Search Engine Optimization (SEO). Gli spammer, come al solito, hanno distribuito pubblicità relative sia alla creazione di siti web di qualsiasi complessità (e per qualsiasi finalità), sia alla promozione degli stessi, allo scopo di attirare nuovi clienti. Nella circostanza, la principale motivazione fornita dagli spammer, a supporto dei mailing intrapresi, è stata proprio quella riguardante la necessità, per i siti web, di risultare conformi ai nuovi criteri adottati dal popolare motore di ricerca. Gli spammer hanno inoltre cercato di influenzare i proprietari dei siti Internet – ancora dubbiosi – paventando l’ipotesi di un posizionamento del loro sito web nelle ultime pagine dei risultati restituiti dal noto search engine e, di conseguenza, l’inevitabile perdita della maggior parte dei potenziali clienti.

Le statistiche del secondo trimestre 2015

Quota di spam nel traffico di posta elettronica

Spam e phishing nel secondo trimestre del 2015

Quote percentuali di spam rilevate nel traffico di posta elettronica mondiale –
Situazione relativa al periodo gennaio – giugno 2015

Osserviamo, innanzitutto, come si sia quasi arrestata la specifica tendenza che ha visto, sin dall’inizio dell’anno in corso, una progressiva diminuzione della quota percentuale relativa allo spam presente nei flussi e-mail globali. Nel secondo trimestre del 2015 l’indice in questione si è in effetti stabilizzato attorno a valori pari al 53,5%, oscillando, in pratica, dal 53,63% fatto registrare ad aprile al 53,23% rilevato in giugno.

Spam e phishing nel secondo trimestre del 2015

Quote percentuali di spam rilevate nel traffico di posta elettronica russo –
Situazione relativa al periodo gennaio – giugno 2015

La situazione che caratterizza il traffico di spam all’interno del segmento russo di Internet risulta del tutto analoga a quella che si presenta, attualmente, su scala mondiale. In Russia, lungo tutto l’arco del trimestre qui preso in esame, la quota inerente al traffico dei messaggi e-mail indesiderati ha evidenziato in maniera costante, ogni mese, una diminuzione pari all’incirca ad 1 punto percentuale. Nel secondo trimestre dell’anno, il maggior numero di messaggi di spam all’interno dei flussi e-mail della Runet è stato registrato nel mese di aprile (59,32%); la quota minima si è invece avuta in giugno (57,47%).

Geografia delle fonti di spam

Spam e phishing nel secondo trimestre del 2015

Geografia delle fonti di spam rilevate nel secondo trimestre del 2015 – Graduatoria su scala mondiale

Nel trimestre oggetto del presente report, così come era avvenuto nel trimestre precedente, le prime due posizioni della speciale graduatoria relativa alla ripartizione geografica delle fonti dello spam mondiale risultano occupate, rispettivamente, da Stati Uniti (14,59%) e Russia (7,82%). Sul terzo gradino del “podio” virtuale è salita la Cina, con una quota pari al 7,14% (nel primo trimestre dell’anno l’indice ascrivibile al paese dell’Estremo Oriente era invece risultato pari al 3,23%). Ricordiamo che, nell’analogo rating relativo ai primi tre mesi del 2015, la terza posizione della TOP-10 da noi stilata era andata ad appannaggio dell’Ukraina. Nelle posizioni di rincalzo, nell’ambito della graduatoria qui sopra riportata, troviamo poi il Vietnam (5,04% contro il 4,82% fatto segnare nel primo trimestre dell’anno), la Germania (4,13% contro il 4,39% del trimestre precedente) e l’Ukraina (3,90% contro il 5,56% del primo trimestre del 2015).

Dimensioni dei messaggi di spam

Spam e phishing nel secondo trimestre del 2015

Dimensioni delle e-mail di spam – Primo e secondo trimestre del 2015 a confronto

Nel trimestre qui analizzato, il quadro relativo alla ripartizione delle e-mail di spam in base alle dimensioni delle stesse è leggermente cambiato. Al primo posto della speciale graduatoria, come al solito, con un ampio margine percentuale troviamo i messaggi “spazzatura” aventi dimensioni estremamente contenute, sino a 2 kilobyte (65,38%); la quota percentuale ad essi ascrivibile, tuttavia, ha fatto registrare una significativa flessione, rispetto al 73,99% riscontrato nel primo trimestre dell’anno. Per contro, nell’arco di tre mesi, è sensibilmente aumentato (+ 4,81%) l’indice relativo ai messaggi di posta indesiderata aventi dimensioni comprese tra i 20 Kb ed i 50 Kb (8,80%). Risultano infine lievemente aumentate, all’incirca di 1 punto percentuale, le quote inerenti ai messaggi di spam con dimensioni comprese tra i 2 ed i 5 Kb (17,16%), tra i 5 ed i 10 Kb (3,32%) e tra i 10 ed i 20 Kb (2,94%).

