Lo spam nel secondo trimestre del 2013

7 agosto 2013

La quota dello spam presente nel traffico di posta elettronica ha fatto registrare un incremento del 4,2% rispetto al primo trimestre del 2013, attestandosi in tal modo su un valore medio pari al 70,7%.

Dar'ja Gudkova

Il trimestre in cifre
Metodi e trucchi adottati dagli spammer
Le statistiche del secondo trimestre 2013
Allegati nocivi rilevati nel traffico di posta elettronica
Phishing
Conclusionii

Il trimestre in cifre

La quota dello spam presente nel traffico di posta elettronica ha fatto registrare un incremento del 4,2% rispetto al primo trimestre del 2013, attestandosi in tal modo su un valore medio pari al 70,7%.
L'indice relativo ai messaggi di phishing individuati nel flusso globale delle e-mail è diminuito dello 0,0016%, facendo pertanto segnare un valore pari allo 0,0024% del volume complessivo di messaggi di posta elettronica diffusi in Rete.
Sono stati individuati allegati nocivi nel 2,3% dei messaggi e-mail; tale indice ha fatto quindi registrare un decremento dell' 1% rispetto all'analogo valore riscontrato nel trimestre precedente.

Metodi e trucchi adottati dagli spammer

Le varie tipologie di spam attualmente esistenti generano, per gli spammer, profitti di diversa entità. L'abituale mailing di massa volto a pubblicizzare i prodotti o i servizi offerti da aziende di cole dimensioni porta nelle tasche degli spammer una certa cifra. I messaggi e-mail indesiderati che reclamizzano viagra e prodotti affini permettono di realizzare un diverso tipo di guadagno; nella circostanza, come è noto, gli spammer ricevono una determinata somma di denaro per ogni cliente che, dopo aver cliccato sull'apposito link inserito nell'e-mail, procede all'acquisto delle "miracolose" pillole blu. Il genere di spam in assoluto più redditizio risulta tuttavia essere quello che prevede l'invio di messaggi e-mail nocivi nelle caselle di posta elettronica degli utenti di ogni angolo del globo: per ogni computer infettato dal malware, in effetti, lo spammer ottiene di solito molto di più, in termini di denaro, rispetto a quanto può abitualmente ricavare dalla vendita di pillole di ogni tipo. Coloro che si dilettano a inondare le e-mail box degli utenti della Rete di pericolosi allegati nocivi fanno tutto il possibile e l'immaginabile affinché i software nocivi da essi distribuiti penetrino con successo all'interno dei computer-vittima, producendo in tal modo i danni "desiderati". E' per questo motivo che, nella conduzione delle campagne di spam ascrivibili a tale specifica tipologia, gli spammer ricorrono sempre con maggior frequenza a trucchi e stratagemmi di ogni tipo, nonché a numerosi metodi di ingegneria sociale.

Messaggi di spam nocivo indirizzati ad utenti aziendali

Nel corso del trimestre analizzato nel presente report, un elevato numero di messaggi e-mail contenenti insidiosi allegati nocivi è stato recapitato nelle caselle di posta elettronica di utenti aziendali.

Tutti i messaggi nocivi in questione sono stati camuffati dai malintenzionati sotto forma di e-mail elaborate in maniera automatica, ovvero notifiche relative alla mancata consegna o al ricevimento di un messaggio di posta, comunicazioni riguardanti la ricezione di un fax o la scansione di un determinato documento.

In tali e-mail non vi è traccia delle abituali tecniche di ingegneria sociale utilizzate dagli spammer, quali, ad esempio, il far intravedere al destinatario del messaggio l'opportunità di ottenere elevate somme di denaro, di cui si potrà entrare in possesso - a detta dei malintenzionati - con un semplice click del mouse, aprendo il file allegato al messaggio. E' proprio questo, tuttavia, che rende meno sospetti i messaggi e-mail riconducibili a tale tipologia. I malfattori, in effetti, contano molto sul fatto che il personale dell'azienda non presti troppa attenzione a certi dettagli, e consideri quindi perfettamente legittime le e-mail ricevute, procedendo in tal modo all'apertura dei file allegati a queste ultime, file in genere contenenti pericolosi programmi malware.

