Lo spam nel mese di Giugno 2013

3 agosto 2013

Nel mese di giugno 2013 la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un incremento dell' 1,4%, attestandosi in tal modo su un valore medio pari al 71,1%.

Tat’jana Šerbakova
Marija Vergelis

Giugno in cifre
Le peculiarità del mese
Metodi e trucchi adottati dagli spammer
Ripartizione geografica delle fonti di spam
Allegati maligni rilevati nel traffico di posta elettronica
- Peculiarità e tratti caratteristici dello spam nocivo di giugno
Phishing
Conclusioni

Giugno in cifre

Nel mese di giugno 2013 la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un incremento dell' 1,4%, attestandosi in tal modo su un valore medio pari al 71,1%.
La quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e-mail è leggermente aumentata rispetto all'analogo valore rilevato nel precedente mese di maggio, ed ha fatto pertanto segnare un indice pari allo 0,0032% del volume complessivo di messaggi di posta elettronica circolanti in Rete.
Nel mese di giugno sono stati individuati allegati nocivi nell' 1,8% dei messaggi e-mail; il valore di tale indice è pertanto diminuito dell’1% rispetto all'analoga quota percentuale rilevata nel mese precedente.

Le peculiarità del mese

Lungo tutto l'arco del mese di giugno 2013 gli spammer si sono attivamente dedicati alla conduzione di mailing di massa volti a reclamizzare in special modo quei prodotti e quei servizi la cui domanda, per tradizione, aumenta considerevolmente nel corso dei mesi estivi. Ad esempio, in relazione al periodo in cui, nelle scuole e nelle università, si svolgono le abituali sessioni di esame, a livello tematico lo spam di giugno ha presentato una considerevole percentuale di messaggi e-mail recanti le più svariate proposte di rilascio di diplomi e attestati, così come di speciali certificati di formazione professionale. Evidenziamo inoltre come, nel mese oggetto del presente report, le campagne di spam che tradizionalmente sfruttano le tematiche legate alle festività stagionali siano state dedicate in particolar modo alla Festa del Papà, ricorrenza che negli Stati Uniti viene celebrata proprio nel mese di giugno.

Master class con la «partecipazione» di personaggi celebri

Ormai, ci siamo ampiamente abituati al fatto che gli spammer utilizzino in misura sempre maggiore i nominativi di personaggi famosi per cercare di attirare al massimo l'attenzione degli utenti della Rete nei confronti dei mailing di massa condotti; tale tecnica, come è noto, risulta essere sfruttata in primo luogo per l'allestimento e la diffusione delle cosiddette e-mail «nigeriane». Nel mese di giugno, tuttavia, all'interno dei flussi di posta elettronica sono state da noi individuate varie campagne di spam in cui i nominativi di personaggi particolarmente celebri sono stati utilizzati per fini un po' diversi dal solito, ovverosia per pubblicizzare master class di ogni sorta, nonché i più disparati corsi di formazione professionale.

In particolare, gli spammer hanno indebitamente sfruttato il nome di Steve Jobs, il celeberrimo fondatore della compagnia statunitense Apple. Come si può vedere nello screenshot qui sotto riportato, il titolo presente nell'e-mail indesiderata sembra invitare in maniera più che allettante il destinatario del messaggio di posta a venire a conoscenza del segreto dell'enorme successo professionale riscosso dal famoso imprenditore americano; in realtà, ciò che attende realmente il lettore dell’e-mail altro non è se non una comune pubblicità relativa ad un corso di formazione gratuito. Qui gli organizzatori promettono di poter insegnare a chiunque, in una sola ora e mezza, come combinare nel miglior modo possibile un business particolarmente redditizio con le proprie passioni; nella circostanza, il nominativo di Steve Jobs viene esclusivamente utilizzato per attirare al massimo l'attenzione del destinatario dell'e-mail nei confronti del corso di formazione proposto dagli spammer.

L'iPhone nello spam

L'enorme livello di popolarità raggiunto presso gli utenti di ogni angolo del globo dagli smartphone e dai tablet creati da Apple ha involontariamente generato la comparsa di un gran numero di aziende specializzate sia nella vendita di accessori specificamente dedicati ai prodotti della Mela, sia nella diffusione degli stessi dispositivi elettronici, generalmente offerti sul mercato in qualità di prodotti ufficiali a basso costo, ad un prezzo che, ovviamente, non può non far sorgere qualche legittimo "sospetto". Per molte delle suddette aziende, lo spam è ben presto divenuto uno strumento di particolare convenienza, del tutto accettabile, al quale fare costantemente ricorso per cercare di pubblicizzare su larga scala i prodotti proposti; nel mese di giugno, all'interno dei flussi mondiali di posta elettonica indesiderata, abbiamo in effetti rilevato la conduzione di varie campagne di spam aventi per oggetto le tematiche commerciali sopra descritte.

