Spam e phishing nel terzo trimestre del 2015

Contenuti

Spam: le caratteristiche peculiari del trimestre

Incontri online

Il dating e le conoscenze online rappresentano ormai una delle tematiche peculiari dello spam, da noi costantemente rilevata nell’ambito del traffico e-mail oggetto della nostra analisi; nel terzo trimestre del 2015, tuttavia, il flusso di simili messaggi si è ulteriormente diversificato, attirando così in misura maggiore la nostra attenzione. Sono stati da noi individuati alcuni interessanti tentativi mirati a trarre in inganno i destinatari delle e-mail e ad eludere l’azione protettiva svolta dai filtri antispam; allo stesso tempo, abbiamo rilevato la conduzione di nuove tipologie di mailing di massa, che non si discostano molto dalle pratiche fraudolente.

Spam e phishing nel terzo trimestre del 2015

Di solito, nel quadro delle campagne di spam dedicate alle suddette tematiche, il compito principale degli spammer è costituito dal pubblicizzare siti di incontri e conoscenze online di recente creazione, o poco reclamizzati. I proprietari dei siti web in questione ricorrono allo spam per attirare il maggior numero possibile di utenti verso le pagine Internet da essi allestite. Spesso, nell’ambito di tali messaggi e-mail, si assiste ad una vera e propria ulteriore ripartizione tematica, per cui vengono presentati siti di incontri online riservati ad un pubblico di persone anziane, sposate o credenti.

Spam e phishing nel terzo trimestre del 2015

Un altro tipo di proposta riguarda poi la pubblicità dedicata alle agenzie matrimoniali, che si occupano della selezione delle future spose (provenienti in particolar modo da Russia e Ukraina) per gli aspiranti mariti stranieri. Questo genere di spam, di solito, si incontra nel segmento anglofono di Internet. I messaggi che lo compongono, quasi sempre, contengono l’invito a registrarsi nel relativo sito web pubblicizzato, oltre che un breve testo con la promessa di individuare il partner ideale per la propria vita sentimentale; non manca, infine, il link destinato a condurre l’utente verso il sito Internet reclamizzato.

E-mail dal contenuto analogo possono anche essere inviate direttamente a nome della “promessa sposa”. Questa particolare tipologia di spam non si discosta molto dalla frode; lo schema adottato, in effetti, ricorda molto da vicino le famigerate e-mail “nigeriane”. Nella circostanza, il messaggio di posta elettronica giunge a nome di una sedicente ragazza, che racconta brevemente qualcosa di sé, magari della non facile vita che sta conducendo in qualche luogo sperduto della Russia, sognando di incontrare, finalmente, il proprio principe azzurro. Spesso, al messaggio viene allegata una fotografia, che non raffigura necessariamente la “futura sposa”; la foto può essere infatti stata ricavata dalle pagine web di qualche social network, dal profilo relativo ad un’altra persona; inviando l’immagine, tuttavia, il mittente cerca di rendere l’e-mail ancor più convincente. Per tale motivo le fotografie possono ripetersi da un messaggio all’altro, persino nel caso in cui le stesse risultino inviate a nome di ragazze diverse. Il testo dell’e-mail, invece, cambia di volta in volta: in effetti, nel condurre la mailing di massa, gli spammer fanno attivamente ricorso a tutta una serie di sinonimi, allo scopo di eludere il possibile intervento dei filtri antispam. L’abituale feedback proposto per tale genere di e-mail è rappresentato dall’utilizzo di messaggi di posta elettronica. Gli indirizzi del mittente vengono così cambiati in ogni singolo messaggio; tali account, con ogni probabilità, vengono creati in gran numero attraverso servizi di posta elettronica gratuiti, ed utilizzati specificamente per la conduzione della campagna di spam prevista. Dopo aver inviato l’e-mail di risposta ad uno di questi indirizzi, nel migliore dei casi l’utente riceve una notifica riguardo al fatto che tale casella di posta non esiste; nel caso peggiore, l’utente avrà reso disponibile il proprio indirizzo e-mail per l’esecuzione di ulteriori campagne di spam, oppure sarà divenuto vittima di un classico schema fraudolento: la ragazza richiede l’invio della somma di denaro occorrente per l’acquisto del biglietto di viaggio, per poter raggiungere la persona “amata”; in seguito, una volta ottenuto quanto desiderato, la “ragazza” sparisce per sempre dalla circolazione.