Il messaggio nocivo qui di seguito riprodotto, ad esempio - apparentemente proveniente da un server di posta - imita a tutti gli effetti le consuete notifiche relative al mancato recapito dell'e-mail spedita (Not Delivery Report).

Tale messaggio sembra difatti provenire dal MAILER-DAEMON del dominio in cui risulta ubicato l'indirizzo di posta elettronica del destinatario dell'e-mail, ed ha l'aspetto del classico messaggio standard preposto a notificare una mancata consegna. Per ogni eventuale chiarimento, il destinatario dell'e-mail potrà sempre rivolgersi all'indirizzo postmaster@<userdomain>...Nel caso specifico, l'allegato inserito dai malintenzionati reca un file eseguibile (denominato in vari modi: instruction.exe, mail.scr e via dicendo), rilevato dalle soluzioni anti-malware di Kaspersky Lab come Email-Worm.Win32.Mydoom.m.

Inoltre, numerosi messaggi di spam nocivo sono stati camuffati sotto forma di notifiche relative all’invio di fax o alla scansione di documenti.

Ovviamente, anche in tale circostanza, gli allegati presenti nelle e-mail contenevano software nocivi di vario tipo. E' interessante rilevare come numerosi messaggi contraffatti siano stati mascherati dagli spammer sotto forma di comunicazioni provenienti (in apparenza!) da dispositivi HP e dal servizio JConnect, particolarmente popolari nel segmento aziendale; nella fattispecie, tali e-mail fasulle sono state inviate ad indirizzi di posta elettronica facenti capo a varie società ed organizzazioni, e non verso account di posta riconducibili a servizi mail gratuiti. Un messaggio del genere ha buone probabilità di essere ritenuto affidabile da parte del destinatario dell’e-mail, se la società nella quale quest'ultimo opera è solita ricorrere all'utilizzo di simili servizi e tecnologie.

Segnaliamo infine uno dei metodi in assoluto prediletti dagli spammer, ovvero l'andare a toccare temi e questioni legati alla sfera della sicurezza IT. In uno dei mailing di massa da noi rilevati all'interno del traffico di spam che ha caratterizzato il secondo trimestre dell'anno, abbiamo individuato dei messaggi contraffatti appositamente allestiti dai malintenzionati nel tentativo di imitare le notifiche abitualmente trasmesse da Citigroup riguardo al ricevimento di e-mail cifrate.

In realtà, il file allegato al messaggio non conteneva una comunicazione cifrata, bensì un pericoloso programma trojan, classificato da Kaspersky Lab come Trojan-PSW.Win23.Tepfer.nblo.

E-mail del genere sembrano far parte dell'ordinaria corrispondenza elettronica e, in genere, non suscitano particolari sospetti, soprattutto se l'impiegato aziendale, al momento della ricezione del messaggio, si trova totalmente immerso nel proprio lavoro quotidiano. L'unico sospetto può essere eventualmente generato dalla presenza, in qualità di allegato, di un file eseguibile; quest'ultimo può difatti indurre molti utenti a "drizzare bene le orecchie" ed assumere, di conseguenza, un atteggiamento particolarmente prudente.

I programmi malware destinati alle e-mail box degli utenti aziendali vengono abitualmente distribuiti con varie modalità, dai malintenzionati dello spam. Desideriamo a tal proposito ricordare a tutti coloro che operano all'interno di società, imprese ed organizzazioni che i codici nocivi possono essere contenuti anche nei documenti in genere utilizzati per il lavoro d'ufficio; occorre pertanto prestare sempre particolare attenzione ai messaggi di posta elettronica che recano degli allegati.

E-mail provenienti (in apparenza!) da «note» risorse web

All'interno dei nostri consueti report sullo spam abbiamo più volte riferito in merito all'abituale presenza, nel traffico di posta elettronica, di un consistente numero di messaggi e-mail mascherati sotto forma di notifiche e comunicazioni ufficiali provenienti da social network, negozi online, corrieri internazionali, compagnie aeree, etc. Anche nel periodo qui analizzato, in seno ai flussi di spam la quantità di simili messaggi è risultata essere estremamente elevata. Stavolta, si è unito al novero dei negozi Internet fatti oggetto da parte degli spammer di simili messaggi contraffatti anche Walmart, la nota catena operante nel settore della grande distribuzione.