Ci siamo ad esempio spesso imbattuti in estese mailing di massa volte a reclamizzare "imperdibili" offerte di acquisto di prodotti Apple, proposti ai destinatari dei messaggi di posta con sconti davvero elevatissimi. Nella circostanza, nel tentativo di conferire una parvenza di legittimità e di ufficialità ai messaggi indesiderati inoltrati nelle e-mail box degli utenti, gli spammer hanno inserito nel campo «From» il nome della corporation di Cupertino, sebbene l'indirizzo del mittente, di fatto, non abbia nulla a che fare con gli account di posta elettronica abitualmente utilizzati da Apple. Gli autori delle e-mail di spam in questione si sono preoccupati di sottolineare ampiamente come il numero dei prodotti disponibili in stock fosse davvero limitato e la validità dell'offerta commerciale si estendesse su tempi estremamente ridotti. Si tratta, nella fattispecie, di un comune stratagemma, frequentemente utilizzato nell'ambito dello spam per far sì che il destinatario del messaggio non "perda" tempo in "inutili" considerazioni e riflessioni, e provveda invece al più presto a cliccare sul link appositamente inserito nell'e-mail per poter piazzare l'ordine del prodotto.

Gli spammer, in ogni caso, durante il mese di giugno non hanno offerto esclusivamente i vari prodotti Apple ai destinatari dei loro mailing di massa; in effetti, all'interno del traffico di spam abbiamo rilevato la presenza di numerosi messaggi e-mail in cui veniva proposta l'iscrizione a veri e propri seminari online (webinar) dedicati all'utilizzo di specifiche funzionalità possedute dai celebri dispositivi elettronici della Mela. E' stato ad esempio da noi individuata una mailing di massa volta a pubblicizzare un particolare webinar, grazie al quale - tra l'altro - l'utente avrebbe dovuto apprendere come realizzare al meglio video originali e di elevata qualità tramite i dispositivi iPad e iPhone. Gli autori di tali messaggi promettevano ugualmente ai destinatari delle e-mail indesiderate che la partecipazione al suddetto webinar avrebbe permesso a questi ultimi non solo di entrare in possesso delle tecniche necessarie per realizzare al meglio i filmati, ma anche di utilizzare le conoscenze acquisite grazie al webinar per ottenere, in futuro, interessanti guadagni extra.

Gli spammer in favore di un'istruzione accessibile a tutti...

L'estate non rappresenta esclusivamente il periodo delle vacanze per eccellenza; nella stagione estiva, in effetti, si svolgono abitualmente, a pieno ritmo, innumerevoli sessioni di esame presso scuole ed istituti universitari, sia a livello di esami finali che di prove di ammissione. Di fatto, nel corso del mese di giugno, nell'ambito dei flussi di spam globali, abbiamo rilevato un significativo incremento del numero di mailing di massa recanti ai destinatari proposte di “acquisto” di attestati, diplomi, lauree e dottorati fasulli vari, allo scopo di poter poi "certificare" il raggiungimento di livelli di istruzione superiori o particolarmente prestigiosi. E' stato da noi osservato come gli indirizzi di posta elettronica dei destinatari dei messaggi e-mail in causa siano stati spesso ricavati da fonti pubblicamente accessibili, da database di varia natura, oppure siano stati direttamente generati, in maniera automatica, tramite dizionario elettronico.

Nel mese analizzato nel presente report abbiamo rilevato la conduzione, da parte degli spammer, di numerose mailing di massa recanti proposte di iscrizione ad istituti universitari americani, così come offerte di insegnamento a distanza, negli orari in assoluto più comodi per i destinatari dei messaggi. Spesso, le e-mail indesiderate in questione contenevano link a pagine web provviste di apposito form per poter effettuare online la relativa richiesta di iscrizione. E' di particolare interesse rilevare come gli indirizzi Internet di tali pagine risultino in genere diversi da messaggio a messaggio, e siano stati creati nel giorno stesso in cui è stato effettuato l’invio alla mailing di massa. E' possibile che, attraverso la procedura sopra descritta, gli autori di tali campagne di spam non abbiano in realtà fatto altro che raccogliere subdolamente i dati personali degli utenti. Come accennato sopra, ci siamo ugualmente imbattuti in proposte di acquisto di lauree, diplomi e certificati di formazione vari, che, secondo le intenzioni degli spammer, avrebbero "permesso" ai destinatari dei messaggi di non "sprecare" tempo prezioso nello studio...