Spam e phishing nel terzo trimestre del 2015

Allo stesso modo, vengono ugualmente reclamizzati i siti di incontri “per adulti”. I messaggi e-mail contengono l’invito a registrarsi nel sito pubblicizzato, con la promessa di possibili incontri intimi. In alternativa, il destinatario dell’e-mail viene direttamente contattato da qualche ragazza in cerca di un partner per rapporti intimi; nell’occasione, viene fornito il link per poter accedere al sito web che ospita, presumibilmente, il profilo della sconosciuta. Piuttosto di frequente, lo spam che reclamizza siti web del genere viene diffuso sotto forma delle più svariate notifiche relative a messaggi personali provenienti dai social network, oppure riguardanti foto, o file audio, inviati tramite i servizi di instant messaging. Le pubblicità in questione risultano elaborate in modo tale che l’utente non possa determinare in maniera esatta ciò che lo attende realmente sul sito web reclamizzato, finché egli non accede a quest’ultimo, cliccando sull’apposito link inserito nel messaggio e-mail di spam. Il contenuto di tali messaggi, ad ogni caso, è appositamente concepito per suscitare l’interesse del destinatario, e far sì che lo stesso decida di seguire il link proposto; si prospetta, ad esempio, la possibilità di flirtare online, magari accompagnata da chiare allusioni e foto esplicite.

Spam e phishing nel terzo trimestre del 2015

Segnaliamo, infine, un’ulteriore tipologia di mailing di spam, da noi individuata nel corso del terzo trimestre 2015, riconducibile ad un’evidente forma di frode online. Lungo tutto l’arco del trimestre qui analizzato abbiamo osservato la conduzione di una campagna di spam il cui scopo era quello di indurre i destinatari delle e-mail ad inviare un messaggio SMS al numero di telefono indicato; in risposta, una non ben precisata ragazza avrebbe promesso di inviare foto esplicite che la riguardavano. Il testo di tali e-mail veniva continuamente modificato e “imbrattato”; allo stesso modo, cambiavano costantemente i numeri di cellulare proposti nell’occasione dagli spammer. Abbiamo provveduto a indirizzare dei messaggi verso alcuni di tali numeri di telefono, ed abbiamo così potuto stabilire che questi ultimi non erano a pagamento, come invece si sarebbe potuto inizialmente pensare, visto che per l’invio degli SMS non veniva effettuato alcun addebito sugli account telefonici utilizzati. È così iniziata una corrispondenza via SMS con la suddetta “ragazza”; dopo un paio di risposte ottenute, è apparso evidente che si trattava di un robot, non di una persona, il cui scopo era quello di indirizzare la “conversazione” verso l’assoluta necessità, da parte dell’utente, di scaricare una determinata applicazione, tramite la quale sarebbe stato poi possibile rivolgersi alla ragazza tramite chat, e far sì che quest’ultima potesse inviare le fotografie promesse. Il risultato di tutto questo è che siamo riusciti a ricevere dalla “ragazza” alcuni SMS, contenenti vari link brevi, i quali conducevano, tuttavia, verso lo stesso identico articolo pubblicato su un noto giornale americano, in cui si riferiva riguardo ad app mobile di particolare utilità. In pratica, durante il redirecting verso tale articolo, sul telefono dell’utente viene scaricato un file archivio contenente del malware mobile.

Lo spam nocivo a carattere “stagionale”

Nel periodo estivo aumenta, tradizionalmente, il numero dei messaggi di spam riconducibili a tematiche stagionali; questo riguarda non solo lo spam pubblicitario, ma anche quello nocivo. Nella scorsa stagione delle ferie e delle vacanze estive, la tipologia di spam in tal senso più rilevante è risultata essere quella relativa ai messaggi e-mail, indesiderati, ispirati a tematiche di natura turistica: per distribuire i programmi nocivi, i malfattori si sono avvalsi di notifiche fasulle camuffate sotto forma di comunicazioni ufficiali provenienti (in apparenza!) da noti servizi di prenotazione online, famose compagnie aeree e rinomati complessi alberghieri.

Nei falsi messaggi di posta elettronica, inviati a nome di importanti compagnie aeree internazionali e celebri servizi di prenotazione, è stata da noi rilevata la presenza di insidiosi trojan-downloader, ed in particolar modo di Trojan-Downloader.JS.Agent.hhy e Trojan-Downloader.Win32.Upatre.

Spam e phishing nel terzo trimestre del 2015

Abbiamo individuato e-mail del genere, apparentemente provenienti da note compagnie aeree, anche in lingua francese. Nel testo del messaggio si comunicava al destinatario dell’e-mail che il relativo file allegato conteneva un biglietto aereo elettronico. In realtà, l’archivio ZIP celava il programma trojan denominato Trojan.Win32.Xtrat e il famigerato bot DDoS Nitol (un modulo nocivo preposto all’allestimento di attacchi DDoS).

Spam e phishing nel terzo trimestre del 2015

Nel corso del mese di luglio, i malintenzionati hanno cercato di raggirare gli utenti inviando loro false notifiche a nome di vari hotel. In tali messaggi si ringraziavano i destinatari per il soggiorno effettuato nell’albergo; al tempo stesso, si invitavano i potenziali utenti-vittima a prendere visione della copia della ricevuta allegata all’e-mail, relativa ai servizi offerti dall’hotel. Di fatto, l’archivio ospitava il malware Trojan-Downloader.Win32.Upatre.dhwi, il quale, a sua volta, provvedeva a generare il download e l’esecuzione sul computer-vittima del temibile trojan bancario denominato Trojan-Banker.Win32.Dyre, tramite gli appositi link (del tipo 98.***.**.39/cv17.rar) presenti nel corpo stesso del downloader.

