Spam Report 02 - Kaspersky Lab – Newsroom Europe.

Lo spam nel mese di aprile 2012
Marija Namestnikova
Sommario
Aprile in cifre.................................................................................................................... 2
Le principali tematiche dello spam di aprile 2012 ........................................................... 2
I nuovi trucchi adottati nell'ambito dello spam fraudolento e dello spam nocivo .......... 2
Wikipedia e Amazon: esperimento fallito? ...........................................................................................2
Diablo III: una campagna di phishing prima della release.....................................................................3
Lo spam «politico»....................................................................................................... 4
Gli altri temi di attualità dei flussi di spam .................................................................... 6
Le statistiche di aprile 2012 ............................................................................................. 7
Geografia delle fonti di spam ....................................................................................... 7
Allegati nocivi rilevati nel traffico di posta elettronica ................................................... 8
Ripartizione per paesi dei rilevamenti eseguiti dall'antivirus e-mail ....................................................8
TOP 10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica ..............9
Phishing ..................................................................................................................... 10
Composizione tematica dello spam ........................................................................... 11
Conclusioni ................................................................................................................ 12
Aprile in cifre
•
Rispetto allo scorso mese di marzo, la quota dello spam presente nel traffico di posta
elettronica ha fatto registrare un incremento del 2,2%, attestandosi in tal modo su un
valore medio pari al 77,2%.
•
La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle email è rimasta invariata rispetto al valore riscontrato nel mese precedente, facendo
segnare un indice pari allo 0,01% del volume complessivo di messaggi di posta
elettronica circolanti in Rete.
•
Nel mese di aprile 2012 sono stati individuati file nocivi nel 2,8% dei messaggi e-mail;
anche il valore di tale indice è rimasto inalterato rispetto alla quota percentuale rilevata
nel mese di marzo.
•
Oltre il 20% degli attacchi di phishing individuati e neutralizzati nel corso del mese è
risultato indirizzato nei confronti degli utenti di Facebook.
Le principali tematiche dello spam di aprile 2012
I nuovi trucchi adottati nell'ambito dello spam fraudolento e dello spam
nocivo
Gli spammer dediti alla distribuzione in Rete di pericolosi codici nocivi e subdoli messaggi di
phishing continuano a cercare di individuare in ogni circostanza il percorso più breve ed efficace
per insinuarsi all'interno dei computer degli utenti. Lo spam nocivo si caratterizza per tempi di
sviluppo e propagazione alquanto rapidi: in effetti, i malintenzionati arricchiscono costantemente
il loro «arsenale» con nuove armi costituite da «innovazioni» tecnologiche all'avanguardia e
metodi di ingegneria sociale sempre più sofisticati.
Wikipedia e Amazon: esperimento fallito?
Nel corso del mese di aprile abbiamo rilevato la conduzione di campagne di spam a prima vista
simili ai mailing di massa contenenti messaggi e-mail mascherati da comunicazioni e notifiche
«ufficiali» provenienti da Facebook. Lo screenshot qui sotto riportato evidenzia, ad esempio, un
messaggio di posta elettronica apparentemente inviato dai server del più esteso social network
del pianeta, in cui viene trasmessa al destinatario una classica «richiesta di amicizia» da parte di
un utente. Così come la maggior parte dei messaggi di spam camuffati da notifiche ufficiali
provenienti da Facebook, distribuiti nel corso di quest'ultimo anno nelle caselle di posta
elettronica degli utenti della Rete, anche le e-mail contraffatte allestite dagli spammer in
occasione di questo mailing di massa si sono caratterizzate per l'elevata qualità, al punto tale da
non suscitare nel destinatario alcun dubbio o sospetto riguardo alla loro effettiva autenticità.
Secondo lo schema previsto, cliccando su uno qualunque dei collegamenti ipertestuali contenuti
nel messaggio, l'utente non sarebbe affatto giunto sul sito web del popolare social network, bensì
sarebbe stato indirizzato verso una pagina Internet infettata da codice nocivo. Questa volta ci
siamo trovati di fronte a qualcosa di diverso, in quanto i link presenti nelle e-mail «incriminate»
risultavano preposti a condurre gli ignari utenti non verso gli abituali domini violati, quanto
verso alcune pagine web nocive presenti nei siti Internet di Wikipedia o Amazon.