Un'altra tipologia di servizi collegati alla sfera dell'istruzione e dell'insegnamento, peraltro ampiamente rappresentata all'interno di tale specifica categoria di messaggi di spam, riguarda le cosiddette "ripetizioni" scolastiche, così come le lezioni private. Nella circostanza, i clienti degli spammer possono essere sia dei privati, sia agenzie o istituti specializzati nel fornire tali servizi; in sostanza, attraverso tali campagne di spam, si propone agli scolari e agli studenti di ogni ordine e tipo, tramite l'impiego di personale qualificato, di recuperare le insufficienze ricevute in questa o in quella materia, allo scopo di migliorare i propri voti e le prestazioni scolastiche nel complesso.

Sigari per festeggiare

Così come avevamo presupposto, durante il mese di giugno gli spammer hanno effettivamente condotto numerosi invii alle mailing di massa volti a reclamizzare prodotti destinati ad una ricorrenza particolarmente sentita - la Festa del Papà - tradizionalmente celebrata negli Stati Uniti alla metà del mese di giugno. Tuttavia, mentre lo scorso anno le campagne di spam riconducibili a tale tematica proponevano ai destinatari dei messaggi e-mail soprattutto repliche di costosi orologi di marca, nel 2013, in qualità di regalo più "ambito", è stato offerto l'acquisto di sigari particolarmente pregiati. Già da vari mesi, peraltro, avevamo rilevato la presenza di simili mailing di massa all'interno del traffico di posta elettronica; sottolineiamo, a tal proposito, come i messaggi distribuiti dagli spammer siano stati sempre elaborati sulla base di un modello e di un lay-out ben specifico, ripetuto costantemente nei vari invii effettuati. In pratica, di volta in volta, gli spammer hanno provveduto a modificare solo le immagini ed il colore delle didascalie riportate nelle e-mail; la disposizione dei vari elementi presenti all'interno dei messaggi è invece rimasta, in sostanza, quasi del tutto invariata.

Metodi e trucchi adottati dagli spammer

Nell'ambito dei flussi e-mail indesiderati che hanno caratterizzato il mese di giugno 2013, nell'elaborare i messaggi, gli spammer hanno attivamente utilizzato metodi e trucchi già ampiamente noti, per quanto ancora attuali e non privi di una certa efficacia. In particolare, abbiamo registrato la conduzione di alcuni invii a mailing di massa reclamizzanti le sigarette tradizionali e quelle elettroniche, in cui gli organizzatori, per allestire i link di spam, hanno fatto ampio ricorso alle possibilità offerte dal noto servizio online Google Translate. Oltre a ciò, gli spammer hanno aggiunto alla fine del link una serie di lettere generate casualmente, così come dei nomi di dominio, relativi a varie lingue, appartenenti alla corporation Google. Quale indirizzo di contatto, all'interno del messaggio è stato indicato un indirizzo e-mail registrato presso un servizio di posta elettronica gratuito; sottolineiamo, nella circostanza, come gli spammer siano soliti creare una moltitudine di account di posta del genere, indirizzi che poi vengono costantemente cambiati nelle e-mail via via elaborate, con il preciso intento di complicare il più possibile il prezioso ed utilissimo lavoro svolto dai filtri anti-spam.

Allo stesso modo, nel mese di giugno, gli spammer hanno fatto ampio ricorso a quei particolari elementi che vengono abitualmente inseriti nei messaggi "spazzatura" allo scopo di mascherare e "imbrattare" il testo effettivamente presente nell'e-mail. In particolare, gli autori di certe mailing di massa dedicate alle tematiche dell'istruzione e della formazione professionale hanno letteralmente "spezzato" le parole presenti nei testi da essi elaborati, inserendo qua e là, in maniera del tutto disordinata e casuale, una serie di simboli e caratteri. Dopo il "trattamento" ricevuto, il messaggio risulta ovviamente di non facile lettura, ma il significato delle frasi e delle indicazioni in esso presenti può essere in ogni caso immediatamente colto; la denominazione del programma di formazione, dell'istituto universitario e della facoltà, il costo del corso e gli indispensabili contatti di riferimento possono essere quindi agevolmente individuati da chiunque legga il messaggio.