Spam e phishing nel terzo trimestre del 2015

Oltre ai messaggi e-mail fasulli apparentemente inviati a nome di note società ed organizzazioni, è stato da noi individuato, all’interno dei flussi di spam del terzo trimestre, un messaggio di posta in lingua inglese, il cui mittente risultava essere, a prima vista, un utente privato. L’e-mail in questione conteneva la richiesta di modificare una precedente prenotazione alberghiera; nella circostanza, visto che alcuni amici avevano rinunciato al soggiorno, per gli “ospiti” dell’hotel sarebbe stato sufficiente avere a disposizione due camere doppie.

Spam e phishing nel terzo trimestre del 2015

Il testo di tale messaggio e-mail potrebbe essere facilmente scambiato per una richiesta autentica da parte di un cliente; il file allegato, in formato ZIP, conteneva tuttavia il malware Trojan-Downloader.JS.Agent.hhi, preposto a generare il download del software nocivo Backdoor.Win32.Androm sul computer infetto.

Metodi e trucchi adottati dagli spammer

Di solito, il testo di un messaggio di phishing si trova nel corpo dell’e-mail stessa; le informazioni personali dovranno poi essere necessariamente inserite nella pagina web nociva che l’utente raggiunge tramite un apposito link fraudolento contenuto nel testo del messaggio. In alternativa, i malintenzionati richiedono di inserire i dati personali all’interno degli appositi campi presenti sulla paginetta HTML allegata all’e-mail, oppure di trasmettere gli stessi tramite un apposito messaggio di risposta. Quest’ultimo si rivela caratteristico, in particolar modo, per le e-mail in cui si richiede al destinatario di confermare l’indirizzo e la password utilizzati nell’ambito della posta elettronica.

Nel terzo trimestre dell’anno, i malintenzionati hanno escogitato un nuovo metodo per inviare i loro messaggi di phishing, nel tentativo di bypassare l’azione protettiva svolta dai filtri antispam. Il testo del messaggio dannoso, così come il relativo link fraudolento, è stato infatti inserito all’interno di un apposito documento PDF allegato all’e-mail di phishing. Cliccando su tale link, si sarebbe aperta l’abituale pagina di phishing, dove l’utente-vittima, secondo le intenzioni dei phisher, avrebbe dovuto introdurre i propri dati personali. La maggior parte dei messaggi e-mail da noi individuati, nei quali si faceva uso del nuovo metodo qui sopra descritto, imitava le notifiche emesse dagli istituti bancari. Nel corpo di tali messaggi risultava presente un testo estremamente breve, con la descrizione del problema; talvolta, poi, il testo mancava del tutto.

Spam e phishing nel terzo trimestre del 2015

Rileviamo come, per comporre il testo dei messaggi da noi individuati, gli spammer abbiano fatto ricorso ad argomenti, frasi, trucchi e sotterfugi già noti: blocco dell’account dell’utente, necessità di procedere ad una verifica, avvisi di sicurezza, indagini su un caso di phishing, etc. I link nocivi, così come in precedenza, sono stati mascherati mediante l’utilizzo di link autentici e di appositi frammenti di testo.

Spam e phishing nel terzo trimestre del 2015

Ci siamo tuttavia ugualmente imbattuti in messaggi e-mail di phishing contenenti testo ben dettagliato, nei quali erano stati tra l’altro inseriti link autentici, preposti a condurre verso i siti web ufficiali delle banche. Anche in tale circostanza, la “notifica” di phishing risultava collocata all’interno del documento PDF allegato all’e-mail.

Spam e phishing nel terzo trimestre del 2015

Inoltre, i nostri colleghi hanno individuato una variante di messaggio di phishing leggermente diversa, la quale prevedeva l’utilizzo di oggetti Mediabox nell’ambito dei file PDF allegati alle e-mail fraudolente.

Spam e phishing nel terzo trimestre del 2015

Nella circostanza, l’oggetto Mediabox era costituito da un documento che si apriva con semplice click del mouse e veniva utilizzato per il redirecting dell’utente-vittima verso il sito web di phishing.

Le statistiche del terzo trimestre 2015

?Quota di spam nel traffico di posta elettronica

Spam e phishing nel terzo trimestre del 2015

Quote percentuali di spam rilevate nel traffico di posta elettronica mondiale –
Situazione relativa al periodo aprile – settembre 2015

Dopo la relativa stabilità che ha caratterizzato il secondo trimestre dell’anno in corso, le quote percentuali inerenti allo spam presente all’interno dei flussi e-mail globali hanno iniziato nuovamente ad oscillare in maniera significativa. In effetti, per ciò che riguarda tale importante indice statistico, al lieve aumento dei valori registratosi nei mesi di luglio e agosto 2015, ha fatto seguito la brusca diminuzione rilevata nel successivo mese di settembre. Complessivamente, nel terzo trimestre del 2015, la quota relativa ai messaggi di spam presenti nel traffico mondiale di posta elettronica si è attestata su un valore medio pari al 54,19% del volume complessivo dei messaggi e-mail circolanti in Rete; l’indice qui analizzato ha fatto quindi registrare un leggero incremento (inferiore al punto percentuale) rispetto all’analogo valore rilevato nel trimestre precedente.