Nella circostanza, i malintenzionati avevano probabilmente provveduto a sistemare script
dannosi in alcune pagine di Wikipedia create, così come all'interno di pubblicità false sul sito
Amazon.com. Per quale motivo abbiamo utilizzato il termine dubitativo «probabilmente»? Il
fatto è che lo stratagemma sapientemente ordito dai malfattori non ha in realtà funzionato nel
migliore dei modi, in quanto gli esperti di sicurezza IT dei siti web hanno reagito con estrema
rapidità, al punto che già prima della conclusione stessa della campagna di spam i link inseriti
nei messaggi di spam erano stati inibiti, non risultando più «funzionanti».
Diablo III: una campagna di phishing prima della release
Nei primi giorni di giugno avrà luogo un evento atteso da folte schiere di utenti di gaming
online: «Diablo III», l'ultima release del celebre videogioco di ruolo, verrà commercializzato. Gli
esperti di sicurezza IT intravedono già qualche elemento di apprensione legato alle nuove
caratteristiche previste per il gioco online: la società Blizzard Entertainment ha implementato
all'interno dell'ultima versione del celebre MMORPG (Massively Multiplayer Online RolePlaying Game), la possibilità, per ogni giocatore, di comprare e vendere i propri oggetti (anche
in valuta reale, non solo in valuta virtuale) attraverso apposite «case d'asta». Sulla base di tali
presupposti è ragionevole pensare che i futuri utenti di Diablo III possano rapidamente divenire
oggetto di attenzioni da parte dei phisher.
Nel corso del mese analizzato, all'interno dei flussi di spam hanno fatto la loro comparsa
numerosi messaggi di phishing volti a sfruttare l'evidente impazienza degli utenti di giochi
online. In tali e-mail, veniva offerta al destinatario l’opportunità di sperimentare la versione beta
del videogioco. Per beneficiare di tale «privilegio», il «gamer» avrebbe dovuto semplicemente
accedere al sito <battle.net>, per verificare il proprio account. Naturalmente, il link contenuto in
tali messaggi di phishing non avrebbe diretto il giocatore online verso il servizio sopra
menzionato (battle.net), bensì lo avrebbe portato su una pagina web nociva, appositamente
allestita dai malintenzionati per carpire i dati riservati. E' interessante osservare come, all'interno
di tale campagna di spam, i testi delle e-mail diffuse in Rete variassero leggermente, di
messaggio in messaggio;
Impadronendosi dei dati di registrazione utilizzati dall'utente per usufruire del servizio battle.net,
i malintenzionati si sarebbero di fatto «guadagnati» la possibilità di accedere agli account
precedentemente aperti dal giocatore online - «raggirato» dal messaggio di phishing - su popolari
videogiochi quali Warcraft e Starcraft, account peraltro particolarmente «richiesti» sul mercato
nero della cybercriminalità.
Lo spam «politico»
Nel mese di aprile 2012 abbiamo assistito ad un vero e proprio fiorire di messaggi di posta
elettronica indesiderati riconducibili a temi di natura politica, indirizzati in particolar modo verso
il pubblico della Rete ubicato sul territorio di Stati Uniti e Francia. Ad esempio, nell'ambito delle
e-mail di spam, il nome di Barack Obama è risuonato con una frequenza quasi analoga a quella
registratasi nel corso del primo anno di mandato dell'attuale presidente USA. Obama è stato così
menzionato non solo nei messaggi «politici», ma anche nel quadro di numerose e-mail
indesiderate reclamizzanti prodotti che imperversano nel mondo dello spam. E' proprio questo il
caso di una particolare campagna di spam in cui, sfruttando proprio il nome di Barack Obama, è
stato proposto ai destinatari dei messaggi di posta elettronica l'acquisto delle «miracolose»
pillole blu, alias viagra contraffatto.