Gli spammer che nel mese di giugno hanno offerto in Rete i prodotti Apple a prezzi letteralmente stracciati, hanno attivamente utilizzato un ulteriore trucco già ampiamente noto. Per "sporcare" il reale contenuto del messaggio e cercare quindi di eludere l'azione svolta dai filtri anti-spam, gli spammer hanno in effetti aggiunto nel corpo dell'e-mail veri e propri spezzoni di testo relativi a news del tutto reali riguardanti il mondo Apple, così come il relativo link al sito dell'agenzia di stampa.

Gli invii alle mailing di massa di giugno 2013 volti a pubblicizzare offerte di vacanze in Russia e all'estero abbiamo poi curiosamente rilevato l'utilizzo simultaneo, all'interno di una medesima parola, dei caratteri cirillici e dei caratteri latini. Una tecnica del genere è stata ugualmente utilizzata dagli autori di annunci relativi a vendite nel settore immobiliare: una parte delle cifre presenti nel testo di tali messaggi è stata difatti sostituita con lettere ad esse simili; volutamente, poi, sono stati omessi gli spazi intercorrenti tra una parola e l'altra; infine, nelle e-mail in questione, sono stati inseriti caratteri aggiuntivi, in maniera del tutto casuale.

Ripartizione geografica delle fonti di spam

Le prime tre posizioni della speciale graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - sono rimaste invariate rispetto all’analogo rating del mese precedente. In ogni caso, le quote percentuali riconducibili ai paesi che occupano i tre gradini del "podio" virtuale di giugno 2013 hanno fatto registrare incrementi piuttosto significativi. La leadership della speciale classifica è andata nuovamente ad appannaggio della Cina (23,9%); rispetto all'analogo indice rilevato nello scorso mese di maggio, la quota relativa al “colosso” dell’Estremo Oriente ha fatto quindi registrare un aumento di due punti percentuali e mezzo.

Geografia delle fonti di spam rilevate nel mese di giugno 2013 - Graduatoria su scala mondiale

L’indice relativo ai messaggi e-mail indesiderati provenienti dal territorio degli Stati Uniti d’America ha fatto registrare un incremento dello 0,9% rispetto al mese precedente; gli USA hanno in tal modo mantenuto la seconda posizione nell’ambito della graduatoria sopra riportata, facendo complessivamente segnare una quota percentuale media pari al 17,2%. La terza piazza del rating di giugno 2013 risulta occupata - così come nel mese precedente - dalla Corea del Sud (14,5%); la quota percentuale ascrivibile ai flussi di spam generati entro i confini del paese asiatico ha fatto registrare un ulteriore incremento (+ 2,5%) rispetto all’analogo indice rilevato nello scorso mese di maggio.

Ha conservato la propria posizione all’interno della TOP-5 anche Taiwan (5,8%); lungo tutto l'arco del periodo analizzato nel presente report la quota percentuale riconducibile al paese dell'Estremo Oriente insulare è sostanzialmente rimasta invariata. Osserviamo, inoltre, come il Vietnam (3,3%) non faccia attualmente più parte delle prime cinque posizioni della graduatoria mondiale delle fonti di spam; rispetto al mese di maggio 2013, l'indice relativo al paese del Sud-est asiatico è in effetti diminuito di 1,7 punti percentuali. Ciò ha comportato la "perdita" di una posizione in classifica; il Vietnam è andato in tal modo ad occupare la sesta piazza del rating in questione. Al quinto posto della graduatoria si è così insediata l'Ukraina, con una quota percentuale pari al 3,7% del volume complessivo dei messaggi "spazzatura" diffusi su scala globale nel corso del mese qui analizzato.

La settima e l'ottava posizione della speciale classifica da noi stilata sono andate rispettivamente ad appannaggio di Bielorussia (2,8%) e Kazakhstan (2,7%). Nel mese di giugno, le quote attribuibili ai flussi di spam provenienti da tali paesi sono risultate leggermente inferiori rispetto agli analoghi valori riscontrati nel mese precedente; l'indice percentuale relativo alla Bielorussia è in effetti diminuito dello 0,6%, mentre la quota ascrivibile al Kazakhstan ha fatto complessivamente registrare un decremento pari all' 1,6%.

