Lo stato dello SPAM secondo Kaspersky

Kaspersky Lab ha pubblicato il suo periodico aggiornamento sullo stato dello spam a livello mondiale. Il documento, aggiornato al mese di Agosto del 2009, fornisce una panoramica sulla quantità di spam circolante oggi in Rete, con alcuni esempi dei più comuni messaggi di posta elettronica finalizzati ad ingannare gli utenti.

Spam Report – Agosto 2009

1. Quota di spam nel traffico di posta elettronica
2. Link ed allegati maligni
3. Phishing
4. Geografia delle fonti di spam
5. Ripartizione tematica dello spam
6. Spam curioso ed originale
7. Metodi e trucchi adottati dagli spammer
8. Conclusioni

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Le peculiarità del mese

1. Rispetto al mese di luglio, la quota dello spam presente nel traffico di posta elettronica è diminuita dello 0,6%, attestandosi su un valore medio pari all’ 85,1%.

2. Sono stati riscontrati link a siti di phishing nell’ 1,09% del volume complessivo di messaggi di posta elettronica, con un incremento dello 0,06% rispetto al mese di luglio.

3. Sono stati rilevati file maligni nello 0,05% dei messaggi e-mail; è stato quindi segnato un decremento dello 0,06% rispetto al mese precedente.

4. Le «promesse spose russe» continuano imperterrite a portare i loro «attacchi» nei confronti degli utenti di Internet.

5. Con l’intento di eludere i filtri, gli spammer hanno inserito i link che conducono ai loro siti sotto forma di tabelle html composte da celle «dipinte» di vari colori.

Quota di spam nel traffico di posta elettronica

Nel mese di agosto 2009 la quota dello spam presente nel traffico di posta elettronica ha avuto un valore medio dell’ 85,1%. L’indice più basso di tutto il mese, pari al 76,3%, è stato rilevato proprio il primo giorno di agosto; la maggior quantità di spam ricevuta dagli utenti dell’Internet russa è stata invece riscontrata il 16 agosto, con un valore del 90,8%.


Quote di spam nell’Internet russa rilevate nel mese di Agosto 2009

Link ed allegati maligni

Sono stati rilevati file maligni nello 0,05% dei messaggi e-mail, ovverosia due volte di meno (-0,06%) rispetto al mese precedente.


Programmi malware contenuti nei messaggi di spam inviati nel corso del mese di Agosto 2009

Risulta ben evidente come l’epidemia provocata da NetSky, per quanto non particolarmente virulenta ed aggressiva, sia ancora in corso: in effetti, circa la metà dei programmi maligni presenti nella Top-10 relativa ai malware più diffusi nello spam appartiene proprio a questa famiglia di worm.

Così come riferisce la descrizione presente su Securelist.com, Email-Worm.Win32.NetSky è un virus worm che si diffonde attraverso Internet sotto forma di allegato a messaggi di posta elettronica infetti. Esso viene poi distribuito a tutti gli indirizzi e-mail presenti nel computer contagiato. Il worm si attiva quando l’utente avvia il file infetto (tramite doppio clic sull’allegato); esso si installa sul sistema ed avvia tutte le procedure che generano la sua diffusione.

Nel complesso, la quota dei worm appartenenti alla famiglia NetSky, presenti all’interno dei messaggi spam infetti rilevati nello scorso mese, ha superato il 33%.

L’altra famiglia che occupa posizioni preminenti quale agente di infezione nei messaggi e-mail è Bredolab. Backdoor.Win32.Bredolab è un programma Trojan della famiglia backdoor. Esso si diffonde sotto forma di allegato ai messaggi di posta elettronica. Per non evocare troppi sospetti, esso è dotato della tipica icona che caratterizza i fogli di calcolo «Microsoft Excel», per quanto sia in realtà provvisto di estensione «exe».