E' evidente come, con l'approssimarsi delle elezioni di novembre 2012, negli USA stia
progressivamente crescendo l'interesse degli utenti della Rete sia riguardo la lotta per la carica
presidenziale, sia nei confronti della personalità dell'attuale presidente statunitense e dei vari
candidati. Gli spammer faranno di tutto per cavalcare al meglio tale situazione, a loro
potenzialmente favorevole, dedicandosi alla distribuzione di di messaggi elettorali
propagandistici. Per questo motivo è lecito attendersi, nei prossimi mesi, un sensibile aumento,
all'interno dei flussi di spam, del numero dei messaggi contenenti link preposti a condurre verso
pagine web contenenti informazioni di stampo sensazionalistico sui candidati in corsa per la
Casa Bianca. Cliccando sui link inseriti in tali e-mail di spam, nella migliore delle ipotesi gli
utenti si imbatteranno in fastidiose pubblicità di farmaci e nel peggiore dei casi dovranno
vedersela con insidiosi e pericolosi programmi nocivi.
Allo stesso tempo, si è attivato anche lo spam politico condotto sul suolo francese. Nel bel
mezzo della corsa per le elezioni presidenziali era più che lecito attendersi una vera e propria
invasione di mailing di massa a sfondo politico; contrariamente a quanto previsto, tuttavia, le
campagne di spam di tal genere individuate sono risultate in numero sensibilmente ridotto.
Gli altri temi di attualità dei flussi di spam
All'interno dello spam mondiale ha avuto ampio riflesso la difficile situazione che sta
attraversando la Siria. I cosiddetti spammer «nigeriani», ad esempio, hanno distribuito nelle email box un consistente numero di messaggi di posta apparentemente provenienti da «avvocati e
funzionari di banca, operanti sul territorio del paese» in questione. Verso la fine del mese
abbiamo rilevato messaggi e-mail provenienti dalla «moglie di Assad». E' importante
sottolineare come i nostri analisti di spam individuino con una certa regolarità, all'interno del
traffico e-mail, messaggi falsi inviati dai membri «delle famiglie dei leader» di vari paesi che
versano in una situazione politico-economica instabile. A volte, le e-mail «nigeriane» vengono
addirittura redatte a nome dei leader politici stessi. E' quindi possibile che in futuro possano fare
la loro comparsa messaggi fasulli apparentemente composti dallo stesso Bashar al-Assad.
Continuano a ritmo sempre più serrato le campagne di spam volte a sfruttare le tematiche legate
al Campionato Europeo di Calcio 2012, che si svolgerà in Polonia ed Ukraina nel prossimo mese
di giugno. L'interesse degli utenti nei confronti di tale evento sportivo sta salendo rapidamente,
giorno dopo giorno. Da parte nostra rileviamo come, nell'ambito del fenomeno spam, siano già in
corso molteplici mailing di massa che propongono agli appassionati di calcio camere in hotel
polacchi ed ukraini.
La trentesima edizione dei Giochi Olimpici estivi è stata già oggetto di attenzioni da parte dei
truffatori della Rete specializzati in lotterie online. In effetti, abbiamo intercettato con cadenza
quasi quotidiana un numero di e-mail di spam fraudolento, in cui si comunicava al destinatario
una improbabile vincita ad una lotteria.
Le statistiche di aprile 2012
Geografia delle fonti di spam
Geografia delle fonti di spam rilevate nel mese di aprile 2012 (TOP-20)
Desideriamo evidenziare come la TOP-20 di aprile 2012 relativa alla ripartizione delle fonti
geografiche dei flussi mondiali di spam abbia subito profonde e significative variazioni rispetto
alle graduatorie nei mesi precedenti.
Il cambiamento di maggior rilievo è indubbiamente rappresentato dalla scalata degli Stati Uniti
dalla ventesima alla seconda posizione della classifica in questione. La quota percentuale relativa
ai messaggi e-mail indesiderati distribuiti dagli spammer dal territorio statunitense ha fatto
registrare un aumento di oltre il 7%. A sua volta, l'indice riguardante lo spam diffuso dal
territorio della Repubblica Popolare Cinese ha fatto segnare un incremento del 5%; in tal modo,
il «colosso» dell'Estremo Oriente è andato ad occupare la quinta posizione della graduatoria.