La Russia (2,1%), da parte sua, in giugno ha visto diminuire la propria quota dello 0,1%, ed è in tal modo passata dalla decima all'undicesima posizione della speciale graduatoria da noi stilata. Osserviamo infine come l’indice percentuale attribuibile all'Italia (2,1%) sia aumentato in maniera piuttosto sensibile rispetto al mese precedente (circa un punto percentuale in più); ciò ha determinato la "conquista" di una posizione in graduatoria da parte di tale paese. L'Italia è quindi passata dal tredicesimo posto del mese di maggio 2013 all’attuale dodicesima posizione.

Geografia delle fonti di spam rilevate nel mese di giugno 2013 relativamente ai messaggi e-mail indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei

La prima posizione della classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei è andata nuovamente ad appannaggio della Corea del Sud; nel mese oggetto del presente report, la quota attribuibile al paese dell’Estremo Oriente ha fatto segnare un ulteriore sensibile aumento rispetto a maggio 2013 (+ 9,6 punti percentuali), attestandosi in tal modo su un valore complessivo estremamente elevato (55,3%). Osserviamo, inoltre, come gli Stati Uniti (4,6%) e il Vietnam (3,7%) non risultino più far parte delle prime tre posizioni della speciale graduatoria "europea" delle fonti di spam. Rispetto all'analogo rating di maggio 2013, entrambi i paesi hanno "perso" due posizioni in classifica; gli USA si sono in effetti collocati alla quarta piazza del rating, mentre il Vietnam si è insediato in quinta posizione. Il secondo e il terzo gradino del "podio" virtuale sono pertanto andati ad appannaggio rispettivamente di Italia (6,7%) e Taiwan (5%). Desideriamo nella circostanza sottolineare come l'indice percentuale relativo all'Italia sia aumentato di ben 3,9 punti percentuali rispetto a maggio 2013, mese in cui tale paese occupava "soltanto" la settima piazza della graduatoria qui analizzata. Rileviamo, inoltre, come la sesta posizione del rating di giugno risulti occupata dall'India (2,2%); il "colosso" asiatico - dodicesimo nell'ambito dell'analoga classifica di maggio - ha pertanto "guadagnato" ben sei posizioni in graduatoria.

Osserviamo poi come Ukraina (1,9%), Cina (1,3%) e Giappone (0,6%) abbiano invece perso alcune posizioni rispetto al mese precedente. In effetti, nella classifica "europea" di giugno 2013, tali paesi sono andati rispettivamente a collocarsi all'ottavo, dodicesimo e sedicesimo posto. L’indice percentuale relativo alle quantità di spam inviate in Europa dal territorio della Federazione Russa ha fatto segnare una diminuzione dell' 1,1%, attestandosi in tal modo su un valore medio pari all' 1%. La Russia, che occupava la decima piazza dell’analoga graduatoria di maggio, ha così "perso" tre posizioni in classifica, passando di fatto dal decimo al tredicesimo posto nell'ambito del rating qui sopra riportato. Allo stesso modo, ha fatto registrare un significativo decremento anche la quota ascrivibile ai flussi di messaggi e-mail indesiderati provenienti dalla Gran Bretagna (0,5%); nel mese oggetto del presente report, il Regno Unito si è in tal modo collocato all'ultimo posto della TOP-20 in causa, facendo segnare una diminuzione di 0,6 punti percentuali rispetto all'analogo indice rilevato nello scorso mese di maggio.

Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di maggio 2013

La graduatoria relativa alla ripartizione delle fonti di spam per macro-regioni geografiche mondiali risulta ancora una volta dominata dall’Asia, con una quota pari al 57,3%; nel mese di giugno 2013, l’indice complessivamente attribuibile al continente asiatico ha fatto registrare un incremento di 1,2 punti percentuali rispetto all’analogo valore riscontrato nel mese precedente. Così come nel rating di maggio 2013, il secondo e il terzo gradino del “podio” virtuale risultano occupati da America Settentrionale (18,7%) ed Europa Orientale (13,2%). L’indice relativo alle quantità di spam inviate dal territorio di paesi situati sul continente nordamericano è tuttavia aumentato dello 0,6%, mentre la quota percentuale complessivamente attribuibile all'Europa Orientale ha fatto registrare una diminuzione dell' 1,4%.

Allegati maligni rilevati nel traffico di posta elettronica

Nel mese di maggio 2013, all’interno dei flussi di posta elettronica mondiali, la quota relativa alle e-mail contenenti allegati dannosi si è attestata su un valore medio pari all’ 1,8% del traffico e-mail globale, facendo in tal modo registrare un decremento di un punto percentuale rispetto all’analogo valore riscontrato nel mese precedente. Continua quindi a rimanere piuttosto elevato il numero delle e-mail di spam preposte a convogliare allegati nocivi verso le e-mail box degli utenti.

TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica
nel mese di giugno 2013

La TOP-10 del mese di giugno 2013 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica globali risulta capeggiata, così come nel mese precedente, dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen; la quota attribuibile a tale programma malevolo si è mantenuta pressoché inviariata rispetto all’analogo indice rilevato in maggio. Ricordiamo, nella circostanza, che il suddetto programma malware è stato elaborato dai suoi autori sotto forma di pagine HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli.

Il secondo gradino del “podio” risulta poi occupato dal software nocivo classificato come Email-Worm.Win32.Bagle.gt. Si tratta di un worm di posta elettronica in grado di raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi auto-diffondersi in Rete tramite gli account di posta illecitamente carpiti. Tale programma nocivo risulta inoltre provvisto di ulteriori "doti": esso è stato appositamente creato dai virus writer per interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare ulteriori file malevoli sui computer sottoposti ad attacco, a totale insaputa degli utenti-vittima.

La terza posizione della speciale classifica di giugno 2013 dedicata ai programmi malware maggiormente diffusi in seno ai flussi e-mail è andata ad appannaggio di un altro worm di posta elettronica - il software nocivo denominato Email-Worm.Win32.Mydoom.I. Esso è provvisto delle funzionalità tipiche dei più comuni e-mail worm; al pari dei suoi "illustri confratelli", Mydoom.I provvede innanzitutto ad effettuare la ricerca degli indirizzi di posta elettronica presenti nel computer-vittima. In seguito, il worm in questione esegue il processo di auto-diffusione in Rete, camuffandosi sotto forma di file allegato ad un messaggio e-mail (file con estensione .doc, .htm, .html e .txt). Naturalmente, nel messaggio fasullo comparirà, in qualità di indirizzo e-mail del mittente, uno degli account di posta elettronica illecitamente carpiti dal worm in questione.

Continuando ad analizzare la TOP-10 qui sopra riportata, rileviamo che un ulteriore rappresentante della famiglia di malware denominata Mydoom — ovvero Mydoom.m — è andato ad occupare la sesta posizione della speciale graduatoria da noi stilata. Il compito principale di tale worm di posta elettronica, oltre all'abituale processo di auto-riproduzione, consiste nell'invio di apposite query di ricerca anonime a noti search engine, quali Google, Yahoo, Altavista, Lycos. Tale programma malware provvede poi a confrontare gli indirizzi dei siti web restituiti sulla prima pagina dei risultati forniti dai suddetti motori di ricerca - con un elenco di indirizzi precedentemente scaricato dai server nocivi allestiti dai malintenzionati. Nel caso in cui il worm Mydoom.m individui una precisa corrispondenza, il link in questione verrà immediatamente aperto sulla pagina dei risultati prodotti dal search engine, incrementando in tal modo in maniera "artificiale" il numero delle visite ricevute dal sito web in causa; il risultato dell'operazione illecitamente condotta sarà pertanto rappresentato da una sorta di innalzamento forzato del ranking di tale sito Internet nell'ambito dei risultati restituiti dal motore di ricerca.

La quarta posizione della speciale graduatoria di giugno 2013 da noi elaborata è andata ad appannaggio del software nocivo denominato Trojan-Dropper.Win32.Dorifel.aewv. Il principale compito del programma trojan in questione è quello di eseguire i comandi di volta in volta trasmessi dal server remoto, oltre che di effettuare il download ed avviare l'esecuzione di ulteriori programmi nocivi sul computer preso di mira.

Completa la TOP-5 relativa ai software nocivi rilevati con maggiore frequenza all'interno del traffico e-mail un rappresentante della famiglia di malware ZeuS/Zbot, ovvero il programma Trojan-Spy.Win32.Zbot.Ibda. Lo scopo principale che si prefigge il trojan in questione è rappresentato dal furto delle informazioni confidenziali di varia natura custodite nei computer degli utenti, incluso - ovviamente - i dati sensibili relativi alle carte di credito. Nel mese oggetto del presente report abbiamo individuato oltre 1300 varianti di programmi trojan riconducibili alla famiglia Zeus/Zbot; complessivamente, la quota ascrivibile a tali software dannosi è risultata all'incirca pari al 7% del volume totale di programmi nocivi presenti nei flussi di posta elettronica.

