Kaspersky Lab presenta lo Spam Report riferito al mese di Novembre 2009
Le peculiarità del mese
• Rispetto al mese di Ottobre, la quota dello spam presente nel traffico di posta elettronica è diminuita dello 0,9%, attestandosi su un valore medio pari all’ 84,8%.
• Sono stati riscontrati link a siti di phishing nello 0,97% del volume complessivo di messaggi di posta elettronica, con un incremento dello 0,06% rispetto al mese di Ottobre.
• Sono stati rilevati file maligni nello 0,83% dei messaggi e-mail; è stato quindi segnato un decremento dell’ 1,12% rispetto al mese precedente.
• Sta prendendo progressivamente quota lo spam connesso alle tematiche tipiche delle festività di fine anno; ne è testimone il repentino aumento di messaggi riconducibili alla categoria tematica «Viaggi e vacanze».
• Per eludere i filtri antispam, gli spammer hanno fatto largo uso di trucchi di varia natura, ricorrendo frequentemente ad elaborate composizioni grafiche.
Quota di spam nel traffico di posta elettronica
Nel mese di Novembre 2009 la quota dello spam presente nel traffico di posta elettronica ha avuto un valore medio dell’ 84,9%. L’indice più basso di tutto il mese, pari al 78,3%, è stato rilevato il 18 Novembre; la maggior quantità di spam ricevuta dagli utenti dell’Internet russa è stata invece riscontrata il giorno 16, con un valore dell’ 89,6%.
Quote di spam rilevate in seno all’Internet russa nel mese di Novembre 2009
Programmi malware rilevati nel traffico di posta elettronica
Sono stati rilevati file maligni nello 0,83% dei messaggi e-mail; è stato quindi segnato un decremento dell’ 1,12% rispetto al mese precedente.
Programmi maligni contenuti nei messaggi di spam inviati nel corso del mese di Novembre 2009
Rileviamo innanzitutto come, nel mese di Novembre 2009, le prime posizioni della Top-10, relativa ai programmi nocivi maggiormente diffusi nello spam presente nel traffico di posta elettronica, siano andate quasi esclusivamente ad appannaggio di malware riconducibili alla famiglia Backdoor.Win32.Small. Nel mese scorso, uno dei programmi maligni appartenenti a tale famiglia aveva già fatto la sua comparsa nella nostra speciale classifica; in Novembre,
tuttavia, la quota percentuale attribuibile a tale genere di programmi dannosi ha fatto segnare un valore addirittura superiore al 45% del totale complessivo di malware rilevato in seno ai messaggi di spam. Nella nostra Top-10 di Novembre sono rappresentate ben tre varianti del «piccolo» backdoor’a, ovverosia Small.zs, Small.zo e Small.ioa. Una volta installate, iniziano tutte quante a raccogliere le informazioni relative al computer infettato, per poi trasmetterle al server di controllo ed attendere che quest’ultimo impartisca dei comandi. Le suddette varianti sono altresì in grado di effettuare il download di ulteriori componenti maligni.
Per realizzare l’invio dei backdoor appartenenti a tale famiglia, gli spammer hanno fatto ricorso ad un metodo di ingegneria sociale già ampiamente utilizzato in passato: essi hanno difatti provveduto ad allegare ai loro messaggi di spam degli archivi zip denominati “Photos”, contenenti i suddetti programmi maligni. In tali messaggi si annunciava che, aprendo il file allegato, si sarebbero potute visualizzare fantomatiche foto da lungo tempo promesse.
La seconda e la sesta posizione della Top-10 di Novembre risultano occupate da due programmi maligni appartenenti alla famiglia Trojan-Downloader.Win32.Agent, ovverosia le varianti Agent.cwlc ed Agent.cwlb. Ad installazione avvenuta, i suddetti Trojan si collegano a determinate risorse di rete, al fine di ottenere un elenco di URL, da utilizzare successivamente per scaricare ulteriori programmi maligni.
Per diffondere in Rete tali Downloader, i cybercriminali si sono avvalsi di false notifiche, inviate agli utenti sotto forma di messaggi provenienti, in apparenza, da FaceBook, il popolarissimo social network. In tali e-mail si asseriva che, in ragione dei cambiamenti intervenuti nelle politiche di sicurezza adottate da FaceBook, tutti gli utenti avrebbero dovuto fornire al più presto debita conferma relativamente al nuovo contratto previsto per l’utilizzo del servizio, e ciò indipendentemente dalla data di registrazione del proprio account.
E qualora il destinatario del messaggio non avesse provveduto a fornire in tempi rapidi la fantomatica conferma richiesta per il proprio account, egli avrebbe inevitabilmente assistito alla rimozione di quest’ultimo. In sostanza, per poter procedere alla conferma del suddetto nuovo contratto di utilizzo di FaceBook, veniva infine richiesto all’utente di decomprimere il file zippato allegato al messaggio ricevuto, file che, in realtà, altro non celava se non il programma maligno Trojan-Downloader.Win32.Agent.cwlb.
