Lo spam nel mese di Febbraio 2014

28 gennaio 2014

Lo spam nel mese di Febbraio 2014

Tat’jana Šerbakova

Marija Vergelis

Le peculiarità del mese
Le statistiche
- Quota di spam nel traffico di posta elettronica
- Geografia delle fonti di spam
Allegati maligni rilevati nel traffico di posta elettronica
- Peculiarità e tratti caratteristici dello spam nocivo di dicembre
Phishing
Conclusioni

Le peculiarità del mese

Nel corso del mese oggetto del presente report gli spammer hanno attivamente distribuito nelle e-mail box degli utenti della Rete un elevato numero di messaggi di posta indesiderati, appositamente allestiti in occasione di San Valentino, l'attesa festività celebrata il giorno 14 febbraio. Tali messaggi, ispirati alle più classiche tematiche suggerite dalla Festa mondiale degli innamorati, hanno come al solito convogliato verso le caselle di posta elettronica degli utenti proposte commerciali di ogni genere, riguardanti i più disparati prodotti e servizi.

Al contempo, sono incessantemente proseguite, all'interno dei flussi e-mail globali, le losche attività condotte dai cosiddetti truffatori "nigeriani"; nel mese di febbraio, per cercare di sottrarre cospicue somme di denaro alle potenziali "vittime", i malfattori riconducibili a tale specifica tipologia criminosa hanno a più riprese "sfruttato" un nuovo ed ulteriore argomento, ovvero la delicata situazione politica che si è venuta a determinare in Ukraina, ed i tragici avvenimenti che si sono verificati in tale paese. Segnaliamo inoltre, nel novero delle campagne di spam che hanno maggiormente caratterizzato il mese qui esaminato, un singolare mailing di massa in cui veniva offerta, al destinatario dell'e-mail di spam, la possibilità di "vincere" un intervento gratuito per correggere la vista con il laser.

Le avventure dei «turisti nigeriani» in Ukraina

Le situazioni di forte instabilità politica, accompagnate da gravi disordini e sommosse, passano raramente inosservate agli occhi dei malintenzionati della Rete specializzati in truffe di vario genere; non costituisce quindi motivo di particolare sorpresa il fatto che, nel mese di febbraio, gli avvenimenti che hanno avuto luogo in Ukraina abbiano rappresentato uno dei principali argomenti sfruttati per l'allestimento, da parte dei malfattori, delle famigerate e-mail "nigeriane". Nella circostanza, i truffatori hanno adottato il classico schema fraudolento attraverso il quale, dopo aver raccontato al destinatario dell'e-mail, in maniera più o meno fantasiosa, di aver subito il furto di tutto il denaro e degli oggetti di valore di cui disponeva, il mittente del messaggio "nigeriano", nelle vesti di un improbabile turista derubato, non esita a richiedere immediata assistenza finanziaria, confidando nella generosità e, soprattutto, nell'ingenuità di qualche sprovveduto utente.

Ad esempio, nell'ambito di una delle campagne di spam fraudolento di tal genere da noi individuate nel corso del mese di febbraio, l'autore dell'e-mail "nigeriana" comunicava al destinatario della stessa che il viaggio turistico a Kiev da egli intrapreso, compiuto assieme alla famiglia, si era trasformato in una vera e propria catastrofe, in quanto, sotto la minaccia delle armi, ignoti criminali si erano impossessati di tutti gli oggetti di valore ad esso appartenenti, lasciando nelle sue mani soltanto i passaporti dei familiari e poco più. Continuando il fantasioso racconto, lo sfortunato "turista" affermava che, nella circostanza, né la polizia locale, né l'ambasciata del proprio paese si erano rivelate di particolare aiuto, mentre la direzione dell'hotel in cui egli soggiornava, giusto per complicare ulteriormente la già disastrosa situazione, non lo avrebbe fatto partire finché non fosse stato in qualche modo saldato il conto dell'albergo. L'unica cosa che rimaneva da fare, quindi, al malcapitato "turista" in questione, era quella di chiedere aiuto a qualche persona generosa, di buona volontà e particolarmente comprensiva, in grado di fornire l'indispensabile assistenza finanziaria. Il denaro, naturalmente, sarebbe occorso in maniera estremamente urgente, visto che, oltretutto, era ormai rimasto poco tempo prima della partenza del volo di ritorno; naturalmente, il "turista" si premurava di precisare, concludendo il proprio messaggio, che la somma gentilmente inviata dal generoso soccorritore sarebbe stata poi integralmente restituita, subito dopo aver fatto ritorno a casa.

