Lo spam nel mese di Dicembre 2013

28 gennaio 2014

Come da tradizione ormai ampiamente consolidata, lungo tutto l'arco del mese di dicembre 2013 gli spammer hanno cercato di attirare l'attenzione dei potenziali

Tat’jana Šerbakova

Marija Vergelis

Le peculiarità del mese
Ripartizione geografica delle fonti di spam
- Quota di spam nel traffico di posta elettronica
- Geografia delle fonti di spam
Allegati maligni rilevati nel traffico di posta elettronica
- Peculiarità e tratti caratteristici dello spam nocivo di dicembre
Phishing
Conclusioni

Le peculiarità del mese

Come da tradizione ormai ampiamente consolidata, lungo tutto l'arco del mese di dicembre 2013 gli spammer hanno cercato di attirare l'attenzione dei potenziali clienti della Rete con le proposte commerciali più varie e diversificate, a volte decisamente fantasiose, riguardo a possibili regali da effettuare o vacanze invernali da scegliere, utilizzando insistentemente le più classiche tematiche suggerite dalle imminenti festività di fine ed inizio anno. Nella circostanza, non sono stati ovviamente dimenticati o trascurati in alcun modo i più "tipici" prodotti e servizi che, abitualmente, caratterizzano i flussi di spam in questa particolare stagione del calendario. Evidenziamo, inoltre, come sia divenuta un ulteriore argomento indebitamente sfruttato nell'ambito delle cosiddette e-mail "nigeriane" la notizia della morte di Nelson Mandela, avvenuta all'inizio dello scorso mese di dicembre.

Un'altra tematica ampiamente sfruttata, nel corso del mese di dicembre, da coloro che si dilettano ad inviare montagne di e-mail di spam nelle caselle di posta elettronica degli utenti della Rete, si è rivelata essere l'imperante crisi economico-finanziaria globale. Così, sul preoccupante sfondo delle possibili conseguenze generate da tale prolungata e devastante crisi, gli spammer hanno cercato di porre bene in evidenza i servizi da essi reclamizzati, con il preciso intento di attirare un sempre più vasto pubblico di potenziali clienti.

Lo spam di Capodanno

Nel mese di dicembre, nel momento in cui milioni e milioni di persone, in ogni angolo del globo, sono impegnate in maniera più o meno febbrile nella ricerca e nell'acquisto di regali per i componenti della propria famiglia e per gli amici più cari, è inevitabilmente destinata ad innalzarsi in maniera esponenziale la domanda di prodotti e servizi a tema. Per tale motivo, per cercare di acquisire nuovi clienti ed aumentare così le proprie vendite, numerose società, e spesso anche gli stessi privati, sono soliti ricorrere alla spinta promozionale fornita dalle campagne di spam.

Alla vigilia della festività di Natale celebrata dalla Chiesa cattolica, abbiamo continuato a rilevare, all'interno del traffico e-mail globale, le abituali offerte di sostanziosi sconti su articoli e servizi di vario genere; all'interno dei flussi dello spam "natalizio" sono stati addirittura individuati curiosi mailing di massa volti a reclamizzare l'opportunità di poter ordinare online, per allietare e sorprendere i più piccoli, l'invio delle "magiche" letterine spedite, come da tradizione, da Babbo Natale (o Santa Claus). Desideriamo inoltre porre in evidenza come la pubblicità relativa ad importanti sconti concessi sull'acquisto di vari prodotti floreali, di solito allestita dagli spammer in occasione della Festa di San Valentino e della Festa della Mamma, abbia invece caratterizzato, in maniera del tutto inattesa, anche lo spam di dicembre ispirato alle più classiche tematiche natalizie. Sono stati ugualmente reclamizzati, all'interno dei flussi di spam dell'ultimo mese dell'anno, anche quei particolari servizi che propongono di personalizzare certi articoli pubblicitari o souvenir, di solito apponendo su di essi particolari scritte, oppure nominativi di persone, secondo lo specifico desiderio del cliente; nel mese di dicembre, attraverso gli spammer, è stato ad esempio proposto ai potenziali clienti della Rete di personalizzare, in tal modo, le classiche decorazioni da appendere all'albero di Natale.