Come si può vedere nello screenshot qui sopra riportato, in uno di tali messaggi di spam maligno si evoca un acquisto apparentemente effettuato presso la suddetta risorsa online. Tutti i link contenuti nel messaggio sono stati appositamente inseriti dai malintenzionati allo scopo di condurre il malcapitato destinatario dell'e-mail verso siti web violati, preposti ad effettuare il redirecting dell'utente verso un sito web nocivo imbottito di pericolosi exploit.

Cartoline elettroniche nocive

In passato, in occasione di ogni festività di rilievo presente sul calendario, i malfattori erano soliti ricorrere all'invio di e-card contenenti pericolosi allegati nocivi; negli ultimi tempi, tuttavia, le cartoline elettroniche nocive sembravano essere quasi del tutto scomparse dai flussi di spam. Nel trimestre qui preso in esame, invece, sono stati da noi nuovamente individuati alcuni mailing di massa nocivi riconducibili a tale specifica tipologia, attraverso i quali gli spammer hanno sfruttato la grande notorietà di Hallmark, il principale creatore - sul mercato statunitense - di ogni genere di cartoline e biglietti di auguri.

L'allegato inserito nel messaggio esemplificativo qui sopra riprodotto viene identificato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan.Win32.Buzus.liez.

Utilizzo di testi «spazzatura»

Nel trimestre oggetto del presente report, oltre all'impiego delle cartoline elettroniche nocive, abbiamo assistito all'utilizzo, da parte degli spammer, di un ulteriore "vecchio" metodo, ben collaudato, che sembrava ormai essere quasi caduto nel dimenticatoio. Come abbiamo visto nel precedente resoconto trimestrale dedicato al fenomeno spam, nei primi tre mesi del 2013 era tornato a godere di una certa popolarità, presso le folte schiere degli spammer, un metodo alquanto semplice, utilizzato per camuffare, o meglio letteralmente “imbrattare”, il contenuto dei messaggi e-mail spediti, conosciuto come il metodo del «testo in bianco». Esso consiste, in pratica, nell’aggiunta all’interno del messaggio di posta (nella parte finale di quest'ultimo) di brani di testo del tutto casuali, scritti con caratteri di colore grigio-chiaro su uno sfondo generalmente grigio, e separati dal testo principale dell’e-mail da una notevole quantità di interruzioni di riga. Nel trimestre qui esaminato, gli spammer hanno in sostanza fatto ricorso allo stesso identico trucco, mettendo tuttavia in pratica alcune lievi modifiche. Essi hanno provveduto, come in precedenza, ad aggiungere del testo casuale ai messaggi elaborati; stavolta, tuttavia, gli spammer non hanno reso "invisibili" i testi aggiuntivi, ma li hanno semplicemente separati dal corpo principale dell'e-mail utilizzando il consueto elevato numero di interruzioni di riga. E' singolare osservare come tutti i testi casuali in questione siano stati ricavati dalle più svariate notizie di attualità internazionale. Così, mentre nella parte iniziale del messaggio il destinatario dell'e-mail si è trovato di fronte a variopinte e sgargianti immagini utilizzate per proporre l'acquisto degli abituali prodotti o servizi reclamizzati nello spam, scorrendo il messaggio sino alla fine l'utente si sarebbe imbattuto in frammenti di testo casuale scritto con caratteri a dir poco minuscoli, relativi a notizie di attualità di vario genere (la morte del leader venezuelano Hugo Chavez, gli attentati terroristici avvenuti alla maratona di Boston, la delicata situazione politico-militare nella penisola coreana).

Le statistiche del secondo trimestre 2013

Quota di spam nel traffico di posta elettronica

Nel secondo trimestre del 2013 la quota dello spam presente all'interno dei flussi e-mail ha fatto registrare un valore medio pari al 70,7%. L'indice in questione è quindi aumentato del 4,2% rispetto all'analoga quota percentuale rilevata nel primo trimestre dell'anno in corso. Tale incremento non può essere tuttavia considerato come il manifestarsi di una precisa e specifica tendenza: l'indice percentuale relativo al primo trimestre del 2013, in effetti, è risultato notevolmente inferiore esclusivamente in ragione del fatto che, nello scorso mese di gennaio, la quota di spam rilevata all'interno del traffico di posta elettronica ha fatto registrare un valore medio particolarmente contenuto (58,3%). In seguito, in tutti gli altri mesi dell'anno corrente, la quota dello spam rilevato in seno ai flussi e-mail globali si è sempre attestata su valori prossimi alla soglia dei 70 punti percentuali.