Come si può vedere nello screenshot esemplificativo qui sotto riportato, anche in un altro messaggio "nigeriano" di tenore simile i truffatori di turno hanno indossato le vesti del turista derubato, giunto in Ukraina con la propria famiglia, al quale è stata sottratta la borsa contenente il passaporto e tutti gli effetti personali. L'ambasciata del proprio paese ha sì provveduto a rilasciare un passaporto provvisorio, ma il turista "nigeriano" non dispone tuttavia di denaro per acquistare il biglietto di ritorno, né per poter effettuare il pagamento del conto relativo al soggiorno in albergo. A differenza del messaggio precedente, questa volta i truffatori si affrettano a richiedere una precisa somma di denaro, cercando di indurre il destinatario dell'e-mail a rispondere immediatamente alla richiesta di aiuto ricevuta, in quanto è rimasto davvero poco tempo prima del previsto ritorno in patria, ed alla banca occorreranno di sicuro alcuni giorni per perfezionare le operazioni di trasferimento del denaro - generosamente concesso - sul conto del "turista".

Le fantasiose "storie" di turisti completamente derubati dei propri averi, al pari di altri temi fraudolenti comunemente sfruttati dai truffatori della Rete hanno, in pratica, una valenza universale: tali argomentazioni possono essere di fatto agevolmente collegate a qualsiasi evento eclatante che, sul momento, si verifichi sulla scena internazionale e susciti il vivo interesse dell'opinione pubblica mondiale. Simili "storie", in cui vengono esplicitamente menzionati eventi reali, altro non sono, tuttavia, se non un subdolo ed ingannevole stratagemma di cui si avvalgono i malintenzionati di turno per raggirare gli utenti della Rete; in realtà, la vittima della truffa, rispondendo all'accorata richiesta proveniente dal mittente dell'e-mail, non aiuterà proprio alcuna persona e, soprattutto, non si vedrà mai più restituire il denaro ingenuamente concesso.

Spam e festività

Nel segmento anglofono dello spam di febbraio ispirato alle più classiche tematiche suggerite dalla celebrazione della festività di San Valentino sono stati individuati numerosi mailing di massa volti a reclamizzare repliche di articoli di lusso riconducibili a prestigiosi marchi internazionali, così come prodotti floreali e deliziose realizzazioni di pasticceria. Le e-mail pubblicitarie in questione sono state spesso decorate con motivi tipicamente festivi, particolarmente colorati e sgargianti. In seno a tali flussi di spam abbiamo ugualmente rilevato la conduzione di una singolare campagna di spam fraudolento in cui si offriva, ai destinatari delle e-mail, l'opportunità di guadagnare, ogni giorno, una consistente somma di denaro mediante il download e l'installazione di un'apposita, "miracolosa" applicazione, la quale, nella circostanza, avrebbe potuto essere recapitata sotto forma di "prezioso" regalo da destinare alla persona amata proprio in occasione di San Valentino, la Festa mondiale degli Innamorati.

E' del tutto lecito prevedere che, nel mese di marzo, gli spammer continuino a sfruttare in maniera particolarmente attiva le tematiche connesse alle festività stagionali del momento (quali, ad esempio, il Giorno di San Patrizio - importante ricorrenza celebrata il 17 marzo di ogni anno in numerosi paesi del mondo - ed altre ancora) per riempire le caselle di posta elettronica degli utenti della Rete di vere e proprie montagne di e-mail indesiderate, recanti la pubblicità di ogni possibile genere di prodotti e servizi.