Sottolineiamo, infine, come nel mese oggetto del presente report, le società che offrono servizi per la distribuzione in massa di messaggi e-mail o per la promozione dei siti web, abbiano cercato di attirare nuovi clienti proponendo notevoli sconti, concessi proprio in virtù delle imminenti festività natalizie.

L'avvocato «nigeriano» di Nelson Mandela

All'inizio dello scorso mese di dicembre, all'età di 96 anni, veniva a mancare Nelson Mandela, ottavo Presidente nella storia della Repubblica Sudafricana. Il tragico evento, purtroppo, non è affatto passato inosservato agli occhi dei truffatori della Rete; già alla metà del mese di dicembre, in effetti, abbiamo rilevato, in seno al traffico di posta elettronica, la prima campagna di spam "nigeriano" volta a sfruttare il clamore e la commozione suscitati su scala planetaria da tale eclatante avvenimento. Nel messaggio fraudolento, inviato a nome di un sedicente avvocato personale e procuratore legale del defunto Presidente sudafricano, i malintenzionati si sono avvalsi dei più classici trucchi e sotterfugi abitualmente utilizzati dagli spammer "nigeriani" per cercare di raggirare il potenziale utente-vittima: nella circostanza, i truffatori hanno in primo luogo richiesto l'aiuto del destinatario dell'e-mail per poter investire all'estero una stratosferica (quanto inesistente) somma di denaro in dollari statunitensi, per poi promettere una generosa (quanto improbabile) ricompensa in termini di commissioni sulla transazione finanziaria da eseguire. Come si può vedere nello screenshot qui sotto riportato, nel tentativo di conferire maggiore credibilità al messaggio inoltrato verso l'e-mail box dell'utente-vittima, i "nigeriani" si sono ugualmente "preoccupati" di inserire nel corpo dell'e-mail appositi link verso siti di news facenti capo a celebri network internazionali di informazione. Tutti i dettagli relativi alla "irrinunciabile" collaborazione finanziaria prospettata dal mittente del messaggio fraudolento, sarebbero stati poi trasmessi, a detta del sedicente avvocato sudafricano, non appena ricevuta l'attesa risposta da parte della potenziale "vittima" di turno. A tal proposito, i malintenzionati avevano provveduto ad inserire nel corpo dell'e-mail, come informazione di contatto, un indirizzo di posta elettronica registrato presso un servizio online gratuito.

Lo spam anti-crisi

Al momento attuale, in molti paesi del globo, la situazione economico-finanziaria si presenta decisamente instabile; la temuta e odiata parola "crisi" si incontra sempre più di frequente negli editoriali e negli articoli analitici quotidianamente rilasciati dai mass media. Proprio su tale tematica, nello scorso mese di dicembre, hanno cercato di speculare al massimo gli autori di varie campagne di spam. Nel segmento dei messaggi e-mail di spam elaborati in lingua inglese, la crisi è stata in particolar modo utilizzata come pretesto per reclamizzare l'acquisto, a buon mercato, delle più svariate repliche di famosi orologi di marca. Tali messaggi presentavano un link preposto a condurre il destinatario dell'e-mail verso un dominio di recente creazione; i collegamenti ipertestuali in questione contenevano, nella maggior parte dei casi, un frammento della locuzione "luxurywatch". Cliccando su di essi, l'utente sarebbe giunto sul sito web di un negozio online specializzato nella vendita di repliche di orologi di lusso.

Visti e viaggi

Per coloro che non sono riusciti a pianificare ed organizzare in tempo dovuto le proprie vacanze invernali, gli spammer hanno ben pensato di allestire varie proposte per l'ottenimento, nel più breve tempo possibile, di visti turistici per potersi recare in qualsiasi paese del globo, senza dover raggiungere personalmente il consolato o l'ambasciata di riferimento al fine di espletare le pratiche necessarie.