Allegati maligni rilevati nel traffico e-mail

Spam e phishing nel secondo trimestre del 2015

TOP-10 relativa ai programmi malware maggiormente diffusi nel traffico di posta elettronica –
Situazione riguardante il secondo trimestre del 2015

La prima posizione della speciale classifica trimestrale relativa ai programmi malevoli rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica globale risulta occupata dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen. Si tratta di un software nocivo ampiamente conosciuto, appartenente ad una famiglia di programmi Trojan realizzati sotto forma di pagine HTML fasulle. Il suddetto oggetto maligno viene distribuito attraverso la posta elettronica, camuffato in veste di importante comunicazione o notifica proveniente (in apparenza!) da famosi istituti bancari, celebri negozi Internet, software house di primaria importanza, etc. In pratica, se l’utente inserisce i propri dati confidenziali all’interno dei campi presenti nella pagina HTML contraffatta, allegata al messaggio di posta, e provvede poi a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali da egli introdotte nel form malevolo cadranno direttamente ed inevitabilmente nelle mani di cybercriminali senza scrupoli.

Al secondo e al nono posto della graduatoria troviamo Trojan-Downloader.HTML.Agent.aax e Trojan-Downloader.HTML.Meta.as, programmi malware anch’essi elaborati sotto forma di pagine HTML, provviste, nella circostanza, di apposito codice maligno per reindirizzare l’utente-vittima verso il sito web allestito dai malintenzionati di turno. In genere, su tale sito nocivo, la vittima si imbatte poi in una pagina di phishing, o in qualche proposta relativa al download di Binbot, la nota applicazione adibita al trading automatizzato su opzioni binarie, particolarmente diffusa proprio in questi ultimi tempi. I due suddetti software nocivi vengono distribuiti dai malfattori tramite appositi allegati maligni di posta elettronica e si differenziano, in pratica, solo per il link attraverso il quale l’utente viene rediretto verso il sito web malevolo.

Sul terzo gradino del “podio” virtuale troviamo poi il malware denominato Trojan.Win32.Fsysna.brtr; si tratta, in sostanza, di un semplice spam bot, che, servendosi della macchina infetta, provvede a reindirizzare lo spam dal centro di comando al server di posta elettronica.

La quarta piazza della speciale TOP-10 relativa ai programmi dannosi maggiormente diffusi nel traffico e-mail risulta occupata dal software maligno classificato dagli esperti di sicurezza IT come Trojan-Banker.Win32.ChePro.ink. Si tratta, più precisamente, di un downloader realizzato dai propri autori sotto forma di applet dotato di estensione CPL (componente del pannello di controllo), preposto a scaricare temibili programmi Trojan sul computer sottoposto ad attacco; tali programmi maligni, a loro volta, vengono in seguito utilizzati dai cybercriminali per compiere il furto delle informazioni confidenziali legate alla sfera finanziaria dell’utente-vittima. I malware riconducibili a tale specifica tipologia prendono principalmente di mira gli istituti bancari brasiliani e portoghesi.

Alla quinta piazza del ranking si è poi collocato il malware rilevato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-PSW.Win32.Fareit.auqm. I software nocivi riconducibili alla famiglia Fareit risultano abitualmente preposti al furto dei cookie presenti nei browser web e, allo stesso tempo, delle password utilizzate nell’ambito dei client FTP e dei programmi di posta elettronica; i dati confidenziali sottratti agli utenti-vittima vengono in seguito inoltrati al server malevolo remoto predisposto dai malintenzionati.

La settima e l’ottava posizione della graduatoria qui esaminata risultano occupate da due Trojan-Downloader, entrambi appartenenti alla famigerata famiglia Upatre: Trojan-Downloader.Win32.Upatre.Vxd e Trojan-Downloader.Win32.Upatre.vwi. Il loro compito principale è quello di scaricare, decomprimere ed avviare l’esecuzione di un ulteriore programma maligno. Tali malware sono soliti mascherarsi in veste di documenti PDF o RTF.