Correzione della vista con il laser

Nel mese di febbraio dell'anno in corso, all'interno del segmento di Internet frequentato dagli utenti di lingua inglese, gli spammer hanno attivamente pubblicizzato gli interventi di correzione della vista realizzati tramite laser, i quali, in numerose circostanze, sono stati offerti con la promessa di sostanziosi sconti, o addirittura in forma del tutto gratuita. Tali messaggi di spam si sono presentati ai destinatari delle e-mail quasi sotto forma di flyer pubblicitari ben confezionati, con tanto di apposita zona riservata ad un link posto in maniera particolarmente evidente; cliccando su di esso, dopo una serie di redirect, l'utente sarebbe infine giunto sulle pagine web allestite per l’occasione dagli spammer, contenenti non solo le varie offerte relative agli interventi di correzione della vista tramite laser, ma anche numerose proposte commerciali di ulteriori prodotti e servizi. Di solito, tali messaggi evidenziavano ugualmente il nominativo della clinica di volta in volta pubblicizzata, riguardo alla quale il potenziale cliente avrebbe potuto in seguito trovare informazioni ancor più dettagliate consultando un motore di ricerca. Per cercare di rendere l'offerta ancor più convincente, all'interno di alcuni messaggi erano state appositamente inserite le recensioni formulate dai pazienti già sottopostisi all'intervento, i quali, nell'occasione, esprimevano tutta la propria soddisfazione e la propria riconoscenza.

Cartucce per stampanti a volontà

Un ulteriore tema di particolare rilevanza, nel panorama globale dello spam di febbraio 2014, si è rivelato essere l'offerta commerciale di cartucce per stampanti e fotocopiatrici; nel corso degli ultimi due anni, il numero dei messaggi e-mail pubblicitari dedicati a tale specifico argomento è sensibilmente cresciuto. Sono state da noi individuate campagne di spam di tal genere condotte in varie lingue; il metodo e l'impostazione adottati dagli spammer per elaborare i messaggi in questione sono tuttavia risultati, in genere, alquanto simili.

Fondamentalmente, attraverso tali mailing di massa - composti in lingua inglese, svedese ed in altre lingue ancora - gli spammer si sono esclusivamente limitati a proporre ai destinatari dei messaggi l'acquisto di cartucce e toner. In genere, attraverso le pubblicità in causa, sono stati evidenziati in dettaglio tutti gli articoli via via proposti - con tanto di relativi prezzi - per i numerosi modelli di stampante presenti sul mercato. In alcuni dei messaggi di spam qui esaminati, si è cercato di attirare ancor di più l'attenzione dei potenziali clienti offrendo dei coupon sconto particolarmente allettanti, nell'ambito di speciali promozioni commerciali a breve termine. Il composito screenshot qui sopra riportato evidenzia, tra l'altro, il messaggio e-mail pubblicitario diffuso in Rete dal manager di un'azienda cinese; quest'ultimo sottolinea, tra l'altro, l'ampio successo ottenuto dalla propria società nel corso di una manifestazione fieristica tenutasi in Germania (per conferire al messaggio ulteriore credibilità sono state appositamente allegate alcune foto scattate durante la suddetta esibizione internazionale), proponendo, sulle ali dell'entusiasmo, l'opportunità di piazzare interessanti ordini presso la propria società.

Le statistiche

Quota di spam nel traffico di posta elettronica

Quote di spam rilevate settimanalmente all’interno del traffico di posta elettronica

Lungo tutto l'arco del mese oggetto del presente report, la quota dello spam presente nel traffico di posta elettronica globale è rimasta sostanzialmente invariata, ad eccezione della terza settimana di febbraio, nel corso della quale si è verificato un lieve incremento del valore relativo a tale indice. In febbraio, complessivamente, la quota dello spam rilevato nel traffico e-mail ha fatto registrare un valore medio pari al 69.9%.