Geografia delle fonti di spam

Spam e phishing nel terzo trimestre del 2015

Geografia delle fonti di spam rilevate nel terzo trimestre del 2015 – Graduatoria su scala mondiale

Nel terzo trimestre del 2015, la leadership della speciale graduatoria delle fonti geografiche dello spam mondiale, relativa ai Paesi dal cui territorio sono state distribuite in Rete – verso tutti e cinque i continenti – le maggiori quantità di e-mail indesiderate, è andata nuovamente ad appannaggio degli Stati Uniti (15,34%). Al secondo posto del rating è salito il Vietnam (8,42%); l’indice percentuale attribuibile al Paese situato nel Sud-Est asiatico ha fatto registrare un sensibile aumento (+ 3,38%) rispetto al trimestre precedente. La terza posizione del ranking da noi stilato risulta occupata – così come nel secondo trimestre del 2015 – dalla Cina (7,15%); nell’arco di tre mesi, la quota percentuale ascrivibile al “colosso” dell’Estremo Oriente è rimasta in pratica invariata.

L’indice relativo alla Russia (5,79%) presenta una flessione pari al 2,03%; la Federazione Russa è in tal modo scesa dalla seconda alla quarta posizione della graduatoria. Seguono, in classifica, Germania (4,39%) e Francia (3,32%); le quote inerenti ai due Paesi dell’Europa Occidentale sono lievemente cambiate rispetto al trimestre precedente.

Dimensioni dei messaggi di spam

Spam e phishing nel terzo trimestre del 2015

Dimensioni delle e-mail di spam – Secondo e terzo trimestre del 2015 a confronto

Nel trimestre qui analizzato, il quadro relativo alla ripartizione delle e-mail di spam in base alle dimensioni delle stesse vede nuovamente prevalere, con il solito ampio margine percentuale (stavolta ancor più accentuato) i messaggi “spazzatura” aventi dimensioni estremamente contenute, sino a 2 kilobyte (79,05%); la quota percentuale ad essi ascrivibile ha fatto registrare – rispetto al secondo trimestre dell’anno – un sensibile incremento, pari al 13,67%. L’indice relativo ai messaggi di posta indesiderata con dimensioni comprese tra i 2 Kb ed i 5 Kb (3,21%) è all’incirca diminuito degli stessi punti percentuali. Rileviamo, infine, come le quote attribuibili alle altre categorie di messaggi e-mail presentino leggere variazioni rispetto agli analoghi valori riscontrati nel trimestre precedente.

Allegati maligni rilevati nel traffico e-mail

Spam e phishing nel terzo trimestre del 2015

TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica –
Situazione riguardante il terzo trimestre del 2015

La prima posizione della speciale graduatoria trimestrale da noi stilata relativamente ai programmi malevoli rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica globale risulta occupata, così come in precedenza, dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen. Ricordiamo, nella circostanza, come tale programma dannoso sia stato elaborato dai suoi autori sotto forma di una pagina HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel web. Il malware Fraud.gen viene abitualmente distribuito tramite la posta elettronica, sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da famosi istituti bancari, celebri negozi Internet, software house di primaria importanza ed organizzazioni di altro genere.

Alla seconda e alla nona posizione della TOP-10 troviamo due varianti di malware adibito a funzioni di downloading, rispettivamente Trojan-Downloader.JS.Agent.hhi e Trojan-Downloader.JS.Agent.hfq. Questi due software nocivi si presentano sotto forma di JavaScript offuscati. I downloader si avvalgono della tecnologia ADODB.Stream, la quale consente loro di scaricare file DLL, EXE e PDF, e lanciare poi l’esecuzione degli stessi sul computer-vittima.

Il terzo e il sesto posto della TOP-10 riguardante il malware individuato più di frequente in seno ai flussi di spam, sono andati ad appannaggio, rispettivamente, dei programmi nocivi rilevati dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-Downloader.VBS.Small.lj e Trojan-Downloader.VBS.Agent.aqp. Si tratta, nella fattispecie, di script VBS; anch’essi utilizzano la tecnologia ADODB.Stream, per effettuare il download di archivi ZIP, ed avviare poi l’esecuzione, sul computer infetto, del malware estratto da tali file compressi.