Proprio in considerazione del fatto che le estensioni relative a file noti non appaiono alla stragrande maggioranza degli utenti, l’applicazione di tale metodo da parte dei cybercriminali risulta essere vincente. Una volta avviato il suddetto Trojan, il computer da esso contagiato entrerà a far parte di una botnet.

Questo programma maligno si collega al centro di comando ed invia ad esso un’apposita query per l’ottenimento di certi dati; in tal modo, esso scarica poi dal web dei moduli aggiuntivi, costituiti sia da antivirus fasulli (i quali «identificano» sul computer della vittima centinaia di programmi malware, in realtà inesistenti, chiedendo poi all’utente di effettuare il pagamento di una certa cifra – reale! – di denaro per poter usufruire di un apposito software atto ad eseguire la loro completa rimozione) che da programmi spyware, preposti al furto delle password utilizzate dagli utenti.

Si tratta di uno schema funzionale che richiama molto da vicino Net-Worm.Win32.Kido, il quale, in maniera del tutto analoga, provvedeva ad installare il bot spam Iksmas ed un falso antivirus. Complessivamente, la quota di e-mail infette contenenti programmi malware attribuibili alla famiglia Bredolab ha superato il 32%.

Leggi anche:  Sicurezza informatica completa? smeup e Cyberoo mostrano come farlo grazie all’i-SOC con un evento online gratuito

Al secondo posto della classifica sopra riportata si è attestato uno dei worm riconducibili alla famiglia MyTob. Nel mese di Agosto, la quota di messaggi e-mail infetti, recanti tale programma malware, ha fatto registrare un valore pari al 12,53%. L’epidemia generata da MуTob, così come del resto quella prodotta da NetSky, si trova in fase di relativa stagnazione ormai da qualche anno.

I virus della famiglia MyTob sono dei virus worm di rete, i quali infettano i computer con sistema operativo MS Windows. Essi si diffondono sfruttando le vulnerabilità Microsoft Windows LSASS (MS04-011) e Microsoft Windows DCOM RPС (MS03-026), così come attraverso Internet, in qualità di allegati a messaggi di posta elettronica infetti. Tali worm vengono poi inviati a tutti gli indirizzi e-mail presenti nei computer da essi contagiati. I worm in questione sono dotati della funzione backdoor, in grado di ricevere comandi attraverso i canali IRC.

Per diffondere gli allegati maligni, gli spammer hanno fatto ricorso ad un vecchio trucco, ovverosia l’invio di finte cartoline elettroniche. Secondo le istruzioni contenute nell’e-mail ricevuta dagli utenti, la fantomatica «cartolina» poteva essere visualizzata aprendo, per l’appunto, il file allegato al messaggio di posta elettronica, file eloquentemente denominato «ecard.zip»; in realtà, essa celava un programma Trojan della famiglia Trojan-Spy.Win32.Zbot, orientato al furto dei dati presenti nei computer degli utenti.

In altre circostanze, la famigerata «cartolina» recava invece backdoor.irc.zapchast.zwrc, un backdoor in grado di poter amministrare il computer da esso infettato attraverso Internet Relay Chat, con l’ausilio del programma mIRC. Nella maggior parte dei casi, i destinatari di tali «cartoline» sono stati infettati proprio dai due virus sopra menzionati.

Il backdoor sopra descritto è circolato in rete anche a seguito della campagna di spam che ha avuto per tema la «celebrazione» della memoria di Michael Jackson:

Agli utenti desiderosi di seguire il link indicato nel messaggio e-mail, veniva così proposto di scaricare un file con estensione .exe, il quale si rivelava poi essere un backdoor, a tutti gli effetti.

Gli analisti di Kaspersky Lab hanno altresì rilevato il propagarsi in Rete di un considerevole numero di «cartoline» redatte in lingua spagnola, inviate apparentemente da Hallmark, marchio on-line piuttosto noto; nel corpo di tali e-card erano stati in realtà collocati dei link, peraltro ben mascherati, che conducevano verso domini sospetti.