Nel segmento anglofono dello spam, gli autori di simili messaggi hanno proposto ai destinatari delle e-mail varie opzioni per semplificare le procedure da seguire per l'ottenimento dei visti, incluso l'acquisto di un allettante viaggio verso paesi caldi o la partecipazione a qualche lotteria a tema. Riteniamo tuttavia doveroso precisare e sottolineare come i messaggi di spam riconducibili a tale tipologia siano stati diffusi in Rete ad opera di organizzazioni per nulla collegate ai consolati e alle ambasciate ufficiali dei vari stati.

Ripartizione geografica delle fonti di spam

Quota di spam nel traffico di posta elettronica

Quote di spam rilevate settimanalmente all’interno del traffico di posta elettronica

La quota più elevata di messaggi e-mail indesiderati è stata riscontrata, in seno ai flussi globali di posta elettronica, all'inizio della seconda metà del mese di dicembre, ovvero nel momento in cui, con il rapido approssimarsi delle imminenti festività di fine anno, l'attività degli spammer ha raggiunto il suo picco massimo. Tuttavia, già verso la fine del mese oggetto del presente report, è stata da noi osservata una sensibile diminuzione del livello di attività di coloro che, lungo tutto l'arco dell'anno, si dilettano ad inondare le e-mail box degli utenti di messaggi "spazzatura". In tal modo, complessivamente, nel mese di dicembre 2013, la quota dello spam presente nel traffico di posta elettronica ha fatto registrare un valore medio pari al 73,3% del volume totale di messaggi e-mail circolanti in Rete.

Geografia delle fonti di spam

Geografia delle fonti di spam rilevate nel mese di dicembre 2013 - Graduatoria su scala mondiale

Per ciò che riguarda l'ultimo mese dell'anno 2013, osserviamo, in primo luogo, una situazione sostanzialmente stabile sia riguardo ai volumi complessivi di spam rilevati all'interno dei flussi e-mail mondiali, sia relativamente alla suddivisione geografica delle fonti dei cosiddetti messaggi "spazzatura". Così, la graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail indesiderate - non presenta significative variazioni rispetto all'analogo rating stilato un mese fa, sia a livello di composizione della stessa, sia a livello di quote percentuali attribuibili ai singoli paesi. Come evidenzia il grafico qui sopra riportato, la prima posizione della speciale classifica da noi stilata è andata nuovamente ad appannaggio della Cina, con una quota pari al 23,1% (- 0,2% rispetto a novembre 2013); sottolineiamo, a tal proposito, come il "colosso" dell'Estremo Oriente detenga ormai da diversi mesi la leadership del rating in questione. Il secondo gradino del "podio" virtuale di dicembre risulta occupato, così come in precedenza, dagli Stati Uniti (19%); nell'arco di un mese, la quota percentuale relativa al paese nordamericano è aumentata di un punto percentuale. Alla terza piazza della graduatoria qui analizzata si è di nuovo insediata la Corea del Sud (13,9%); l'indice ascrivibile ai flussi di spam generati entro i confini del paese asiatico ha fatto ad ogni caso registrare una lieve flessione (- 0,6%) rispetto all'analoga quota riscontrata nel mese di novembre 2013. In totale, nel mese oggetto del presente report dedicato al fenomeno spam, circa il 56% del volume globale dei messaggi di posta elettronica “spazzatura” diffusi su scala mondiale è stato inoltrato verso le e-mail box degli utenti dal territorio dei tre suddetti paesi.

Così come nello scorso mese di novembre, la quarta posizione della classifica relativa alle fonti dello spam globale è andata ad appannaggio di Taiwan (6,5%). La quinta posizione del rating qui esaminato risulta poi occupata dalla Russia: l’indice percentuale riguardante i messaggi e-mail indesiderati provenienti dal territorio della Federazione Russa ha fatto segnare un valore pari a 5,4 punti percentuali. All'ultima piazza della speciale TOP-10 di dicembre 2013 troviamo infine la Romania; la quota ascrivibile ai flussi di spam generati entro i confini del paese situato nell'Europa Orientale - e diretti verso gli utenti della Rete ubicati in ogni angolo del globo - è risultata pari all' 1,6%.