La quarta piazza della speciale classifica risulta occupata dal programma malware denominato Trojan-Downloader.MSWord.Agent.oq. Tale software dannoso è stato realizzato dai virus writer sotto forma di file provvisto di estensione DOC, con tanto di apposita macro VBS incorporata, la quale viene automaticamente eseguita al momento dell’apertura del documento. La macro provvede a scaricare dal sito web dei malintenzionati un ulteriore script VBS, successivamente eseguito sul computer dell’utente-vittima.

In coda alla TOP-5 troviamo poi Email-Worm.Win32.Mydoom.l. Ricordiamo, con l’occasione, che tale worm viene abitualmente distribuito dai cybercriminali sotto forma di allegato ai messaggi di posta elettronica, nonché attraverso le reti di condivisione dei file e le risorse di rete disponibili per operazioni di scrittura. Il compito principale che si prefigge Mydoom.l è quello di effettuare la raccolta degli indirizzi e-mail custoditi nei computer sottoposti ad attacco, per poi realizzare il consueto processo di auto-diffusione in Rete tramite gli account rubati. Il worm in questione, inoltre, fornisce ai propri creatori la ghiotta opportunità di poter controllare da remoto il sistema precedentemente infettato.

Il settimo, l’ottavo e il decimo posto del rating analizzato nel presente capitolo del nostro consueto report trimestrale dedicato al fenomeno spam, risultano occupati dai software nocivi denominati, rispettivamente, Trojan-Downloader.HTML.Meta.ay, Trojan-Downloader.HTML.Agent.aax e Trojan-Downloader.HTML.Meta.aq. Si tratta di oggetti maligni confezionati dai virus writer in veste di pagine HTML contenenti un apposito codice per reindirizzare l’utente-vittima verso il sito web nocivo allestito dai cybercriminali. In genere, su tale sito nocivo, la vittima si imbatte poi in una pagina di phishing, o in qualche proposta relativa al download di un programma adibito al trading automatizzato su opzioni binarie. I tre suddetti software nocivi vengono distribuiti dai malfattori tramite appositi allegati maligni di posta elettronica e si differenziano, in pratica, solo per il link attraverso il quale l’utente viene rediretto verso il sito web dannoso.

Famiglie di malware maggiormente diffuse nel traffico di spam globale

Così come nei primi due trimestri del 2015, la speciale graduatoria relativa alle famiglie di software nocivi maggiormente diffuse nel traffico e-mail globale risulta capeggiata dalla famiglia di downloader denominata Upatre (9,46%). Nella maggior parte dei casi, i software dannosi riconducibili a tale specifica famiglia di malware vengono adibiti al download di un temibile Trojan bancario, attualmente noto con tre diversi appellativi – Dyre/Dyzap/Dyreza.

Al secondo posto, così come in precedenza, troviamo la famiglia MSWord.Agent (5,55%). I software dannosi ad essa appartenenti si presentano sotto forma di file provvisti di estensione DOC, con tanto di apposita macro incorporata, scritta in VBA (Visual Basic for Applications), la quale viene automaticamente eseguita al momento dell’apertura del documento. Nella circostanza, è la stessa macro che, di fatto, provvede a generare il download e la successiva esecuzione sul computer-vittima di ulteriore malware, il quale può essere ad esempio costituito da software nocivi riconducibili alla famiglia di backdoor Andromeda.

Il terzo gradino della speciale classifica riservata alle famiglie di malware che si incontrano con maggior frequenza nel traffico e-mail globale risulta occupato dalla famiglia VBS.Agent, con una quota pari al 5,44%. A differenza di MSWord.Agent, essa fa uso di uno script VBS incorporato. Per realizzare il download e la conseguente esecuzione, sul computer sottoposto ad attacco, di malware di vario genere, i programmi nocivi appartenenti a tale famiglia ricorrono alla tecnologia ADODB.Stream.

Paesi maggiormente bersagliati dalle mailing di massa nocive

Spam e phishing nel terzo trimestre del 2015

Ripartizione per Paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del terzo trimestre del 2015

Nelle prime tre posizioni della graduatoria trimestrale relativa ai Paesi verso i quali vengono inviate le maggiori quantità di spam nocivo – ovvero i Paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – si sono nuovamente verificati notevoli cambiamenti. La novità di maggior rilievo è indubbiamente rappresentata dall’ascesa della Russia (7,56%) al terzo posto del rating. Nell’arco del trimestre qui esaminato, la quota ascrivibile alla Federazione Russa ha fatto segnare un sensibile incremento, pari a 2,82 punti percentuali; questo ha determinato il passaggio di tale Paese dal 5° al 3° posto della classifica da noi elaborata.

Così come nel trimestre precedente, la leadership della graduatoria in questione è andata ad appannaggio della Germania (18,47%), la cui quota risulta tuttavia diminuita di 1,12 punti percentuali. Sul secondo gradino del “podio” virtuale troviamo poi il Brasile (11,7%); rispetto al secondo trimestre dell’anno in corso, la quantità di spam maligno inviato agli utenti ubicati nel Paese sudamericano è, in pratica, quasi raddoppiata.