Chiude la TOP-10 in questione l’oggetto malevolo denominato Exploit.MSWord.CVE-2014-1761.k. Si tratta, in pratica, di un documento Word contenente un temibile exploit, il quale, in presenza della corrispondente vulnerabilità, provvede a scaricare sul computer-vittima altri programmi dannosi, preposti al furto dei dati personali.

Famiglie di malware maggiormente diffuse nel traffico di spam globale

Se consideriamo non i singoli programmi malevoli, bensì le famiglie di software nocivi maggiormente diffuse nel traffico e-mail globale, rileviamo come, nel secondo trimestre del 2015, l’analoga graduatoria risulti capeggiata dalla famiglia di malware denominata Upatre, peraltro collocatasi al primo posto della classifica in questione anche nel primo trimestre dell’anno. I software dannosi riconducibili a tale specifica famiglia di malware vengono di solito adibiti al download di un temibile Trojan bancario appartenente alla loro medesima famiglia, attualmente noto con tre diversi appellativi – Dyre/Dyzap/Dyreza. L’elenco degli istituti finanziari sottoposti ad attacco da parte di tale banker dipende, naturalmente, dal relativo file di configurazione, trasmesso di volta in volta dal centro di comando e controllo predisposto dai cybercriminali.

Stanno acquisendo un livello di popolarità sempre maggiore, presso gli ambienti cybercriminali, anche i programmi malware appartenenti alla famiglia MSWord.Agent; nel trimestre precedente, in effetti, essi occupavano soltanto la terza piazza della speciale graduatoria da noi stilata. Ricordiamo, a tal proposito, come tali software malevoli vengano realizzati dai virus writer sotto forma di file provvisti di estensione .doc, con tanto di apposita macro incorporata, scritta in VBA (Visual Basic for Applications), la quale viene automaticamente eseguita al momento dell’apertura del documento. Nella circostanza, è la stessa macro che, di fatto, provvede a generare il download e la successiva esecuzione di ulteriore malware, il quale può essere ad esempio costituito da software dannosi riconducibili alla famiglia Andromeda.

Rileviamo, infine, come siano tornati a far parte della composizione della “trojka” dei leader i Trojan bancari riconducibili alla famiglia di malware denominata ZeuS/Zbot. Tali software dannosi si contraddistinguono per il fatto di essere particolarmente complessi e sofisticati; nello specifico, essi risultano preposti ad attaccare sia i server che i computer degli utenti, allo scopo di intercettare e carpire dati di natura sensibile e riservata. Sebbene i Trojan sopra menzionati siano in grado di eseguire attività dannose di vario genere, nella maggior parte dei casi essi vengono utilizzati proprio per compiere il furto delle informazioni bancarie custodite nei computer degli utenti, incluso – ovviamente – i dati sensibili relativi alle carte di credito. I programmi malware appartenenti alla famiglia ZeuS/Zbot possono ugualmente generare l’installazione di CryptoLocker, un programma “estorsore” che richiede all’utente-vittima una certa somma di denaro per effettuare la decodifica dei dati precedentemente criptati.

Paesi maggiormente bersagliati dai mailing di massa maligni

Spam e phishing nel secondo trimestre del 2015

Suddivisione per paesi dei rilevamenti effettuati dal modulo antivirus e-mail
nel corso il secondo trimestre del 2015

Nelle prime tre posizioni delle speciale graduatoria trimestrale relativa ai paesi verso i quali vengono inviate le maggiori quantità di spam nocivo – ovvero i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – si sono di nuovo verificati notevoli cambiamenti. Osserviamo, innanzitutto, come la Germania (19,59%), che nel primo trimestre dell’anno si era collocata “soltanto” alla quarta piazza del rating, sia andata ad occupare la prima posizione della speciale graduatoria qui esaminata: sul territorio di tale paese, in effetti, si è prodotto quasi un quinto del numero complessivo dei rilevamenti effettuati, nel corso del trimestre, dal nostro antivirus e-mail. La Gran Bretagna (6,31%), per contro, che nel primo trimestre del 2015 deteneva la leadership della classifica, è scesa al secondo posto del ranking da noi elaborato; il Brasile, da parte sua, nell’arco di tre mesi è passato dal secondo al terzo gradino del “podio” virtuale, avendo fatto registrare una quota pari al 6,04%.