Quote di spam rilevate mensilmente nel traffico e-mail nel corso del primo semestre del 2013

Le trascurabili variazioni che nel corso degli ultimi cinque mesi del 2013 si sono manifestate a livello di presenza di spam all'interno dei flussi di posta elettronica mondiali, rappresentano un indice inequivocabile di una significativa stabilizzazione delle quote percentuali ascrivibili ai messaggi "spazzatura" in seno al traffico e-mail, dopo che, nel corso di questi ultimi anni, abbiamo invece assistito a rapide ascese e brusche cadute dei valori relativi alle suddette quote.

Geografia delle fonti di spam

Ripartizione geografica delle fonti di spam rilevate nel secondo trimestre del 2013 - Suddivisione per paesi

Le prime tre posizioni della speciale graduatoria relativa alla ripartizione geografica delle fonti dello spam mondiale sono rimaste invariate rispetto al trimestre precedente, sebbene le quote ascrivibili ai messaggi e-mail "spazzatura" inviati dai paesi che occupano i tre gradini del "podio" virtuale del secondo trimestre dell'anno siano lievemente diminuite. Ad esempio, l'indice attribuibile alle e-mail indesiderate distribuite nelle caselle di posta elettronica degli utenti della Rete di ogni angolo del globo dagli spammer insediati nel territorio della Repubblica Popolare Cinese - paese leader della graduatoria qui analizzata - ha fatto registrare una diminuzione di 1,2 punti percentuali; a sua volta, la quota relativa ai messaggi e-mail di spam provenienti dagli Stati Uniti d’America ha presentato un decremento pari allo 0,9%. Rispetto all'analogo rating del trimestre precedente è risultata invece più sensibile la diminuzione della quota riconducibile alla Corea del Sud (- 3%).

Per contro, gli indici percentuali relativi allo spam inoltrato in Rete dal territorio di Taiwan e Vietnam hanno fatto segnare un pronunciato incremento, pari, rispettivamente all' 1,6% e all' 1,1%; i due paesi asiatici sono andati così ad occupare la quarta e la quinta posizione della graduatoria delle fonti di spam rilevate su scala mondiale lungo tutto l'arco del secondo trimestre del 2013.

Risulta ancor più interessante la situazione che riguarda alcuni paesi situati nello spazio geografico post-sovietico. Per tre di essi, ovvero Ukraina, Kazakhstan e Bielorussia, è aumentata in maniera considerevole la quota relativa allo spam inviato dal proprio territorio; tali circostanze hanno fatto sì che, nel secondo trimestre del 2013, i suddetti paesi si siano rispettivamente insediati alla sesta, settima ed ottava piazza della TOP-20 dedicata alla geografia delle fonti di spam, superando di fatto la Russia nella graduatoria in questione. Desideriamo inoltre sottolineare come, nel periodo analizzato nel presente report, non siano di fatto solo aumentate in maniera simultanea le quote attribuibili a tali paesi, ma siano ugualmente risultate molto simili le dinamiche che hanno caratterizzato la repentina ascesa degli indici percentuali ascrivibili alle tre ex-repubbliche sovietiche quali fonti dello spam mondiale. Come evidenzia il grafico qui sotto riportato, per Ukraina, Kazakhstan e Bielorussia i valori di picco si sono riscontrati nello scorso mese di maggio.

Dinamiche relative alla diffusione dei messaggi di spam provenienti da Bielorussia, Ukraina e Kazakhstan - Periodo: 1° semestre del 2013

L'andamento delle curve visibili nel grafico qui sopra riportato può essere indice del fatto che - nel primo semestre dell'anno in corso - entro i confini di tali paesi, i cybercriminali hanno provveduto a creare ed organizzare nuove ed estese botnet; allo stesso modo, simili circostanze potrebbero essere state determinate dalla presenza di hosting web infetti, di cui gli spammer si sono serviti per inviare in Rete montagne di messaggi e-mail indesiderati.

E’ di particolare interesse rilevare come, sostanzialmente, i flussi di spam giungano nelle varie regioni geografiche del pianeta da paesi diversi. Ad esempio, molti dei messaggi di spam recapitati nelle caselle di posta elettronica degli utenti della Rete europei sono stati inviati dal territorio della Corea del Sud (47,9%); per contro, le quote relative allo spam inviato da tale paese dell’Estremo Oriente verso altre macro-aree geografiche mondiali si sono attestate su valori percentuali decisamente contenuti. La maggior parte dello spam cinese è stata invece inoltrata verso l'area APAC - Asia-Pacific - (64% dello spam "regionale") e verso gli Stati Uniti (21,2%); al contrario, in Europa e in Russia non sono in pratica giunti messaggi e-mail indesiderati provenienti dalla Cina. Abbiamo inoltre rilevato come le e-mail di spam generate entro i confini del territorio statunitense siano state prevalentemente indirizzate verso gli stati del Nordamerica (51,6% dello spam diffuso in tale macro-regione geografica), al punto che la maggior parte di esse possono essere di fatto considerate alla stregua di spam “interno”. Le principali fonti dei flussi di spam diffusi sul territorio della Federazione Russa sono risultate essere Taiwan (12,2%), Vietnam (9,4%) ed Ukraina (9%).

Ripartizione delle fonti di spam per regioni geografiche

Suddivisione delle fonti di spam per macro-aree geografiche mondiali -
Situazione relativa al secondo trimestre del 2013

Le posizioni occupate in classifica dalle varie macro-regioni geografiche mondiali risultano invariate rispetto all'analogo rating stilato per il trimestre precedente; sono ad ogni caso intervenuti significativi cambiamenti riguardo alle quote percentuali attribuibili ad ogni singola macro-area geografica. Come evidenzia il grafico qui sopra inserito, la speciale graduatoria continua ad essere dominata dall’Asia, con una quota pari al 56,3% del volume complessivo dei messaggi e-mail indesiderati distribuiti in Rete dagli spammer; nel secondo trimestre del 2013, l’indice complessivamente attribuibile al continente asiatico ha fatto addirittura registrare un incremento di 4,5 punti percentuali rispetto all’analogo valore riscontrato nel primo trimestre dell'anno in corso. Rileviamo inoltre come l'indice ascrivibile all'Europa Orientale abbia evidenziato un aumento del 2,6%; ciò è stato principalmente determinato dal repentino incremento del numero di messaggi e-mail indesiderati distribuiti in Rete dal territorio di Ukraina e Bielorussia.

Le quote percentuali attribuibili ad Europa Occidentale (-3,7%) ed America Latina (-2,4%) risultano quasi dimezzate. Desideriamo sottolineare, nella circostanza, come l'indice relativo al numero di messaggi e-mail indesiderati distribuiti nelle caselle di posta elettronica degli utenti del Web da parte di spammer insediati nel territorio di paesi situati nel continente latino-americano abbia raggiunto il proprio valore minimo assoluto. Ricordiamo, con l'occasione, come solo due anni fa la macro-area geografica sudamericana occupasse la seconda posizione della speciale graduatoria esaminata nel presente capitolo del report. Rileviamo, infine, come siano leggermente diminuite, rispetto al trimestre precedente, le quote percentuali ascrivibili alle rimanenti macro-regioni geografiche mondiali: Medio Oriente (- 0,2%), Africa (- 0,6%) ed Australia/Oceania (- 0,04%).

Dimensioni dei messaggi di spam

Dimensioni delle e-mail di spam - Quadro relativo al secondo trimestre del 2013

Anche nel secondo trimestre del 2013, come di consueto, all’interno dei flussi di spam sono stati rilevati, nella stragrande maggioranza dei casi, messaggi e-mail indesiderati aventi dimensioni estremamente contenute (1 Кb o addirittura meno di un kilobyte). Il numero di tali messaggi ha fatto registrare un incremento del 4,8% rispetto al primo trimestre dell'anno, attestandosi, di fatto, su un valore medio pari al 73,8% del volume complessivo di e-mail di spam rilevate nel traffico di posta elettronica. E' ugualmente interessante annotare il lieve aumento (+ 0,94%) della quota relativa ai messaggi "spazzatura" con dimensioni dai 50Kb ai 100Kb. In genere, sono proprio le e-mail che contengono allegati a presentare dimensioni similari; fanno parte di tale categoria, ovviamente, anche i messaggi di spam preposti a recapitare pericolosi allegati nocivi nelle caselle di posta elettronica degli utenti.

Allegati nocivi rilevati nel traffico di posta elettronica

Nel secondo trimestre del 2013, la quota relativa ai messaggi e-mail contenenti allegati dannosi ha fatto registrare un decremento dell' 1% rispetto all’analogo indice rilevato nel trimestre precedente, e si è in tal modo attestata su un valore pari al 2,3% del totale dei messaggi di posta elettronica circolanti in Rete.

TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica - Situazione riguardante il secondo trimestre del 2013

La TOP-10 del secondo trimestre dell’anno relativa ai software nocivi maggiormente diffusi nei flussi di posta elettronica globali risulta capeggiata, così come nel trimestre precedente, dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen. Ricordiamo, nella circostanza, che il suddetto programma malware è stato elaborato dai suoi autori sotto forma di pagine HTML in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; esso è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, principalmente, agli account di Internet banking aperti in Rete dagli utenti. I cybercriminali di turno utilizzano poi i dati di registrazione illegalmente carpiti, inseriti dall'utente nei suddetti «form» fasulli, per impadronirsi delle somme di denaro depositate nei conti bancari violati. L'utilizzo di tale software nocivo - allo scopo di realizzare il furto di informazioni sensibili di natura finanziaria custodite nei computer degli utenti - costituisce, di fatto, uno dei principali metodi di attacco attualmente presenti nel sempre nutrito arsenale dei phisher.

La seconda piazza della speciale graduatoria analizzata nel presente capitolo del nostro consueto report trimestrale sul fenomeno spam è invece andata ad appannaggio del programma nocivo classificato come Email-Worm.Win32.Bagle.gt. Come è noto, il payload nocivo dei worm di posta elettronica consiste principalmente nel raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi realizzare un processo di auto-diffusione in Rete tramite gli account di posta elettronica illecitamente carpiti. I worm riconducibili alla famiglia Bagle, tuttavia, in aggiunta alle funzionalità standard qui sopra illustrate, risultano provvisti di ulteriore potenziale nocivo: essi sono difatti in grado di connettersi ed interagire da remoto con il centro di controllo allestito dai cybercriminali, e di ricevere quindi da quest’ultimo appositi comandi volti a generare il download e la successiva installazione di altri software nocivi sui computer-vittima infettati.

Il terzo gradino del "podio" virtuale è andato ad appannaggio di una delle varianti del noto programma spyware ZeuS/Zbot — Trojan-Spy.Win32.Zbot.lbda. Lo scopo principale che si prefiggono i programmi dannosi appartenenti alla famiglia ZeuS/Zbot è rappresentato dal furto delle informazioni confidenziali di varia natura custodite nei computer degli utenti, incluso - ovviamente - i dati sensibili relativi alle carte di credito.

La quarta piazza della speciale classifica da noi stilata risulta occupata dal programma malware classificato con la denominazione di Trojan-PSW.Win32.Tepfer.hjva. I software nocivi riconducibili a tale tipologia sono stati appositamente creati dai virus writer allo scopo di realizzare il furto delle password che consentono agli utenti di accedere agli account da essi aperti in Rete.

Scorrendo la TOP-10 dei programmi malware maggiormente diffusi nel traffico e-mail, relativa al secondo trimestre del 2013, rileviamo inoltre la presenza, all'interno di essa, di ulteriori worm di posta elettronica, così come di due varianti del famigerato trojan-spyware ZeuS/Zbot. E' ugualmente entrato a far parte della TOP-10 qui sopra riportata anche il programma backdoor rilevato dalle soluzioni anti-malware di Kaspersky Lab come Backdoor.Win32.Androm.pta. Come è noto, i programmi backdoor di tal genere consentono ai malintenzionati di assumere il pieno controllo del computer sottoposto a contagio informatico, a totale insaputa dell’utente-vittima. In tal modo i cybercriminali possono, ad esempio, effettuare il download ed avviare l’esecuzione di ulteriori file nocivi sul computer infetto, procedere all’invio di dati ed informazioni di qualsiasi genere utilizzando la macchina compromessa dal malware, nonché eseguire numerose altre attività nocive. Inoltre, i computer infettati da simili programmi nocivi entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta allestite dai malintenzionati.

Desideriamo porre in evidenza come alcuni programmi nocivi siano provvisti di numerose varianti; in ogni caso, le specifiche funzionalità possedute da queste ultime risultano essere quasi sempre simili o identiche tra loro. Riteniamo pertanto di particolare utilità pubblicare un ulteriore grafico, in cui sono state raccolte le famiglie di malware che godono di maggior popolarità presso le folte schiere degli spammer che si dedicano alla distribuzione di programmi dannosi attraverso i flussi e-mail. La TOP-10 qui di seguito riportata riproduce in maniera ancor più diretta ed efficace il quadro relativo alla reale ripartizione degli allegati nocivi in seno al traffico di posta elettronica.

TOP-10 relativa alle famiglie di malware maggiormente diffuse nel traffico di posta elettronica - Situazione riguardante il secondo trimestre del 2013

Oltre il 40% dei software nocivi distribuiti tramite e-mail risultano essere preposti, in un modo o nell'altro, al furto delle informazioni personali degli utenti, incluso, ovviamente, i dati sensibili collegati alla sfera finanziaria di questi ultimi.

La TOP-20 trimestrale relativa ai paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail presenta alcune significative variazioni rispetto all'analogo rating stilato per il trimestre precedente.

Ripartizione per paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del secondo trimestre del 2013

La leadership della speciale graduatoria da noi elaborata è andata nuovamente ad appannaggio degli Stati Uniti, anche se, rispetto al primo trimestre del 2013, l'indice relativo agli USA ha fatto registrare un lieve decremento, pari all' 1,2%. La Russia, da parte sua, ha compiuto un considerevole balzo in avanti in classifica, passando dal settimo posto dello scorso trimestre all'attuale seconda posizione. La quota attribuibile alla Federazione Russa è in effetti più che triplicata, avendo fatto segnare un aumento di ben 8,3 punti percentuali rispetto all'analogo rating del trimestre precedente. Tale repentina variazione della posizione occupata in graduatoria è il risultato degli alti valori percentuali registrati nel mese di giugno riguardo al numero di rilevamenti eseguiti dal nostro modulo antivirus dedicato alla posta elettronica entro i confini del territorio russo; ricordiamo, a tal proposito, che nell'ultimo mese del secondo trimestre, l'indice relativo alla Russia ha addirittura raggiunto un valore pari al 29,3%. Le famiglie di malware maggiormente diffuse all'interno dei flussi di posta elettronica nel segmento russo di Internet sono risultate essere Net-Worm.Win32.Kolab e Trojan-GameThief.Win32.Magania. Kolab è una famiglia formata da software nocivi provvisti delle tipiche funzionalità dei backdoor, appositamente sviluppati dai virus writer per cercare di contrastare l'abituale azione svolta dagli antivirus. I programmi dannosi in questione sono tra l'altro in grado di ricevere specifici comandi impartiti dai malintenzionati di turno, trasmessi per mezzo di appositi server remoti. I software dannosi appartenenti alla famiglia Magania sono stati creati dagli autori di malware allo scopo di effettuare il furto di login e password relativi agli account utilizzati per il gioco online Maple Story; essi, tuttavia, possiedono ugualmente specifiche funzionalità di worm (sono soliti diffondersi attraverso supporti di memoria USB).

Il repentino e consistente aumento degli indici percentuali relativi alla Federazione Russa ha determinato la "perdita" di una posizione in classifica da parte della Germania (- 1,9%), la quale è passata dal secondo al terzo posto della speciale graduatoria. India e Australia, da parte loro, hanno mantenuto le posizioni precedentemente occupate all'interno del rating, anche se le quote attribuibili a tali paesi hanno presentato un lieve calo rispetto a tre mesi fa, quantificabile nello 0,9% per l'India e nell' 1,1% per l'Australia. Concludiamo la nostra breve rassegna osservando come gli indici percentuali relativi agli altri paesi presenti in graduatoria evidenzino solo lievi variazioni rispetto agli analoghi valori riscontrati nel primo trimestre dell'anno in corso.

Phishing

Nel secondo trimestre del 2013, la quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e-mail ha fatto registrare una diminuzione dello 0,0016% rispetto all'analogo indice rilevato nel trimestre precedente, attestandosi in tal modo su un valore pari allo 0,0024% del volume complessivo di messaggi di posta elettronica circolanti in Rete.

TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing* nel corso del secondo trimestre del 2013 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo «Anti-phishing»

* La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

Nel complesso, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher nel corso del secondo trimestre del 2013 non presenta variazioni di particolare rilievo rispetto all'analogo rating stilato per il trimestre precedente. Gli attacchi di phishing condotti nei confronti della categoria che raggruppa i social network sono ad ogni caso diminuiti del 3,3%. L’indice relativo ad “Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari” ha invece fatto registrare un aumento di 1,2 punti percentuali; tale categoria ha pertanto "guadagnato" una posizione in classifica, collocandosi sul secondo gradino del "podio" virtuale.

La quota relativa agli assalti di phishing effettuati a scapito degli Internet provider è aumentata dell' 1,8% rispetto all'analoga graduatoria del trimestre precedente; allo stesso modo, ha fatto segnare un incremento di 2 punti percentuali l'indice riguardante la categoria "Posta elettronica e programmi di instant messaging". Ricordiamo, a tal proposito, che nello scorso mese di giugno la quota relativa agli attacchi orditi dai phisher nei confronti di quest'ultima categoria era risultata particolarmente elevata (13,2%); ciò ha determinato, di riflesso, un significativo aumento dell'analogo valore percentuale rilevato su scala trimestrale. Gli indici relativi agli assalti di phishing portati nei confronti delle rimanenti categorie presenti in graduatoria hanno evidenziato variazioni inferiori alla soglia dell' 1%.

Sempre più spesso i phisher preferiscono non fare eccessivo affidamento sul fattore umano, ed attendere quindi che sia l'utente stesso ad inserire ogni volta i propri dati confidenziali all'interno dei form fasulli subdolamente predisposti da tale categoria di malintenzionati. Attualmente, i phisher sembrano orientarsi in misura sempre maggiore verso l'invio agli utenti-vittima di messaggi di spam nocivo, ovvero insidiose e-mail contenenti programmi trojan preposti ad effettuare il furto di login e password relativi agli account aperti in Rete dai destinatari dei messaggi di posta - incluso, ovviamente, gli account utilizzati per eseguire operazioni di banking online.

Possono recare allegati nocivi non solo le numerose e-mail contraffatte - presenti all'interno dei flussi di posta elettronica - mascherate, ad esempio, in veste di appositi form (apparentemente!) allestiti dal celebre social network Facebook o da altre note risorse web, ma anche certi messaggi e-mail nocivi camuffati sotto forma di notifiche e comunicazioni ufficiali provenienti da istituti bancari.

Come evidenzia lo screenshot qui sopra riportato, l'e-mail in questione è stata indubbiamente elaborata in maniera tutt'altro che accurata (si notino, nella circostanza, i numerosi sinonimi posti in successione, tipico risultato di un banale errore nel programma utilizzato per l'occasione dagli spammer). Per il resto, l'e-mail esemplificativa qui analizzata sembra non presentare particolari elementi di sospetto per i destinatari del messaggio. Persino il file ad essa allegato non è provvisto dell'abituale estensione .exe, oppure .exe sotto forma di archivio zip; in genere, come si sa, la maggior parte degli utenti si insospettisce immediatamente, se riceve allegati in forma di file eseguibili. In realtà, l'apparentemente innocuo file .doc allegato al messaggio contiene un pericoloso exploit, rilevato dalle soluzioni anti-malware di Kaspersky Lab come Exploit.MSWord.Agent.dj; sfruttando determinate vulnerabilità, il malware in causa è in grado di aggirare i sistemi di protezione IT installati nel computer-vittima e di generare quindi, su quest'ultimo, l'upload di ulteriori programmi maligni, specializzati nel compiere il furto dei dati personali degli utenti.