Contemporaneamente, la quota relativa ai messaggi «spazzatura» distribuiti in Rete dal territorio
dell'Indonesia è addirittura diminuita del 5,2%; il paese è così sceso dal secondo gradino del
«podio» virtuale di marzo 2012, per andare a collocarsi alla dodicesima posizione della TOP-20
qui analizzata.
Da parte nostra, riteniamo che un simile mutamento del «panorama» inerente alle fonti dello
spam mondiale debba essere di sicuro collegato all'avvenuta ridistribuzione delle potenzialità
«offensive» delle botnet di spam, cioè allo «spostamento» di una parte di esse proprio verso
quelle regioni in cui, nel corso di questo ultimo anno, era stata invece registrata una riduzione del
livello delle attività. E' importante sottolineare come, nel primo trimestre del 2012, Stati Uniti e
Cina (e in particolar modo Hong Kong) abbiano costituito uno dei bersagli prediletti dai
malintenzionati. Il contagio informatico di un considerevole numero di nuovi computer sul
territorio dei paesi qui sopra menzionati ha quindi prodotto la creazione di nuove reti-zombie
all'interno di tali aree geografiche.
Gli indici percentuali relativi ai rimanenti paesi entrati a far parte del rating hanno evidenziato
variazioni contenute entro la soglia del 2,5% - rispetto agli analoghi valori riscontrati nel mese
precedente.
Allegati nocivi rilevati nel traffico di posta elettronica
Nel mese di aprile 2012 sono stati individuati file nocivi nel 2,8% dei messaggi e-mail; il valore
di tale indice è rimasto inalterato rispetto all'analoga quota percentuale rilevata nel precedente
mese di marzo.
Ripartizione per paesi dei rilevamenti eseguiti dall'antivirus e-mail
Ripartizione per paesi dei rilevamenti eseguiti nel mese di aprile 2012 dall'antivirus e-mail
La prima posizione della graduatoria è andata ancora una volta agli Stati Uniti d'America, così
come è in sostanza avvenuto per tutto l'arco del primo trimestre dell'anno. Nel mese di aprile
2012, la quota attribuibile ai rilevamenti effettuati dal modulo Kaspersky Mail Antivirus entro i
confini del territorio statunitense ha fatto registrare solo un lieve incremento - pari allo 0,64% rispetto all'analogo valore rilevato nel mese precedente.
Australia (- 3,9%) ed Hong Kong (- 2%), al secondo e al terzo posto a marzo, sono stati invece
scavalcati dal Vietnam nella classifica di aprile 2012. Il paese del sud-est asiatico, salito dalla
quarta alla seconda posizione della graduatoria, ha fatto registrare un incremento del 2,4% della
quota ascrivibile ai rilevamenti eseguiti dall'antivirus e-mail sul proprio territorio.
Le variazioni inerenti agli indici percentuali riconducibili a tutti gli altri paesi presenti nella
classifica sopra riportata si sono mantenute entro la soglia del 2%.
TOP 10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta
elettronica
Top-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica
nel mese di aprile 2012
Il 13,7% di tutti i rilevamenti di software nocivo compiuti nel mese di aprile 2012 dall'Antivirus
e-mail di Kaspersky Lab nell'ambito dei sistemi di posta elettronica ha riguardato il malware
Trojan-Spy.HTML.Fraud.gen. Rispetto allo scorso mese di marzo, la quota relativa al programma
nocivo ha fatto registrare un aumento dell' 1,6%. Ricordiamo, nella circostanza, come TrojanSpy.HTML.Fraud.gen sia stato elaborato dai suoi autori sotto forma di una pagina HTML in grado
di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi
erogati nel World Wide Web. I dati di registrazione inseriti dall'utente in tali «form» vengono
poi carpiti dai malintenzionati di turno. L'utilizzo di tale programma malware costituisce, di
fatto, uno dei principali metodi di attacco.