Gli utenti più accorti hanno certamente avuto la possibilità di accorgersi dell’inganno semplicemente posizionando il cursore del mouse su uno dei suddetti link. Chi invece li ha seguiti, cliccando su di essi, è stato condotto su pagine infette, che apparivano a prima vista completamente vuote.
Phishing

Sono stati rilevati link a siti di phishing nell’ 1,09% del volume complessivo di messaggi di posta elettronica, con un incremento dello 0,06% rispetto al mese di luglio.

In agosto, due delle più celebri organizzazioni presenti in Internet, ovverosia PayPal ed eBay, talmente care ai phisher al punto da non abbandonare mai, nel corso degli ultimi sei mesi, le prime posizioni della nostra speciale classifica dedicata al fenomeno del phishing, hanno infine ceduto il passo in graduatoria.

La quota relativa agli attacchi condotti nei confronti di PayPal, leader incontrastato della classifica dall’inizio dell’anno a questa parte, è diminuita di ben due volte (-21,54%), attestandosi così su un valore pari al 18,65%. Il tradizionale «compagno di sventura» per ciò che riguarda il phishing, ovverosia eBay, leader assoluto delle aste on-line, durante il mese di agosto ha visto diminuire addirittura di tre volte, rispetto a luglio, la frequenza degli attacchi ad esso rivolti, al punto che la quota relativa a tali attacchi ha raggiunto solo il 10,05% (-19,96%).

Inaspettatamente, è andata ad occupare il primo posto della nostra speciale classifica la banca CHASE (30,60%), la quale nel mese passato non era neppure entrata a far parte della Top-10 relativa alle organizzazioni sottoposte con maggior frequenza ad attacchi di phishing.

Una situazione analoga era già stata riscontrata nel mese di dicembre del 2008, quando la banca CHASE, in maniera del tutto inattesa, era letteralmente volata ad occupare la prima posizione della nostra speciale Top-10, provenendo peraltro da posizioni ben lontane dalla vetta della classifica.

Leggi anche:  “Global Threat Report 2024” il rapporto di CrowdStrike sulle cyber minacce

Basti pensare che allora, la quota relativa agli attacchi di phishing condotti nei suoi confronti aveva addirittura raggiunto il 55,9%! Bank of America invece, rispetto a luglio, è salita di una sola posizione nel rating che stiamo attualmente esaminando; nonostante ciò, la quota di attacchi rivolti contro di essa è drasticamente cresciuta, fino a raggiungere il 19,45% (contro il 3,18 registrato nello scorso mese di luglio).


Organizzazioni sottoposte ad attacchi di phishing nel corso del mese di Agosto 2009

E’ stato rilevato come, in una delle campagne di phishing condotte dai cybercriminali nei confronti degli utenti di PayPal, sia stato abilmente contraffatto uno degli indirizzi di posta elettronica del noto portale, e ciò semplicemente sostituendo la lettera «l» della parola Pal con la cifra «1». In tal modo, il falso indirizzo e-mail ottenuto, ovverosia service@PayPa1.com, risultava del tutto simile a quello autentico, quasi alla stregua di un suo fratello gemello.
I phisher hanno rivolto le loro attenzioni ugualmente nei confronti delle banche italiane: in effetti, sono stati ad esempio sottoposti ad attacchi i clienti della Banca Popolare di Milano.

   
La crescita del numero di attacchi di phishing si è manifestata in particolar modo verso la fine del mese di agosto. Ad esempio, la percentuale di messaggi correlati alla categoria tematica «Truffe informatiche» ha registrato un incremento del 4,6% proprio nel corso dell’ultima settimana di agosto 2009.