Geografia delle fonti di spam

La speciale graduatoria “globale” delle fonti di spam - relativa ai paesi dal cui territorio, nel mese di febbraio 2014, sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail “spazzatura” - si presenta nella maniera seguente:

Geografia delle fonti di spam rilevate nel mese di dicembre 2013 - Graduatoria su scala mondiale

La leadership della classifica analizzata nel presente capitolo del nostro report mensile dedicato al fenomeno spam è andata nuovamente ad appannaggio della Cina (23%). Ricordiamo, a tal proposito, come il "colosso" dell'Estremo Oriente occupasse la seconda posizione all'interno dell'analoga graduatoria relativa al precedente mese di gennaio; il repentino aumento di ben 7 punti percentuali relativamente alla quota inerente ai messaggi e-mail indesiderati provenienti dal territorio della Repubblica Popolare Cinese, registratosi nel corso del mese qui analizzato, ha tuttavia automaticamente "consegnato" a tale paese la prima piazza del rating in questione. Il secondo gradino del "podio" virtuale di febbraio 2014 risulta occupato dagli Stati Uniti (19,1%). Nell'arco di un mese, l'indice percentuale ascrivibile al paese nordamericano - leader dell'analogo rating di gennaio - ha evidenziato una flessione pari al 2,8%; ciò ha comportato, per gli USA, la "perdita" di una posizione in graduatoria. Così come nel mese precedente, al terzo posto della speciale classifica da noi stilata relativamente alle fonti dello spam globale si è di nuovo insediata la Corea del Sud (12,8%). Complessivamente, la quota attribuibile ai flussi di spam generati entro i confini del paese dell'Estremo Oriente non ha subito significative variazioni percentuali rispetto ad un mese fa.

La Russia, da parte sua, si è collocata al quarto posto della graduatoria (7%), facendo registrare un lieve aumento della propria quota (+ 1,1 punti percentuali). La quinta piazza del rating di febbraio è andata ad appannaggio di Taiwan (5,1%); nell'arco di un mese, il paese dell'Estremo Oriente insulare ha quindi "perso" una posizione in graduatoria, imputabile alla leggera diminuzione della propria quota (- 1,1%).

Allo stesso modo, rispetto al precedente mese di gennaio, hanno evidenziato una flessione media pari a 0,2 punti percentuali le quote attribuibili, rispettivamente, ad India (3,4%), Vietnam (3%), Ukraina (2,3%) e Romania (2%).
L'ultima posizione della TOP-10 di febbraio risulta infine occupata dal Giappone (1,8%). Rispetto all'analoga graduatoria di gennaio 2014, il contributo apportato dal Paese del Sol Levante al traffico di spam su scala mondiale ha fatto segnare un lieve decremento (- 0,3%); il Giappone è in tal modo passato dalla nona alla decima posizione della classifica qui sopra riportata.

E' di particolare interesse osservare come, nel corso del mese oggetto della nostra analisi, si siano ugualmente intensificate, seppure non in maniera particolarmente marcata, le attività condotte dagli spammer entro i confini del territorio della Germania (0,7%) e della Gran Bretagna (0,7%); i due paesi dell'Europa Occidentale sono quindi anch'essi entrati a far parte della speciale classifica relativa alla geografia delle fonti dello spam "mondiale".

Geografia delle fonti di spam rilevate nel mese di dicembre 2013 relativamente ai messaggi e-mail indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei

Così come in precedenza, anche nel mese oggetto del presente report la prima posizione della classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei, è andata ad appannaggio della Corea del Sud (48,6%). Rispetto a quanto riscontrato per il mese di gennaio 2014, la quota attribuibile al paese dell’Estremo Oriente ha fatto segnare un incremento di 1,2 punti percentuali, attestandosi quindi ancora una volta su un valore complessivo indubbiamente molto elevato. L’indice relativo ai messaggi e-mail indesiderati provenienti dal territorio degli Stati Uniti d’America (8,2%) - e diretti verso gli utenti ubicati in Europa - ha presentato un significativo incremento rispetto al mese precedente, pari all'incirca al 3%; gli USA hanno così "guadagnato" una posizione all'interno di tale speciale classifica "regionale" delle fonti di spam, collocandosi sul secondo gradino del "podio" virtuale di febbraio 2014. Ricordiamo, a tal proposito, come nell'analogo rating di gennaio, gli Stati Uniti occupassero, di fatto, la terza piazza della graduatoria, con una quota pari al 5,3%. Adesso, sul terzo gradino del "podio" virtuale di febbraio troviamo Taiwan (5,5%); la quota riconducibile al paese asiatico risulta lievemente diminuita (- 0,3%) rispetto ad un mese fa.