Gli Stati Uniti (5,03%), paese verso il quale, tradizionalmente, vengono inviate notevoli quantità di messaggi e-mail contenenti allegati dannosi, nel trimestre oggetto del presente report si sono invece collocati soltanto al quarto posto della classifica.

La Russia (4,74%), al contrario, decima nell’analogo rating relativo al trimestre precedente, nel periodo qui esaminato è salita al quinto posto della graduatoria.

Peculiarità e tratti caratteristici dello spam nocivo del secondo trimestre

Nel corso del secondo trimestre del 2015 abbiamo continuato a rilevare, all’interno del traffico di spam globale, la presenza di un considerevole numero di messaggi e-mail malevoli contenenti macro virus; ricordiamo, a tal proposito, come il picco – riguardo alla presenza di tale genere di malware all’interno dei flussi e-mail – si sia registrato proprio nel trimestre precedente. Nell’arco di tre mesi, quindi, la quantità di macro virus presenti nel traffico di spam è sostanzialmente diminuita; tale genere di minaccia IT, tuttavia, continua a rappresentare un serio pericolo per gli utenti: nella fattispecie, i virus macro da noi individuati sono risultati appartenere alla categoria dei Trojan-Downloader, malware adibiti al download di ulteriori software nocivi sui computer sottoposti ad attacco. I cybercriminali, nella circostanza, nel tentativo di convincere i destinatari delle e-mail riguardo alla legittimità delle stesse, hanno mascherato i messaggi di posta elettronica sotto forma di ordinaria corrispondenza aziendale, cercando di far passare gli allegati dannosi per normali documenti finanziari o semplici ordini commerciali.

In alcuni messaggi i malintenzionati hanno poi inserito dettagliate informazioni di contatto riguardo al mittente dell’e-mail, aggiungendo, inoltre, il logo societario, per cercare di conferire al messaggio un aspetto ufficiale e, quindi, ulteriore credibilità; gli indirizzi di posta elettronica presenti nell’e-mail sono stati infine direttamente ricavati dal campo <From>. Quanto sopra elencato ha indubbiamente reso i messaggi malevoli ancor più convincenti agli occhi di molti destinatari delle missive.

Ci siamo ugualmente imbattuti in messaggi e-mail realizzati in maniera tale da imitare comunicazioni e notifiche ufficiali abitualmente inviate, tramite posta elettronica, da società realmente esistenti; i malfattori, inoltre, hanno cercato di fare in modo che il contenuto di tali messaggi rispecchiasse l’effettiva sfera di attività dell’azienda presa di mira. Ad esempio, le e-mail distribuite attraverso una delle campagne di spam nocivo da noi individuate sono risultate camuffate in veste di notifiche relative al ricevimento di un messaggio di testo; tali e-mail sembravano provenire, in apparenza, da una società fornitrice di servizi nel campo delle telecomunicazioni. Nella circostanza, il destinatario dell’e-mail avrebbe potuto leggere il testo del messaggio aprendo il relativo allegato in formato Microsoft Word; in realtà, le e-mail in questione recavano il programma malware Trojan-Downloader.VBS.Agent.amj, anziché le informazioni promesse dal mittente.

Spam e phishing nel secondo trimestre del 2015

Una delle tematiche che sembrano mantenere intatta la loro popolarità presso i cybercriminali dediti alla distribuzione di spam maligno è rappresentata dal mascherare i messaggi e-mail sotto forma di notifiche relative alla ricezione di fax o scansioni di documenti di vario genere. Tali e-mail contraffatte vengono principalmente inviate in lingua inglese e in lingua tedesca; gli allegati che esse recano – file relativi a fax e scansioni, a detta dei malintenzionati – contengono, di fatto, varie tipologie di programmi malware: può trattarsi, nella circostanza, dei downloader Trojan.Upatre e Trojan.Downloader, così come del temibile keylogger denominato HawkEyePHPLogger. Il testo presente nel corpo di simili messaggi di posta può rivelarsi estremamente breve o, al contrario, contenere informazioni dettagliate riguardo al documento “ricevuto”.