Geografia delle fonti di spam


Geografia delle fonti di spam

Nel mese di agosto si sono registrati considerevoli cambiamenti per ciò che la riguarda la geografia delle fonti di spam. Il primo posto è stato occupato dal Brasile (11,8%); ciò è stato determinato non tanto dall’incremento registratosi a livello di volumi di spam diffusi a partire da questo paese (si è avuto un aumento complessivo del 3,3%), quanto piuttosto dal fatto che è sensibilmente diminuita la quota di spam attribuibile agli USA (-21,33% rispetto al mese di luglio).

La seconda posizione è andata ad appannaggio della Polonia, con una quota pari all’ 8% dello spam diffuso su scala mondiale (+ 5,5% rispetto agli indici riscontrati nel mese di luglio). Chiudono la Top-5 tre paesi asiatici, ovverosia Vietnam (6,83%), India (6,55%) e Corea (5,52%), i quali hanno «migliorato» in maniera significativa i loro risultati relativamente alla diffusione di messaggi spam, escludendo in tal modo Cina e Russia dalle prime cinque posizioni della nostra speciale classifica.

La Cina, che nel mese di luglio occupava il terzo gradino del podio, ha ridotto del 2% i volumi di spam da essa generati e diffusi, andando così a collocarsi al 9° posto. Quanto all’Italia, nel mese di agosto essa è andata a rilevare la 12a posizione (corrispondente al 2,4% dello spam diffuso in Rete).

Ripartizione tematica dello spam


Distribuzione tematica dello spam in seno all’Internet russa nel mese di Agosto 2009

Top-5 del mese di Agosto relativa alle categorie tematiche di spam più diffuse:

1. Istruzione — 14,29% (-0,3%)

2. Farmaci, prodotti e servizi per la salute — 13,77% (-11,53%)

3. Contraffazioni di articoli pregiati — 10,38% (+3,58%)

4. Pubblicità servizi di spam — 9,89% (-5,51%)

5. Viaggi e vacanze — 8,96 (+5,66%)

E’ sicuramente da mettere in rilievo la crescita fatta registrare della categoria tematica «Truffe informatiche», la quale tuttavia non è entrata a far parte della Top-5. Rispetto al mese precedente, la quota di messaggi di spam dediti ad ordire truffe nei confronti degli utenti di Internet ha segnato un notevole incremento, crescendo quasi del doppio: in effetti, nel mese di agosto 2009 essa ha raggiunto il 7,5% (+3,4%).

Nel corso del mese attualmente preso in esame, gli spammer si sono avvalsi molto spesso della nomea di Michael Jackson, il re della pop music prematuramente scomparso, e non solo per praticare la diffusione di virus. Ad esempio, con certi messaggi recanti quali intestazione «Michael Jackson dead? NO!!!» («Мichael Jackson è morto? NO!!!»), dopo aver cliccato sulla foto dell’idolo americano (o per meglio dire su una sua foto debitamente mistificata dagli spammer), l’utente si ritrovava poi catapultato in una pagina dedicata alla pubblicità del Viagra.

Nel mese di agosto, nonostante i miglioramenti complessivamente registratisi a livello di situazione economica mondiale, nell’ambito dello spam diffuso in Italia hanno sovente fatto la loro apparizione varie proposte «anticrisi», tramite le quali venivano offerti dei crediti o si promettevano facili e redditizie occupazioni. Riportiamo un esempio di tale tipologia di messaggio spam, in lingua italiana:

Leggi anche:  Le tendenze del mercato del dark web: analisi dell’ultimo anno e previsioni per il 2024

Rispetto ai due mesi precedenti, la quota relativa all’autopubblicità di servizi di spam nell’Internet russa, tipologia di réclame allestita dagli stessi spammer, è sensibilmente diminuita (-5,5%).

Per ciò che riguarda le campagne di spam condotte nei paesi occidentali, il quadro presenta invece contorni totalmente opposti. Qui, in effetti, si è piuttosto registrata un’intensificazione delle campagne messe in atto dagli spammer per pubblicizzare i propri servizi, volti, ad esempio, a proporre l’utilizzo dei più disparati database di indirizzi pronti all’uso.