Alla quarta piazza della speciale graduatoria da noi elaborata è andata a collocarsi la Russia (5%), la quale è in tal modo salita di una posizione in classifica. In febbraio, l'indice ascrivibile alla Federazione Russa ha fatto complessivamente registrare un incremento di 2 punti percentuali. E' inoltre interessante rilevare come, rispetto al mese precedente, la Cina (3,9%) abbia "guadagnato" ben sei posizioni in graduatoria; la quota riconducibile al paese dell'Estremo Oriente risulta in effetti aumentata del 2,5% nell'arco di un solo mese.

E' stato poi ugualmente osservato un incremento pari allo 0,5% riguardo alle quote relative ad Ukraina (2,3%) e Vietnam (1,8%); mentre per il primo dei due paesi ciò non ha comportato un significativo cambiamento relativamente alla posizione occupata all'interno del rating "europeo" (l'Ukraina è di fatto passata dall'ottava alla settima piazza della graduatoria), il paese del Sud-Est asiatico è invece in tal modo entrato a far parte della TOP-10, collocandosi all'ottavo posto della stessa.

In decima posizione si è situata l'India, con una quota pari all' 1,6%. Gli indici attribuibili a Gran Bretagna e Germania sono risultati lievemente inferiori e si sono attestati, rispettivamente, su valori pari all' 1,5% e all' 1,4%.

Rileviamo, infine, come l'Italia (1%) non faccia più parte della TOP-10 in questione; rispetto all'analogo rating del mese precedente (7° posto) tale paese ha "perso" ben sette posizioni in classifica. In febbraio, la quota riconducibile ai messaggi e-mail indesiderati inviati dal territorio italiano verso le e-mail box degli utenti della Rete ubicati in Europa ha difatti presentato una significativa flessione, superiore ad un punto percentuale. Risultano ugualmente diminuite le quote relative allo spam "europeo" diffuso dal territorio di Spagna (0,8%) ed Argentina (0,7%). Al pari dell'Italia, anche la Spagna è quindi uscita dalle prime dieci posizioni della graduatoria, nonostante nel mese precedente il paese iberico occupasse la sesta piazza del rating qui analizzato.

Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di febbraio 2014

La graduatoria relativa alla ripartizione delle fonti di spam per macro-regioni geografiche mondiali risulta ancora una volta dominata dall’Asia, con una quota pari al 54%; rispetto allo scorso mese di gennaio, l’indice complessivamente attribuibile al continente asiatico ha presentato un sensibile incremento, pari a cinque punti percentuali. Così come in precedenza, al secondo posto della speciale classifica "regionale" si è insediata l'America Settentrionale (20%); la quota ascrivibile al continente nordamericano risulta tuttavia diminuita del 3,2% rispetto ad un mese fa. La terza piazza della graduatoria visibile nel grafico qui sopra riportato è andata ad appannaggio dell'Europa Orientale (16,2%), la cui quota ha fatto registrare un aumento quantificabile in 1,2 punti percentuali. In quarta, quinta e sesta posizione, nell'ambito del rating relativo alle fonti di spam suddivise per macro-regioni geografiche mondiali, troviamo infine, rispettivamente, Europa Occidentale (4,5%), America Latina (2,7%) e Medio Oriente (2,4%).