Così come in precedenza, all'interno della classifica riguardante i software nocivi individuati con
maggior frequenza nel traffico e-mail, continuano a ritagliarsi notevole spazio i worm di posta
elettronica Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m ed EmailWorm.Win32.NetSky.q. Ricordiamo come i worm di posta elettronica riconducibili alle famiglie
Mydoom e Netsky siano provvisti di funzionalità tutt'altro che complesse: questi si limitano alla
raccolta illecita degli indirizzi e-mail presenti nei computer contagiati; gli account di posta
elettronica carpiti vengono in seguito utilizzati per il processo di auto-diffusione condotto in Rete
dai programmi nocivi. Bagle.gt è l'unico worm presente nella Top-10 che è provvisto di ulteriori
«doti»: tale programma malware è difatti in grado di interagire con specifici siti web allestiti dai
cybercriminali, al fine di scaricare sui computer-vittima software nocivi.
Desideriamo inoltre sottolineare la comparsa in classifica del trojan-script identificato come
Trojan-Downloader.JS.Iframe.cvq. A tale software è attribuibile quasi il 2% del volume
complessivo dei rilevamenti effettuati nel corso del mese di aprile 2012 dal nostro antivirus.
Un'ulteriore quota del rating, pari a circa il 10% del totale dei rilevamenti di malware eseguiti, è
riconducibile a software nocivi basati su script (i cosiddetti «script malware») individuati e
neutralizzati tramite metodi proattivi. Si tratta, indiscutibilmente, di un dato alquanto allarmante,
visto che gli script malware presenti nei messaggi e-mail in formato HTML avviano le loro
attività distruttive non appena l'utente provvede ad aprire il messaggio ricevuto.
Phishing
La quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle e-mail è
rimasta invariata rispetto all'analogo valore riscontrato nel mese precedente, facendo segnare un
indice pari allo 0,01% del volume complessivo di messaggi di posta elettronica circolanti in
Rete.
TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese
di aprile 2012 - Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing
La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli
assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente Anti-phishing sui computer degli utenti.
Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi
collegamenti ipertestuali nocivi contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide
Web.
La graduatoria di aprile 2012 relativa alle organizzazioni più bersagliate dai phisher evidenzia un
significativo cambiamento rispetto agli analoghi rating elaborati nel corso del primo trimestre
dell'anno: in effetti, per la prima volta da quattro mesi a questa parte, la categoria
«Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari» (23,61%) ha ceduto
la prima posizione della classifica alla categoria «Social network» (28,83%). Rispetto al
precedente mese di marzo, la quota riconducibile alle reti sociali ha fatto registrare un aumento
del 6% circa.
Confrontando i dati statistici, osserviamo come sia leggermente diminuita la quota ascrivibile
alla categoria «Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari»;
riscontriamo ugualmente la flessione di valori percentuali, in particolar modo per ciò che
riguarda gli indici relativi agli attacchi di phishing condotti nei confronti delle categorie «Negozi
Internet e aste online», «Motori di ricerca», «Vendor IT» e del complesso di organizzazioni
comprese nella generica «Altre categorie». Le variazioni relative alle quote percentuali sono
risultate piuttosto trascurabili in relazione agli analoghi valori riscontrati nel mese precedente;
queste si sono tutte mantenute entro la soglia limite dell' 1,5%.
Il dato di maggior rilievo che contraddistingue il rating di aprile 2012 è rappresentato
dall’incremento dell'indice relativo ai social network, attualmente divenuti il vettore prediletto
dai malintenzionati per la conduzione di attacchi di phishing nei confronti degli utenti della Rete.
Composizione tematica dello spam
Categorie tematiche rilevate nei flussi di spam del mese di aprile 2012
Rispetto al precedente mese di marzo, le quote relative alle categorie «Truffe informatiche» e
«Finanze personali», tematiche presenti da ben cinque mesi ai vertici della speciale classifica da
noi stilata hanno fatto registrare variazioni non significative. Il valore dell'indice relativo alla
prima categoria è diminuito di 2,2 punti percentuali, mentre la quota riconducibile alla seconda
tematica ha evidenziato un leggero aumento, pari allo 0,8%.