Osserviamo, inoltre, come la quota relativa allo spam proveniente dal territorio del Canada (0,8%) risulti in pratica quasi dimezzata rispetto all'analogo valore riscontrato nel mese precedente; di fatto, il vasto paese nordamericano ha "perso" ben quattro posizioni all'interno della classifica delle fonti dello spam "mondiale", andando in tal modo a collocarsi alla quattordicesima posizione della graduatoria qui sopra riportata.

Per contro, gli indici percentuali ascrivibili a Spagna (0,7%) ed Israele (0,7%), paesi che sono entrati a far parte del novero delle nazioni presenti nello speciale rating di dicembre 2013, risultano leggermente aumentati rispetto ad un mese fa.

Geografia delle fonti di spam rilevate nel mese di dicembre 2013 relativamente ai messaggi e-mail indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei

In dicembre, la prima posizione della classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei, è andata nuovamente ad appannaggio della Corea del Sud; la quota attribuibile al paese dell’Estremo Oriente ha fatto ad ogni caso segnare una diminuzione di quasi tre punti percentuali rispetto allo scorso mese di novembre, attestandosi in tal modo su un valore complessivo pari al 53,1%, pur sempre molto elevato. L’indice relativo ai messaggi e-mail indesiderati provenienti dal territorio degli Stati Uniti d’America (7,4%) - e diretti verso gli utenti ubicati in Europa - ha presentato invece un incremento di quasi due punti percentuali rispetto al mese precedente; gli USA hanno così "guadagnato" una posizione all'interno di tale speciale classifica "regionale", collocandosi sul secondo gradino del "podio" virtuale di dicembre 2013. La posizione occupata dagli Stati Uniti nello scorso mese di novembre, ovvero la terza, è andata invece ad appannaggio di Taiwan; il paese dell'Estremo Oriente insulare ha fatto complessivamente registrare una quota percentuale pari al 6%.

L'indice relativo allo spam "europeo" proveniente dal territorio della Repubblica Popolare Cinese ha evidenziato un incremento di oltre due punti percentuali (2,1%) rispetto al mese precedente; la Cina ha in tal modo compiuto un significativo balzo in avanti in classifica, di ben sette posizioni, andandosi a collocare direttamente al quarto posto della graduatoria qui esaminata. Così come nello scorso mese di novembre, alla quinta piazza del rating relativo alle fonti geografiche dello spam "europeo" troviamo la Russia, con una quota pari al 2,7%.

L'ultima posizione della TOP-10 di dicembre 2013 risulta infine occupata dal Vietnam (1,4%). La quota attribuibile allo spam inviato verso l'Europa dal territorio del paese del Sud-Est asiatico ha fatto tuttavia registrare una lieve diminuzione rispetto ad un mese fa, quantificabile in 0,9 punti percentuali.

Per contro, in Italia è stato rilevato un leggero aumento del livello delle attività condotte dagli spammer; in dicembre, l'indice ascrivibile a tale paese, sempre per ciò che riguarda la corrispondenza indesiderata inviata verso le e-mail box degli utenti della Rete europei, si è così attestato su un valore medio pari all' 1,4%. Sottolineiamo, allo stesso modo, come anche in Spagna, nel corso del mese oggetto del presente report, si sia manifestato un certo incremento delle attività svolte dagli spammer: il paese iberico è in tal modo entrato a far parte del rating in questione, facendo segnare un indice complessivo pari ad 1,3 punti percentuali.

Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di dicembre 2013

Così come in precedenza, la graduatoria relativa alla ripartizione delle fonti di spam per macro-regioni geografiche mondiali risulta ancora una volta dominata dall’Asia, con una quota pari al 56,6%; nel mese di dicembre 2013, l’indice complessivamente attribuibile al continente asiatico ha fatto tuttavia registrare un decremento di 2 punti percentuali rispetto all’analogo valore riscontrato nel mese precedente. Al secondo posto della speciale classifica "macro-regionale" delle fonti di spam si è nuovamente collocata l'America Settentrionale (19,9%); rispetto ad un mese fa la quota ascrivibile al continente nordamericano risulta lievemente aumentata (+ 0,3%). In terza posizione si è ancora una volta insediata l'Europa Orientale (13,7%); l'indice percentuale ad essa attribuibile è rimasto sostanzialmente invariato rispetto all'analoga classifica di novembre 2013. La quarta e la quinta piazza del rating in questione sono andate ad appannaggio, rispettivamente, di Europa Occidentale (4,4%) ed America Latina (2,5%). La quota percentuale riconducibile alla macro-area geografica medio-orientale si è infine attestata su un valore medio pari al 2,4%.