Allegati maligni rilevati nel traffico di posta elettronica

La TOP-10 del mese di febbraio 2014 relativa ai software nocivi più frequentemente rilevati all'interno dei flussi di posta elettronica globali si presenta nel modo seguente:

Leader incontrastato dell'importante TOP-10 relativa ai programmi maligni maggiormente presenti nei flussi di posta elettronica globali continua ad essere (la situazione è tale ormai da molti mesi) il temibile malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen. Ricordiamo, nella circostanza, come tale software dannoso sia stato elaborato dai suoi autori sotto forma di una pagina HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; il Trojan-Spy in questione è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l’utente inserisce i propri dati all’interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l’apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli. Il malware Fraud.gen viene abitualmente distribuito dai malfattori della Rete tramite la posta elettronica, sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da istituti bancari, negozi Internet, software house di primaria importanza, etc.

Il secondo e il nono posto della graduatoria risultano occupati dai malware classificati, rispettivamente, come Backdoor.Win32.Androm.bngy e Backdoor.Win32.Androm.bmvm. I software maligni riconducibili alla famiglia di malware denominata Andromeda sono, in sostanza, programmi backdoor che consentono ai cybercriminali di assumere il pieno controllo del computer sottoposto a contagio informatico, a totale insaputa dell’utente-vittima. Inoltre, i computer infettati da programmi malevoli di tal genere entrano spesso a far parte di estese botnet, risultando poi completamente asserviti alle reti-zombie di volta in volta allestite dai malintenzionati.

Alla terza piazza della TOP-10 da noi stilata si è insediato Asprox, un worm di rete abitualmente preposto all'invio di messaggi di spam. Esso è in grado di infettare automaticamente i siti web presi di mira, effettuare il download ed avviare l'esecuzione di ulteriori software malevoli, raccogliere preziose informazioni sensibili all'interno del computer-vittima sottoposto ad attacco, quali, ad esempio, le password custodite nella macchina infetta, così come i dati utilizzati per ottenere l'accesso agli account relativi ai programmi di posta elettronica ed ai client FTP.

Il quarto ed il quinto posto del rating qui sopra riportato sono andati ad appannaggio, rispettivamente, delle varianti di malware classificate dagli esperti di sicurezza IT come Trojan-Spy.Win32.Zbot.rpce e Trojan-Spy.Win32.Zbot.roih. Come è noto, Zbot è un trojan altamente specializzato nel furto delle informazioni confidenziali custodite nei computer degli utenti sottoposti ad attacco. Il malware in questione può ugualmente generare l'installazione di CryptoLocker, un programma "estorsore" che richiede all'utente-vittima una certa somma di denaro per effettuare la decodifica dei dati precedentemente criptati.

Al sesto posto della TOP-10 relativa ai programmi malevoli maggiormente diffusi nel traffico e-mail globale troviamo poi Email-Worm.Win32.Bagle.gt: si tratta, come è noto, di un worm di posta elettronica preposto a raccogliere gli indirizzi e-mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi auto-diffondersi in Rete tramite gli account di posta illecitamente carpiti. Tale programma maligno risulta inoltre provvisto di ulteriori "doti": esso è stato appositamente creato dai virus writer per interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare dalla Rete ulteriori file malevoli sui computer sottoposti ad attacco, all'insaputa degli utenti-vittima. Per realizzare l'invio dei messaggi infetti, Email-Worm.Win32.Bagle.gt utilizza la propria libreria SMTP.

L'ottava posizione della graduatoria di febbraio 2014 risulta occupata dal programma malevolo denominato Trojan.Win32.Inject.hpdp, adibito alla specifica funzione di spyware e keylogger (Limitless Logger). Tale malware è in grado di intercettare le sequenze dei tasti premuti dall'utente, raccogliere numerose informazioni riguardo al sistema informatico preso di mira, carpire i dati di cui gli utenti si avvalgono per accedere a vari siti web, realizzare il furto delle password custodite negli appositi programmi adibiti all'archiviazione e alla gestione delle password.

Chiude infine la TOP-10 di febbraio il software nocivo classificato come Trojan.Win32.Bublik.cbds; si tratta, in sostanza, di un Trojan-Downloader di dimensioni contenute, preposto al download e all'avvio dei programmi trojan appartenenti alla famiglia Zbot.