All’interno della Top-10 del mese di Novembre da noi stilata, annotiamo infine due significative variazioni rispetto a quanto rilevato nel mese precedente: in primo luogo, compaiono in quinta e decima posizione due varianti di Zbot’a. La prima delle due, Trojan-Spy.Win32.Zbot.gen, aveva già fatto la sua comparsa nella Top-10 di Settembre relativa al malware maggiormente diffuso in seno allo spam.
Ricordiamo che Trojan-Spy.Win32.Zbot è un programma spyware, preposto al furto delle informazioni di natura confidenziale in possesso degli utenti. Una descrizione più approfondita dello stesso è consultabile all’indirizzo: http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782783. La seconda importante variazione intervenuta all’interno della nostra speciale classifica riguarda il ritorno in Top-10 del worm di posta elettronica Iksmas, dotato di apposito funzionale per eseguire il furto di dati sensibili ed effettuare, altresì, l’invio di spam.
Phishing
I phisher hanno rivolto i loro attacchi in particolar modo nei confronti dei bersagli tradizionali, ovverosia PayPal ed eBay. La quota percentuale degli attacchi di phishing subiti da PayPal ha raggiunto un valore del 44,53% (+5,61%), mentre per eBay è stato riscontrato un indice pari al 19,42% (+12,29%).
Il numero degli attacchi di phishing condotti nei confronti di FaceBook ha poi subito una brusca impennata (+ 6,9%); nel corso del mese di Novembre, in effetti, il frequentatissimo social network ha subito il 9,03% del volume complessivo di attacchi perpetrati in Rete dai phisher.
Per contro, la quota percentuale degli attacchi eseguiti a danno di IRS, l’agenzia esattoriale del governo federale degli Stati Uniti d’America, è diminuita quasi del 14%, attestandosi su un valore pari al 6,21%.
Organizzazioni sottoposte ad attacchi di phishing nel corso del mese di Novembre 2009
Rileviamo inoltre come, nel mese di Novembre 2009, una delle organizzazioni tradizionalmente più bersagliate da parte dei phisher, ovverosia Bank of America (che ha fatto segnare un indice del 4,22% nella nostra speciale graduatoria mensile sopra riportata), sia stata sottoposta ad una serie di attacchi condotti in maniera davvero abile e sapiente da parte dei malintenzionati.
I messaggi e-mail ricevuti dagli utenti, difatti, sono stati magistralmente camuffati come se fossero di comunicazioni ufficiali provenienti dal suddetto istituto bancario:
Nel messaggio sopra riportato, una sedicente “Bank of America” comunica di aver recentemente contattato il destinatario dell’e-mail al fine di procedere alla verifica dell’account appartenente a quest’ultimo; si rende tuttavia necessaria l’effettuazione di un’ulteriore verifica in tal senso. Ovviamente, il link contenuto all’interno del messaggio e-mail nulla aveva a che spartire con la suddetta organizzazione, trattandosi, in realtà, di un collegamento che conduceva ad un sito di phishing.
Osserviamo infine come i malfattori, con quell’innato senso di accanimento e tenacia che li contraddistingue, continuino poi a portare attacchi anche nei confronti degli utenti del celebre gioco online World of Warсraft. E molti messaggi e-mail di tal genere vengono redatti in maniera pressoché perfetta.
Come si può notare nell’esempio sotto riportato, l’indirizzo presente nel campo “From” appare davvero molto simile all’indirizzo effettivo di Blizzard Entertainment, la famosa casa americana produttrice di videogiochi; solo un attento esame può permettere di cogliere il tentativo di contraffazione messo in atto. Così come nel messaggio esaminato in precedenza, anche in questa circostanza si richiede subdolamente all’utente di procedere alla verifica del proprio account, per condurlo poi inesorabilmente verso un sito di phishing appositamente allestito.
Sono stati sottoposti ad attacchi di phishing anche numerosi utenti italiani della Rete. In effetti, nel mese di Novembre, oltre ai tradizionali attacchi condotti nei confronti degli utenti di Poste Italiane e Banca Popolare di Milano, i phisher hanno rivolto le loro losche attenzioni anche verso i clienti dell’istituto bancario Cariparma:
Geografia delle fonti di spam
Nel mese di Novembre, la prima posizione della nostra speciale classifica dedicata alla geografia delle fonti di spam risulta ancora stabilmente occupata dagli USA, anche se, rispetto al precedente mese di Ottobre, la quantità di spam diffusa dal territorio di questo paese ha fatto segnare un decremento del 10% circa.
Il Brasile invece, che già da alcuni mesi era solito attestarsi saldamente al secondo posto della graduatoria, è repentinamente retrocesso alla quarta piazza, sebbene la quantità di messaggi e-mail inviati dagli spammer insediati nel territorio brasiliano, rispetto al mese precedente, sia addirittura aumentata (+0,7%). Nel mese di Novembre è inaspettatamente balzata al secondo posto della classifica, attualmente presa in esame, la Russia: da questo paese è stato in effetti inviato qualcosa di più dell’ 8% del volume complessivo dello spam circolante a livello planetario (+2,8%).