Osserviamo inoltre come continui a mantenersi su livelli decisamente elevati la quota
percentuale ascrivibile ai messaggi di spam reclamizzanti i più svariati giochi d'azzardo online
(quota leggermente superiore al 6%).
La maggior parte delle e-mail indesiderate preposte a pubblicizzare i cosiddetti «casinò online»
contiene manifesti segnali di frode, oppure reca pericolosi codici nocivi; spesso, tale tipologia di
messaggi «spazzatura» evidenzia, contemporaneamente, entrambe le caratteristiche. La categoria
«Finanze personali», poi, è costituita da dubbie proposte di facili guadagni e veloci concessioni
di crediti; anche in tale circostanza, quindi, si percepisce in maniera più che evidente l'odore di
truffa.
Riassumendo possiamo affermare che oltre la metà delle campagne di spam condotte nel corso
del mese di aprile 2012 ha avuto quale preciso obiettivo il furto delle informazioni finanziarie o
personali degli utenti della Rete, oppure direttamente il furto del denaro posseduto da questi
ultimi, al pari dell'installazione di pericolosi codici nocivi sui computer-vittima infettati dal
malware.
Il cambiamento di maggior è indubbiamente rappresentato dal consistente aumento della quota
relativa alla categoria tematica «Arredamenti e interni» (+ 4,75% rispetto all'analoga classifica di
marzo 2012). A quanto pare, un simile flusso di messaggi di spam è da ricollegare al numero di
azioni pubblicitarie intraprese da numerose aziende produttrici di mobili ed arredamenti.
Le quote percentuali inerenti alle altre categorie presenti nella classifica di aprile 2012 dedicata
alla composizione tematica dello spam hanno fatto registrare variazioni non particolarmente
significative rispetto ai valori riscontrati nello scorso mese di marzo; tali variazioni si sono tutte
mantenute entro la soglia limite dell' 1,5%.
Conclusioni
Riteniamo sia doveroso mettere evidenza come lo spam stia divenendo un fenomeno sempre più
pericoloso: la quota percentuale relativa ai messaggi «spazzatura» contenenti allegati nocivi sta
facendo registrare livelli elevati; all'interno dei flussi di posta elettronica viene individuato un
consistente numero di e-mail di spam recanti link nocivi; si registra poi un numero sempre
maggiore di messaggi indesiderati contenenti programmi nocivi riconducibili agli «script
malware». Il fatto che tali campagne di spam stiano proliferando e vengano costantemente
ripetute, testimonia in maniera inequivocabile il fatto che un numero di utenti non stia ancora
applicando le dovute misure di sicurezza nell'utilizzo quotidiano dei sistemi di posta elettronica e
del web. Spesso gli utenti non immaginano neppure di quale entità e pericolosità possano essere
le minacce informatiche che incombono su di essi nel momento in cui si procede alla semplice
apertura di messaggi di spam «nocivo»; tali minacce hanno l’obiettivo di compromettere il
funzionamento del computer-vittima sottoposto ad infezione, oppure si prefiggono di carpire i
dati personali e i dati sensibili custoditi in quest'ultimo, o addirittura di realizzare il furto di
somme di denaro.
Per i prossimi mesi prevediamo il ritorno, all'interno dei flussi di spam, dei consueti mailing di
massa preposti a distribuire messaggi e-mail indesiderati contenenti «notizie sensazionali»,
riguardanti, ad esempio, l'attuale presidente degli Stati Uniti d'America, Barack Obama. I
phisher, dal canto loro, si dedicheranno probabilmente ad un «uso» sempre maggiore del social
network quale vettore per la conduzione di attacchi di phishing; le reti sociali più estese su scala
planetaria diverranno sempre di più uno degli «strumenti» prediletti dai malintenzionati della
Rete. E' altrettando verosimile che nell'immediato futuro i phisher facciano sempre più
«affidamento» sul gaming online quale fondamentale veicolo.