Spam e phishing nel secondo trimestre del 2015

Nel mese di settembre 2014, all’interno del traffico di spam nocivo, abbiamo individuato la conduzione di un esteso mailing di massa maligno, preposto a recapitare nelle e-mail box degli utenti messaggi di posta elettronica contenenti un allegato dall’estensione del tutto atipica, ovvero un archivio in formato ARJ. Nel 2015, per distribuire i programmi malware, i malintenzionati hanno continuato ad avvalersi di archivi dal formato decisamente inconsueto: così, nel mese di aprile e nel mese di maggio, sono stati diffusi, nel traffico globale di spam, messaggi di posta elettronica contenenti allegati .cab e .ace, ovvero archivi provvisti di un formato di raro utilizzo nell’ambito dello spam maligno. Gli archivi in causa contenevano il programma trojan denominato Trojan-Downloader.Win32.Cabby ed il keylogger classificato come HawkEye Keylogger. A differenza delle estensioni .zip e .rar, particolarmente popolari presso gli spammer, gli allegati provvisti di formato .cab e .ace possono risultare del tutto sconosciuti agli utenti e suscitare, quindi, meno sospetti al momento della ricezione del messaggio.

Spam e phishing nel secondo trimestre del 2015

Nel secondo trimestre del 2015, nel quadro di un mailing di massa malevolo, i cybercriminali hanno distribuito i file nocivi tramite allegati in formato ZIP e APK. Mentre gli archivi ZIP si incontrano nella stragrande maggioranza dei messaggi di spam, gli allegati in formato APK risultano relativamente rari, visto che si tratta di file-applicazioni archivio eseguibili per l’OS Android. Gli archivi ZIP da noi individuati contenevano un programma Trojan appartenente alla famiglia Upatre, mentre il file Check_Updatesj.apk celava, da parte sua, il Trojan “cifratore” SLocker, destinato al sistema operativo Android; tale malware, una volta eseguito, avrebbe provveduto a codificare le immagini, i documenti e i file video presenti sul dispositivo mobile. Successivamente, l’utente avrebbe visualizzato sul proprio schermo un messaggio contenente l’esplicita richiesta di effettuare il pagamento di una determinata somma di denaro, allo scopo di ottenere la decodifica dei file. Distribuendo software nocivi tramite allegati in formato ZIP e APK, nell’ambito della stessa campagna di spam maligno, i cybercriminali hanno ritenuto, probabilmente, di poter annoverare tra le loro vittime non solo gli utenti provvisti di PC, ma anche i proprietari di smartphone e tablet dotati di sistema operativo Android, ovvero gli utenti abituati ad utilizzare i sistemi di posta elettronica anche attraverso tali dispositivi mobili.

Spam e phishing nel secondo trimestre del 2015

Phishing

Nel secondo trimestre del 2015, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati 30.807.071 rilevamenti eseguiti grazie al sistema “Anti-phishing”. Nel corso del periodo oggetto del presente report, sono state aggiunte, ai database di Kaspersky Lab, 509.905 “phishing wildcard” (per phishing wildcard si intende, in pratica, un set di simboli che descrive un gruppo di link rilevati dal sistema come link di phishing).

Da alcuni trimestri a questa parte, la percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher viene osservata in Brasile. Nel secondo trimestre del 2015, tuttavia, l’indice percentuale attribuibile al paese sudamericano si è quasi dimezzato, rispetto all’analogo valore riscontrato relativamente al primo trimestre dell’anno. Lo stesso è avvenuto con le quote percentuali riguardanti numerosi altri paesi.

Spam e phishing nel secondo trimestre del 2015

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al secondo trimestre del 2015

* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

TOP-10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing:

Paese % di utenti
1 Brasile 9,74
2 India 8,3
3 Cina 7,23

4 Russia 6,78

5 Francia 6,54
6 Giappone 5,93

7 Malaysia 5,92
8 Polonia 5,81
9 Kazakhstan 5,79
10 Emirati Arabi Uniti 5,75

Quadro delle organizzazioni sottoposte agli attacchi di phishing

Le statistiche relative agli obiettivi presi di mira dagli assalti dei phisher si basano sui rilevamenti eseguiti dal componente euristico implementato nel sistema “Anti-phishing”. Il componente euristico del sistema “Anti-phishing” entra in azione nel momento stesso in cui l’utente clicca su un link malevolo preposto a condurre verso una pagina di phishing, nel caso in cui le informazioni relative a tale pagina non risultino ancora presenti all’interno dei database appositamente allestiti da Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