Sottolineiamo infine la presenza, all'interno della TOP-10 di giugno 2013, di un trojan spyware appartenente alla famiglia Tepfer, largamente diffuso - lungo tutto l'arco dell'anno in corso - all'interno del traffico e-mail globale.

Ripartizione per paesi dei rilevamenti eseguiti nel mese di giugno 2013 dall’antivirus e-mail

La leadership della graduatoria qui sopra inserita - riguardante i paesi nei quali, durante il mese di giugno 2013, il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail - è andata ad appannaggio della Russia: la quota percentuale attribuibile alla Federazione Russa è tra l'altro risultata particolarmente elevata (29,4%). L'indice in questione è quindi aumentato di ben 13 volte rispetto all'analogo valore riscontrato nel mese precedente; ricordiamo, a tal proposito, che nel maggio 2013 la quota ascrivibile alla Russia non aveva superato la soglia del 2,2%. Una crescita così repentina è da imputare principalmente al forte aumento del numero dei messaggi e-mail infestati dai worm di posta elettronica, in particolar modo Net-Worm.Win32.Kido.ih, Worm.Win32.AutoRun.dtbv e IM-Worm.Win32.Sohanad.bm.

Gli Stati Uniti, leader della graduatoria del mese precedente, sono in tal modo scesi in seconda posizione nell'ambito di tale speciale classifica. Rispetto a maggio 2013, l'indice attribuibile agli USA ha fatto registrare un decremento del 4,7%, attestandosi in tal modo su un valore medio pari al 9,6%. Il terzo gradino del podio "virtuale" di giugno risulta occupato dalla Germania (7,9%); la quota attribuibile a tale paese ha fatto tuttavia registrare una diminuzione dell' 1,6% rispetto al mese passato. La quarta e la quinta posizione della speciale classifica da noi stilata sono andate rispettivamente ad appannaggio di India (5,9%) ed Australia (4,9%).

Osserviamo inoltre come, nel mese qui analizzato, il volume complessivo dei rilevamenti eseguiti dall'antivirus e-mail entro i confini della Gran Bretagna (3,3%) abbia fatto registrare una significativa diminuzione, pari a 2,7 punti percentuali; il Regno Unito, che nell’analogo rating riepilogativo inerente a maggio 2013 occupava la terza posizione della graduatoria, è pertanto sceso all'ottava posizione della classifica sopra riportata. L'Italia, da parte sua, con un indice pari al 2,4%, si è collocata al penultimo posto della TOP-10 di giugno; la quota ad essa ascrivibile è in effetti diminuita di ben 2,8 punti percentuali rispetto a maggio.

L'ultima piazza della TOP-10 risulta occupata dalla Cina (1,7%). Ricordiamo, a tal proposito, che nel mese precedente la posizione di coda della speciale graduatoria da noi elaborata era invece andata ad appannaggio del Canada.

Peculiarità e tratti caratteristici dello spam nocivo di giugno

Nel mese analizzato nel presente report, all’interno del traffico di posta elettronica, è stata da noi individuata una singolare ed estesa campagna di spam volta a recapitare un pericoloso software nocivo nelle caselle e-mail degli utenti della Rete. Nella circostanza, gli spammer hanno preso di mira le società che abitualmente usufruiscono delle soluzioni e dei servizi offerti nel web da LexisNexis, la nota compagnia statunitense specializzata nel fornire l'accesso online a numerose banche dati. Attraverso tali messaggi contraffatti, a prima vista spediti tramite un indirizzo di posta del tutto legittimo - <einvoice.notification@lexisnexis.com> - si informava in primo luogo il destinatario dell'e-mail riguardo al fatto che LexisNexis aveva provveduto ad emettere apposita fattura nei confronti di quest'ultimo, relativa a determinati servizi resi dalla società americana in questione. Per ottenere maggiori informazioni riguardo a tale fattura e alle modalità di pagamento per essa previste - o per stampare il documento - il destinatario del messaggio di posta avrebbe dovuto provvedere ad aprire il file archivio allegato all'e-mail di spam. In realtà, l'archivio <LexisNexis_Invoice_06212013.zip> celava l'insidioso programma trojan denominato Tepfer, abitualmente utilizzato dai malfattori per compiere il furto di login e password relativi agli account aperti in Rete dagli utenti.