La Gran Bretagna (4,56%), che nel trimestre precedente occupava la seconda posizione del ranking, si trova adesso in sesta posizione.

Peculiarità e tratti caratteristici dello spam nocivo del terzo trimestre

All’inizio del mese di settembre, all’interno del traffico di spam abbiamo individuato la conduzione di una campagna email di massa nociva composta da messaggi che sembravano essere, a prima vista, le abituali risposte automatiche fornite dai server di posta elettronica riguardo al mancato recapito delle e-mail spedite dagli utenti. Il testo e l’oggetto del messaggio erano in effetti del tutto simili al contenuto di solito presente nelle notifiche emesse in maniera automatica; l’indirizzo del mittente, ad ogni caso, sembrava appartenere ad una persona, non ad un robot di posta elettronica. Tale elemento ha quindi permesso di sollevare i primi dubbi riguardo alla legittimità dei messaggi e-mail in causa. Ovviamente, anche l’archivio in formato ZIP allegato al messaggio (il file denominato “Google_drive_1711”) ha fatto subito drizzare le orecchie, visto che le notifiche provenienti dai servizi di posta, di solito, non contengono allegati. L’analisi successivamente condotta dagli esperti ha evidenziato che il suddetto archivio celava la presenza del programma dannoso Trojan-Downloader.JS.Agent.hhi, a sua volta preposto al download della temibile backdoor denominata Backdoor.Win32.Androm.

Spam e phishing nel terzo trimestre del 2015

All’inizio del terzo trimestre dell’anno corrente, i malintenzionati hanno attivamente diffuso messaggi e-mail in lingua francese, contenenti insidiosi virus macro. Nella fattispecie, i macrovirus da noi individuati sono risultati appartenere alla categoria dei Trojan-Downloader; essi venivano utilizzati per generare, appunto, il download e la successiva installazione, sul computer-vittima, del famigerato Trojan bancario Dridex. Per ingannare i destinatari delle e-mail nocive, i malfattori mascheravano i loro messaggi sotto forma di comunicazioni relative al ricevimento di ordini o fatture.

Spam e phishing nel terzo trimestre del 2015

Allo stesso modo, nel mese di luglio, per distribuire file nocivi, gli spammer hanno utilizzato il tema dei prestiti e dei crediti, particolarmente diffuso nel tradizionale spam pubblicitario. In alcuni dei messaggi da noi individuati, i truffatori hanno proposto ai destinatari delle e-mail la concessione di prestiti, cercando di attirare l’attenzione dei potenziali “clienti” con le condizioni più favorevoli, ovvero tassi di interesse minimi e così via. Attraverso altri messaggi di posta, è stato poi notificato al destinatario che la domanda da quest’ultimo presentata, relativamente al credito richiesto, era stata approvata. Desideriamo far notare che simili contenuti possono essere incontrati anche all’interno dell’abituale spam di natura pubblicitaria; nella circostanza, lo spam maligno si caratterizza per l’allegato nocivo che esso reca, camuffato sotto forma di documento contenente dettagliate informazioni riguardo al credito in questione.

Spam e phishing nel terzo trimestre del 2015

È interessante osservare come i messaggi e-mail dannosi contenenti in allegato il programma trojan denominato Trojan-Downloader.Win32.Upatre siano stati inviati agli indirizzi di posta elettronica dei dipendenti di varie società.

Phishing

Nel terzo trimestre del 2015, grazie al sistema “Anti-phishing” sono stati neutralizzati ben 36.300.537 tentativi, da parte degli utenti dei prodotti Kaspersky Lab, di accedere a siti di phishing. Si tratta, complessivamente, di 6 milioni di rilevamenti in più rispetto all’analogo valore riscontrato relativamente al trimestre precedente. Più precisamente, 15.764.588 tentativi di accesso sono stati bloccati grazie ai nostri componenti euristici, mentre 20.535.949 rilevamenti sono stati ottenuti tramite i componenti deterministici. Nel corso del periodo oggetto del presente report, sono state aggiunte, ai database di Kaspersky Lab, 839.672 “phishing wildcard” (per phishing wildcard si intende, in pratica, un set di simboli che descrive un gruppo di link rilevati dal sistema come link di phishing).

Come da alcuni trimestri a questa parte, la quota percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata osservata in Brasile (21,07%). Nel terzo trimestre del 2015, l’indice attribuibile al Paese sudamericano ha fatto registrare un sensibile incremento, pari a 11,33 punti percentuali; il Brasile, in pratica, è tornato a far segnare la quota per esso riscontrata nel primo trimestre dell’anno in corso.

Spam e phishing nel terzo trimestre del 2015

Ripartizione geografica degli attacchi di phishing* – Situazione relativa al terzo trimestre del 2015

* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

È notevolmente cresciuta anche la quota percentuale inerente agli utenti sottoposti ad attacco in Giappone (+ 10,9%) e in Cina (+ 7,85%); questi due Paesi sono così andati ad occupare, rispettivamente, il secondo e il terzo posto della nostra TOP-10.