Alla categoria “Portali Internet globali” è risultata nuovamente attribuibile un’elevata quota di rilevamenti da parte del sistema “Anti-phishing”; nel secondo trimestre del 2015, in effetti, l’indice relativo a tale raggruppamento ha fatto registrare un valore medio pari al 42,35%, ovvero 16,69 punti percentuali in più rispetto al trimestre precedente. Risulta poi leggermente aumentato (+ 0,13%) l’indice riguardante la categoria “Programmi di messaggistica istantanea” (4,05%). Le quote relative alle altre categorie presenti in classifica hanno invece evidenziato significative diminuzioni. L’indice attribuibile a “Social network e blog”, ad esempio, ha fatto segnare un decremento pari al 2,6%, mentre i valori percentuali relativi alle rimanenti categorie hanno fatto registrare le seguenti diminuzioni: “Banche” – 5,56%; “Negozi online” – 1,56%; “Sistemi di pagamento” – 2,84%; “Fornitori di servizi di telefonia ed Internet provider” – 1,33%; “Giochi online” – 0,78%.

Spam e phishing nel secondo trimestre del 2015

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing nel corso del secondo trimestre del 2015

I programmi di instant messaging godono di particolare popolarità presso i malintenzionati del phishing, per una serie di motivi. I cybercriminali, ad esempio, utilizzano di frequente gli account illecitamente carpiti per effettuare – sulla base dell’elenco dei contatti di cui dispone la “vittima” – l’invio di messaggi di phishing, oppure per recapitare agli utenti link malevoli preposti a condurre verso temibili software nocivi; gli account sottratti vengono inoltre utilizzati per l’invio di spam, per estorcere denaro e per ulteriori schemi fraudolenti.

Spam e phishing nel secondo trimestre del 2015

Ripartizione degli attacchi di phishing condotti nei confronti dei programmi di messaggistica istantanea – Situazione relativa al secondo trimestre del 2015

La maggior parte dei rilevamenti ascrivibili a tale categoria ha riguardato QQ, il popolare servizio cinese di instant messaging supportato da Tencent, nota compagnia operante nel settore delle telecomunicazioni.

Spam e phishing nel secondo trimestre del 2015

Esempi di pagine web di phishing allestite allo scopo di imitare le pagine di accesso ai servizi QQ

Come evidenzia il grafico qui sopra riportato, al secondo posto della speciale graduatoria relativa al phishing “dedicato” ai software di messaggistica istantanea, troviamo il programma Skype (8,88%), di cui è proprietaria Microsoft. L’indice percentuale ad esso attribuibile risulta di gran lunga inferiore alla quota inerente al leader della classifica qui esaminata.

Spam e phishing nel secondo trimestre del 2015

Esempio di pagina web di phishing attraverso la quale si propone, agli utenti di Skype,
di procedere alla verifica del proprio account.

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

Come abbiamo già osservato nei nostri precedenti report trimestrali, la maggior parte dei messaggi di phishing di natura non mirata risulta diretta agli utenti di un ristretto gruppo di note società, le quali contano un elevato numero di clienti in tutto il mondo. In tal modo, i malintenzionati vedono aumentare considerevolmente le proprie chance di cogliere nel segno, organizzando ripetuti attacchi di phishing rivolti al medesimo obiettivo.

Il 45,14% del volume complessivo dei link di phishing da noi individuati è in effetti risultato riconducibile alle tre organizzazioni più frequentemente sottoposte agli attacchi condotti dai phisher.

Organizzazione % sul numero totale di link
di phishing rilevati
1 Yahoo! 29,03%
2 Facebook 10,44%
3 Google 5,67%

La composizione della TOP-3 che riunisce i principali obiettivi degli assalti compiuti dai phisher – a livello di organizzazioni maggiormente bersagliate da parte di tale categoria di malintenzionati della Rete – è rimasta invariata rispetto all’analogo rating relativo al primo trimestre del 2015. Così come in precedenza, in effetti, fanno parte di tale speciale graduatoria Yahoo! (+ 23,82 punti percentuali), Facebook (- 0,53%) e Google (- 2,44%). Il sensibile aumento della quota percentuale inerente ai rilevamenti di pagine Internet fasulle mascherate in veste di pagine web ufficiali di Yahoo! si è reso possibile in ragione della complessiva diminuzione del volume dei rilevamenti eseguiti. Di fatto, in termini numerici, la quantità dei rilevamenti riconducibili a pagine web di phishing preposte ad imitare le pagine ufficiali di Yahoo! si è accresciuta in maniera non particolarmente significativa.