E' di particolare interesse rilevare come, nella circostanza, i malintenzionati in causa abbiano indiscutibilmente compiuto notevoli sforzi per cercare di conferire al messaggio fasullo da essi elaborato l'aspetto di un'e-mail proveniente da una fonte ufficiale: si noti, ad esempio, che gli spammer hanno utilizzato sia il logo effettivo della società LexisNexis, sia informazioni di contatto autentiche. In ogni caso, se si esamina con attenzione il testo presente nell'e-mail di spam nocivo, si osserverà immediatamente come, per ben tre volte, i malintenzionati cerchino di convincere in ogni modo gli utenti destinatari dell'e-mail nocivo ad aprire l'allegato contenuto nel messaggio. Ci pare doveroso sottolineare che circostanze del genere, ovviamente, debbono invece indurre il destinatario dell'e-mail ad essere particolarmente cauto e prudente.

Phishing

In giugno, la quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e-mail è leggermente aumentata rispetto all'analogo valore rilevato nel precedente mese di maggio, ed ha fatto pertanto segnare un indice pari allo 0,0032% del volume complessivo di messaggi di posta elettronica circolanti in Rete.

TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di giugno 2013 -
Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali nocivi contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

I dati raccolti ed analizzati dai nostri esperti hanno evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la categoria che raggruppa i social network abbia continuato a detenere la prima posizione della speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher. L’indice percentuale attribuibile a tale categoria ha fatto tuttavia segnare un decremento del 4,6% rispetto al valore per essa riscontrato nel mese precedente, attestandosi in tal modo su un valore medio complessivo pari al 31,3%.

Il secondo e il terzo gradino del “podio” virtuale risultano poi rispettivamente occupati - così come in maggio - dalle categorie “Motori di ricerca” (15,6%) ed “Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari” (14,3%). Nel mese precedente, le quote ascrivibili a tali categorie risultavano sostanzialmente identiche; in giugno abbiamo invece assistito ad un aumento dello 0,61% dell'indice relativo ai search engine, mentre la quota relativa ad “Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari” è specularmente diminuita di 0,6 punti percentuali.

Rispetto a maggio, i servizi di posta elettronica hanno "guadagnato" ben tre posizioni in classifica, portandosi in tal modo al quarto posto della speciale graduatoria da noi stilata. In effetti, l'indice percentuale attribuibile alla categoria "Posta elettronica, programmi di instant messaging" è aumentato di quasi 3 volte rispetto all'analogo valore rilevato nel mese precedente, facendo così segnare un valore pari al 13,2%. Per contro, la categoria che raccoglie i vendor IT (9,5%) è scesa al quinto posto del rating, perdendo in tal modo una posizione rispetto alla TOP-100 di maggio 2013. Osserviamo inoltre come la categoria denominata "Fornitori di servizi di telefonia ed Internet provider", con una quota percentuale pari all' 8,2%, abbia mantenuto la stessa posizione del mese precedente (sesta piazza della graduatoria), mentre al settimo posto della classifica di giugno troviamo i negozi online (5,7%), che hanno di fatto perso due posizioni rispetto all'analogo rating del mese precedente.

In giugno sono stati da noi individuati, all’interno dei flussi di spam, alcuni mailing di massa composti da messaggi e-mail contraffatti apparentemente inviati a nome di PayPal, il noto sistema di pagamento elettronico. In uno di tali messaggi, ad esempio, si comunicava al destinatario che il sistema aveva rilevato l'esecuzione di transazioni finanziarie sospette, realizzate tramite la carta di credito collegata all'account PayPal; in relazione a ciò, pertanto, l'accesso all'account personale dell'utente era stato temporaneamente sospeso. Nella circostanza, per ripristinare il normale accesso all'account, il destinatario dell'e-mail di phishing avrebbe dovuto "necessariamente" aprire il file contenuto nell'archivio .zip allegato al messaggio, ovvero <AccountVerification.zip>. Il file in questione, denominato dai malintenzionati <Verify Account.html> si sarebbe aperto nel browser dell'utente-vittima, risultando essere, a tutti gli effetti, una pagina web contraffatta, appositamente elaborata dai phisher per "aggiornare" il profilo dell'utente. Secondo le intenzioni dei malfattori, il destinatario del messaggio truffaldino avrebbe dovuto inserire, all'interno dell'apposito form contenuto nella pagina HTML in questione, i dati sensibili relativi alla propria carta di credito e all'account PayPal, nonché ulteriori informazioni di natura personale; tutto quanto, ovviamente, sarebbe poi andato a finire dritto dritto nelle mani dei malintenzionati di turno. In tal modo, i phisher avrebbero ottenuto l'accesso non solo all'account PayPal della propria "vittima", ma anche all'utilizzo della carta di credito intestata all'utente raggirato.