Allegati maligni rilevati nel traffico di posta elettronica

La TOP-10 del mese di dicembre 2013 relativa ai software nocivi più frequentemente rilevati all'interno dei flussi di posta elettronica globali si presenta nel modo seguente:

TOP-10 relativa ai programmi maligni maggiormente diffusi nel traffico di posta elettronica
nel mese di dicembre 2013

Osserviamo, innanzitutto, come rispetto al mese precedente, nell'ambito della TOP-10 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica globali, sia rimasta invariata la posizione occupata dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen, temibile programma malevolo che, già da molti mesi, capeggia incontrastato la graduatoria qui sopra riportata. Ricordiamo, nella circostanza, come tale software dannoso sia stato elaborato dai suoi autori sotto forma di una pagina HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; il Trojan-Spy in questione è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli. Il malware Fraud.gen viene abitualmente distribuito dai malfattori della Rete tramite la posta elettronica, sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da istituti bancari, negozi Internet, software house di primaria importanza, etc.

Alla seconda, quarta e sesta piazza della speciale graduatoria da noi stilata sono andati a collocarsi, rispettivamente, i programmi malware denominati Trojan-PSW.Win32.Tepfer.stlj, Trojan-PSW.Win32.Tepfer.swrz e Trojan-PSW.Win32.Tepfer.sugm; si tratta di insidiosi spyware preposti al furto delle password e dei cookie utilizzati nell'ambito dei browser, così come delle password impiegate per eseguire le connessioni FTP e per usufruire dei servizi di posta elettronica; i dati illecitamente sottratti vengono poi subdolamente trasmessi ai malintenzionati di turno.

Come evidenzia il grafico qui sopra riportato, il terzo posto del rating in questione è andato ad appannaggio del software nocivo rilevato dalle soluzioni anti-malware di Kaspersky Lab come Trojan.Win32.Inject.gxgh. Si tratta di un programma dannoso che, a totale insaputa dell'utente, provvede ad installare sul computer-vittima un'estensione maligna per i browser Google Chrome e Mozilla Firefox. Tale estensione intercetta, in primo luogo, le query indirizzate ad un ampio numero di search engine, per poi inviare al server appositamente allestito dai malfattori la stringa relativa alla ricerca effettuata dall'utente; il risultato originariamente prodotto dal motore di ricerca viene così sostituito: ciò significa, in pratica, che all'utente non verranno mostrati gli effettivi e reali risultati della ricerca compiuta, normalmente restituiti dal search engine, bensì risultati fasulli confezionati "ad arte" dai cybercriminali.

Il quinto posto del rating di dicembre 2013 risulta occupato da un vero e proprio "habitué" della TOP-10 qui esaminata, ovvero il malware classificato come Email-Worm.Win32.Bagle.gt, solitamente diffuso in forma di allegato ai messaggi e-mail. Si tratta, come è noto, di un virus-worm di posta elettronica preposto a raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi auto-diffondersi in Rete tramite gli account di posta illecitamente carpiti. Tale programma maligno risulta inoltre provvisto di ulteriori "doti": esso è stato appositamente creato dai virus writer per interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare dalla Rete ulteriori file malevoli sui computer sottoposti ad attacco, all'insaputa degli utenti-vittima. Per realizzare l'invio dei messaggi infetti, Email-Worm.Win32.Bagle.gt utilizza la propria libreria SMTP.

L'ottava e la decima posizione della speciale graduatoria relativa ai software nocivi rilevati con maggior frequenza all'interno dei flussi e-mail del mese di dicembre 2013 risultano occupate, rispettivamente, da Net-Worm.Win32.Aspxor.apo e Net-Worm.Win32.Aspxor.app. Asprox, come è noto, è un worm di rete abitualmente preposto all'invio di messaggi di spam. Esso è in grado di infettare automaticamente i siti web presi di mira, effettuare il download ed avviare l'esecuzione di ulteriori software malevoli, raccogliere preziose informazioni sensibili all'interno del computer-vittima sottoposto ad attacco, quali, ad esempio, le password custodite nella macchina infetta, così come i dati utilizzati per ottenere l'accesso agli account relativi ai programmi di posta elettronica ed ai client FTP.

Alla nona piazza della graduatoria di dicembre 2013 troviamo poi il programma malevolo classificato dagli esperti di sicurezza IT come Trojan-Spy.Win32.Zbot.qvpu. La famigerata famiglia di malware denominata Zbot/Zeus è composta da temibili e sofisticati programmi trojan appositamente creati dai virus writer per attaccare sia i server che i computer degli utenti, allo scopo di intercettare e carpire dati di natura sensibile e riservata. Sebbene il trojan sopra menzionato sia perfettamente in grado di eseguire attività dannose di vario genere, nella maggior parte dei casi esso viene utilizzato per compiere il furto delle informazioni bancarie custodite nei computer degli utenti, incluso - ovviamente - i dati sensibili relativi alle carte di credito. Il malware denominato Trojan-Spy.Win32.Zbot.qvpu può ugualmente generare l'installazione di CryptoLocker, un programma malware "estorsore" che richiede all'utente-vittima una certa somma di denaro per effettuare la decodifica dei dati precedentemente criptati.

Ripartizione per paesi dei rilevamenti eseguiti nel mese di dicembre 2013 dall’antivirus e-mail

Dallo scorso mese di novembre, il primo posto della classifica qui sopra riportata - riguardante i paesi nei quali il nostro modulo antivirus dedicato alla posta elettronica ha eseguito il maggior numero di rilevamenti volti a neutralizzare i programmi malware distribuiti attraverso i flussi e-mail - continua ad essere occupato dalla Gran Bretagna (14%). In dicembre, la quota ascrivibile al Regno Unito ha fatto complessivamente registrare un incremento di 1,7 punti percentuali rispetto al mese precedente. Allo stesso modo, anche gli Stati Uniti (13,2%) hanno visto aumentare sensibilmente la propria quota rispetto ad un mese fa (+ 3,1%); gli USA sono in tal modo passati dalla terza alla seconda posizione della speciale graduatoria da noi stilata. La Germania, la cui quota, rispetto all'analoga classifica di novembre 2013, è diminuita di un punto percentuale, è stata quindi scalzata dalla seconda piazza del rating, e si è in tal modo collocata sul terzo gradino del "podio" virtuale, facendo complessivamente registrare un indice pari al 10,2%.

La quota inerente ai rilevamenti effettuati dall’antivirus e-mail entro i confini del territorio della Federazione Russa ha fatto anch'essa segnare una significativa diminuzione, quantificabile in 1,7 punti percentuali. Nel periodo oggetto del presente report, le quote relative ai rimanenti paesi presenti in graduatoria non hanno subito significative variazioni percentuali.

Peculiarità e tratti caratteristici dello spam nocivo di dicembre

Sempre più di frequente, all'interno dei flussi di spam maligno, i malfattori specializzati nel distribuire ingenti quantità di programmi malware nelle caselle di posta elettronica degli utenti, utilizzano, in qualità di mittenti dei messaggi malevoli da essi diffusi in Rete, i nominativi di note società operanti nel settore dell'elettronica e del software. Il motivo di tutto ciò è alquanto semplice: ricevendo una notifica o una comunicazione "ufficiale" da parte di una società di cui spesso il destinatario del messaggio risulta effettivamente cliente, l'utente si dimostrerà di sicuro interessato all'e-mail in questione e, con una buona dose di probabilità, procederà all'apertura dell'archivio .zip allegato al messaggio di posta malevolo, contenente un pericoloso programma malware.

Nel mese di dicembre 2013, all'interno del traffico e-mail globale, abbiamo ad esempio individuato un considerevole numero di messaggi di posta elettronica inviati a nome di Samsung, la nota società produttrice di apparecchiature per le telecomunicazioni, di elettrodomestici, dispositivi audio e video. Allo stesso tempo, abbiamo rilevato la presenza, nei flussi e-mail di dicembre, di messaggi provenienti (in apparenza!) da Adobe Systems Inc., la celebre software house statunitense.

Utilizzando indebitamente il nominativo Samsung, nel mese oggetto del presente report i malintenzionati hanno distribuito in Rete un cospicuo numero di messaggi di posta, inviati, apparentemente, da uno dei numerosi manager operanti presso la suddetta società. Attraverso l'e-mail in causa, il sedicente "manager" comunicava di aver urgentemente bisogno di organizzare la fornitura di alcuni, non ben determinati, prodotti; dopo una lunga e minuziosa ricerca a livello di potenziali fornitori, la scelta era ricaduta, guarda a caso, proprio sulla società a cui apparteneva il destinatario dell'e-mail. Quest'ultimo avrebbe potuto verificare in dettaglio il contenuto dell'ambito "ordine", relativo ad una serie di prodotti definiti assolutamente indispensabili ed urgenti, semplicemente aprendo il file allegato al messaggio. Il "manager" si premurava, ugualmente, di indicare un preciso termine di consegna riguardo alla merce "ordinata", entro il quale sarebbero state espletate tutte le necessarie formalità riguardanti l'esecuzione del pagamento e l'allestimento della documentazione. L'e-mail contraffatta riportava inoltre, in calce, la firma automatica del "manager" in questione, contenente tutte le indispensabili informazioni di contatto. In realtà, l'archivio compresso allegato al messaggio di posta elettronica celava un pericoloso programma malware, rilevato dalle soluzioni antivirus di Kaspersky Lab come Trojan-Spy.Win32.Zbot.qzpl. Si tratta, in sostanza, di una delle numerose varianti di malware riconducibili alla famiglia di software nocivi denominata Zbot/Zeus, variante appositamente sviluppata dai virus writer con l'intento di carpire le informazioni confidenziali custodite nel computer sottoposto ad attacco informatico.

Le e-mail contraffatte provenienti, a prima vista, da Adobe, imitavano invece una conferma di acquisto di uno dei prodotti software sviluppati dalla suddetta società e, secondo quanto subdolamente affermato dai malintenzionati, avrebbero dovuto recare la chiave necessaria per attivare la licenza del programma. Le opportune verifiche condotte dagli esperti hanno dimostrato come l'archivio allegato al messaggio malevolo non contenesse in alcun modo il codice di registrazione del software, bensì un insidioso worm, classificato da Kaspersky Lab come Net-Worm.Win32.Aspxor.apo. Si tratta, nella fattispecie, di un worm appartenente alla temibile famiglia di malware denominata Net-Worm.Win32.Aspxor; esso viene abitualmente utilizzato dai malfattori per effettuare l'invio di consistenti quantità di messaggi di spam. Il worm in questione è ugualmente in grado di infettare i siti web, eseguire il download ed avviare l'esecuzione di ulteriori programmi nocivi, così come di realizzare il furto di dati riservati dal computer dell'utente.

Phishing

I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non abbia subito sostanziali variazioni rispetto all’analogo rating del mese precedente.

TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di dicembre 2013 -
Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Anti-phishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

Così come nello scorso mese di novembre, al primo posto della speciale graduatoria da noi stilata troviamo la categoria «Social network», con una quota pari al 26,9%; sottolineiamo, nella circostanza, come l'indice percentuale ascrivibile agli attacchi condotti dai phisher nei confronti delle reti sociali continui progressivamente a diminuire (- 0,4% rispetto al mese precedente). La seconda e la terza posizione del rating di dicembre risultano rispettivamente occupate, così come un mese fa, dalle categorie "Posta elettronica, programmi di instant messaging" (19,5%) e “Motori di ricerca” (16,6%); le quote percentuali relative a tali categorie hanno entrambe fatto registrare un lieve incremento rispetto agli analoghi valori riscontrati per il mese di novembre 2013.

L'indice attribuibile alla categoria "Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari" (15,8%) ha evidenziato una lieve diminuzione (- 0,3%); tale raggruppamento ha ad ogni caso conservato la quarta piazza della graduatoria qui sopra riportata.

La quinta e la sesta piazza della TOP-100 di dicembre 2013 sono andate ad appannaggio, rispettivamente, delle categorie "Fornitori di servizi di telefonia ed Internet provider" e "Vendor IT"; nell'arco di un mese, quindi, i gruppi in questione si sono nuovamente scambiati le posizioni occupate in classifica. Di fatto, la quota ascrivibile ai vendor IT (6%) è risultata in flessione rispetto al mese precedente, mentre l'indice percentuale relativo alla categoria che raggruppa i fornitori di servizi di telefonia e gli Internet provider (8,5%) ha invece fatto registrare un significativo aumento (+ 2,4%).

Continuando la nostra analisi sul fenomeno phishing, desideriamo porre in evidenza come, rispetto al mese precedente, siano lievemente diminuite le quote riconducibili alle categorie "Giochi online", "Organizzazioni ed enti governativi" e "Mass media"; nel mese oggetto del presente report, tali raggruppamenti sono andati ad occupare, rispettivamente, l'ottava, la nona e la decima piazza della speciale classifica da noi stilata.

Alcuni istituti bancari, in maniera ripetuta e assai poco invidiabile, divengono di frequente bersaglio di insistiti assalti da parte dei phisher. Nel mese di dicembre 2013, ad esempio, i malfattori specializzati nel condurre vasti attacchi di phishing hanno di nuovo distribuito nelle caselle di posta elettronica degli utenti della Rete un'ingente quantità di e-mail fasulle mascherate sotto forma di notifiche ufficiali provenienti (in apparenza!) della nota banca indiana ICICI Bank. Attraverso tali messaggi contraffatti si comunicava al destinatario dell'e-mail che il sistema di sicurezza posto a protezione delle operazioni di banking online era stato recentemente aggiornato e migliorato; per tale motivo, i clienti dell'istituto bancario avrebbero dovuto eseguire al più presto le abituali procedure di autenticazione - necessarie per accedere al sistema di Internet banking - al fine di verificare il buon esito dell'aggiornamento di "sicurezza" effettuato. I malintenzionati avevano inoltre provveduto ad inserire, nel corpo del messaggio falsificato, dettagliate istruzioni passo a passo, in base alle quali l'utente avrebbe dovuto in primo luogo procedere all'apertura dell'allegato HTML, per poi inserire nell'apposito modulo le informazioni richieste e confermare infine le stesse. Sottolineiamo come il messaggio fraudolento qui esaminato recasse al destinatario ben due allegati in formato HTML, uno riservato alla clientela corporate e l'altro agli utenti privati; i campi previsti per l'introduzione dei dati sensibili richiesti, tuttavia, risultavano in pratica identici. Naturalmente, le informazioni riservate inserite nelle due pagine HTML di phishing sarebbero state poi trasmesse ai malintenzionati di turno, i quali avrebbero in tal modo ottenuto il pieno accesso all'account bancario di ogni utente vittima del raggiro.

Nella circostanza, per cercare di convincere il destinatario del messaggio riguardo all'autenticità e alla legittimità di quest'ultimo, i phisher avevano indicato nel campo riservato al mittente un indirizzo di posta elettronica del tutto simile a quello ufficiale, mentre nel testo dell'e-mail, come abbiamo visto sopra, erano state inserite istruzioni particolarmente dettagliate riguardo alle procedure da seguire per l'attivazione dell'account; si tratta, indubbiamente, di qualcosa di piuttosto raro nel quadro dei messaggi e-mail di phishing. Tra l'altro, anche l'elaborazione stessa delle pagine HTML di phishing allegate al messaggio qui analizzato risultava del tutto simile alla composizione delle pagine web presenti sul sito ufficiale della banca indiana.