TOP-10 relativa ai Paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing:

Paese % di utenti
1 Brasile 21,07
2 Giappone 16,86
3 Cina 15,08
4 Vietnam 14,5
5 Bangladesh 13,32
6 Nigeria 13,05
7 Russia 12,91
8 Kazakhstan 12,85
9 India 12,44
10 Colombia 12,25

Quadro delle organizzazioni sottoposte agli attacchi di phishing

Le statistiche relative agli obiettivi presi di mira dagli attacchi dei phisher si basano sui rilevamenti eseguiti dal componente euristico implementato nel sistema “Anti-phishing”. Il componente euristico del sistema “Anti-phishing” entra in azione nel momento stesso in cui l’utente clicca su un link nocivo preposto a condurre verso una pagina di phishing, nel caso in cui le informazioni relative a tale pagina non risultino ancora presenti all’interno dei database appositamente allestiti da Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.

È considerevolmente diminuita, nel terzo trimestre del 2015, la quota percentuale attribuibile alla categoria “Portali Internet globali” (30,93%), ormai da tempo leader incontrastato della speciale classifica relativa alle organizzazioni – suddivise per categorie – sottoposte con maggiore frequenza agli attacchi condotti dai phisher. Il decremento si è complessivamente attestato su un valore medio pari a 11,42 punti percentuali. Per contro, si è registrato un nuovo aumento (+ 6,69%) della quota relativa alla categoria “Social network e blog” (21,44%). La terza posizione del rating è poi andata ad appannaggio della categoria “Banche” (18,07%), il cui indice percentuale ha fatto segnare un incremento del 4,65%. Rileviamo, inoltre, come la quota ascrivibile ai “Giochi online” (4,02%) sia aumentata di una volta e mezzo rispetto al trimestre precedente.

Spam e phishing nel terzo trimestre del 2015

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing
nel corso del terzo trimestre del 2015

La quota percentuale relativa agli attacchi di phishing rivolti alle organizzazioni raggruppate nella categoria “Cloud storage” ha fatto a sua volta registrare un aumento di 0,26 punti percentuali, ed ha in tal modo raggiunto un valore pari all’ 1,06%. Gli utenti della Rete utilizzano sempre più attivamente le tecnologie cloud storage; questo, ovviamente, attira in maniera considerevole le losche attenzioni dei truffatori. Le informazioni illecitamente sottratte vengono utilizzate a scopi ricattatori, oppure per la successiva vendita a terze persone, o per l’allestimento di attacchi informatici mirati.

Tale genere di phishing viene spesso diffuso attraverso la posta elettronica, oppure tramite i social network, sotto forma di messaggi in cui si esorta a scaricare questo o quel documento, apparentemente custodito presso un cloud service particolarmente popolare presso il pubblico della Rete. I messaggi possono provenire da account compromessi presenti nell’elenco degli amici o, nel caso della posta elettronica, possono sembrare provenire direttamente dagli amministratori del servizio cloud.

Tramite le pagine web di phishing volte ad imitare i siti Internet di noti servizi di cloud storage, possono essere distribuiti anche programmi malware di vario genere. In tal caso, l’utente, cliccando sul link presente all’interno della pagina dannosa, esegue autonomamente il download del programma nocivo sul proprio computer.

Riportiamo qui di seguito, a titolo esemplificativo, uno di tali attacchi orditi dai phisher; attraverso di esso si invita l’utente ad effettuare il download di un “importante” documento PDF. Il link contenuto nel messaggio di posta elettronica conduce ad una pagina di phishing, elaborata in maniera tale da riprodurre l’aspetto del sito web di Dropbox, il popolare servizio di cloud storage.

Spam e phishing nel terzo trimestre del 2015

Esempio di attacco di phishing condotto nei confronti degli utenti di Dropbox

Oltre che per compiere il furto dei dati custoditi nel cloud, oltre che per realizzare la distribuzione di programmi malware, i cybercriminali sfruttano spesso la vasta popolarità di cui gode Dropbox, presso il pubblico degli utenti Internet, per effettuare il furto dei dati sensibili relativi agli account di posta elettronica delle vittime.

Spam e phishing nel terzo trimestre del 2015

Esempio di pagina web di phishing allestita allo scopo di sfruttare illecitamente il brand Dropbox

Illustriamo, qui di seguito, un ulteriore esempio di phishing: nella circostanza, i malintenzionati cercano di carpire all’utente-vittima l’ID Apple e la password che consentono l’accesso ad iCloud, il noto servizio di cloud storage e cloud computing sviluppato dalla casa di Cupertino.

Spam e phishing nel terzo trimestre del 2015

Esempio di phishing nei confronti degli utenti di iCloud

In caso di esito positivo di un simile attacco, i malfattori otterrebbero, tra l’altro, l’accesso ai contenuti digitali acquistati dall’utente, così come alla casella di posta elettronica di cui quest’ultimo dispone.