Questo è un fattore veramente degno di nota, non solo se si effettua il debito paragone con le tendenze che si registrano attualmente in seno all’Internet russa, ma altresì poiché tale tipologia di messaggi non è in alcun modo tipica dei flussi di spam che caratterizzano i paesi dell’Europa Occidentale. Riportiamo qui di seguito un esempio di questo genere di réclame, in lingua francese:

Così come nel mese scorso, è stato rilevato l’invio di un consistente numero di messaggi spam contenenti proposte per incontri personali. La peculiarità di tali messaggi si è espressa nella composizione multilingue dei testi, con un estemporaneo utilizzo di ben tre diversi idiomi europei: inglese, tedesco e francese.

Ciò, ovviamente, con l’intento di far subito comprendere ai destinatari di tali messaggi quale fosse il tenore dell’esplicita proposta ad essi rivolta. Stranamente, però, l’Alisa o l’Oksana di turno, si sono sempre ben guardate dal precisare, nella circostanza, in quale paese dell’Europa Occidentale volessero recarsi per incontrare la loro anima gemella…

E le prosperose bellezze desiderose di incontrare il proprio principe azzurro in Internet, non hanno neppure disdegnato di occuparsi del «mercato» italiano…

Metodi e trucchi adottati dagli spammer

Questo mese, gli spammer hanno fatto di nuovo ricorso ad un metodo che sembrava essere stato ormai da loro abbandonato, ovverosia il «dipingere» link ed indirizzi elettronici mediante l’utilizzo di tabelle html con celle multicolori.

A giudicare dai risultati da essi ottenuti, pare proprio che, mentre ci illudevamo di essere stati ormai risparmiati dal ricevere messaggi contenenti questo genere di «mosaici», gli spammer si siano nel frattempo notevolmente perfezionati nell’arte della «pittura» delle celle. Così, scritte precedentemente quasi indecifrabili, si sono adesso trasformate in immagini grafiche di elevata qualità:

La pecca fondamentale che può essere imputata a tale metodo consiste nel fatto che una folta schiera di utenti, per ciò che riguarda la struttura dei messaggi, preferisce il tradizionale formato di testo (il quale non consente di certo l’inserimento di accattivanti scritte colorate) al più ricco e complesso formato html. Inoltre, tali messaggi policromatici non sono di certo fatti per gli utenti più pigri: in effetti, un indirizzo «disegnato» con l’ausilio di tabelle html non costituisce un link cliccabile, cosicché deve essere l’utente stesso ad inserire poi l’URL nell’apposita finestra del proprio browser. E questo, di solito, non viene fatto neppure dai navigatori più curiosi o distratti.

Conclusioni

Il mese di agosto 2009 non è stato affatto prodigo di eventi pubblici altisonanti, che avrebbero potuto essere poi sfruttati dagli spammer (come di solito avviene) per porre titoli ad effetto sulla miriade di messaggi da essi regolarmente inviati. Per tale motivo, gli spammer hanno fatto ampiamente ricorso ad un avvenimento ormai non più così attuale, quale la morte di Michael Jackson.

Da parte loro, i truffatori che agiscono in Internet si sono ampiamente attivati, in agosto. Il sensibile incremento di messaggi spam imputabili a phisher, ed alle cosiddette truffe nigeriane, conduce così inevitabilmente ad un aumento del numero degli utenti che rimangono vittime di tali tipologie di frode informatica.

Per fronteggiare la sempre ribollente ed instancabile attività dei cybercriminali è pertanto indispensabile osservare delle semplici ed al contempo efficaci regole di sicurezza, quali: non inviare mai i propri dati personali o le password dei propri account verso indirizzi ambigui o sconosciuti; non scaricare gli allegati e non cliccare sui link presenti nei messaggi di spam che vi giungono. Ed infine, ovviamente, tenete sempre ben attivo e costantemente aggiornato il Vostro prezioso antivirus.