Peculiarità e tratti caratteristici dello spam nocivo di febbraio

Nel mese oggetto del presente report, sull'onda delle celebrazioni legate alla festività di San Valentino, è risultato considerevolmente aumentato, all'interno dei flussi di spam globali, il numero dei messaggi e-mail ispirati alla tematica delle conoscenze e degli incontri online. Così, le caselle di posta elettronica degli utenti della Rete sono state letteralmente invase da messaggi provenienti da "splendide sconosciute" desiderose di avviare rapporti epistolari con i destinatari delle e-mail.

I file archivio allegati a tali messaggi, tuttavia, non custodivano affatto le foto generosamente promesse; essi celavano, invece, temibili malware di vario tipo, quali, ad esempio, il programma maligno denominato Trojan.Win32.Reconyc.rbc. Si tratta, nella fattispecie, di un Trojan-Dropper abitualmente preposto a generare l'installazione, sul computer-vittima, di due diversi programmi malevoli: il primo di essi è di fatto riconducibile alla categoria degli spyware. Tale software nocivo è in effetti adibito a realizzare il furto di tutti i file-documento provvisti di estensione *.docx, *.xlsx, *.pdf, per poi inviare gli stessi verso una determinata e-mail box. Il secondo risulta invece essere un bot/worm IRC denominato Shitstorm, in grado di allestire attacchi informatici di tipo DDoS nei confronti dei siti web, così come di auto-diffondersi attraverso i servizi MSN e P2P.

Nell'occasione, i nostri analisti si sono ugualmente imbattuti in numerosi malware ascrivibili alla categoria degli "estorsori", ovvero software dannosi in grado di bloccare il funzionamento dei computer degli utenti, ed esigere quindi il pagamento di un consistente "riscatto" in denaro per poter procedere allo sblocco delle macchine da essi infettate. Fa ad esempio parte del novero di tali malware estorsori il programma nocivo rilevato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-Ransom.Win32.Gimemo.boyz.

Sono stati inoltre individuati, nel traffico di spam nocivo di febbraio 2014, vari messaggi e-mail privi di testo, la cui tematica, tuttavia, veniva inequivocabilmente ed immediatamente svelata dal titolo presente nell'oggetto del messaggio, quale, ad esempio "Guarda le mie foto di nudo in allegato". I file archivio (.zip) allegati ai messaggi in questione, tuttavia, contenevano anch'essi insidiosi malware, ed in particolar modo il programma nocivo denominato Backdoor.Win32.Androm.bnaf, appartenente alla famiglia Andromeda; tale software dannoso consente ai malintenzionati di assumere il pieno controllo del computer infetto, a totale insaputa dell’utente-vittima sottoposto ad attacco.

In febbraio, malware simili sono stati distribuiti nelle caselle di posta elettronica degli utenti della Rete anche tramite i consueti metodi standard, ovvero sotto forma di notifiche fasulle provenienti (in apparenza!) dagli amministratori di noti social network. Ad esempio, come evidenzia lo screenshot esemplificativo qui sotto riportato, nei messaggi e-mail contraffatti inviati a nome di Facebook si comunicava al destinatario della "notifica" che, dal momento in cui egli aveva effettuato l'ultimo accesso al celebre social network, si erano verificati numerosi eventi interessanti nella sfera delle amicizie precedentemente strette; tutte le informazioni relative alle notifiche provenienti dalla cerchia degli "Amici" avrebbero potuto essere visionate aprendo semplicemente (guarda a caso!) il file allegato al messaggio malevolo. In realtà, l'archivio .zip in questione celava il temibile programma nocivo classificato come Backdoor.Win32.Androm.bmv, riconducibile ad Andromeda, la famigerata famiglia di malware menzionata in precedenza.

Phishing

I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non abbia subito sostanziali variazioni rispetto all’analogo rating del mese precedente.

TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di febbraio 2014 -
Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing

La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Anti-phishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali malevoli contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web.