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

I truffatori continuano a concentrare i loro sforzi sui marchi più popolari, indirizzando ad essi la maggior parte del phishing di natura non mirata. I phisher contano di aumentare, in tal modo, le possibilità di successo dell’ennesimo attacco di phishing da essi condotto. Più della metà del numero complessivo dei rilevamenti effettuati dal componente euristico del nostro sistema “Anti-phishing” riguarda pagine web di phishing che intendono sfruttare in maniera indebita il nome e la popolarità di meno di 30 note società ed organizzazioni.

Alle tre organizzazioni più frequentemente sottoposte agli attacchi condotti dai phisher nel corso del terzo trimestre del 2015 è invece riconducibile il 26,39% del volume complessivo dei rilevamenti eseguiti grazie al componente euristico del sistema “Anti-phishing”.

Organizzazione % di rilevamenti eseguiti
1 Yahoo! 15,38
2 VKontakte 9,44
3 Facebook 8,95

La composizione della TOP-3 del terzo trimestre 2015, che riunisce i principali obiettivi degli attacchi compiuti dai phisher – a livello di organizzazioni maggiormente bersagliate da parte di tale categoria di malintenzionati della Rete – presenta alcune variazioni rispetto all’analogo rating relativo al secondo trimestre dell’anno in corso. La speciale graduatoria da noi stilata risulta ancora una volta capeggiata da Yahoo! (15,38%), nonostante la quota ascrivibile alle pagine Internet fasulle mascherate in veste di pagine web ufficiali di tale società si sia in pratica quasi dimezzata (- 13,65%) rispetto al trimestre precedente. Al secondo posto della TOP-3 rileviamo la presenza del noto social network russo VKontakte (9,44%); un’altra rete sociale – Facebook (8,95%) – ha visto diminuire la propria quota dell’1,49% ed è in tal modo scesa dal secondo al terzo posto del rating.

Conclusioni

Nel terzo trimestre del 2015, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un decremento di 0,8 punti percentuali rispetto all’analogo indice riscontrato nel trimestre precedente, attestandosi in tal modo su un valore medio pari al 54,2%. Le prime tre posizioni della speciale graduatoria del terzo trimestre relativa alle fonti dello spam “globale” – riguardante i Paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail indesiderate – risultano occupate, rispettivamente, dalle seguenti nazioni: Stati Uniti (15,3%), Vietnam (8,4%) e Cina (7,2%).

La stagione delle ferie e delle vacanze estive ha involontariamente generato il consueto aumento del numero dei messaggi di spam maligno ispirati a tematiche di natura turistica. In pratica, i cybercriminali hanno inondato le e-mail box degli utenti di notifiche fasulle mascherate sotto forma di comunicazioni ufficiali provenienti (in apparenza!) da noti servizi online specializzati nelle prenotazioni alberghiere, da famose compagnie aeree e rinomati hotel; a volte, il mittente di tali messaggi è risultato essere, a prima vista, un utente privato. In genere, le e-mail nocive in causa recavano in allegato file archivio contenenti temibili Trojan-Downloader di vario tipo.

Nel periodo trimestrale qui esaminato, la leadership della TOP-10 relativa ai programmi nocivi rilevati con maggior frequenza dal nostro antivirus e-mail all’interno del traffico di posta elettronica mondiale, è andata nuovamente ad appannaggio del malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen. La graduatoria inerente alle famiglie di software nocivi maggiormente diffuse nel traffico e-mail globale risulta invece capeggiata, ancora una volta, dalla famiglia di malware denominata Upatre, la quale occupa il primo posto del ranking sin dall’inizio dell’anno in corso. La prima posizione del rating del 3° trimestre 2015 relativo ai paesi verso i quali sono state inviate le maggiori quantità di spam nocivo – ovvero i Paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail – è andata ad appannaggio della Germania, la cui quota è risultata pari al 18,5%.

Una caratteristica peculiare del trimestre è indubbiamente rappresentata dall’utilizzo, da parte di coloro che realizzano le e-mail di phishing, di un nuovo trucco per bypassare i filtri antispam: nella circostanza, in effetti, i malintenzionati hanno inserito il testo e il relativo link fraudolento non nel corpo del messaggio e-mail, come d’abitudine, bensì nel documento PDF a quest’ultimo allegato.

Nel terzo trimestre del 2015, le soluzioni di sicurezza IT di Kaspersky Lab hanno neutralizzato oltre 36 milioni di tentativi di accesso a siti di phishing. Si tratta, complessivamente, di 6 milioni di rilevamenti in più rispetto all’analogo valore riscontrato relativamente al trimestre precedente. Sottolineiamo, infine, come la quota percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher sia stata osservata in Brasile (21,07%); tale circostanza si ripete ormai, per il Paese sudamericano, da alcuni trimestri a questa parte.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *