Tat’jana Šerbakova
Marija Vergelis
Nadezhda Demidova
Sommario

Le peculiarità del mese
Falsi mandati di comparizione in tribunale contenenti allegati dannosi
La politica nello spam «nigeriano»
Pubblicità di prodotti farmaceutici tramite messaggi e-mail fasulli provenienti (in apparenza!) da Google Play
Già iniziata, per gli spammer, la stagione dei «saldi autunnali»
Come (non) ripagare i debiti
Le statistiche
Quota di spam nel traffico di posta elettronica.
Geografia delle fonti di spam
Allegati maligni rilevati nel traffico e-mail
Peculiarità e tratti caratteristici dello spam nocivo di agosto
Phishing
Quadro delle organizzazioni sottoposte agli attacchi di phishing
TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing
Conclusioni

Le peculiarità del mese

Nel mese oggetto del presente report, i messaggi e-mail fraudolenti inoltrati nelle e-mail box degli utenti Internet dai truffatori della Rete hanno sfruttato in particolar modo le tematiche connesse ai principali avvenimenti politici che si sono prodotti sulla scena internazionale; al tempo stesso, i malintenzionati si sono ugualmente avvalsi, per i loro loschi fini, dei nominativi di cittadini della Federazione Russa alquanto noti all'opinione pubblica mondiale. All'interno del traffico di spam che ha caratterizzato il mese di agosto 2014 sono stati ampiamente distribuiti, come al solito, temibili file dannosi; i nostri analisti si sono spesso imbattuti, ad esempio, in messaggi e-mail malevoli camuffati sotto forma di notifiche ufficiali provenienti (in apparenza) da istituzioni giudiziarie, relative a presunti mandati di comparizione in tribunale. Gli spammer che traggono abitualmente profitto dal reclamizzare prodotti farmaceutici di ogni genere, per cercare di attirare al massimo l'attenzione dei destinatari dei messaggi pubblicitari da essi inviati hanno fatto frequentemente ricorso a notifiche fasulle provenienti, a prima vista, da noti servizi online, quali Google Play. Allo stesso modo, nel corso del periodo qui analizzato, gli spammer si sono dedicati in maniera particolarmente attiva alla promozione pubblicitaria dei servizi offerti da società operanti nel settore turistico ed agenzie di recupero crediti.

Falsi mandati di comparizione in tribunale contenenti allegati dannosi

Nel mese di agosto 2014, all'interno dei flussi di spam globali, sono stati immediatamente individuati, dagli esperti di Kaspersky Lab, diversi mailing di massa composti da messaggi di posta elettronica elaborati in varie lingue e volti ad imitare determinate notifiche emesse da tribunali ed enti giudiziari. Nei messaggi di posta in lingua inglese qui sotto riportati, ad esempio, si comunica al destinatario dell'e-mail che quest'ultimo è stato convocato in tribunale, nella scomoda veste di imputato; l'utente, prima di comparire davanti ai magistrati e prendere quindi parte all'udienza - secondo quanto asserisce il mittente della falsa notifica - dovrà obbligatoriamente venire a conoscenza delle informazioni riservate custodite nel file compresso allegato al messaggio. In realtà, il file archivio contenuto nell'e-mail ospitava il programma Trojan denominato Backdoor.Win32.Kuluoz, appositamente creato e sviluppato dai virus writer per scaricare ed eseguire ulteriori programmi nocivi sul computer sottoposto ad attacco.  Confrontando alcuni messaggi di posta elettronica facenti parte del medesimo mailing di massa abbiamo poi rilevato come determinati frammenti di testo, ad esempio la data e l'orario dell'udienza, la città e la denominazione degli archivi ZIP contenenti i file maligni, variassero da un'e-mail all'altra.  Nella circostanza, inoltre, gli indirizzi dei mittenti dei messaggi in questione venivano generati mediante un singolo modello, all'interno del quale i malintenzionati collocavano parole ricavate da un database precedentemente allestito. Come di solito avviene, i cambiamenti apportati al testo delle varie e-mail avevano semplicemente lo scopo di conferire al messaggio una caratteristica di unicità e singolarità, con il preciso intento di bypassare, in tal modo, l'azione di controllo abitualmente svolta dai sistemi di filtraggio dei flussi di spam.

Nel mese di agosto, messaggi di spam nocivo simili alla tipologia sopra descritta sono stati distribuiti nelle caselle di posta elettronica degli utenti non soltanto in lingua inglese e russa, ma anche in lingua ceca. Nella fattispecie, i truffatori di turno hanno cercato di convincere i destinatari delle e-mail riguardo al fatto che a carico di questi ultimi esisteva un determinato debito, il quale avrebbe dovuto essere ripagato nel giro di 15 giorni; in caso contrario, si sarebbe provveduto alla confisca delle proprietà dell'utente e, allo stesso modo, al congelamento del conto bancario dello stesso. Nell'occasione, il file nocivo contenuto nell'archivio ZIP allegato al messaggio, ovvero Trojan-Downloader.Win32.Agent.heva, veniva spacciato dai cybercriminali in veste di importanti documenti di natura finanziaria e legale. Eseguendo il suddetto programma Trojan, l'utente, effettivamente, avrebbe visualizzato il contenuto di un file provvisto di estensione RTF, ma, contemporaneamente, il malware in causa avrebbe provveduto ad effettuare il download e l'installazione di un ulteriore Trojan sul computer-vittima, e più precisamente di Trojan.Win32.Tinba.ei, un temibile malware preposto al furto dei dati finanziari, ed in particolar modo dei dati sensibili collegati agli account bancari ed alle carte di credito. La denominazione di tale programma Trojan costituisce, in pratica, l'abbreviazione del termine "Tinybanker"; si tratta di un malware scritto in linguaggio Assembler, di dimensioni alquanto contenute, anche se, a dir la verità, a livello di funzionalità possedute, esso può tranquillamente rivaleggiare con molti programmi malware analoghi, provvisti di dimensioni ben superiori.

La politica nello spam «nigeriano»

Nel mese di agosto, in seno ai flussi di spam, abbiamo individuato un cospicuo numero di e-mail "nigeriane" volte a sfruttare gli avvenimenti che si sono recentemente prodotti in Ukraina. Come evidenzia lo screenshot esemplificativo qui sotto riportato, nel messaggio elaborato in lingua inglese gli autori dell'e-mail fraudolenta hanno deciso di utilizzare esplicitamente il nome dell'ex-presidente dell'Ukraina, Viktor Yanukovych, nel tentativo di convincere il destinatario della missiva riguardo all'autenticità e alla veridicità della "storia" da essi narrata. La consueta richiesta di assistenza per la conduzione di operazioni di investimento di elevate somme di denaro, in cambio della solita considerevole ricompensa - tematica estremamente diffusa presso le folte schiere dei truffatori "nigeriani" - stavolta proviene da un sedicente ex-consigliere finanziario dell'ex-presidente ukraino; come si legge nel messaggio truffaldino, una parte dell'ingente somma attribuita al noto personaggio politico è stata segretamente trasferita a Londra, sul conto personale del "consigliere" in causa.

Dopo una lunga pausa, i "nigeriani" della Rete sono tornati ad utilizzare attivamente le varie tematiche connesse alla nota vicenda di Mikhail Khodorkovsky. Nella circostanza, le e-mail fraudolente individuate dai nostri analisti provenivano, a detta degli autori delle stesse, da persone facenti parte della cerchia dei più stretti collaboratori di Khodorkovsky. Per cercare di sottrarre considerevoli risorse finanziarie alle potenziali vittime del raggiro, i truffatori, anche stavolta, hanno fatto ricorso al classico tema dell'allettante cospicua ricompensa prevista per l'aiuto e la collaborazione eventualmente prestati dal destinatario dell'e-mail nelle complicate operazioni di trasferimento e successivo investimento di enormi somme di denaro. Come si può vedere qui sotto, nel tentativo di conferire alle e-mail in questione maggiore veridicità, i "nigeriani" si preoccupano addirittura di fornire appositi link informativi per l'eventuale lettura, da parte del destinatario dell'e-mail, di articoli ufficialmente pubblicati riguardo a Mikhail Khodorkovsky. Inoltre, i truffatori si premurano di sottolineare a dovere come le procedure e le transazioni da essi proposte siano del tutto legittime, e non comportino il benché minimo rischio per la potenziale vittima del raggiro.

In una delle e-mail da noi rilevate all'interno del traffico di posta elettronica di agosto 2014, i "nigeriani" offrono al destinatario del messaggio informazioni davvero minime, invitando tuttavia quest'ultimo, in caso di interessamento, a contattare direttamente l'autore dell'e-mail, allo scopo di ottenere maggiori dettagli riguardo all'operazione finanziaria proposta. In un'altra e-mail riconducibile alla medesima tematica, i truffatori si dilungano invece nel descrivere in dettaglio l'offerta da essi inoltrata, fornendo ugualmente la possibilità, tramite apposito link, di conoscere in maniera più approfondita le vicende della vita di Khodorkovsky, il quale, a detta loro, prima di essere arrestato, non è riuscito a compiere le operazioni di trasferimento del denaro in causa, ed ora, tornato in libertà, intende perfezionare le stesse. Tuttavia, visto che per far ciò il miliardario caduto in disgrazia non può in alcun modo utilizzare la sua ex-azienda, egli è alla ricerca di una persona fidata che lo possa aiutare nello svolgimento dell'operazione proposta. E' di particolare interesse rilevare come i truffatori "nigeriani", nella circostanza, offrano addirittura, al destinatario dell'e-mail, la possibilità di non ricevere più messaggi del genere, semplicemente cliccando sul link "Unsubscribe" posto in calce all'e-mail. Si tratta, nella fattispecie, di un preciso stratagemma, grazie al quale i truffatori, male che vada, potranno comunque raccogliere, per allestire un ricco database, indirizzi di posta elettronica attivi, da utilizzare per la successiva conduzione di ulteriori campagne di spam. 

Pubblicità di prodotti farmaceutici tramite messaggi e-mail fasulli provenienti (in apparenza!) da Google Play

Nell'ambito delle tradizionali ed ormai immancabili campagne di spam "farmaceutico", ci si imbatte sempre più spesso nelle offerte di acquisto dei farmaci (ed affini) più disparati, quali, ad esempio, "miracolosi" prodotti per dimagrire rapidamente, accrescere la potenza maschile o aumentare le dimensioni dell'organo sessuale. In genere, tali messaggi pubblicitari presentano un breve testo, contenente un link preposto a condurre il destinatario dell'e-mail verso il sito web allestito dal negozio online attraverso il quale è possibile procedere all'acquisto della merce reclamizzata; alcuni messaggi riconducibili a tale specifica tipologia, poi, risultano esclusivamente corredati del link in questione. Inoltre, come è noto, nel quadro dei mailing di massa di natura "farmaceutica" viene ugualmente fatto ricorso, con notevole frequenza, al cosiddetto spam grafico. Talvolta, tuttavia, all'interno del traffico di posta elettronica si possono ugualmente incontrare metodi decisamente inusuali per la promozione pubblicitaria degli abituali farmaci e preparati che, tradizionalmente, popolano i flussi di spam mondiali.  Ad esempio, nell'autunno dello scorso anno, nel nostro blog dedicato alle problematiche di sicurezza IT, abbiamo riferito di notifiche del genere, del tutto simili allo stile abitualmente adottato nel phishing, ed inviate, in apparenza, da società di primaria importanza; nel mese oggetto della nostra analisi, di fatto, ci siamo nuovamente trovati di fronte ad un mailing di massa dalle caratteristiche analoghe.

 

Nell'occasione, l'e-mail di phishing aveva assunto la veste di una comunicazione ufficiale apparentemente proveniente da Google Play, il noto negozio online specializzato nella distribuzione digitale di applicazioni, brani musicali, film, libri, etc.; nel messaggio in questione si faceva esplicito riferimento ai dettagli di un presunto acquisto effettuato dal destinatario dell'e-mail. Come evidenzia lo screenshot qui sopra inserito, per conferire al messaggio maggiore credibilità, ed un aspetto legittimo, gli spammer si sono avvalsi, nel campo riservato al mittente, di un indirizzo di posta simile a quello originale, ed hanno ugualmente inserito il logo ufficiale del celebre app store. Abbiamo rilevato, nella circostanza, come i link presenti nel corpo del messaggio - collegamenti che nelle abituali e-mail di phishing conducono spesso alle pagine web del sito ufficiale - risultassero inattivi, per quanto presentassero, a tutti gli effetti, l'inequivocabile colorazione generalmente conferita ai collegamenti ipertestuali per far sì che questi ultimi risaltino poi meglio all'interno del testo. Con ogni probabilità, nel caso specifico, gli spammer hanno contato sul fatto che le notifiche fasulle vengono in genere rilevate in maniera meno agevole dai filtri antispam, rispetto alla tradizionale réclame dedicata ai prodotti farmaceutici; per tale motivo, gli autori della campagna di spam qui esaminata hanno cercato di rendere i propri messaggi di posta alquanto simili alle più classiche e-mail di phishing.

Già iniziata, per gli spammer, la stagione dei «saldi autunnali»

Nel mese di agosto, all'interno del segmento anglofono di Internet, la tematica dei viaggi e delle vacanze si è principalmente espressa attraverso numerose campagne di spam volte a promuovere un'ampia scelta di tour turistici offerti a prezzi particolarmente vantaggiosi, aventi quale destinazione, in particolar modo, le isole Hawaii e la Costa Rica; oltre a ciò, sono state ugualmente registrate offerte di viaggi verso le foreste pluviali situate alle latitudini tropicali, così come proposte di noleggio di jet privati, sia per scopi turistici che di business. Tali messaggi di spam provenivano da indirizzi e-mail sottoposti a continue variazioni e contenevano, inoltre, link verso siti web di recente creazione; al visitatore di questi ultimi veniva proposto di confrontare i prezzi relativi ai servizi offerti, per scegliere poi le offerte più vantaggiose tra quelle proposte dai vari partner commerciali pubblicizzati nell'occasione.

Sono stati da noi ugualmente individuati alcuni mailing di massa recanti ai destinatari delle e-mail determinati messaggi di posta in cui si proponeva la partecipazione a specifici programmi per realizzare profitti in Rete, ovvero le cosiddette opzioni binarie - allo scopo di poter guadagnare rapidamente somme consistenti, magari utili per coprire le spese derivanti dall'eventuale vacanza già programmata.

Come (non) ripagare i debiti

All'interno del traffico di spam che ha caratterizzato il mese oggetto del presente report ha trovato ampio spazio un'ulteriore importante tematica, ovvero le offerte di assistenza finanziaria allo scopo di permettere al cliente di poter ripagare ogni possibile debito in precedenza contratto, proposte orientate sia agli utenti privati che alle aziende. Nella circostanza, gli spammer hanno inoltrato nelle e-mail box dei potenziali clienti messaggi di posta elettronica con immagini e colori sgargianti, contenenti, ad esempio, frasi del tipo "Paga soltanto quello che ti puoi permettere", messaggi in cui non sono mancati, tra l'altro, pressanti ed espliciti appelli per interrompere la restituzione immediata delle somme di denaro inerenti ai debiti accumulati. Il link inserito nel corpo dell'e-mail conduceva su un sito Internet formato da un'unica pagina web, di recentissima creazione, con dominio e relativo titolo "ad hoc", ovvero "zero-debt-now", sito contenente specifiche proposte di consolidamento dei debiti contratti (attraverso tale operazione finanziaria viene di fatto erogato un credito - o prestito strutturato - unico per poter poi realizzare il pagamento delle somme complessivamente dovute), di ottenimento di prestiti o di carte di credito a condizioni particolarmente favorevoli.

In maniera speculare - allo scopo di permettere ai potenziali clienti della Rete di rientrare rapidamente ed interamente in possesso delle somme di denaro dovute loro da tutti i vari debitori, senza dover ricorrere ad alcun tipo di procedura giudiziaria - numerose agenzie di recupero crediti, così come singoli avvocati - specializzati nella raccolta degli importi ormai scaduti, dovuti da aziende e società ai propri creditori - hanno commissionato la realizzazione di numerose campagne di spam dedicate a tale specifica tematica. Attraverso tali messaggi pubblicitari, le agenzie o gli avvocati in questione hanno in primo luogo fornito una breve descrizione della propria attività, specificandone l'esatta tipologia; talvolta, in certi messaggi, sono stati persino inseriti alcuni dati statistici (entità dei crediti recuperati, numeri percentuali dei clienti soddisfatti, ed altro ancora); nella parte conclusiva del messaggio, infine, sono stati debitamente indicati i numeri telefonici di contatto. Spesso, le cifre che componevano tali numeri sono state volutamente "mascherate" o "imbrattate" dagli spammer, con il preciso scopo di aggirare i temuti filtri antispam. Gli autori dei messaggi pubblicitari qui esaminati non hanno naturalmente mancato di promettere esiti più che positivi per le azioni di recupero crediti che sarebbero state loro affidate dalla potenziale clientela della Rete, vantando, allo stesso tempo, di aver ottenuto, nello svolgimento della proprie attività professionali, frequenti e brillanti successi anche là dove altri servizi specializzati in materia avevano invece fallito.

Le statistiche

Quota di spam nel traffico di posta elettronica

Quote di spam rilevate settimanalmente nel traffico e-mail

Nel mese oggetto del presente report, la quota inerente ai messaggi “spazzatura” rilevati nel traffico globale di posta elettronica ha fatto registrare un incremento dello 0,2% rispetto all’analogo indice riscontrato nel mese precedente, attestandosi in tal modo su un valore medio pari al 67,2% del volume complessivo di messaggi e-mail circolanti in Rete. Come evidenzia il grafico qui sopra riportato, la quota percentuale relativa alle e-mail indesiderate è cresciuta in maniera progressiva lungo tutto l'arco del mese di agosto 2014. In effetti, nella prima settimana del mese qui analizzato, all'interno dei flussi di posta elettronica è stata rilevata una quota media di spam pari al 64,9%, mentre alla fine di agosto l'indice in questione ha raggiunto un valore ben più elevato, superando la soglia dei settanta punti percentuali (70,4%).

Geografia delle fonti di spam

La speciale graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - risulta nuovamente capeggiata dagli USA (16%); evidenziamo, nella circostanza, come l’indice relativo ai messaggi e-mail indesiderati provenienti dal territorio degli Stati Uniti d’America presenti, ad ogni caso, una lieve variazione (+ 0,7%) rispetto all’analogo valore riscontrato nel mese precedente. Così come un mese fa, al secondo posto della speciale graduatoria da noi elaborata troviamo la Federazione Russa (6%); la quota ad essa riconducibile risulta leggermente aumentata (+ 0,4%) rispetto allo scorso mese di luglio. Il terzo gradino del podio "virtuale" è andato nuovamente ad appannaggio della Cina (4,7%); l'indice attribuibile alla Repubblica Popolare Cinese - a differenza di quanto riscontrato per Stati Uniti e Russia - ha invece evidenziato un lieve decremento rispetto al mese precedente, quantificabile in 0,6 punti percentuali.

Geografia delle fonti di spam rilevate - Graduatoria su scala mondiale

Il Vietnam, da parte sua, con una quota pari al 4,7% è andato a collocarsi al quarto posto del rating qui esaminato, "guadagnando", di fatto, ben quattro posizioni in classifica rispetto all'analoga graduatoria di luglio 2014; l'indice relativo al popoloso paese del Sud-Est asiatico ha in effetti presentato un significativo incremento, pari all' 1,2%. La quinta posizione del ranking relativo alle fonti geografiche dello spam mondiale risulta occupata dall'Argentina (4,4%). Nell'arco di un mese la quota percentuale relativa al paese sudamericano è lievemente aumentata; nonostante ciò, l'Argentina ha "perso" una posizione nell'ambito della graduatoria in causa.
Al sesto posto del rating qui analizzato si conferma la Germania (3,6%), anche se la quota relativa alle e-mail indesiderate distribuite in Rete dagli spammer insediati entro i confini del territorio tedesco risulta leggermente diminuita rispetto ad un mese fa. Osserviamo, inoltre, come l'Ukraina (2,9%) sia andata a collocarsi all'ottava piazza della graduatoria e non faccia quindi più parte della TOP-5 del rating in questione. Al contrario, l'indice percentuale relativo al Brasile (2,9%) ha evidenziato un significativo incremento (+ 0,5%) rispetto al mese precedente; il "colosso" del continente latino-americano è così passato dal tredicesimo al nono posto della graduatoria esaminata nel presente capitolo del report, compiendo, di fatto, un considerevole balzo in avanti in classifica. La decima posizione del rating da noi stilato risulta poi occupata dall'India, con una quota pari al 2,8%.
E' infine di particolare interesse osservare come, nel corso del mese oggetto della nostra analisi, si siano ugualmente intensificate, seppure non in maniera particolarmente marcata, le attività condotte dagli spammer sul territorio della Corea del Sud; il paese dell'Estremo Oriente, con un indice quantificabile in 1,9 punti percentuali, è così entrato a far parte della speciale classifica relativa alle fonti geografiche dello spam "globale".

Allegati maligni rilevati nel traffico e-mail

La TOP-10 del mese di agosto 2014 relativa ai software nocivi più frequentemente rilevati all'interno dei flussi di posta elettronica globali si presenta nel modo seguente.

TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica

 
La speciale TOP-10 di agosto 2014 relativa ai software nocivi maggiormente presenti all'interno dei flussi e-mail globali risulta capeggiata dal malware classificato dagli esperti di sicurezza IT con la denominazione di Trojan.JS.Redirector.adf. Nella circostanza, è più che lecito affermare come, stavolta più che mai, il nome stesso del malware... sia davvero tutto un programma: il software malevolo sopra menzionato, in effetti, è stato elaborato dai suoi autori sotto forma di una pagina HTML, alla cui apertura l'utente viene immediatamente reindirizzato verso un sito web infetto, appositamente allestito dai malintenzionati. In genere, su tale sito viene proposto all'utente di effettuare il download di Binbot, il noto servizio adibito al trading automatizzato su opzioni binarie; queste ultime, al momento attuale, sembrano godere di notevole popolarità presso il vasto pubblico della Rete. Il suddetto programma malware - leader della classifica di agosto 2014 con un considerevole margine percentuale sui diretti "concorrenti" - viene abitualmente distribuito attraverso i flussi di posta elettronica, tramite un archivio ZIP non protetto da password.
Alla terza e alla sesta piazza della TOP-10 del malware, relativa al periodo qui preso in esame, troviamo poi, rispettivamente, i programmi nocivi rilevati dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-Downloader.Win32.Upatre.to e Trojan-Downloader.Win32.Upatre.tq. I software dannosi riconducibili a tale specifica famiglia di malware risultano essere tutt'altro che complessi e presentano, per di più, dimensioni decisamente esigue (all'incirca non oltre i 3,5 Kb); di solito, i programmi Trojan sopra citati vengono adibiti al download di un temibile Trojan bancario appartenente alla loro medesima famiglia, attualmente noto con tre diversi appellativi - Dyre/Dyzap/Dyreza. L'elenco degli istituti finanziari sottoposti ad attacco da parte di tale banker dipende, naturalmente, dal relativo file di configurazione, trasmesso di volta in volta dal centro di comando e controllo predisposto dai cybercriminali.
Alla quarta piazza della graduatoria di agosto 2014 relativa ai programmi dannosi maggiormente diffusi nel traffico e-mail globale troviamo poi il malware classificato con la denominazione di Trojan-Banker.Win32.Fibbit.rq. Si tratta, nella fattispecie, di un Trojan bancario che viene abitualmente introdotto all'interno delle applicazioni Java preposte allo svolgimento delle operazioni di banking online, allo scopo di realizzare il furto dei dati sensibili utilizzati per le procedure di autenticazione, così come di carpire ulteriori informazioni confidenziali legate alla sfera finanziaria dell'utente-vittima. Oltre a ciò, il malware in causa è ugualmente in grado di impadronirsi delle chiavi di sicurezza utilizzate nel corso delle operazioni bancarie eseguite online; esso provvede infine a sostituire e contraffare le transazioni in atto, al pari dei risultati prodotti da queste ultime.
Il quinto ed il sesto posto del rating analizzato nel presente capitolo del nostro consueto report mensile dedicato al fenomeno spam risultano occupati dai software nocivi denominati, rispettivamente, Backdoor.Win32.Androm.enji e Backdoor.Win32.Androm.erom. Tali programmi malware appartengono entrambi alla famigerata famiglia battezzata dagli esperti di sicurezza informatica con l'appellativo di Andromeda (altrimenti conosciuta come Gamarue), la quale raggruppa diverse varianti di bot modulare universale, sulla cui base risulta possibile, per i malfattori, creare ed organizzare estese botnet provviste delle più svariate possibilità. Le principali funzionalità di cui sono provvisti i bot modulari in questione sono in primo luogo rappresentate dalla possibilità di generare il download di un file eseguibile, il quale sarà successivamente custodito ed eseguito all'interno del computer-vittima; tali programmi maligni sono ugualmente in grado di realizzare il download ed il caricamento di determinate DLL (senza che le stesse vengano necessariamente salvate su disco), di scaricare certi plug-in, di effettuare auto-aggiornamenti ed auto-rimuoversi dal sistema sottoposto ad attacco informatico. A tal proposito, è di particolare interesse sottolineare come i cybercriminali, di fatto, siano soliti estendere le funzionalità qui sopra descritte tramite appositi plug-in, i quali possono essere, in qualunque momento, agevolmente caricati dai malintenzionati, nelle quantità che si rivelano di volta in volta necessarie.
Continuando ad esaminare la composizione della TOP-10 di agosto 2014, salta immediatamente agli occhi la presenza di due varianti di malware appartenenti alla ben nota famiglia di software nocivi denominata Bublik; si tratta, più precisamente di Trojan.Win32.Bublik.clhs e Trojan.Win32.Bublik.bwbx, i quali sono andati a collocarsi, rispettivamente, al settimo ed all'ottavo posto del rating da noi elaborato. Come è noto, le principali funzionalità di cui sono dotati tali programmi dannosi - riconducibili, per tipologia, alla forma più classica e diffusa di trojan-downloader - consistono, per l'appunto, nel download e nella successiva installazione sul computer-vittima di nuove versioni di programmi maligni, a totale insaputa dell'utente. Una volta portato a termine il proprio compito, i programmi malware riconducibili alla famiglia Bublik non rimangono allo stato attivo, anche se provvedono a realizzare una copia di se stessi all'interno della cartella <%temp%>. Riteniamo infine di particolare utilità sottolineare come i trojan-downloader Bublik siano soliti camuffarsi sotto forma di applicazioni o documenti Adobe.
Come evidenzia il grafico qui sopra riportato, l'ultima posizione della speciale graduatoria da noi stilata, relativa ai programmi nocivi maggiormente diffusi nel traffico di spam di agosto 2014, è andata ad appannaggio di Trojan-Spy.Win32.LssLogger.bos, malware multifunzionale provvisto di funzionalità molto ampie; citiamo in primo luogo, tra di esse, la possibilità di realizzare il furto delle password sulla base di un elenco di software particolarmente esteso. Tutte le informazioni sensibili così carpite vengono in seguito trasmesse, tramite posta elettronica, ai malintenzionati di turno. 

Suddivisione per paesi dei rilevamenti effettuati dal modulo antivirus e-mail

 
Nel mese di agosto 2014 - nell'ambito del rating riguardante i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail - la quota relativa alla Gran Bretagna (13,16%) ha fatto registrare un sensibile aumento (+ 6,26%) rispetto all'analogo valore riscontrato nel mese precedente, risultando, in pratica, pressoché raddoppiata. Il Regno Unito è così tornato ad occupare la prima posizione di questa importante e significativa graduatoria. Al secondo e terzo posto della stessa troviamo, rispettivamente, Germania (9,58%; - 1,49%) e Stati Uniti (7,69%; - 1,59%).
L'elemento di maggior sorpresa, nel quadro del ranking qui sopra riportato, è tuttavia costituito dalla repentina ascesa in classifica della Russia (6,73%), passata nell'arco di un solo mese dall'ottava alla quarta piazza della speciale graduatoria; in agosto, la quota ascrivibile alla Federazione Russa ha in effetti presentato un marcato aumento rispetto allo scorso mese di luglio, incremento quantificabile in 3,33 punti percentuali.
L'Italia, da parte sua, è scesa dalla quinta all'ottava posizione del ranking, facendo segnare una diminuzione complessiva del proprio indice pari all' 1,33%. Segnaliamo, infine, che la quota relativa ad Hong Kong (2,74%) ha fatto registrare soltanto un lieve incremento rispetto ad un mese fa (+ 0,28%); ciò si è tuttavia rivelato sufficiente per far sì che la regione amministrativa speciale della Repubblica Popolare Cinese sopravanzasse, nella classifica di agosto 2014, Australia, Turchia e Vietnam.

Peculiarità e tratti caratteristici dello spam nocivo di agosto

Nel mese di agosto, i malintenzionati della Rete dediti alla distribuzione di pericolosi allegati nocivi nelle e-mail box degli utenti dei servizi di posta elettronica, hanno nuovamente fatto ricorso, in qualità di subdola esca, ai consueti messaggi e-mail mascherati sotto forma di notifiche ufficiali provenienti (in apparenza!) da Facebook, il social network più esteso e frequentato del pianeta. Nella circostanza, i malfattori, celandosi dietro un indirizzo di posta elettronica del tutto estraneo al dominio abitualmente utilizzato nell'ambito della celebre rete sociale sopra citata, hanno fatto giungere al potenziale utente-vittima un preoccupante messaggio, in cui si annunciava l'imminente disattivazione dell'account posseduto dal destinatario dell'e-mail. Secondo quanto recitava il testo inserito in tali messaggi fraudolenti, nel corso degli ultimi giorni (oppure degli ultimi mesi, come si leggeva in alcune delle e-mail riconducibili a tale specifica tipologia) il social network in questione era stato sottoposto ad attacchi informatici da parte di non ben precisati hacker; per tale motivo, per evitare spiacevoli conseguenze, il "team di esperti di Facebook" invitava gli utenti ad installare al più presto sul proprio computer l'utility allegata al messaggio di posta, la quale avrebbe permesso di abilitare una connessione sicura tra i server del noto social network ed il computer posseduto dall'utente. 

Ognuna delle e-mail distribuite nell'ambito di tale campagna di spam malevolo conteneva un archivio ZIP protetto da password, all'interno del quale si trovava, a sua volta, un file eseguibile, così come la password unica necessaria per effettuare la decompressione dello stesso. Sottolineiamo, nella circostanza, come il file archivio recasse, di fatto, il nome dell'utente al quale era stata indirizzata l'e-mail nociva (si trattava, più precisamente, del login dell'account di posta utilizzato da quest'ultimo); tale nome, inoltre, veniva ugualmente sfruttato dai malintenzionati nel processo di generazione della password necessaria per accedere al contenuto dell'archivio stesso. Nella parte finale del messaggio, poi, i malintenzionati si "preoccupavano" addirittura di segnalare all'utente che il file allegato all'e-mail avrebbe potuto essere aperto esclusivamente servendosi di un Personal Computer provvisto di sistema operativo Microsoft. In realtà, l'utility custodita nell'archivio in questione si sarebbe rivelata essere null'altro se non un programma maligno, e più precisamente un temibile trojan downloader riconducibile alla famiglia di malware Trojan-Downloader.Win32.Haze. Tali software dannosi provvedono a scaricare sul computer preso di mira ulteriori programmi nocivi, preposti, in genere, al furto dei dati personali del proprietario del computer sottoposto ad attacco, oppure, in alternativa, all'invio di messaggi e-mail infetti, sfruttando in maniera subdola l'elenco dei contatti precedentemente violato.

Phishing

Nel mese di agosto 2014, sui computer degli utenti dei prodotti Kaspersky Lab si sono complessivamente registrati 32.653.772 rilevamenti eseguiti grazie al componente di sicurezza "Anti-phishing", ovvero 12.495.895 rilevamenti in più rispetto all'analogo valore riscontrato relativamente allo scorso mese di luglio. Tale repentino e significativo incremento è indubbiamente da imputare alla diminuzione della domanda di spam pubblicitario che si verifica, abitualmente, nel corso della stagione estiva. In tal modo, i malintenzionati dello spam, per non perdere i loro consueti guadagni, si dedicano con maggiore intensità, tra l'altro, alla conduzione di estese campagne di phishing. 
Nel mese oggetto del presente report, la poco ambita leadership del rating relativo ai paesi maggiormente sottoposti agli attacchi portati dai phisher è andata ad appannaggio dell'Australia, il cui indice, rispetto al mese precedente, è in sostanza più che raddoppiato, attestandosi così su un valore complessivo pari al 24,4%. Il Brasile, che deteneva la prima posizione nell'analoga graduatoria di luglio 2014 è andato ad occupare la seconda posizione della classifica qui esaminata, con una quota del 19,5%. Alla terza, quarta e quinta piazza del rating sono andati poi a collocarsi, rispettivamente, Gran Bretagna (15,2%), Canada (14,6%) ed India (14,5%). 

 

Ripartizione geografica degli attacchi di phishing* - Situazione relativa al mese di agosto 2014
* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema "Anti-phishing", rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.

TOP-10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing:

Quadro delle organizzazioni sottoposte agli attacchi di phishing

Le statistiche relative agli obiettivi presi di mira dagli assalti dei phisher si basano sui rilevamenti eseguiti dal componente euristico implementato nel sistema "Anti-phishing". Il componente euristico del sistema "Anti-phishing" entra in azione nel momento stesso in cui l'utente clicca su un link malevolo preposto a condurre verso una pagina di phishing, nel caso in cui le informazioni relative a tale pagina non risultino ancora presenti all'interno dei database appositamente allestiti da Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell'utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un'e-mail di phishing, oppure in un messaggio inserito all'interno di un social network - sia di una situazione determinata dall'attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l'utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.
I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto della nostra analisi, la speciale classifica relativa alle organizzazioni (suddivise per categorie) rimaste vittima con maggior frequenza degli assalti condotti dai phisher non abbia subito sostanziali variazioni rispetto all’analogo rating del mese precedente. Così come nello scorso mese di luglio, al primo posto della graduatoria troviamo la nuova categoria da noi recentemente definita, comprendente i portali di posta elettronica e di ricerca, con una quota pari al 30,8%; rileviamo, nella circostanza, come l'indice percentuale ascrivibile agli attacchi di phishing complessivamente condotti nei confronti di tali risorse web abbia fatto registrare un lieve incremento rispetto ad un mese fa, quantificabile in 1,3 punti percentuali. Sono ugualmente aumentati, peraltro in maniera più sensibile (+ 3,3%) gli assalti di phishing organizzati a danno della categoria che raggruppa i social network; in luglio, la quota relativa alle reti sociali si è in effetti attestata su un valore medio pari al 17,3%. Complessivamente, nel mese oggetto del presente report, circa la metà del volume complessivo degli attacchi orditi dai phisher su scala globale ha avuto quale specifico bersaglio le due suddette categorie.

Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing
nel corso del mese di agosto 2014

Complessivamente, al phishing di natura finanziaria è risultato riconducibile il 35,2% del volume totale degli attacchi rilevati grazie al componente euristico implementato nel sistema "Anti-phishing"; tale indice ha quindi evidenziato un decremento del 6,6% rispetto all'analogo valore rilevato nello scorso mese di luglio. La diminuzione complessiva degli assalti condotti dai phisher nei confronti del settore finanziario ha influito, ovviamente, anche sugli indici percentuali ascrivibili alle singole categorie. Nella fattispecie, è stato osservato un decremento particolarmente marcato per ciò che riguarda la quota relativa ai rilevamenti eseguiti rispetto alla categoria "Istituti bancari" (- 4,9%); risultano ugualmente diminuiti in maniera apprezzabile gli indici relativi a due ulteriori categorie "finanziarie", ovvero "Negozi Internet" (- 1,2%) e "Sistemi di pagamento" (- 0,6%).

TOP-3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing

Così come nel mese precedente, la speciale graduatoria riguardante le organizzazioni maggiormente sottoposte agli assalti orditi dai phisher vede al primo posto i link di phishing preposti a condurre gli utenti verso pagine web contraffatte volte ad imitare le pagine Internet ufficiali relative ai servizi online offerti da Google; la quota ascrivibile a tali link malevoli ha fatto registrare un aumento di 1 punto percentuale rispetto allo scorso mese di luglio ed è quindi risultata pari al 12,61% del numero complessivo di rilevamenti eseguiti dal componente euristico "Anti-phishing". Il secondo gradino del "podio" virtuale risulta nuovamente occupato da Facebook; l'indice relativo agli assalti diretti nei confronti della celebre rete sociale è risultato pari al 10,05%. Tradizionalmente, ormai da lungo tempo, Facebook è il social network sottoposto al maggior numero di attacchi da parte dei phisher. In agosto, la quota ad esso ascrivibile ha fatto complessivamente registrare un incremento dello 0,4%. Come evidenzia la tabella qui sopra riportata, al terzo posto troviamo il motore di ricerca ed i servizi online di Yahoo! (6,38%). Ricordiamo, a tal proposito, come nell'analoga graduatoria di luglio 2014 tale posizione risultasse occupata da Windows Live, il portale Internet globale inerente ai servizi web di Microsoft (tra cui Outlook).
All'interno del traffico di spam che ha caratterizzato il mese oggetto del presente report sono state da noi individuate alcune campagne di phishing volte a realizzare il furto di login e password utilizzati per accedere ai servizi online offerti dalla piattaforma Yahoo!.  Attraverso tali messaggi si comunicava al destinatario dell'e-mail che era stato rilevato, da parte del Team di Yahoo!, un tentativo sospetto di accesso all'account dell'utente tramite un dispositivo non identificato; in sostanza, il login all'account e-mail personale risultava essere stato effettuato attraverso un altro computer. Tale insolita attività aveva naturalmente destato i sospetti degli amministratori del servizio e-mail di Yahoo!, per cui l'account in questione sarebbe stato bloccato entro poche ore nel caso in cui il destinatario del messaggio di phishing non avesse provveduto a verificare il proprio account, confermandone i relativi dati sensibili (login e password) attraverso l'apposito modulo inserito nella pagina web riprodotta nello screenshot qui sotto inserito. Nel corpo del messaggio, come si può vedere, i phisher avevano collocato ben due link apparentemente preposti alle operazioni di verifica dei dati personali dell'utente: il primo collegamento ipertestuale sarebbe servito a confermare la propria password, al fine di evitare il blocco dell'account e-mail e poter quindi continuare ad inviare e ricevere normalmente i messaggi di posta. Il secondo link, invece, avrebbe fornito all'utente l'opportunità di proteggere e mantenere al sicuro il proprio account, qualora l'accesso sospetto sopra descritto fosse stato realmente effettuato da una persona estranea. Entrambi i collegamenti ipertestuali inseriti nel messaggio malevolo, tuttavia, presentavano il medesimo indirizzo, ed avrebbero in tal modo condotto l'ignaro utente-vittima verso la stessa identica pagina web di phishing. E' stato da noi osservato come il testo presente nei messaggi di posta elettronica distribuiti attraverso le varie campagne di phishing riconducibili a tale specifica tipologia rimanesse in pratica invariato da messaggio a messaggio; alcune e-mail di tal genere, poi, presentavano persino il logo di Yahoo! nella loro parte iniziale.

 

Abbiamo inoltre rilevato come nell'ambito di un determinato mailing di massa la pagina web di phishing appositamente allestita dai malintenzionati imitasse in tutto e per tutto la pagina Internet ufficiale tramite la quale gli utenti del servizio e-mail di Yahoo! accedono al proprio account di posta; i messaggi utilizzati nel quadro di un'ulteriore campagna dagli identici contenuti presentavano, invece, uno sfondo della pagina web di phishing alquanto singolare, ben diverso da quello originale.

Se andiamo ad esaminare il codice HTML relativo a tali pagine di phishing, emerge subito, in tutta chiarezza, come nel primo caso i dati sensibili introdotti dal potenziale utente-vittima sarebbero stati inoltrati verso una pagina PHP predisposta dai malintenzionati; nel secondo caso, invece, le informazioni confidenziali illecitamente carpite sarebbero state trasmesse ad un indirizzo di posta elettronica registrato presso un servizio e-mail gratuito disponibile sul web. Oltre a ciò, apposite stringhe inserite nel codice HTML avrebbero mostrato sia l'indirizzo che sarebbe comparso nel campo del mittente, sia l'oggetto specifico del messaggio. Ciò avrebbe fornito ai malintenzionati l'opportunità di poter identificare al meglio le informazioni ricevute, contenenti login e password dell'utente, nel quadro di una determinata e specifica campagna di phishing precedentemente organizzata.

Conclusioni

Nel mese di agosto 2014 la quota dello spam presente nel traffico di posta elettronica globale ha fatto registrare un incremento dello 0,2%, attestandosi in tal modo su un valore medio pari al 67,2%. Le prime tre posizioni della speciale graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - sono rimaste invariate rispetto all’analogo rating relativo allo scorso mese di luglio: in effetti, in agosto, la leadership è andata nuovamente ad appannaggio degli Stati Uniti (15,9%), mentre la Russia (6%) e la Cina (4,8%) continuano ad occupare, rispettivamente, il secondo ed il terzo gradino del “podio” virtuale.
Lungo tutto l'arco del mese oggetto del presente report, i truffatori della Rete che sembrano seguire particolarmente da vicino, con notevole attenzione, gli avvenimenti politici che si sono recentemente prodotti in Ukraina, hanno continuato ad inondare le e-mail box degli utenti Internet di e-mail "nigeriane" contenenti le consuete richieste di aiuto ed assistenza per l'esecuzione di fantomatiche transazioni finanziarie, come al solito caratterizzate da cifre a dir poco iperboliche.  Nella circostanza, i messaggi fraudolenti, elaborati in lingua inglese, sembravano essere stati inviati, a prima vista, da un sedicente consigliere finanziario dell'ex-presidente dell'Ukraina, Viktor Yanukovych; l'autore delle e-mail "nigeriane" in questione richiedeva, come di consueto, l'assistenza e la collaborazione del destinatario del messaggio per la successiva conduzione di operazioni di investimento di somme di denaro stratosferiche.  Allo stesso modo, anche gli eventi legati alla vicenda di Mikhail Khodorkovsky sono stati ampiamente sfruttati dai truffatori "nigeriani" quale ulteriore tematica per cercare di sottrarre considerevoli risorse finanziarie alle potenziali vittime del raggiro.
All'interno del traffico di spam che ha contraddistinto il mese di agosto 2014 ci siamo spesso imbattuti in messaggi malevoli - recanti pericolosi software nocivi - mascherati più o meno abilmente dai malintenzionati di turno sotto forma di notifiche relative ad estemporanei e repentini mandati di comparizione in tribunale. Simili messaggi e-mail sono stati allestiti dagli spammer in varie lingue; i file nocivi ad essi allegati sono risultati essere preposti non solo a realizzare il furto dei dati personali dei potenziali utenti-vittima, ma anche ad ottenere facili guadagni derivanti dalla decodifica dei file precedentemente criptati sui computer sottoposti ad attacco.
Per ciò che riguarda le tradizionali ed immancabili campagne di spam "farmaceutico", nel mese di agosto gli spammer hanno fatto ricorso a notifiche fasulle provenienti (in apparenza!) da Google Play, il noto negozio online specializzato nella distribuzione digitale (applicazioni, brani musicali, film, libri, etc.); i link contenuti in tali messaggi conducevano, di fatto, verso pagine web reclamizzanti prodotti farmaceutici (ed affini) particolarmente diffusi.
Inoltre, nel corso del mese oggetto della nostra analisi, coloro che abitualmente si dilettano a distribuire montagne di messaggi e-mail indesiderati nelle caselle di posta elettronica degli utenti della Rete, si sono attivamente dedicati alla promozione commerciale dei servizi offerti da tour operator ed agenzie di recupero crediti.
La speciale graduatoria di agosto 2014 relativa ai software nocivi più frequentemente rilevati all'interno dei flussi di posta elettronica globali è risultata capeggiata dal malware classificato dagli esperti di sicurezza IT con la denominazione di Trojan.JS.Redirector.adf. Il malware Trojan-Spy.HTML.Fraud.gen, programma malevolo che per molti mesi ha detenuto in maniera incontrastata - con ampio margine percentuale - la leadership del rating in questione, continua tuttavia ad occupare la seconda posizione della graduatoria.
Nel mese oggetto della nostra analisi, sui computer degli utenti dei prodotti Kaspersky Lab si sono complessivamente registrati 32.653.772 rilevamenti eseguiti grazie al componente di sicurezza "Anti-phishing", ovvero 12.495.895 rilevamenti in più rispetto all'analogo valore riscontrato nello scorso luglio. In pratica, nel breve volgere di un mese, il numero dei rilevamenti effettuati grazie allo speciale modulo "Anti-phishing" è aumentato di oltre una volta e mezzo. La poco ambita leadership del rating relativo ai paesi più frequentemente sottoposti agli assalti organizzati dai phisher è andata ad appannaggio dell'Australia, il cui indice si è attestato su un valore complessivo pari al 24,4%. Così come nel mese precedente, al primo posto della speciale classifica inerente alle organizzazioni (suddivise per categorie) maggiormente sottoposte agli attacchi di phishing troviamo la categoria che raggruppa i portali di posta elettronica e di ricerca, con una quota pari al 30,8%. L'indice percentuale relativo alle campagne di phishing riconducibili alla sfera finanziaria degli utenti ha evidenziato una diminuzione complessiva del 6,6%, raggiungendo così un valore medio pari al 35,2%. Concludiamo infine il breve resoconto riepilogativo riguardo all'evoluzione dei fenomeni spam e phishing nel corso del mese di agosto 2014, evidenziando come sia entrata a far parte della TOP-3 relativa alle organizzazioni prese maggiormente di mira dai phisher anche la società Yahoo!, collocatasi sul gradino più basso del podio virtuale.