Così come nello scorso mese di gennaio, al primo posto della speciale graduatoria da noi stilata troviamo la categoria "Social network", con una quota pari al 27,3%; sottolineiamo, nella circostanza, come l'indice percentuale ascrivibile agli attacchi condotti dai phisher nei confronti delle reti sociali si sia mantenuto sostanzialmente stabile rispetto al mese precedente, avendo fatto registrare solo un lievissimo decremento quantificabile in 0,06 punti percentuali. La seconda piazza del rating è andata ad appannaggio dei servizi di posta elettronica (19,34%); rispetto all'analoga graduatoria di gennaio, la quota relativa a tale categoria risulta leggermente diminuita. Nonostante ciò, il raggruppamento "Posta elettronica, programmi di instant messaging" continua a mantenersi saldamente al secondo posto. Da parte sua, ha "guadagnato" una posizione in classifica la categoria "Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari" (16,73%), collocatasi sul terzo gradino del "podio" virtuale di febbraio; di fatto, la quota ascrivibile agli attacchi di phishing condotti a scapito delle organizzazioni facenti parte di tale settore è aumentata dell' 1,1%.

Per contro, la categoria che riunisce i motori di ricerca è scesa al quarto posto della graduatoria (16,51%); rispetto ad un mese fa, l'indice attribuibile ai search engine ha evidenziato una leggera diminuzione (- 0,4%). Così come nel mese di gennaio 2014, la quinta e la sesta posizione del rating risultano occupate, rispettivamente, dalle categorie "Fornitori di servizi di telefonia ed Internet provider" (8,43%) e "Vendor IT" (5,85%).

Come è noto, con il preciso intento di carpire le informazioni personali relative alla sfera finanziaria degli utenti, i malfattori sono soliti distribuire attivamente in Rete un elevato numero di messaggi di phishing, sfruttando indebitamente i nominativi di organizzazioni finanziarie e sistemi di pagamento online di primaria importanza, ubicati in vari paesi. All'interno dei flussi di spam che hanno caratterizzato il mese di febbraio 2014, sono stati ad esempio rilevati numerosi messaggi e-mail fraudolenti mascherati sotto forma di notifiche provenienti (apparentemente) dalla banca malese HongLeong, ed in particolar modo dal Dipartimento Tecnico di tale noto istituto bancario del Sud-Est asiatico.

Attraverso tali messaggi si comunicava che la banca in questione stava procedendo all'aggiornamento dei propri standard di sicurezza: per tale motivo, si richiedeva a tutti i clienti di confermare al più presto i dati relativi al proprio account bancario, cliccando sul link appositamente inserito nel corpo dell'e-mail. Una volta eseguita l'operazione richiesta, l'ignaro utente sarebbe giunto su una pagina web di phishing, volta ad imitare l'apposita pagina Internet - presente sul sito ufficiale dell'istituto bancario malese - adibita alle procedure di accesso agli account personali dei clienti del sistema di banking online. Nella circostanza, tutti i dati sensibili introdotti sarebbero stati immediatamente trasmessi ai malintenzionati, i quali, in tal modo, avrebbero ottenuto il pieno accesso all'account personale del destinatario dell'e-mail truffaldina e, di conseguenza, avrebbero potuto disporre a proprio piacimento dei fondi depositati su tale account.

Esaminando il messaggio di posta elettronica qui sotto inserito, notiamo in primo luogo come l'indirizzo riportato nel campo riservato al mittente dell'e-mail evidenzi subito il tentativo di falsificazione messo in atto dai phisher, sebbene i malfattori abbiano utilizzato l'esatta denominazione della banca presa di mira ed abbiano cercato di far credere alle potenziali vittime che il messaggio provenisse effettivamente da una persona reale, indicando, a tal proposito, nella composizione dell'account di posta, il cognome e le iniziali del nome del mittente. Il dominio specificato in tale indirizzo, tuttavia, non risulta per nulla simile al dominio appartenente all'istituto bancario sopra menzionato; in effetti, il dominio "incriminato" è riconducibile ad una università australiana. E' probabile che, nella circostanza, i truffatori abbiano ottenuto l'accesso a tale casella di posta elettronica ed abbiano in seguito adibito la stessa all'invio dei messaggi di phishing in questione, a totale insaputa del legittimo proprietario dell'account e-mail violato.