Subito dopo la Russia, va a collocarsi sul terzo gradino del podio l’India, la quale ha visto i propri spammer rendersi artefici della diffusione di una quantità di messaggi di spam quasi doppia rispetto ai mesi passati (7,2%). Il quinto, sesto ed ottavo posto vanno ad appannaggio di frequentatori abituali della Top-10: Vietnam, Corea e Polonia.
Gli indici percentuali attribuibili a tali paesi hanno in sostanza subito delle variazioni del tutto trascurabili rispetto ai mesi passati. Infine l’Italia, che rispetto allo scorso mese di Ottobre ha fatto registrare un incremento all’incirca dell’ 1,2% della propria quota percentuale, va a collocarsi al settimo posto della speciale classica di Novembre dedicata alla geografia delle fonti di spam.
Ripartizione tematica dello spam
Così come nei mesi passati, in Novembre le categorie tematiche di spam di gran lunga più diffuse sono risultate essere quelle riconducibili alla pubblicizzazione ed alla vendita di «medicinali» e dei più disparati articoli pregiati contraffatti. Ovviamente, in tali messaggi gli spammer hanno fatto ricorso, sempre con maggior frequenza ed insistenza, al tema del Natale; se ne sono avvalsi in particolar modo proprio gli spammer che reclamizzano prodotti di lusso contraffatti.
Nei flussi di spam del mese di Novembre da noi analizzati risultano altresì largamente rappresentate due ulteriori categorie tematiche; si tratta, nella fattispecie, della pubblicità di software a basso costo, nella quale in Novembre si è fatto ampio uso di motivi natalizi, e di quei messaggi di spam riconducibili alla categoria «Truffe informatiche».
E’ stato da noi rilevato come, alla vigilia delle festività natalizie, le cosiddette e-mail “nigeriane” abbiano iniziato a far sempre più spesso appello ai sentimenti religiosi degli utenti della Rete. Abbiamo a tal proposito ricevuto una significativa e-mail da parte di una sedicente sventurata vedova, disposta a cedere a qualsivoglia buon cristiano, purché onesto e timorato di Dio, qualche briciola del proprio ricchissimo patrimonio milionario, appena ereditato dal defunto marito.
Il tema del Natale non ha tuttavia esercitato la propria influenza esclusivamente sui contenuti dei messaggi di spam reclamizzanti articoli di lusso contraffatti o sulle truffe nigeriane di vario tipo ordite in seno alla Rete. Ogni anno, in effetti, gli spammer inviano e-mail volte a proporre merci e servizi di varia natura specificamente dedicati alle festività natalizie.
E così, nel mese di Novembre 2009, le prime avvisaglie di messaggi di tal genere sono state riscontrate in certe e-mail inviate dagli spammer nell’ambito di una campagna reclamizzante l’opportunità di far recapitare (naturalmente a pagamento!) ad ogni bimbo una bella lettera proveniente direttamente da Babbo Natale, debitamente timbrata e personalizzata.
Non accennano a darsi una calmata neppure le promesse spose «russe», le quali, apparentemente, non hanno ancora perso la speranza di poter trascorrere Natale e Capodanno in qualche remota località, lontano da casa, magari nella meravigliosa e soleggiata Italia:
Metodi e trucchi adottati dagli spammer
E’ continuato, nel mese di Novembre, l’invio di messaggi spam nel cui codice html gli spammer hanno inserito sia caratteri casuali che interi blocchi di segni costituiti da lineette, in quantità diverse ed in luoghi diversi. Riportiamo qui di seguito un esempio di un messaggio di spam di tal genere; come si può vedere, nell’ambito del client di posta elettronica dell’utente, l’e-mail si presenta, in ogni caso, con un aspetto del tutto abituale ed ordinario:
Conclusioni
Tirando le somme in merito ai flussi di spam rilevati nel traffico di posta elettronica in quest’ultimo mese di autunno, occorre innanzitutto sottolineare la continua crescita del numero di tentativi di frode perpetrati in Rete.
A Dicembre, come da nostre previsioni, la è ulteriormente peggiorata, in quanto l’avvicinarsi delle festività di fine anno hanno provocato, come da tradizione , una diminuzione del livello d’attenzione prestato dagli utenti durante la navigazione e l’utilizzo dei sistemi di posta elettronica; di conseguenza i truffatori hanno cercato di trarre beneficio da tali circostanze, a loro favorevoli.
Come è noto, nel periodo di Natale e Capodanno gli utenti fanno largo uso di cartoline elettroniche; con ogni probabilità, quindi, i malintenzionati hanno cercato di diffondere i programmi nocivi mascherandoli subdolamente proprio sotto forma di cartoline d’auguri elettroniche.