Nel secondo trimestre del 2015 ci siamo imbattuti in un elevato numero di pagine di phishing volte ad imitare la pubblicazione di un post su una pagina di Facebook, corredato da un video YouTube dai contenuti espliciti. Nella circostanza, il tentativo di avviare l’esecuzione del video avrebbe generato il download di un programma malware sul computer-vittima.

Spam e phishing nel secondo trimestre del 2015

Spam e phishing nel secondo trimestre del 2015

Esempi di pagine web contraffatte volte ad imitare pagine di Facebook,
allo scopo di realizzare la distribuzione di file nocivi

Conclusioni

Nel secondo trimestre del 2015, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un decremento di 5,8 punti percentuali rispetto all’analogo indice riscontrato nel trimestre precedente, attestandosi in tal modo su un valore medio pari al 53,4%.

Nel corso del periodo oggetto del presente report, le fantasiose ed improbabili “storie” abitualmente contenute nelle cosiddette e-mail “nigeriane” hanno tratto spunto da avvenimenti reali: la prossima edizione dei Giochi Olimpici, che si terrà nel 2016 in Brasile, a Rio de Janeiro; le ultime elezioni presidenziali in Nigeria, svoltesi alla fine dello scorso mese di marzo; il catastrofico terremoto che ha recentemente sconvolto il Nepal. Nella circostanza, i truffatori hanno cercato di raggirare i destinatari dei messaggi e-mail non solo con la consueta promessa di una lauta ricompensa per l’aiuto eventualmente offerto, ma anche comunicando alle potenziali vittime fantomatiche vincite ad inesistenti lotterie; i malintenzionati, inoltre, non hanno rinunciato a chiedere sostanziose donazioni volontarie in favore delle persone colpite dal terremoto in Nepal.

La notizia relativa alla release di un ulteriore aggiornamento dell’algoritmo di ricerca di Google ha involontariamente prodotto, all’interno del traffico di posta elettronica, un consistente aumento dei flussi di spam dedicati alle tematiche proprie della Search Engine Optimization (SEO). Nella fattispecie, lo scopo dell’update era costituito dall’innalzamento del ranking – nell’ambito dei risultati restituiti ai dispositivi mobili dal noto motore di ricerca – per i siti web “mobile-friendly”, ovvero i siti Internet appositamente concepiti e realizzati per ottimizzare la visualizzazione a livello di smartphone.

Le prime tre posizioni della speciale graduatoria del secondo trimestre 2015 relativa alle fonti dello spam “globale” – riguardante i paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail spazzatura” – risultano occupate, rispettivamente, dalle seguenti nazioni: Stati Uniti (14,6%), Russia (7,8%), Cina (7,1%).

Nel periodo trimestrale qui esaminato, la leadership della TOP-10 relativa ai programmi nocivi rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica mondiale, è andata ad appannaggio del malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen. La graduatoria inerente alle famiglie di software nocivi maggiormente diffuse nel traffico e-mail globale risulta invece capeggiata dalla famiglia di malware denominata Upatre. La prima posizione del rating relativo ai paesi verso i quali sono state inviate le maggiori quantità di spam nocivo – ovvero i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – risulta occupata dalla Germania (19,6%).

I malintenzionati hanno cercato di mascherare i file maligni allegati ai messaggi di posta elettronica sotto forma di fax e scansioni di vario genere, aggiornamenti di Flash Player e ordinaria corrispondenza aziendale. Allo stesso modo, i cybercriminali hanno continuato imperterriti a distribuire virus macro attraverso documenti Word ed Excel di natura malevola; inoltre, i malintenzionati hanno fatto ugualmente ricorso sia ad archivi dall’estensione inusuale nell’ambito dello spam (.cab e .ace), sia ai file in formato .apk.

Nel secondo trimestre del 2015, sui computer degli utenti dei prodotti Kaspersky Lab si sono registrati oltre 30 milioni di rilevamenti eseguiti grazie al sistema “Anti-phishing”. La quota percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata osservata in Brasile, nonostante l’indice relativo al paese sudamericano risulti quasi dimezzato rispetto all’analogo valore per esso riscontrato nel trimestre precedente.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *